From 77cf01db81c74ebbe0e0d2da58e22c5f7c861ab5 Mon Sep 17 00:00:00 2001 From: Thomas Lenz Date: Fri, 24 Oct 2014 13:48:32 +0200 Subject: add new classes for Role management --- id/server/doc/handbook/interfederation/interfederation.html | 12 ++++++++++++ id/server/doc/handbook/protocol/protocol.html | 8 ++++++++ 2 files changed, 20 insertions(+) (limited to 'id/server/doc/handbook') diff --git a/id/server/doc/handbook/interfederation/interfederation.html b/id/server/doc/handbook/interfederation/interfederation.html index bd97061ab..f0aaf8776 100644 --- a/id/server/doc/handbook/interfederation/interfederation.html +++ b/id/server/doc/handbook/interfederation/interfederation.html @@ -152,6 +152,18 @@   Wenn eingehende SSO Intefederation erlaubt ist besteht zusätzlich die Möglichkeit diesen einmal verwendeten IDP an die Benutzersession zu binden. In diesem Fall können weitere SSO Authentifizierungen über diesen interfederation IDP auch ohne Angabe des IDP Identifiers (siehe Sequenzdiagramm oder Integration in bestehende Systeme) durchgeführt werden. + + Verwende SAML2 isPassive Attribut +   +   + Dieser Parameter kann das isPassive Attribut des SAML2 Authentifizierungsrequests an diesen IDP konfiguriert werden. Wird dieses Attribut gesetzt erfolgt an diesem IDP keine Authentifzierung wenn keine aktive SSO Session vorhanden ist. + + + Im Fehlerfall Authentifizierung lokal durchführen +   +   + Dieser Parameter definert das Verhalten für den Fall dass an diesem IDP keine Authentifizierung möglich war. Bei ausgewähltem Parameter wird im Fehlerfall die Authentifizerung an der lokalen IDP Instanz wiederholt. + AttributQuery Service URL https://demo.egiz.gv.at/moa-id-auth/pvp2/attributequery diff --git a/id/server/doc/handbook/protocol/protocol.html b/id/server/doc/handbook/protocol/protocol.html index e7658875c..c2dcddd03 100644 --- a/id/server/doc/handbook/protocol/protocol.html +++ b/id/server/doc/handbook/protocol/protocol.html @@ -700,6 +700,10 @@ Redirect Binding 4400 Fehler beim Generieren der Anmeldedaten + + 4401 + Die Anmeldung am federierten IDP ist fehlgeschlagen. +

1.3.3 Statuscodes 6xxxx

Alles Statuscodes beginnend mit der Zahl sechs beschreiben protokollspezifische Fehler die nicht durch das jeweilige Authentifizierungsprotokoll abgebildet werden.

@@ -811,6 +815,10 @@ Redirect Binding 9007 Der SZR-Gateway Client konnte nicht initialisiert werden. + + 9008 + Fehlerhafte Interfederation Konfiguration +

1.3.4.2 Interne Fehler (91xxx)

-- cgit v1.2.3 From 75a7fea5a1ff69020604765e9864f01247c5cdff Mon Sep 17 00:00:00 2001 From: Thomas Lenz Date: Fri, 24 Oct 2014 13:50:32 +0200 Subject: update handbook --- id/server/doc/handbook/interfederation/interfederation.html | 12 ------------ id/server/doc/handbook/protocol/protocol.html | 8 -------- 2 files changed, 20 deletions(-) (limited to 'id/server/doc/handbook') diff --git a/id/server/doc/handbook/interfederation/interfederation.html b/id/server/doc/handbook/interfederation/interfederation.html index f0aaf8776..bd97061ab 100644 --- a/id/server/doc/handbook/interfederation/interfederation.html +++ b/id/server/doc/handbook/interfederation/interfederation.html @@ -152,18 +152,6 @@ - - - - - - - - - - - - diff --git a/id/server/doc/handbook/protocol/protocol.html b/id/server/doc/handbook/protocol/protocol.html index c2dcddd03..e7658875c 100644 --- a/id/server/doc/handbook/protocol/protocol.html +++ b/id/server/doc/handbook/protocol/protocol.html @@ -700,10 +700,6 @@ Redirect Binding - - - -
  Wenn eingehende SSO Intefederation erlaubt ist besteht zusätzlich die Möglichkeit diesen einmal verwendeten IDP an die Benutzersession zu binden. In diesem Fall können weitere SSO Authentifizierungen über diesen interfederation IDP auch ohne Angabe des IDP Identifiers (siehe Sequenzdiagramm oder Integration in bestehende Systeme) durchgeführt werden.
Verwende SAML2 isPassive Attribut  Dieser Parameter kann das isPassive Attribut des SAML2 Authentifizierungsrequests an diesen IDP konfiguriert werden. Wird dieses Attribut gesetzt erfolgt an diesem IDP keine Authentifzierung wenn keine aktive SSO Session vorhanden ist.
Im Fehlerfall Authentifizierung lokal durchführen  Dieser Parameter definert das Verhalten für den Fall dass an diesem IDP keine Authentifizierung möglich war. Bei ausgewähltem Parameter wird im Fehlerfall die Authentifizerung an der lokalen IDP Instanz wiederholt.
AttributQuery Service URL https://demo.egiz.gv.at/moa-id-auth/pvp2/attributequery 4400 Fehler beim Generieren der Anmeldedaten
4401Die Anmeldung am federierten IDP ist fehlgeschlagen.

1.3.3 Statuscodes 6xxxx

Alles Statuscodes beginnend mit der Zahl sechs beschreiben protokollspezifische Fehler die nicht durch das jeweilige Authentifizierungsprotokoll abgebildet werden.

@@ -815,10 +811,6 @@ Redirect Binding 9007 Der SZR-Gateway Client konnte nicht initialisiert werden. - - 9008 - Fehlerhafte Interfederation Konfiguration -

1.3.4.2 Interne Fehler (91xxx)

-- cgit v1.2.3 From fadcba7234e574d377a9201e183dff856453141c Mon Sep 17 00:00:00 2001 From: Thomas Lenz Date: Wed, 29 Oct 2014 14:02:03 +0100 Subject: update handbook --- .../blockdiagramm_storkpvpgateway.png | Bin 0 -> 42979 bytes .../handbook/interfederation/interfederation.html | 90 ++++++++++++++++++++- 2 files changed, 89 insertions(+), 1 deletion(-) create mode 100644 id/server/doc/handbook/interfederation/blockdiagramm_storkpvpgateway.png (limited to 'id/server/doc/handbook') diff --git a/id/server/doc/handbook/interfederation/blockdiagramm_storkpvpgateway.png b/id/server/doc/handbook/interfederation/blockdiagramm_storkpvpgateway.png new file mode 100644 index 000000000..dd5a52674 Binary files /dev/null and b/id/server/doc/handbook/interfederation/blockdiagramm_storkpvpgateway.png differ diff --git a/id/server/doc/handbook/interfederation/interfederation.html b/id/server/doc/handbook/interfederation/interfederation.html index bd97061ab..f52556e23 100644 --- a/id/server/doc/handbook/interfederation/interfederation.html +++ b/id/server/doc/handbook/interfederation/interfederation.html @@ -37,6 +37,7 @@
  • STORK VIDP Konfiguration
  • +
  • STORK <-> PVP Gateway
  •  

    1 Allgemeines

    @@ -152,6 +153,18 @@
    + + + + + + + + + + + + @@ -269,6 +282,14 @@ + + + +
      Wenn eingehende SSO Intefederation erlaubt ist besteht zusätzlich die Möglichkeit diesen einmal verwendeten IDP an die Benutzersession zu binden. In diesem Fall können weitere SSO Authentifizierungen über diesen interfederation IDP auch ohne Angabe des IDP Identifiers (siehe Sequenzdiagramm oder Integration in bestehende Systeme) durchgeführt werden.
    Verwende SAML2 isPassive Attribut  Wird dieser Parameter aktiviert erfolgt der Authentifizierungsrequest im Schritt 9 (siehe Sequenzdiagramm) unter Verwendung des SAML 2 isPassiv Flags. Wenn die Benutzerin oder der Benutzer keine aktive SSO Session an diesem IDP besitzt wird ein Fehler returniert und KEINE Authentifizierung an diesem IDP durchgeführt.
    Im Fehlerfall Authentifizierung lokal durchführen  

    Wird dieser Parameter aktiviert erfolgt im Falle eines returnierten Fehlers im Schritt 11 (siehe Sequenzdiagramm) keine lokale Authentifizierung und dem Service Provider wird eine Fehlermeldung returniert.

    AttributQuery Service URL https://demo.egiz.gv.at/moa-id-auth/pvp2/attributequeryStorkAttributeRequestProvider Allgemeines Plugin, wird verwendet für die Restfälle.
    PVPAuthenticationProvider

    Dieser Provider dient zur Authentifizierung des Benutzers über den Portalverbund der österreichischen Behörden. Wird ein zu diesem Provider konfiguriertes Attribut angefragt erfolgt die Authentifizerung des Benutzers NICHT am VIDP sondern in der nationalen Infrastruktur, wobei die Anmeldedaten über den VIDP an den Service Provider weitergereicht werden. Als URL ist der Link auf den nationalen STORK<->PVP Gateway zu hinterlegen.

    +

    Hinweis: Aktuell fordert folgende Attribute eine nationale Authentifizierung:

    +
      +
    • ECApplicationRole
    • +

     

    Beispiel eines Eintrages für Attributprovider:

    @@ -283,8 +304,75 @@ http://mis.testvidp.at/moa-id-auth/stork2/MISProvider mandateContent,attribut1,attribut2 + +

     

    +

    5 STORK <-> PVP Gateway

    +

    Das Modul MOA-ID-Auth kann auch als Gateway zwischen dem Portalverbund der österreichischen Behörden und der STORK Infrastruktur betrieben werden. Diese Konfiguration konfiguriert einen Gateway welcher zur Authentifizierung österreichischer Benutzerinnen oder Benutzer im Falle einer STORK Anmeldung mit Hilfe der österreichischen PVP Infrastruktur dient. Der Einsprung zum Gateway erfolgt über den PVPAuthenticationProvider in der VIDP Konfiguration.

    +

    Die nachstehende Grafik skizziert den Prozessfluss eines solchen Anmeldevorgangs.

    +

    Blockdiagramm STORK-PVP Gateway

    +
      +
    1. Eine österreichische Benutzerin oder ein österreichischer Benutzer möchte sich an einer europäischen Online Applikation (Applikation 1) anmelden.
    2. +
    3. Die Benutzerin oder der Benutzer wird an den entsprechenden VIDP unter Verwendung des STORK Protokolls zur Authentifizierung weitergeleitet. Für den Fall das spezielle Attribute durch die Applikation angefordert wurden (z.B. ECApplicationRole) kann die Authentifizierung nicht am VIDP vorgenommen werden. In diesem Fall erfolgt eine Weiterleitung an den nationalen STORK-PVP Gateway (siehe VIDP Konfiguration).
    4. +
    5. Die Benutzerin oder der Benutzer wird an den zentralen STORK-PVP Gateway weitergeleitet. Der STORK-PVP Gateway generiert einen PVP Authentifizierungsrequest und sendet diesen an das im Gateway konfigurierte Stamm- oder Anwendungsportal. Hierfür muss das Stamm- oder Anwendungsportal als MOA-ID IDP konfiguriert sein.
    6. +
    7. Die Benutzerin oder der Benutzer wird an das jeweilige Stamm- oder Anwendungsportal weitergeleitet wo die eigentliche Authentifizierung erfolgt. Nach erfolgreicher Authentifizierung werden PVP spezifische Authentifizierungsdaten generiert.
    8. +
    9. Diese PVP spezifischen Authentifizierungsdaten werden an den STORK-PVP Gateway übertragen (PVP Assertion). Der Gateway validiert die Assertion und generiert eine STORK protokollspezifsche Assertion inkl. Signatur aus den PVP Authentifizierungsdaten (Mapping aller Attribute und Benutzerrollen). Sollte eine direkte Generierung der STORK eID nicht möglich sein wird diese an Stammzahlenregister (SZR) abgefragt.
    10. +
    11. Optional: Abfrage der STORK eID am Stammzahlenregister.
    12. +
    13. Die STORK Assertion wird vom Gateway an den VIDP übertragen und am VIDP validiert. Anschließend wird STORK Assertion für die Applikation 1 generiert und durch den VIDP signiert.
    14. +
    15. Die STORK Assertion wird an die Applikation 1 übermittelt. Nach gültiger Validierung ist die Benutzerin oder der Benutzer an Applikation 1 authentifiziert.
    16. +
    +

     

    +

    Die Konfiguration eines STORK-PVP Gateways besteht aus folgenden Elementen.

    + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
    NameBeispielwertOptionalBeschreibung
    Online-Applikation ist aktiviert  Aktiviert oder deaktiviert den Gatewy. Es können nur aktive Gatewaykonfigurationen verwendet werden.

    Eindeutiger Identifikator

    https://vidp.egiz.gv.at/moa-id-auth/ 

    Dieser Parameter dient als Schlüssel zum Auffinden der Gateway Konfigurationsparameter. Hierfür ist ein eindeutiger Identifikator für die VIDP Instanz erforderlich, welcher diesen Gateway nutzen möchte. Dieser eindeutige Identifikator muss mindestens dem URL-Präfix der nach außen sichtbaren Domäne des VIDP entsprechen

    Name der
    + Online-Applikation

    IT STORK-PVP Gateway Hier muss ein benutzerfreundlicher Name für den Gateway angegeben werden.
    Privatwirtschaftliche Applikation  

    Definiert ob der VIDP, welcher den Gateway verwendet dem öffentlichen Bereich oder dem privatwirtschaftlichen Bereich (Business Service) zugeordnet ist.

    +

    Hinweis: im STORK Kontext immer privatwirtschaftlich.

    - +

     

    + + + + + + + + + + + + + +
    NameBeispielwertOptionalBeschreibung
    EntityID des PVP Portals:  

    Dieser Parameter definiert die EntityID des Stamm- oder Anwendungsportals an welches die Benutzerin oder der Benutzer zur Authentifizierung weitergeleitet werden soll.

    +

    Hinweis: In der Interfederation Konfiguration muss ein MOA-ID IDP mit der entsprechenden EntityID konfiguriert sein.

    +

     

     

    A Referenzierte Spezifikation

    -- cgit v1.2.3