From 6bcda4bc120c743bab2296c72b22d1db0ba4ccfc Mon Sep 17 00:00:00 2001 From: Thomas Lenz Date: Fri, 13 Dec 2019 09:04:58 +0100 Subject: update configuration examples activate MOA-ID mode in configuration module as default --- id/server/doc/handbook/config/config.html | 99 ++++++++++++++++++++++++------- 1 file changed, 77 insertions(+), 22 deletions(-) (limited to 'id/server/doc/handbook/config/config.html') diff --git a/id/server/doc/handbook/config/config.html b/id/server/doc/handbook/config/config.html index 4fb57cb3a..0b9f7e614 100644 --- a/id/server/doc/handbook/config/config.html +++ b/id/server/doc/handbook/config/config.html @@ -60,6 +60,7 @@
  • MOA-SP
  • Online-Vollmachen
  • Zentraler eIDAS Knoten
    • +
  • E-ID Anbindung
  • Protokolle @@ -119,7 +120,7 @@
  • Privatwirtschaftlicher Bereich
    • -
  • Demo-Modus für E-ID
    • +
  • Aktivierung der E-ID Anbindung
  • BKU Konfiguration
  • Security Layer für mobile Authententifizierung
  • Test Credentials
    • @@ -563,6 +564,77 @@ https://<host>:<port>/moa-id-auth/MonitoringServlet

     

    +
    2.2.2.2.4 Anbindung an das E-ID System
    +

    Die Anbindung und Weiterleitung an das zentrale E-ID System erfolgt via PVP2 S-Profil (SAML2). Für das in MOA-ID 4.x integrierte E-ID Proxy Authentifizierungsmodul sind folgende Konfigurationsparameter erforderlich.

    + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
    NameBeispielwertBeschreibung
    modules.eidproxyauth.keystore.pathkeys/szrgw.p12Dateiname des Java Keystore oder PKCS12 Keystore zur Signierung von PVP 2.x spezifischen Inhalten. (PVP 2.x Metadaten, PVP 2.1 Assertion)
    modules.eidproxyauth.keystore.passwordpass1234Passwort zum Keystore
    modules.eidproxyauth.metadata.sign.alias Name des Schlüssels der zur Signierung der PVP 2.x Metadaten des E-ID Proxy Authentifizierungsmoduls
    modules.eidproxyauth.metadata.sign.password Passwort des Schlüssels der zur Signierung der PVP 2.x Metadaten des E-ID Proxy Authentifizierungsmoduls
    modules.eidproxyauth.request.sign.alias Name des Schlüssels mit dem der PVP 2.x Authn. Request durch MOA-ID unterschieben wird
    modules.eidproxyauth.request.sign.password Passwort des Schlüssels mit dem der PVP 2.x Authn. Request durch MOA-ID unterschieben wird
    modules.eidproxyauth.response.encryption.alias Name des Schlüssels mit dem die PVP 2.x Assertion für MOA-ID verschlüsselt werden soll
    modules.eidproxyauth.response.encryption.password Passwort des Schlüssels mit dem PVP 2.x Assertion für MOA-ID verschlüsselt werden soll
    modules.eidproxyauth.EID.trustprofileIDeid_metadataMOA-SP TrustProfil welches die vertrauenswürdigen Zertifikate zur Validierung der Metadaten des zentralen E-ID Systemas beinhaltet
    modules.eidproxyauth.EID.entityId Optional: EntityID des IDPs im zentralen E-ID System
    modules.eidproxyauth.EID.metadataUrl Optional: URL auf die SAML2 Metadaten des zentralen E-ID System, sofern diese nicht über die EntityID geladen werden können
    modules.eidproxyauth.required.additional.attributes.x 

    Optional: zusätzliche Attribute welche vom zentralen E-ID System angefordert werden

    +

    Attribute werden entspechend PVP2 Attribute-Profil angegeben. Beispiele für die Konfiguration finden Sie in der Beispielkonfiguration

    +

     

    2.2.2.3 Protokolle

    MOA-ID-Auth unterstützt mehrere Authentifizierungsprotokolle. Manche dieser Protokolle benötigen Schlüssel zur Signierung von Authentifizierungsdaten oder Metadaten. In diesem Abschnitt erfolgt die Konfiguration des zu verwendeten Schlüsselmaterials.

    2.2.2.3.1 PVP 2.1
    @@ -1569,8 +1641,8 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der

     

    -

    3.2.2 Demo-Modus für E-ID

    -

    Dieser Abschnitt behandelt den Demo-Modus für die kommende E-ID welcher mit der MOA-ID Version 3.4.2 eingeführt wurde. Ist der Demo-Modus aktiviert ändert sich das mögliche Attribut-Set welches Online Applikation zur Verfügung gestellt wird. Als Attributbezeichner in der nachfolgenden Liste werden die Attributebezeichnungen aus dem PVP Attribute-Profil verwendet. Ein Mapping auf OpenID-Connect Scopes oder SAML1 Attribute finden Sie in Kapitel Protokolle. Als weitere Anpassung wird mit hoher Wahrscheinlichkeit die iFrame Integration der Handy-Signatur nicht mehr zur Verfügung stehen und es erfolgt eine vollformat Weiterleitung an den E-ID. Diese Anpassung ist in der MOA-ID Version 3.4.2 noch nicht berücksichtig.

    +

    3.2.2 Aktivierung der E-ID Anbindung

    +

    Dieser Abschnitt behandelt den E-ID Proxy Mode von MOA-ID welcher mit der Version 4.0 eingeführt wurde. Ist der E-ID Proxy Mode aktiviert ändert sich das mögliche Attribut-Set welches Online Applikation zur Verfügung gestellt wird, da der Benutzer an das E-ID System zur Authentifizierung weitergeleitet wird. Als Attributbezeichner in der nachfolgenden Liste werden die Attributebezeichnungen aus dem PVP Attribute-Profil verwendet. Ein Mapping auf OpenID-Connect Scopes oder SAML1 Attribute finden Sie in Kapitel Protokolle.

    Folgende Attribute stehen nicht mehr zur Verfügung: