From 626632afb7d1c58341ae40f346612aa205593080 Mon Sep 17 00:00:00 2001 From: Bojan Suzic Date: Thu, 27 Mar 2014 13:46:44 +0100 Subject: docs --- id/server/doc/handbook/config/config.html | 232 ++++++++++++++++++++++++++++-- 1 file changed, 217 insertions(+), 15 deletions(-) (limited to 'id/server/doc/handbook/config') diff --git a/id/server/doc/handbook/config/config.html b/id/server/doc/handbook/config/config.html index 7e475fa51..11be84dcd 100644 --- a/id/server/doc/handbook/config/config.html +++ b/id/server/doc/handbook/config/config.html @@ -85,7 +85,23 @@ Innerhalb dieses Zeitraums muss ein neuer Benutzer die im Benutzerprofil hinterlegte eMail Adresse validieren. -

2.1.2.2 Datenbankzugriff

+

+2.1.2.2 Sprachauswahl

+

Der folgende Konfigurationsparameter ist optional.

+ + + + + + + + + + + +
NameBeispielwertBeschreibung
general.defaultlanguageenDie Sprache von der Benutzeroberfläche. Derzeit nur en oder de unterstützt.
+ +

2.1.2.3 Datenbankzugriff

Diese Konfigurationsparameter sind nicht optional und müssen in der Konfigurationsdatei enthalten sein und indivituell angepasst werden. Für Beispielkonfiguration wurde mySQL als Datenbank verwendet wodurch sich die Konfigurationsparameter auf mySQL beziehen. Das Modul MOA-ID-Configuration kann jedoch auch mit Datenbanken anderer Hersteller betrieben werden. Hierfür wird jedoch auf die Hibernate Dokumention verwiesen, welches im Module MOA-ID-Configuration für den Datenbankzugriff verwendet wird.

@@ -120,8 +136,8 @@

 

-

Die Beispielkonfiguartion beinhaltet noch zusätzliche Konfigurationsparameter für den Datenbankzugriff welche direkt aus der Beispielkonfiguration übernommen werden können. Eine detailierte Beschreibung der einzelnen Einstellungsparameter kann der Hibernate Dokumention entnommen werden.

-

2.1.2.3 Bürgerkarten LogIn

+

Die Beispielkonfiguration beinhaltet noch zusätzliche Konfigurationsparameter für den Datenbankzugriff welche direkt aus der Beispielkonfiguration übernommen werden können. Eine detailierte Beschreibung der einzelnen Einstellungsparameter kann der Hibernate Dokumention entnommen werden.

+

2.1.2.4 Bürgerkarten LogIn

Zusätzlich zur Authentifzierung mittels Benutzername und Passwort unterstützt das Modul MOA-ID-Configuration auch eine Authentifizierung mittels Bürgerkarte oder Handy-Signatur unter Verwendung des Authentifizierungsprotokolls PVP2.1. Wenn eine Authentifizerung mittels Bürgerkarte oder Handy-Signature gewünscht wird müssen die nachfolgen Konfigurationsparameter gesetzt werden.

@@ -218,7 +234,7 @@ http://<host>:<port>/moa-id-configuration/servlet/metadata

bzw.

 https://<host>:<port>/moa-id-configuration/servlet/metadata
-

2.1.2.4 Mailversand

+

2.1.2.5 Mailversand

Das Modul MOA-ID-Configuration bietet die Möglichkeit zur Generierung von automatischen Statusmeldungen welche via eMail versendet werden. Diese Statusmeldungen betreffen die Aktivierung neuer Online-Applikationen oder Benutzeraccounts und die Verifikation von eMail Adressen welche einem Benutzeraccount zugeordnet sind. Detailinformationen hierzu finden Sie im Abschnitt Benutzerverwaltung.

@@ -710,12 +726,105 @@ https://<host>:<port>/moa-id-auth/MonitoringServlet

 

-

Die Beispielkonfiguartion beinhaltet noch zusätzliche Konfigurationsparameter für den Datenbankzugriff der einzelnen Schema welche direkt aus der Beispielkonfiguration übernommen werden können. Eine detailierte Beschreibung der einzelnen Einstellungsparameter kann der Hibernate Dokumention entnommen werden.

+

Die Beispielkonfiguration beinhaltet noch zusätzliche Konfigurationsparameter für den Datenbankzugriff der einzelnen Schema welche direkt aus der Beispielkonfiguration übernommen werden können. Eine detailierte Beschreibung der einzelnen Einstellungsparameter kann der Hibernate Dokumention entnommen werden.

 

2.3 Konfiguration des Loggings

Die Module MOA-ID-Auth und MOA-ID-Configuration verwendet als Framework für Logging-Information die Open Source Software log4j. Die Konfiguration der Logging-Information erfolgt nicht direkt durch die einzelnen Module, sondern über eine eigene Konfigurationsdatei, die der Java Virtual Machine durch eine System Property mitgeteilt wird. Der Name der System Property lautet log4j.configuration; als Wert der System Property ist eine URL anzugeben, die auf die log4j-Konfigurationsdatei verweist, z.B.

log4j.configuration=file:/C:/Programme/apache/tomcat-4.1.30/conf/moa-id/log4j.properties
Weitere Informationen zur Konfiguration des Loggings erhalten Sie in Abschnitt 2.1.3 des Installationshandbuchs. +

+

2.4 Konfiguration des SamlEngines

+

Für die Untestützung des STORK2 Protokols verwendet MOA-ID eine zusätzliche Bibliothek, die über gesonderte Dateien konfiguriert wird. Diese Dateien sind unter einem Verzeichnis gespeichert, das üblicherweise sich unter dem MOA-ID-Auth Konfigurationsverzeichnis findet. Der Name der System Property lautet eu.stork.samlengine.config.location; als Wert der System Property ist das Verzeichnis anzugeben, wo die entsprechende SamlEngine Konfigurationsdateien gespeichert werden, z.B.

+
eu.stork.samlengine.config.location=file:/C:/Programme/apache/tomcat-4.1.30/conf/moa-id/conf/moa-id/stork
+

Dieses Verzeichnis muss mindenstens folgende Dateien enthälten:

+ + + + + + + + + + + + + + + + +
DateiBeschreibung
SamlEngine.xmlDie Hauptdatei, wo die Konfigurationen von verschiedenen Instanzen des SamlEngines angegeben werden.
StorkSamlEngine_XXX.xmlEnthält allgemeine Konfigurationsparametern einer spezifischen Instanz des SamlEngines.
SignModule_XXX.xmlEnthält Konfigurationsparametern für Trust- und Keystore einer spezifischen Instanz des SamlEngines.
+

+

In oben stehender Tabelle die Bezeichnung mit XXX gibt die Name einer spezifischen Instanz des SamlEngines an. +In der Hauptskonfiguration Datein (SamlEngine.xml) angegeben werden alle unterstütze Instanzen des SamlEngines, die für verschiedene Anmeldungsszenarien angewandt werden. Die Beispielkonfiguration dieser Datei sieht wie folgendes: +

+
+<?xml version="1.0" encoding="UTF-8"?>
+<instances>
+        <!-- Configuration name-->
+        <instance name="VIDP">
+                <!-- Configurations parameters StorkSamlEngine  -->
+                <configuration name="SamlEngineConf">
+                        <parameter name="fileConfiguration" value="StorkSamlEngine_VIDP.xml" />
+                </configuration>
+
+                <!-- Settings module signature-->
+                <configuration name="SignatureConf">
+                        <!-- Specific signature module -->
+                        <parameter name="class" value="eu.stork.peps.auth.engine.core.impl.SignSW" />
+                        <!-- Settings specific module -->
+                        <parameter name="fileConfiguration" value="SignModule_VIDP.xml" />
+                </configuration>
+        </instance>
+</instances>
+
+

In oberem Beispiel ist nur eine Instanz definiert, VIDP, deren spezifischen Parametern in zwei Konfigurationsdateien weiter angeführt werden.

In konkretem Fall, die Datei StorkSamlEngine_VIDP.xml enthält TORK-spezifische Parametern, die normalerweise nicht geändert werden sollte.

In der zweite Datei, SignModule_VIDP.xml, definiert werden die Konfigurationsparametern für Trust- und Keystore der Instanz von SamlEngine. Die Beispielkonfiguration dieser Datei sieht wie folgendes:

+
+<?xml version="1.0" encoding="UTF-8"?>
+<!DOCTYPE properties SYSTEM "http://java.sun.com/dtd/properties.dtd">
+
+<properties>
+        <comment>SWModule sign with JKS.</comment>
+        <entry key="keystorePath">C:/Programme/apache/tomcat-4.1.30/conf/moa-id/keys/storkDemoKeys.jks</entry>
+        <entry key="keyStorePassword">local-demo</entry>
+        <entry key="keyPassword">XXX</entry>
+        <entry key="issuer">C=AT, L=Graz, OU=Institute for Applied Information Processing and Communications</entry>
+        <entry key="serialNumber">123AA2CDB1123</entry>
+        <entry key="keystoreType">JKS</entry>
+</properties>
+
+

Diese Parameter sollen bei der Installation angepasst werden, um die Zugriff an Keystore und die Schlüssel zu ermöglichen. Die einzelne Parametern sind in foldenter Tabelle erklärt:

+

+ + + + + + + + + + + + + + + + + + + + + + + + + + + + +
NameBeschreibung
keystorePathKeystore mit Schlüssel und Zertifikaten welche für das Signieren und Verschlüsseln von STORK Nachrichten verwendet werden sollen.
keyStorePasswordPasswort des Keystores. Keystore soll den Schlüssel für die Signieren von Nachrichten enthalten, ebenso wie die vertrauenswürdige Zertifikate von anderen Parteien, wie z.B. ausländische PEPSes.
keyPasswordPassword des Schlüssels, der für die Signieren der STORK Nachrichten verwendet werden soll.
issuerIssuer des Keypairs, der für die Signieren der STORK Nachrichten verwendet werden soll.
serialNumberNummer des Keypairs, der für die Signieren der STORK Nachrichten verwendet werden soll.
keystoreTypeTyp und Format des Keystores. JKS steht für Java Key Store.
+

3 Konfiguration MOA-ID-Auth

Dieses Abschnitt beschreibt die Konfiguration des Modules MOA-ID-Auth mithilfe der durch das Modul MOA-ID-Configuration zur Verfügung gestellten Web-Oberfläche. Hierzu muss das Konfigurationstool (Module MOA-ID-Konfiguration) bereits installiert und konfiguriert sein (siehe Kapitel 2.1). Nach erfolgreichem Login am Konfigurationstool kann das Modul MOA-ID-Auth über die Web-Oberfläche konfiguriert werden.

@@ -941,7 +1050,36 @@ Checking

3.1.8 Secure idenTity acrOss boRders linKed (STORK)

-

TODO:

+

Hierbei werden allgemeine Parameter für STORK Protokol konfiguriert.

+ + + + + + + + + + + + + + + + + + + + + + + + + + +
NameBeispielwerteBeschreibung
Standard QAA-Level4QAA (Attribute Quality Authentication Assurance) stellt Mindestanforderung von QAA fest.
Contry CodeESDer zweistelligen Kod vom unterstützten PEPS-Staat.
PEPS URLhttps://prespanishpeps.redsara.es/PEPS/ColleagueRequestDie Adresse von PEPS eines unterstützten PEPS-Staat.
AttributnameeIdentifierDie Name des unterstützte Attributtes. Die als zwingend markierte Attributtes müssen im Response von dem gegenstehendem PEPS enthälten werden. Jedes Attribut wird gesondert eingetragen.
Die Liste von vorhandenen und unterstützen Attributes ist in Konfigurationsdatei von SamlEngine (StorkSamlEngine_XXX.xml) vorhanden.
+

+

3.1.9 Protokolle

Hierbei handelt es ich um allgemeine Einstellungen zu den vom Modul MOA-ID-Auth unterstützen Authentifizierungsprotokollen.

3.1.9.1 Protkolle aktivieren

@@ -1283,39 +1421,103 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der

3.2.5 Secure idenTity acrOss boRders linKed (STORK)

-

Dieser Abschnitt behandelt online-applikationsspezifische Einstellungen zu STORK.

+

Dieser Abschnitt behandelt Online-Applikationsspezifische Einstellungen zu STORK.

- - + - + - - + - - +

Bei den Attributen kann jedoch nur aus dem Set der in der allgemeinen Konfiguration hinterlegten STORK Attributen (siehe Kapitel 3.1.8) gewählt werden, wobei Attribute die in der allgemeinen Konfiguration als zwingend markiert sind immer mitgeliefert werden.

+ + + + + + + + + + + + + + + + + + + + + + + + + +
NameBeispielwertAdminBeispielwert Optional Beschreibung
STORK verwenden ja  X Definiet ob die Online-Applikation eine Anmeldung mittels STORK unterstützt. Wird STORK unterstützt wird in während der BKU-Auswahl die Option Home Country Selection für eine Anmeldung mittels STORK dargestellt.

QAA-Level

 4  X Von der Online-Applikation geforderter mindest QAA-Level der Authentifizierung

Attribute

   X

STORK Attribute welche die Online-Applikation anfordert

-

Bei den Attributen kann jedoch nur aus dem Set der in der allgemeinen Konfiguration hinterlegten STORK Attributen (siehe Kapitel 3.1.8) gewählt werden, wobei Attribute die in der allgemeinen Konfiguration als „Verpflichtend“ markiert sind immer mitgeliefert werden.

Stork Applikation

ja 

Stellt fest, ob dies eine STORK Applikation ist.

Landesvorwahl

ES 

Der landspezifischen Kode - der Staat von Service Provider. Wird für die Ableitung des STORK-eIdentifiers verwendet.

VIDP Interface aktiv

ja 

Stellt fest, ob das VIDP Interface aktiviert wird.

Zustimmung für das Ausliefern der Attribute

ja 

Stellt fest, ob die Zustimmung für das Ausliefern der Attribute vom Benutzer erforderlich ist. Diese Zustimmung ist für grenzübergreifenden Datenverkehr aufgrund Datenschützbestimmungen oft notwendig.

+

 

+

In diesem Abschnitt werden zusätzliche Attributsproviders eingetragen, sowohl als von dem gelieferte und unterstützte Attribute.
Die Attributproviders werden für die Abholung von einigen Attributen von österreichischen Bürger notwendig (Anmeldung in Ausland). Die Eintragung und Auswahl von Attributproviders ist optional. +

Im Lauf von einem Anmeldevorgang wird der Benutzer an entsprechende Attributtprovider weitergeleitet, wo die notwendige Attribute ausgewählt und zurück an VIDP (am ServiceProvider) geliefert werden.

+
+ + + + + + + + + + + + + + + + + + + + +
Name des PluginsBeschreibung
EHvdAttributeProviderFür Gesundheitsbereich spezifisches Attributprovider.
SignedDocAttributeRequestProviderAttributprovider verwendet für die Signatur von Dokumenten (Signature Service).
MISAttributeRequestProviderAttributprovider verwendet für die Vertretungsfälle.
StorkAttributeRequestProviderAllgemeines Plugin, wird verwendet für die Restfälle.

 

+

Beispiel eines Eintrages für Attributprovider:

+
+
+  
+    
+    
+    
+  
+  
+    
+    
+    
+  
+
AP PluginURLAttribute
MISAttributeRequestProviderhttp://mis.testvidp.at/moa-id-auth/stork2/MISProvidermandateContent,attribut1,attribut2
+
+ +

Hinweis: Werden für die Online-Applikation eigene Templates für die Bürgerkartenauswahl oder die zusätzliche Anmeldeabfrage im SSO Fall (siehe Abschnitt 3.2.2) verwendet, stehen alle Konfgurationsparameter die Einfluss auf die BKU-Auswahl haben nicht zur Verfügung.

3.2.6 Authentifizierungsprotokolle

Dieser Abschnitt behandelt online-applikationsspezifische Einstellungen zu den von der Online-Applikation unterstützen Authentifizierungsprotokollen. Eine Verwendung aller zur Verfügung stehender Authentifizierungsprotokolle durch die Online-Applikation ist ebenfalls möglich. Hierfür muss nur alle benötigten Protokolle konfiguriert werden. Nähere Informationen zu den unterstützten Protokollen finden sie im Kapitel Protokolle. TODO:

-- cgit v1.2.3