From 999b4d73161981d4a368968796dd1543a03e28d2 Mon Sep 17 00:00:00 2001 From: Thomas Lenz Date: Thu, 20 Feb 2014 17:19:21 +0100 Subject: add inital version of MOA-ID 2.0 handbook --- id/server/doc/handbook/intro/intro.html | 95 +++++++++++++++++++++++++++++++++ 1 file changed, 95 insertions(+) create mode 100644 id/server/doc/handbook/intro/intro.html (limited to 'id/server/doc/handbook/intro/intro.html') diff --git a/id/server/doc/handbook/intro/intro.html b/id/server/doc/handbook/intro/intro.html new file mode 100644 index 000000000..3f5b1b7c7 --- /dev/null +++ b/id/server/doc/handbook/intro/intro.html @@ -0,0 +1,95 @@ + + + + + MOA SS und SP - Einführung + + + + + + + + + +
Logo BKADokumentationLogo EGIZ
+
+

MOA-ID (Identifikation)

+

Einführung

+
+

Inhalt

+
    +
  1. Allgemeines
    2. +
  2. MOA-ID-Auth
    3. +
  3. MOA-ID-Configuration
    4. +
+
+

1 Allgemeines

+

Das Module MOA-ID-Auth kann von Anwendungen zur Identifizierung und Authentifizierung im Rahmen eines Anmeldeprozesses an einer Online-Applikation verwendet werden. Die Konfiguration des Modules MOA-ID-Auth erfolgt mit Hilfe des Zusatzmodules MOA-ID-Configuration welches eine web-basierte Konfigurationsschnittstelle zur Verfügung stellt.

+

Das nachfolgende Blockdiagramm zeigt Struktur von MOA-ID und gibt eine kurze Beschreibung der einzelnen Komponenten.

+

Architektur MOA-ID

+

 

+

MOA-ID besteht aus folgenden Kernkomponenten:

+
    +
  1. CORE LOGIC: Diese Komponente ist die zentrale Logik zur Steuerung der einzelnen Prozesse innerhalb MOA-ID 2.x.
    2. +
  2. Protocol Adapter: Stellt die in MOA-ID 2.x unterstützten Authentifizierungsprotokolle für die Anbindung von Service Providern zur Verfügung.
    3. +
  3. Auth Sources: Stellt die von MOA-ID 2.x unterstützte Identifikationsmechanismen zur Verfügung. Dies sind die österreichische Bürgerkarte oder Handy-Signatur sowie die Anmeldung ausländischer Personen mit Hilfe des STORK Protokoll.
    4. +
  4. Template Generator: Der Template Generator erzeugt für Service Provider die entsprechenden Login-Masken für die Integration in die eigene Web-Applikation.
    5. +
  5. SSO Module: Das Single Sign-On (SSO) Modul verwaltet die zusätzlichen Operationen die sich aus der Umsetzung von SSO ergeben. Dies umfasst im Besonderen das SSO Session-Management.
    6. +
  6. Statistic Module: Dieses Modul dient zur Generierung von anonymisierten Statistikdaten aus den Anmeldeinformationen.
    7. +
  7. Monitoring & Testing Module: Dieses Modul implementiert Methoden mit deren Hilfe einzelne funktionale Bereiche aus MOA-ID-Auth getestet werden können. Somit dient dieses Modul als Schnittstellte zu einem externen Monitoring-Service.
    8. +
  8. Configuration Modul: Dieses Modul stellt die Schnittstelle zur MOA-ID-Auth Konfiguration dar welche in einer Datenbank abgelegt wird.
    9. +
  9. Konfigurationstool: Oberfläche, mit deren Hilfe MOA-ID konfiguriert werden kann. Dies umfasst sowohl allgemeine Konfigurationsteile als auch die Konfiguration der einzelnen bei MOA-ID-Auth registrierten Online-Applikationen. Service Provider können sich am Konfigurationstool mittels Bürgerkarte oder Handy-Signatur anmelden und ihre Online-Applikationen verwalten.
    10. +
+

1.1 Externe Services

+

Für die Anmeldung in Vertretung und die Anmeldung ausländischer Personen werden zusätzliche externe Services verwendet.

+

1.1.1 Online-Vollmachten

+

Ab der MOA-ID Release 1.5.0 werden Online-Vollmachten (für Anwendungen aus dem öffentlichen Bereich) unterstützt. Hierzu werden diese Vollmachten über eine Online-Vollmachten-Service ausgewählt. Der Zugang zu diesem Online-Vollmachten Service ist über eine Client-Server Authentifizierung abgesichert. Als Client-Zertifikate werden Zertifikate der Firmen A-Trust bzw. A-CERT, die mit der Verwaltungs- oder Dienstleistereigenschaft versehen sind, akzeptiert.

+

1.1.2 Ausländische Bürger

+

Ab der MOA-ID Release 1.4.7 ist es möglich, dass sich auch ausländische Bürger mittels MOA-ID einloggen können. Hierzu wird eine Verbindung zu einem sogenannten Stammzahlenregister-Gateway aufgebaut, dass basierend auf den Zertifikatsdaten des ausländischen Bürgers eine Eintragung im Ergänzungsregister für natürliche Personen gemäß E-Government Gesetz §6(5) vornimmt. Somit ist es möglich, dass eine Personenbindung ausgestellt werden kann, die in weitere Folge an MOA-ID weitergeleitet wird. Der Zugang zu diesem Stammzahlenregister-Gateway ist über eine Client-Server Authentifizierung abgesichert. Als Client-Zertifikate werden Zertifikate der Firmen A-Trust bzw. A-CERT, die mit der Verwaltungs- oder Dienstleistereigenschaft versehen sind, akzeptiert.

+

2 MOA-ID-Auth

+

Das Modul MOA-ID-Auth dient der Identifizierung und Authentifizierung im Rahmen eines Anmeldevorgangs an einer Online-Applikation. Die Identifizierung und Authentifizierzung erfolgt mit Bürgerkartem, Handy-Signatur oder für ausändische Personen mittels STORK.

+

Die Funktionalität und der Aufbau der Schnittstellen des Modules MOA-ID-Auth in Richtung Online-Applikation wird im Kapitel Protokolle beschriebe. Detailinformationen zu allen internen Schnittstellen von MOA-ID-Auth sind in der Spezifikation enthalten.

+

Für den Betrieb von MOA-ID-Auth ist der Einsatz von MOA-Signaturprüfung (MOA-SP) erforderlich.

+

2.1 Ablauf einer Anmeldung

+

Die nachfolgende Grafik beschreibt den Ablauf eines Abmeldevorgangs an einer Online-Applikation mit Hilfe von MOA-ID-Auth unter Verwendung der Bürgerkarte oder der Handy-Signatur.

+

Sequenzdiagramm eines Anmeldevorgangs mit MOA-ID-Auth

+

 

+
    +
  1. Der Benutzer verbindet sich zu einem Web-Portal (Service Provider) über das die Online-Applikation erreichtbar ist. Nach der Betätigung eines Login-Buttons wird der Anmeldevorgang ausgelöst.
    2. +
  2. Der Benutzer wird zur Identifizierung und Authentifizierung an MOA-ID-Auth weitergeleitet.
    3. +
  3. MOA-ID-Auth validiert die Authentifizierungsanfrage des Service Providers
    4. +
  4. MOA-ID-Auth bietet dem Benutzer eine Auswahl von verfügbaren Authentifizierungsmethoden (Bürgerkarte, Handy-Signatur, STORK) an.
    5. +
  5. Der Benutzer wählt die gewünschte Authentifizierungsmethode und sendet diese an MOA-ID-Auth.
    6. +
  6. MOA-ID-AUTH erzeugt eine HTML-Seite mit einem <InfoboxReadRequest> zum Auslesen der Personenbindung. Diese HTML-Seite wird an den Browser geschickt.
    7. +
  7. Der Browser schickt den <InfoboxReadRequest> an den ausgewählten Security-Layer. Der Security-Layer liest die Personenbindung von der Bürgerkarte und sendet diese an MOA-ID-AUTH, die die Signatur der Personenbindung durch einen Aufruf von MOA-SP überprüft.
    8. +
  8. MOA-ID-AUTH erstellt den AUTH-Block. Der AUTH-Block enthält Vor- und Nachname aus der Personenbindung, URL von MOA-ID-AUTH, URL und Geschäftsbereich der Online-Applikation oder im Falle einer SSO Anmeldung die URL und den Geschäftsbereich der MOA-ID-Auth Instanz, die aktuelle Zeit, das aktuelle Datum und einen Zufallswert für diesen Anmeldevorgang. Anschließend wird eine XML Antwortseite, die das Kommando zum Signieren (<CreateXMLSignatureRequest>) des generierten AUTH-Blocks enthält, an den ausgewählten Security-Layer gesendet.
    9. +
  9. Der Request wird vom Security-Layer verarbeitet. Die signierten Daten werden an MOA-ID-AUTH zurückgesendet.
    10. +
  10. MOA-ID-Auth überprüft den signierten AUTH-Block und generiert Information für die Single Sign-On.
    11. +
  11. MOA-ID-Auth generiert die Anmeldedaten (Assertion) welche folgende Information enthalten: +
      +
    • die bereichsspezifischen Personenkennzeichen (bPK / wbPK)
      • +
    • Vorname, Nachname und Geburtsdatum (optional)
      • +
    • den signierten AUTH-Block (optional)
      • +
    • die Personenbindung (optional)
      • +
    • das Zertifikat mit dem die Signatur erzeugt wurde (optional)
      • +
    • informationen zum Vertreten im Falle einer Anmeldung in Vertretung (optional)
      • +
    • die elektronische Vollmacht im Falle einer Anmeldung in Vertretung (optional)
      • +
    • informationen aus dem STORK Protokoll im Falle einer Anmeldung mittels STORK (optional)
      • +
    +
    12. +
  12. MOA-ID-Auth sendet die Anmeldedaten an den Service-Provider und setzt im Browser des Benutzers ein SSO Session-Tokken welches für weitere Anmeldevorgänge verwendet werden kann.
    13. +
  13. Die Anmeldedaten werden vom Service-Provider verarbeitet und der Benutzer wird vom Service-Provider an die Online-Applikation weitergeleitet.
    14. +
+

3 MOA-ID-Configuration

+

Das Modul MOA-ID-Configuration stellt eine web-basierte Benutzerschnittstelle zur Konfiguration einer MOA-ID-Auth Instanz zur Verfügung, wobei sich die Konfiguration in zwei Teilbereiche einteilen lässt. Eine detailierte Aufstellung der einzelnen Konfigurationspunkte befindet sich im Kapitel Konfiguration.

+
    +
  1. Allgemeine Konfiguration
    + In diesem Bereich sind alle Basiseinstellungen der MOA-ID-Auth Instanz hinterlegt. Beispiele hierfür sind Single Sign-On, unterstütze Authentifizierungsprotokolle, Informationen zu MOA-ID-Auth, URLs zu externen Services, ... Eine Änderung der Basiseinstellung erfordert besondere Benutzerrechte am Konfigurationstool.
    2. +
  2. Online-Applikationen
    + In diesem Abschnitt erfolgt die Konfiguration der einzelnen bei MOA-ID-Auth registrierten Service-Provider. Hierbei handelt es sich um authentifizierungsprotkollspezifische Einstellungen, Bereich des Service-Providers (öffentlich / Privatwirtschaftlich), Konfiguration der BKU Auswahl, .... Wobei sich die Konfigurationsmöglichkeiten je nachdem welche Benutzerrechten vergeben sind, unterscheiden können.
    3. +
+

Zusätzlich unterstützt das Module MOA-ID-Configuration auch eine einfache Bentzerverwaltung mit Rechtevergabe mit deren Hilfe die Verwaltung von Online-Applikatioen an den jeweiligen Service-Provider ausgelagert werden kann. Die Anmeldung am Konfigurationstool erfolgt mittels Bürgerkarte, Handy-Signature oder STORK, wobei optional auch eine Anmeldung mittels Benutzername und Passwort zur Verfügung steht.

+

 

+ + -- cgit v1.2.3