From b0b70fbb35a06c947371121c7e753090ebe06827 Mon Sep 17 00:00:00 2001 From: Thomas Lenz Date: Wed, 5 Mar 2014 19:10:28 +0100 Subject: finalize moa-id handbook for 2.0 RC1 --- id/server/doc/handbook/config/config.html | 53 +++++++++++++++++++++---------- 1 file changed, 37 insertions(+), 16 deletions(-) (limited to 'id/server/doc/handbook/config/config.html') diff --git a/id/server/doc/handbook/config/config.html b/id/server/doc/handbook/config/config.html index b3bea08cb..3565de210 100644 --- a/id/server/doc/handbook/config/config.html +++ b/id/server/doc/handbook/config/config.html @@ -145,10 +145,12 @@
  • Security-Layer Request
    • +
  • Konfiguration von MOA-SP
    • +
  • Tomcat Security Manager
    • -
      +
      1. Referenzierte Spezifikation
        2. -
      +

    1 Übersicht

    Dieses Handbuch beschreibt detailliert die Konfigurationsmöglichkeiten für die Module MOA-ID-Auth und MOA-ID-Configuration. Wobei das zentrale Einsatzgebiet des Modules MOA-ID-Configuration die Konfiguration des Modules MOA-ID-Auth darstellt.

    @@ -270,7 +272,7 @@ general.login.pvp2.idp.sso.logout.url https://demo.egiz.gv.at/moa-id-auth/LogOut?redirect=
    https://demo.egiz.gv.at/moa-id-configuration - URL zum Single Log-Out (SLO) Service des IDP. Details zum SLO Service von MOA-ID-Auth finden Sie hier. + URL zum Single Log-Out (SLO) Service des IDP. Details zum SLO Service von MOA-ID-Auth finden Sie hier. general.login.pvp2.metadata.entities.name @@ -606,7 +608,7 @@ https://<host>:<port>/moa-id-auth/MonitoringServlet service.moasp.acceptedServerCertificates certs/moa-sp-server/ - Hier kann ein Verzeichnisname (relativ zur MOA-ID Konfigurationsdatei) angegeben werden, in dem die akzeptierten Zertifikate der TLS-Verbindung hinterlegt sind. In diesem Verzeichnis werden nur Serverzertifikate abgelegt. Fehlt dieser Parameter wird lediglich überprüft ob ein Zertifikatspfad zu den im Element <TrustedCACertificates> TODO!! angegebenen Zertifikaten erstellt werden kann. + Hier kann ein Verzeichnisname (relativ zur MOA-ID Konfigurationsdatei) angegeben werden, in dem die akzeptierten Zertifikate der TLS-Verbindung hinterlegt sind. In diesem Verzeichnis werden nur Serverzertifikate abgelegt. Fehlt dieser Parameter wird lediglich überprüft ob ein Zertifikatspfad zu den im Element <TrustedCACertificates> (siehe Kapitel 3.1.4) angegebenen Zertifikaten erstellt werden kann.

     

    @@ -872,7 +874,7 @@ https://<host>:<port>/moa-id-auth/MonitoringServlet

    3.1.2 Default BKUs

    -

    Hiermit werden die URLs zu den Default Bürgerkartenumgebungen (BKUs) definiert die von MOA-ID-Auth für einen Anmeldevorgang verwendet werden, wenn die Bürgerkartenauswahl nicht bereits auf Seiten der Online-Applikation erfolgt ist (siehe Protokolle: TODO) oder in der Online-Applikationskonfiguration keine BKU URLs konfiguriert wurden (siehe Kapitel 3.2.2).

    +

    Hiermit werden die URLs zu den Default Bürgerkartenumgebungen (BKUs) definiert die von MOA-ID-Auth für einen Anmeldevorgang verwendet werden, wenn die Bürgerkartenauswahl nicht bereits auf Seiten der Online-Applikation erfolgt ist (siehe Legacy Request) oder in der Online-Applikationskonfiguration keine BKU URLs konfiguriert wurden (siehe Kapitel 3.2.2).

    @@ -975,7 +977,7 @@ Checking
    Name

    3.1.6 MOA-SP

    Der Abschnitt MOA-SP Konfiguration enthält Parameter zur Nutzung von MOA-SP. MOA-SP wird für die Überprüfung der Signatur der Personenbindung und des AUTH-Blocks verwendet.

    -

    MOA-SP muss entsprechend konfiguriert werden - siehe hierzu Abschnitt TODO: Konfiguration von MOA-SP. Alle Details zur Konfiguration von MOA-SP finden sie in der Distribution von MOA-SP/SS beiliegenden Dokumentation im Abschnitt 'Konfiguration'.

    +

    MOA-SP muss entsprechend konfiguriert werden - siehe hierzu Abschnitt Konfiguration von MOA-SP. Alle Details zur Konfiguration von MOA-SP finden sie in der Distribution von MOA-SP/SS beiliegenden Dokumentation im Abschnitt 'Konfiguration'.

    @@ -1120,7 +1122,7 @@ Checking

    In diesem Abschnitt können die einzelnen von MOA-ID-Auth unterstützen Authentifizierungsprotokolle aktiviert oder deaktiviert werden. Diese Einstellung gilt für die gesamte MOA-ID-Auth Instanz.

    3.1.10.2 Legacy Modus

    Ab der Version 2.0 des Modules MOA-ID-Auth wird die Bürgerkartenauswahl standardmäßig von MOA-ID-Auth bereitgestellt und erfolgt im Kontext von MOA-ID-Auth. Dem zu Folge müssen die aus MOA-ID 1.5.1 bekannten StartAuthentication Parameter (target, bkuURL, template, usemandate) nicht mehr im StartAuthentication Request übergeben werden.

    -Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der Online-Applikation erfolgen muss für das jeweilige Protokoll der Legacy Modus aktiviert werden. Wird der Legacy Modus verwendet müssen jedoch die bkuURL, das Security-Layer Template und der Target mit den bei MOA-ID-Auth hinterlegten Konfigurationsparametern der Online-Applikation übereinstimmten. Detailinformationen hierzu finden Sie im Kapitel Protokolle. TODO: +Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der Online-Applikation erfolgen muss für das jeweilige Protokoll der Legacy Modus aktiviert werden. Wird der Legacy Modus verwendet müssen jedoch die bkuURL, das Security-Layer Template und der Target mit den bei MOA-ID-Auth hinterlegten Konfigurationsparametern der Online-Applikation übereinstimmten. Detailinformationen hierzu finden Sie im Kapitel Protokolle.

    3.1.10.3 SAML1 Konfiguration

    Die SourceID ist ein Teil des SAML1 Artifacts welches zur Abholung der SAML1 Assertion an die Online-Applikation zurückgegeben wird. Standardmäßig wird die SourceID aus der URL der jeweiligen Online-Applikation, an der die Anmeldung stattfinden, generiert. Optional kann jedoch eine SourceID für die gesamte MOA-ID-Auth Instanz vergeben werden, welche für alle Online-Applikationen verwendet wird.

    Name
    @@ -1213,7 +1215,7 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der

    3.1.11 Security-Layer Transformationen

    -

    Die Security-Layer (SL) Transformation, welche von MOA-ID-Auth für die Erstellung der Signatur des AuthBlock verwendet werden soll, muss hier angegeben werden. Über das Datei-Upload Feld kann die zu verwendende Transformation hochgeladen werden. Diese befindet sich in der MOA-ID-Auth Defaultkonfiguration im Ordner /conf/moa-id/transforms/ TransformsInfoAuthBlockTable_DE_2.0.xml. TODO: URL

    +

    Die Security-Layer (SL) Transformation, welche von MOA-ID-Auth für die Erstellung der Signatur des AuthBlock verwendet werden soll, muss hier angegeben werden. Über das Datei-Upload Feld kann die zu verwendende Transformation hochgeladen werden. Diese befindet sich in der MOA-ID-Auth Defaultkonfiguration im Ordner /conf/moa-id/transforms/ TransformsInfoAuthBlockTable_DE_2.0.xml.

    3.2 Online Applikationen

    Die Konfiguration von Online-Applikationen erfolgt ebenfalls mit Hilfe des Moduls MOA-ID-Configuration. Es können sowohl neue Online-Applikationen erstellt als auch bestehende Online-Applikationen bearbeitet oder gelöscht werden. Der erlaubte Konfigurationsumfang hängt jedoch von Role des aktuellen Benutzers ab, wobei eine Konfiguration der gesamten Parameter nur einem Benutzer mit der Role admin möglich ist. Alle Konfigurationsfelder die nur einem Benutzer mit der Role admin zur Verfügung stehen sind gesondert gekennzeichnet.

    3.2.1 Informationen zur Online-Applikation (Service Provider)

    @@ -1370,7 +1372,7 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der   X X - Über diese Funktion können drei zusätzliche SecurtityLayer-Request Templates für diese Online-Applikation definiert werden. Diese hier definierten Templates dienen als zusätzliche WhiteList für Templetes welche im „StartAuthentication“ Request mit dem Parameter „template“ übergeben werden. Sollte im „StartAuthentication“ Request der Parameter „template“ fehlen, es wurde jedoch eine „bkuURL“ übergeben, dann wird für den Authentifizierungsvorgang das erste Template in dieser Liste verwendet. Detailinformationen zum legacy Request finden Sie im Kapitel Protokolle. TODO: + Über diese Funktion können drei zusätzliche SecurtityLayer-Request Templates für diese Online-Applikation definiert werden. Diese hier definierten Templates dienen als zusätzliche WhiteList für Templetes welche im „StartAuthentication“ Request mit dem Parameter „template“ übergeben werden. Sollte im „StartAuthentication“ Request der Parameter „template“ fehlen, es wurde jedoch eine „bkuURL“ übergeben, dann wird für den Authentifizierungsvorgang das erste Template in dieser Liste verwendet. Detailinformationen zum Legacy Request finden Sie im Kapitel Protokolle. BKU-Selection Template @@ -1484,7 +1486,7 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der

     

    Hinweis: Werden für die Online-Applikation eigene Templates für die Bürgerkartenauswahl oder die zusätzliche Anmeldeabfrage im SSO Fall (siehe Abschnitt 3.2.2) verwendet, stehen alle Konfigurationsparameter die Einfluss auf die BKU-Auswahl haben nicht zur Verfügung.

    3.2.6 Authentifizierungsprotokolle

    -

    Dieser Abschnitt behandelt online-applikationsspezifische Einstellungen zu den von der Online-Applikation unterstützen Authentifizierungsprotokollen. Eine Verwendung aller zur Verfügung stehender Authentifizierungsprotokolle durch die Online-Applikation ist ebenfalls möglich. Hierfür muss nur alle benötigten Protokolle konfiguriert werden. Nähere Informationen zu den unterstützten Protokollen finden sie im Kapitel Protokolle. TODO:

    +

    Dieser Abschnitt behandelt online-applikationsspezifische Einstellungen zu den von der Online-Applikation unterstützen Authentifizierungsprotokollen. Eine Verwendung aller zur Verfügung stehender Authentifizierungsprotokolle durch die Online-Applikation ist ebenfalls möglich. Hierfür müssen nur alle benötigten Protokolle konfiguriert werden. Nähere Informationen zu den unterstützten Protokollen finden sie im Kapitel Protokolle.

    Aus gründen der Übersichtlichkeit kann der Konfigurationsbereich für jeden Protokoll, in der Web-Oberfläche des Konfigurationstools, ein- oder ausgeblendet werden.

    3.2.6.1 SAML1

    Für das Protokoll SAML1 stehen folgende Konfigurationsparameter zur Verfügung.

    @@ -1556,14 +1558,14 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der     X - Wird diese Option gewählt erfolgt nach dem Speicher der Konfiguration eine Neu-initialisierung der PVP 2.1 Metadaten der Online-Applikation durch die MOA-ID-Auth Instanz. + Wird diese Option gewählt erfolgt nach dem Speicher der Konfiguration eine Neuinitialisierung der PVP 2.1 Metadaten der Online-Applikation durch die MOA-ID-Auth Instanz. URL zu den Metadaten http://demo.egiz.gv.at/demologin-pvp2-sso/metadata/demoportal-pvp2-sso.mdxml     - URL unter der die MOA-ID-Auth Instanz die Metadaten der Online-Applikation beziehen kann. Diese Metadaten müssen durch die Online-Applikation signiert sein. Für den Fall das die Metadaten über https abgeholt werden, muss ja jeweilige Serverzertifikat zur Zertifikatsprüfung im TrustStore der MOA-ID-Auth Instanz hinterlegt sein. + URL unter der die MOA-ID-Auth Instanz die Metadaten der Online-Applikation beziehen kann. Diese Metadaten müssen durch die Online-Applikation signiert sein. Für den Fall das die Metadaten über https abgeholt werden, muss ja jeweilige Serverzertifikat zur Zertifikatsprüfung im TrustStore der MOA-ID-Auth Instanz hinterlegt sein. Die Metadaten werden anschließend durch MOA-ID-Auth innerhalb des in den Metadaten angegebenen Gültigkeitszeitraums automatisch aktuallisiert. Das Aktuallisierungsintervall bei automatischer Aktualisierung beträgt jedoch mindestens 15 Minuten jedoch nicht mehr als 24 Stunden. (Interval: 15min < Aktualisierungszeitpunkt < 24 Stunden)

    Hinweis: Metadaten können nur über http oder https bezogen werden. Das Laden von Metadaten aus dem lokalen Verzeichnissystem ist nicht möglich.

    @@ -1618,7 +1620,7 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der

     

    3.2.7 Zusätzliche allgemeine Einstellungen

    In Abschnitt ermöglicht eine erweiterte online-applikationsspezifische Individualisierung des AuthBlocks und der Bürgerkartenauswahl. -Die Individualisierung des AuthBlocks steht jedoch dann zur Verfügung wenn die dem Module MOA-ID-Auth beigelegte Security-Layer Transformation (siehe Kapitel TODO:) verwendet wird oder +Die Individualisierung des AuthBlocks steht jedoch dann zur Verfügung wenn die dem Module MOA-ID-Auth beigelegte Security-Layer Transformation verwendet wird oder wenn die individuelle Security-Layer Transformation den Formvorschriften der Spezifikation entspricht.

    @@ -1781,7 +1783,9 @@ Exportfunktion verwendet werden.

    4 Templates

    Dieser Abschnitt spezifiziert den Mindestaufbau der Templates für die BKU Auswahl, die Single Sign-On Anmeldeabfrage und die Security-Layer Request Templates welche vo Module MOA-ID-Auth verwendet werden. Alle hier beschriebenen Templates werden durch MOA-ID-Auth geladen, erweitert und gegebenfalls der Benutzerin oder dem Benutzer im Web-Browser dargestellt. Um einen korrekten Anmeldeprozess zu gewährleisten müssen diese Templates mindestens folgende Formvorschriften und Strukturen aufweisen.

    4.1 Bürgerkartenauswahl

    -

    Das BKU Template dient im Anmeldeprozess der Auswahl der gewünschten Bürgerkatenumgebung oder Handy-Signature. Nach erfolgter Auswahl durch die Benutzer oder dem Benutzer wird diese an MOA-ID-Auth übermittelt. Für die Übermittlung an MOA-ID-Auth ist ein http GET Request vorgesehen welcher folgende Parameter unterstützt. Die URL dieses http GET Request wird automatisiert über den Parameter „#AUTH_URL#“ (ohne „“) eingetragen und muss nicht manuell hinterlegt werden. Folgende http GET Parameter werden für die BKU-Auswahl akzeptiert.

    +

    Das BKU Template dient im Anmeldeprozess der Auswahl der gewünschten Bürgerkatenumgebung oder Handy-Signature. Nach erfolgter Auswahl durch die Benutzer oder dem Benutzer wird diese an MOA-ID-Auth übermittelt.

    +

    Hinweis: In der Datei ./htmlTemplates/loginFormFull.html welcher sich relativ zur MOA-ID-Auth Konfigurationsdatei befindet finden Sie das Standard Template welches für den Anmeldevorgang verwendet wird, wenn kein online-applikationsspezifisches Template hinterlegt wurde. Dieses Standard Template unterstützt Responsive Design und passen sich somit in einem weiten Bereich an die aktuelle Fenstergröße an.

    +

    Für die Übermittlung an MOA-ID-Auth ist ein http GET Request vorgesehen welcher folgende Parameter unterstützt. Die URL dieses http GET Request wird automatisiert über den Parameter „#AUTH_URL#“ (ohne „“) eingetragen und muss nicht manuell hinterlegt werden. Folgende http GET Parameter werden für die BKU-Auswahl akzeptiert.

    @@ -1876,9 +1880,11 @@ Einige dieser Parameter werden jedoch nicht durch den Benutzer oder dem Service      <input type="submit" value=">lokale Bürgerkartenumgebung">
    </form> -

    Als Beispiel für ein BKU-Auswahl Template steht auch das bei MOA-ID-Auth hinterlegte Standardtemplate zur Verfügung. Dieses finden Sie hier.

    +

    Als Beispiel für ein BKU-Auswahl Template steht auch das bei MOA-ID-Auth hinterlegte Standardtemplate zur Verfügung. Dieses finden Sie hier.

    4.2 Single Sign-On Anmeldeabfrage

    -

    Das Send-Assertion Template dient im Falle einer Anmeldung mittels Single Sign-On der Abfrage ob die Anmeldedaten an die betreffende Online Applikation übertragen werden dürfen. Ähnlich dem Template für die Bürgerkartenauswahl müssen auch hierbei Formvorschriften und Strukturen im Aufbau des Templates eingehalten werden.
    +

    Das Send-Assertion Template dient im Falle einer Anmeldung mittels Single Sign-On der Abfrage ob die Anmeldedaten an die betreffende Online Applikation übertragen werden dürfen.

    +

    Hinweis: In der Datei ./htmlTemplates/sendAssertionFormFull.html welcher sich relativ zur MOA-ID-Auth Konfigurationsdatei befindet finden Sie das Standard Template welches für den Anmeldevorgang verwendet wird, wenn kein online-applikationsspezifisches Template hinterlegt wurde. Dieses Standard Template unterstützt Responsive Design und passen sich somit in einem weiten Bereich an die aktuelle Fenstergröße an.

    +

    Ähnlich dem Template für die Bürgerkartenauswahl müssen auch hierbei Formvorschriften und Strukturen im Aufbau des Templates eingehalten werden.
    Für die Übermittlung an das Modul MOA-ID-Auth ist ein http POST Request vorgesehen welcher folgende Parameter unterstützt. Die URL, an welche dieser http POST Request gesendet werden muss, wird automatisiert über den Parameter „#URL#“ (ohne „“) eingetragen und muss nicht manuell hinterlegt werden.

    Name
    @@ -2014,6 +2020,21 @@ Die nachfolgenden Form zeigt ein Beispiel für den Aufbau des im BKU-Auswah

     

    +

    Hinweis: Das in MOA-ID 1.5.1 verwendete Security-Layer Template ist kompatibel zu dem in MOA-ID 2.0 verwendeten Security-Layer Template. Jedoch stehen bei dem Template aus MOA-ID 1.5.1 die zusätzlichen Parameter zur Konfiguration mittels Konfigurationstool nicht zur Verfügung.

    +

    5 Konfiguration von MOA-SP

    +

    MOA-ID überprüft die Signaturen der Personenbindung und des AUTH-Blocks mit dem VerifyXMLSignatureRequest von MOA-SP. Dazu muss MOA-SP wie unten beschreiben konfiguriert werden.
    +
    + VerifyTransformsInfoProfile
    + Der Request zum überprüfen der Signatur des AUTH-Blocks verwendet ein vordefiniertes VerifyTransformsInfoProfile. Die im Request verwendete Profil-ID wird in der MOA-ID-Auth Konfiguration im Parameter Authentfizierungsblock Transformationen definiert. Entsprechend muss am MOA-SP Server ein VerifyTransformsInfoProfile mit gleichlautender ID definiert werden. Die Profiledefinition selbst ist in der Auslieferung von MOA-ID in $MOA_ID_INST_AUTH/conf/moa-spss/profiles/MOAIDTransformAuthBlockTable_DE_2.0.xml enthalten. Diese Profildefinition muss unverändert übernommen werden.

    +

    TrustProfile
    +Die Requests zur überprüfung der Signatur verwenden vordefinierte TrustProfile. Die im Request verwendete Profil-IDs werden in der MOA-ID-Auth Konfiguration in den Parametern Personenbindung Trustprofil und Authentfizierungsblock Trustprofil definiert. Diese beiden Elemente können unterschiedliche oder identische TrustProfileIDs enthalten. Am MOA-SP Server müssen TrustProfile mit gleichlautender ID definiert werden. Die Auslieferung von MOA-ID enthält das Verzeichnis $MOA_ID_INST_AUTH/conf/moa-spss/trustprofiles/MOAIDBuergerkarteRoot, das als TrustProfile verwendet werden kann. Weitere Zertifikate können als vertrauenswürdig hinzugefügt werden.

    +

    Certstore
    +Zum Aufbau eines Zertifikatspfades können benötigte Zertifikate aus einem Zertifikatsspeicher verwendet werden. Die Auslieferung von MOA-ID enthält das Verzeichnis $MOA_ID_INST_AUTH/conf/moa-spss/certstore, das als initialer Zertifikatsspeicher verwendet werden kann.

    +

    Hinweis: Mit dem Wechsel auf Version 1.3 verwendet MOA SP/SS ein neues Format für die XML-Konfigurationsdatei. Für die Konvertierung einer älteren Konfigurationsdatei auf das neue Format steht Ihnen ein Tool zur Verfügung. Details dazu finden sie in der der Distribution von MOA-SP/SS beiligenden Dokumentation im Kapitel 'Konfiguration', Abschnitt 1.2.1.

    +

    6 Tomcat Security Manager

    +

    Apache Tomcat bietet die Möglichkeit den Server unter einem Security Manager zu betreiben. Damit ist es möglich den lokalen Dateizugriff zu beschränken. Mit Hilfe der Datei "catalina.policy" können so Zugriffe auf lokale Dateien und Verzeichnisse festgelegt werden. Eine beispielhafte catalina.policy Datei finden Sie im Verzeichnis $MOA_ID_INST_AUTH/tomcat. Diese Datei wurde unter Apache Tomcat 4.1.31, 5.0.28 und 5.5.27 getestet.

    +

    Mehr Informationen zum Security Manager entnehmen Sie bitte der entsprechenden Apache Tomcat Dokumentation.

    +

     

    A Referenzierte Spezifikation

    -- cgit v1.2.3 From be1bcefaf854f63247622307fdfe0173ef998d44 Mon Sep 17 00:00:00 2001 From: Thomas Lenz Date: Thu, 6 Mar 2014 10:46:54 +0100 Subject: add new SZR-Gateway Service URL --- id/server/doc/handbook/config/config.html | 14 +++++++------- 1 file changed, 7 insertions(+), 7 deletions(-) (limited to 'id/server/doc/handbook/config/config.html') diff --git a/id/server/doc/handbook/config/config.html b/id/server/doc/handbook/config/config.html index 3565de210..b41389798 100644 --- a/id/server/doc/handbook/config/config.html +++ b/id/server/doc/handbook/config/config.html @@ -1010,9 +1010,9 @@ Checking

    Hiermit werden die URLs zum Online-Vollmachten Service und zum SZR-Gateway konfiguriert. Die Konfiguration der für den Zugriff benötigen Client-Zertifikate wurden bereits im Abschnitt 2.2.2.2 behandelt.

    - - - + + + @@ -1020,10 +1020,10 @@ Checking - - - + + +
    NameBeispielwertBeschreibungNameBeispielwertBeschreibung
    Online-Vollmachten Service URL zum Online-Vollmachten Service
    SZR Gateway Servicehttps://szrgw.egiz.gv.at:8443/services/
    - IdentityLinkCreation    		URL zum Stammzahlen-Register GatewaySZR-Gateway Servicehttps://szrgw.egiz.gv.at:8443/szr-gateway_2.0/services/IdentityLinkCreation

    URL zum Stammzahlen-Register Gateway

    +

    Hinweis: Der SZR-Gateway Service welcher in der MOA-ID 1.5.1 Konfiguration verwendet wurde ist nicht mehr kompatibel zu MOA-ID 2.0. Das aktualsierte Test SZR-Gateway Service für MOA-ID 2.x steht unter folgender URL zur Verfügung. https://szrgw.egiz.gv.at:8443/szr-gateway_2.0/services/IdentityLinkCreation

    3.1.8 Single-Sign On(SSO)

    -- cgit v1.2.3 From 5b31c460806ae2e1900a3df323e7fecfdb798e32 Mon Sep 17 00:00:00 2001 From: Thomas Lenz Date: Mon, 10 Mar 2014 08:42:49 +0100 Subject: update ConfigTool and Handbook --- id/server/doc/handbook/config/config.html | 13 +++++++++---- 1 file changed, 9 insertions(+), 4 deletions(-) (limited to 'id/server/doc/handbook/config/config.html') diff --git a/id/server/doc/handbook/config/config.html b/id/server/doc/handbook/config/config.html index b41389798..4d8976776 100644 --- a/id/server/doc/handbook/config/config.html +++ b/id/server/doc/handbook/config/config.html @@ -960,9 +960,14 @@ Checking Beschreibung - Assertion + Anmeldedaten 300 - Gibt die Zeitspanne in Sekunden an, für die die Anmeldedaten in der Authentisierungskomponente (MOA-ID-Auth) zum Abholen durch die eine nachfolgende Applikation bereitstehen. Nach Ablauf dieser Zeitspanne werden die Anmeldedaten gelöscht. +

    Gibt die Zeitspanne in Sekunden an, für die Anmeldedaten, temporäre Sessiondaten oder Assertions in der Authentisierungskomponente (MOA-ID-Auth) vorrätig gehalten werden. Nach Ablauf dieser Zeitspanne werden diese Daten gelöscht oder der Anmeldevorgang abgebrochen. Dieser Parameter hat Einfluss auf folgende Funktionen:

    + SSO Session authentifiziert @@ -1418,11 +1423,11 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der     X - Definiert ob eine Online-Applikation ausschließlich Anmeldungen mittels Online-Vollmachten unterstützt. Wenn ja, wird in während der BKU-Auswahl die Option in Vertretung für eine Anmeldung in Vertretung standardmäßig aktiviert und diese Einstellung kann durch die BenutzerIn oder den Benutzer nicht geändert werden.. + Definiert ob eine Online-Applikation ausschließlich Anmeldungen mittels Online-Vollmachten unterstützt. Wenn ja, wird in während der BKU-Auswahl die Option in Vertretung für eine Anmeldung in Vertretung standardmäßig aktiviert und diese Einstellung kann durch die BenutzerIn oder den Benutzer nicht geändert werden.

     

    -

    Hinweis: Werden für die Online-Applikation eigene Templates für die Bürgerkartenauswahl oder die zusätzliche Anmeldeabfrage im SSO Fall (siehe Abschnitt 3.2.2) verwendet, stehen alle Konfigurationsparameter die Einfluss auf die BKU-Auswahl haben nicht zur Verfügung.

    +

    Hinweis: Werden für die Online-Applikation eigene Templates für die Bürgerkartenauswahl oder die zusätzliche Anmeldeabfrage im SSO Fall (siehe Abschnitt 3.2.2) verwendet, stehen alle Konfigurationsparameter die Einfluss auf die BKU-Auswahl haben nicht zur Verfügung. Die Funktionalität der entsprechenden Parameter hat jedoch weiterhin Einfluss auf den Anmeldevorgang.

    3.2.4 Single Sign-On (SSO)

    Dieser Abschnitt behandelt online-applikationsspezifische Einstellungen zu Single Sign-On

    -- cgit v1.2.3 From 61ef9540b9f587a8cb644856bc03cc34fbda7f7f Mon Sep 17 00:00:00 2001 From: Thomas Lenz Date: Mon, 17 Mar 2014 11:52:06 +0100 Subject: add STORK attributes which are minimum required --- id/server/doc/handbook/config/config.html | 81 ++++++++++++++++++++++++++----- 1 file changed, 69 insertions(+), 12 deletions(-) (limited to 'id/server/doc/handbook/config/config.html') diff --git a/id/server/doc/handbook/config/config.html b/id/server/doc/handbook/config/config.html index 4d8976776..9aed46fd1 100644 --- a/id/server/doc/handbook/config/config.html +++ b/id/server/doc/handbook/config/config.html @@ -1089,38 +1089,95 @@ Checking

    3.1.9 Secure idenTity acrOss boRders linKed (STORK)

    Dieser Abschnitt konfiguriert die Authentifizierung mittels STORK für das Modul MOA-ID-Auth.

    - +
    - - - - - + + + - - - - - -
    NameBeispielwertAdminOptionalBeschreibungNameBeispielwertBeschreibung
    QAA-Level 4 X Definiert den mindest QAA-Level den diese MOA-ID-Auth Instanz für die Authentifizierung verlangt.

    PEPS Konfiguration

    		 PT --> https://eu-id.teste.cartaodecidadao.gov.pt/PEPS/ColleagueRequest X Definiert die URLs die PEPS Instanzen der jeweiligen Länder für welche eine Anmeldung mittels STORK unterstützt wird. Die Konfiguration erfolgt mit dem Ländercode (Bsp: PT, LU, ES, ...) und der URL auf den jeweiligen PEPS.

    Attributkonfiguration

    		   X

    In diesem Bereich können einzelne STORK Attribute angefordert werden. Jede Attributkonfiguration besteht aus dem Attributnamen und der Information ob dieses Attribut verpflichtend (zwingend) übermittelt werden muss.

    Als Attributname muss der Friendlyname (Bsp: eIdentifier, nationalityCode, ...) des gewünschten STORK Attributes angegeben werden. Die verfügbaren Attribute können der STORK Spezifikation entnommen werden.
    +

     

    +

    Folgende Attribute müssen jedoch mindestens angefordert werden, wobei die erforderlichen Attribute je nach Anmeldeart unterschiedlich sind. Eine Liste mit weiteren möglichen Attribute finden Sie im Kapitel Protokolle oder in der STORK Spezifikation.

    + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
    Namenatürliche PersonAnmeldung in VertretunglBeschreibung
    eIdentifierXXEindeutiger Identifier der Person für die die Anmeldung erfolgt.

    givenName

    		XXVorname der Person für die die Anmeldung erfolgt.

    surname


    + X    		X

    Familienname der Person für die die Anmeldung erfolgt.

    dateOfBirthXXGeburtsdatum der Person für die die Anmeldung erfolgt.
    genderXXGeschlecht der Person für die die Anmeldung erfolgt.
    canonicalResidenceAddress XAddresse der Person für welche die Anmeldung erfolgt
    mandateContent XElektronische Vollmacht, welche die Vertretungsverhältnisse widerspiegelt.
    representative XNatürliche Person welche eine juristische oder natürliche Person im Rahmen einer Anmeldung mittels Vollmacht vertritt.
    represented XJuristische oder natürliche Person welche im Rahmen einer Anmeldung mittels Vollmacht vertreten wird.

    3.1.10 Protokolle

    Hierbei handelt es ich um allgemeine Einstellungen zu den vom Modul MOA-ID-Auth unterstützen Authentifizierungsprotokollen.

    3.1.10.1 Protokolle aktivieren

    -- cgit v1.2.3 From 05212e955f2c44bd3150b47d9d534c5a73eb71d1 Mon Sep 17 00:00:00 2001 From: Thomas Lenz Date: Fri, 21 Mar 2014 13:16:38 +0100 Subject: add global QC check deactivation for testing --- id/server/doc/handbook/config/config.html | 68 ++++++++++++++++++++----------- 1 file changed, 45 insertions(+), 23 deletions(-) (limited to 'id/server/doc/handbook/config/config.html') diff --git a/id/server/doc/handbook/config/config.html b/id/server/doc/handbook/config/config.html index 9aed46fd1..58214bb44 100644 --- a/id/server/doc/handbook/config/config.html +++ b/id/server/doc/handbook/config/config.html @@ -52,29 +52,30 @@
  • Bekanntmachung der Konfigurationsdatei
  • Konfigurationsparameter
      -
    1. Allgemeine Konfigurationsparameter
      2. -
    2. Externe Services -
        -
      1. MOA-SP
        2. -
      2. Online-Vollmachen
        3. -
      3. Foreign Identities
        4. -
      -
      3. -
    3. Protokolle -
        -
      1. PVP 2.1
        2. -
      2. OpenID Connect
        3. -
      -
      4. -
    4. Datenbank -
        -
      1. Konfiguration
        2. -
      2. Session Informationen
        3. -
      3. Statistikdaten
        4. -
      -
      5. -
    -
    • +
  • Allgemeine Konfigurationsparameter
    • +
  • Externe Services +
      +
    1. MOA-SP
      2. +
    2. Online-Vollmachen
      3. +
    3. Foreign Identities
      4. +
    +
    • +
  • Protokolle +
      +
    1. PVP 2.1
      2. +
    2. OpenID Connect
      3. +
    +
    • +
  • Datenbank +
      +
    1. Konfiguration
      2. +
    2. Session Informationen
      3. +
    3. Statistikdaten
      4. +
    +
    • +
  • Testing
    • + +
  • Konfiguration des Loggings
    • @@ -839,6 +840,27 @@ https://<host>:<port>/moa-id-auth/MonitoringServlet

     

    Die Beispielkonfiguration beinhaltet noch zusätzliche Konfigurationsparameter für den Datenbankzugriff der einzelnen Schema welche direkt aus der Beispielkonfiguration übernommen werden können. Eine detaillierte Beschreibung der einzelnen Einstellungsparameter kann der Hibernate Dokumention entnommen werden.

    +

    2.2.2.5 Testing

    +

    Diese Parameter dienen auf Testsystemen zur Deaktivierung einzelner Verarbeitungs- oder Prüfschritte. Standardmäßig ist jeweils die sichere Variante aktiviert.

    + + + + + + + + + + + + + + + + +
    NameBeispielwertBeschreibung
    configuration.validation.certificate.QC.ignore

    true / false

    Deaktiviert die QC Prüfung von Signaturzertifikaten. Da manche Testzertifikate oder Testkarten keine QC Erweiterung aufweisen und somit eine Anmeldung mit diesen Zertifikaten nicht möglich ist, kann die QC Prüfung je Instanz deaktiviert werden.

    +

    Defaultwert: false

    protocols.pvp2.assertion.encryption.activetrue / false

    Mit diesem Parameter kann die Verschlüsselung der PVP2.1 Assertion für diese MOA-ID-Auth Instanz vollständig deaktiviert werden.

    +

    Defaultwert: true

     

    2.3 Konfiguration des Loggings

    Die Module MOA-ID-Auth und MOA-ID-Configuration verwendet als Framework für Logging-Information die Open Source Software log4j. Die Konfiguration der Logging-Information erfolgt nicht direkt durch die einzelnen Module, sondern über eine eigene Konfigurationsdatei, die der Java Virtual Machine durch eine System Property mitgeteilt wird. Der Name der System Property lautet log4j.configuration; als Wert der System Property ist eine URL anzugeben, die auf die log4j-Konfigurationsdatei verweist, z.B.

    -- cgit v1.2.3