From 11d43a1f0f2dd24bb36712b60495b61df4cdd2ef Mon Sep 17 00:00:00 2001 From: Thomas Lenz Date: Mon, 12 Mar 2018 11:20:15 +0100 Subject: update handbook --- id/server/doc/handbook/config/config.html | 70 +++++++++++++------------------ 1 file changed, 28 insertions(+), 42 deletions(-) (limited to 'id/server/doc/handbook') diff --git a/id/server/doc/handbook/config/config.html b/id/server/doc/handbook/config/config.html index 8b2f6a632..30624d3b0 100644 --- a/id/server/doc/handbook/config/config.html +++ b/id/server/doc/handbook/config/config.html @@ -2242,10 +2242,10 @@ Exportfunktion verwendet werden.

- MOASessionID - #SESSIONID# + pendingid + $pendingReqID   - Internes Session-Token. Der Parameterwert wird durch MOA-ID-Auth automatisch in das Formular eingefügt. Hierfür MUSS jedoch der Parameterwert durch Platzhalter #SESSIONID# gekennzeichnet werden. + Internes Session-Token. Der Parameterwert wird durch MOA-ID-Auth automatisch in das Formular eingefügt. Hierfür MUSS jedoch der Parameterwert durch Platzhalter $pendingReqID gekennzeichnet werden. useMandate @@ -2281,38 +2281,43 @@ Einige dieser Parameter werden jedoch nicht durch den Benutzer oder dem Service Beschreibung - #AUTH_URL# + $contextPath   - Dieser Platzhalter wird durch die URL, an welche die BKU Auswahl gesendet wird ersetzt. + Dieser Platzhalter wird durch die PublikURLPrefix der MOA-ID Instanz ersetzt - #SESSIONID# + $submitEndpoint +   + Dieser Platzhalter wird durch den Endpunkt für die Annahme der BKU Auswahl ersetzt + + + $pendingReqID   Dieser Platzhalter wird durch ein internes Session-Token ersetzt, welches als GET Parameter wieder an MOA-ID-Auth übergeben werden muss. - #LOCAL# + $bkuLocal X Der Platzhalter wird durch den Parameterwert zur Auswahl der lokalen BKU ersetzt. - #ONLINE# + $bkuOnline X Der Platzhalter wird durch den Parameterwert zur Auswahl der Online-BKU ersetzt. - #HANDY# + $bkuHandy X Der Platzhalter wird durch den Parameterwert zur Auswahl der Handy-BKU ersetzt.


Die nachfolgende Form zeigt ein Beispiel für den Aufbau des im BKU-Auswahl Template zu verwendeten http GET Request Templates für die lokale BKU.

-
<form method="get"  id="moaidform" action="#AUTH_URL#">

-       <input type="hidden" name="bkuURI"  value="#LOCAL#"> 

+
<form method="get"  id="moaidform" action="$contextPath$submitEndpoint">

+       <input type="hidden" name="bkuURI"  value="$bkuLocal"> 

        <input type="hidden" name="useMandate"  id="useMandate"> 

        <input type="hidden" name="CCC"  id="ccc"> <input type="hidden"

-       <input type="hidden" name="MOASessionID"  value="#SESSIONID#">

+       <input type="hidden" name="pendingid"  value="$pendingReqID">

         <input  type="submit" value=">lokale Bürgerkartenumgebung">

 </form>
 

@@ -2330,20 +2335,8 @@ Für die Übermittlung an das Modul MOA-ID-Auth ist ein http POST Reques
     Beschreibung
   
   
-    mod
-    #MODUL#
-     
-    
Internes Session-Token. Der Parameterwert wird durch MOA-ID-Auth automatisch in das Formular eingefügt. Hierfür MUSS jedoch der Parameterwert durch Platzhalter #MODUL# gekennzeichnet werden.

-  
-  
-    action
-    #ACTION#
-     
-    Internes Session-Token. Der Parameterwert wird durch MOA-ID-Auth automatisch in das Formular eingefügt. Hierfür MUSS jedoch der Parameterwert durch Platzhalter #ACTION# gekennzeichnet werden.
-  
-  
-    identifier
-    #ID#
+    pendingid
+    $pendingReqID
      
     Internes Session-Token. Der Parameterwert wird durch MOA-ID-Auth automatisch in das Formular eingefügt. Hierfür MUSS jedoch der Parameterwert durch Platzhalter #ID# gekennzeichnet werden.
   
@@ -2363,33 +2356,26 @@ Einige dieser Parameter werden jedoch nicht durch den  Benutzer oder dem Service
     Beschreibung
   
   
-    #URL#
+    $contextPath
      
-    Dieser Platzhalter wird durch die URL, an welche das Ergebnis der Single Sign-On Anmeldeabfrage gesendet wird ersetzt. 
+    Dieser Platzhalter wird durch die PublikURLPrefix der MOA-ID Instanz ersetzt
   
   
-    #MODUL#
+    $submitEndpoint
      
-    Dieser Platzhalter wird durch das verwendete Authentifizierungsprotokoll ersetzt, welches als GET Parameter wieder an MOA-ID-Auth übergeben werden muss.
-  
-  
-    #ACTION#
-     
-    Dieser Platzhalter wird durch einen Subtyp des verwendeten Authentifizierungsprotokolls, welches als GET Parameter wieder an MOA-ID-Auth übergeben werden muss.
+    Dieser Platzhalter wird durch den Endpunkt für die Annahme der BKU Auswahl ersetzt
   
   
-    #ID#
-     
+    $pendingReqID
+     
     Dieser Platzhalter wird durch ein internes Session-Token ersetzt, welches als GET Parameter wieder an MOA-ID-Auth übergeben werden muss.
   
-
+  
 


 Die nachfolgende Form zeigt ein Beispiel für den Aufbau des im  BKU-Auswahl Template zu verwendeten http GET Request Templates für die lokale  BKU.

-
<form method="post"  id="moaidform_yes" action="#URL#">
+
<form method="post"  id="moaidform_yes" action="$contextPath$submitEndpoint">
   <input type="hidden" name="value"  value="true">
-  <input type="hidden" name="mod"  value="#MODUL#">
-  <input type="hidden" name="action"  value="#ACTION#">
-  <input type="hidden" name="identifier"  value="#ID#">
+  <input type="hidden" name="pendingid"  value="$pendingReqID">
   <input type="submit" size="400"  value="Ja">
 </form>

 
Als Beispiel für ein Single Sign-On Anmeldeabfrage Template steht auch das bei MOA-ID-Auth hinterlegte Standardtemplate zur Verfügung. Dieses finden Sie hier.

-- 
cgit v1.2.3


From 709197ce12c5502f86e16da1167b97ca318f47fa Mon Sep 17 00:00:00 2001
From: Thomas Lenz 
Date: Tue, 5 Jun 2018 10:44:40 +0200
Subject: implement user restriction based on whitelisting

---
 id/server/doc/handbook/protocol/protocol.html | 4 ++++
 1 file changed, 4 insertions(+)

(limited to 'id/server/doc/handbook')

diff --git a/id/server/doc/handbook/protocol/protocol.html b/id/server/doc/handbook/protocol/protocol.html
index 7d3f8d627..8f6ed735c 100644
--- a/id/server/doc/handbook/protocol/protocol.html
+++ b/id/server/doc/handbook/protocol/protocol.html
@@ -621,6 +621,10 @@ Redirect Binding
     1110
     Ungültige Single Sign-On Session
   
+  
+    1111
+    Der Anmeldevorgang wurde automatisiert abgebrochten da dem Benutzer die nötigen Zugriffsrechte für diese Online Applikation fehlen.
+  
 
 
1.3.1.3 STORK (12xxx)

 
-- 
cgit v1.2.3


From 3535ae9500b29d0b2d0f317ea7f47a6c25c6f70e Mon Sep 17 00:00:00 2001
From: Thomas Lenz 
Date: Tue, 10 Jul 2018 16:53:03 +0200
Subject: some small updates and handbook update

---
 id/server/doc/handbook/additional/additional.html |  25 ++
 id/server/doc/handbook/config/config.html         | 414 ++++------------------
 2 files changed, 100 insertions(+), 339 deletions(-)

(limited to 'id/server/doc/handbook')

diff --git a/id/server/doc/handbook/additional/additional.html b/id/server/doc/handbook/additional/additional.html
index 9e3cdf11e..557f3d528 100644
--- a/id/server/doc/handbook/additional/additional.html
+++ b/id/server/doc/handbook/additional/additional.html
@@ -610,6 +610,31 @@
       
+    
+      
+      
+      
+    
+    
+      
+      
+      
+    
+    
+      
+      
+      
+    
+    
+      
+      
+      
+    
+    
+      
+      
+      
+    
 
       Personenbindung für Authentifizierung über eIDAS Node erstellt
     
6200 Anmeldung via nationalen zentralen eIDAS Knoten gestartet
6201RequestIDWeiterleitung an zentralen eIDAS Knoten mit RequestID
6202ResponseIDAntwort von zentralem eIDAS Knoten mit ResponseID erhalten
6203 Antwort von zentralem eIDAS Knoten enthält einen Fehler
6204 Antwort von zentralem eIDAS Knoten vollständig und gültig

   

 
 

 
Einzelne  Events werden um einen Transaktionsparameter ergänzt, welcher in der Spalte  Wert beschrieben ist. 

diff --git a/id/server/doc/handbook/config/config.html b/id/server/doc/handbook/config/config.html
index 30624d3b0..26925709e 100644
--- a/id/server/doc/handbook/config/config.html
+++ b/id/server/doc/handbook/config/config.html
@@ -59,7 +59,7 @@
   
    
     
  1. MOA-SP
    2. 
     
  2. Online-Vollmachen
    3. 
-    
  3. Foreign Identities
    4. 
+    
  4. Zentraler eIDAS Knoten
    5. 
     

     
   
  • Protokolle
@@ -77,7 +77,6 @@
     
    • 
   
  •   Testing
    • 
   
  • SZR Client für STORK <-> PVP Gateway Betrieb
    • 
-  
  • STORK 2.0
    • 
 
 
           
@@ -98,14 +97,13 @@
             
  • MOA-SP
    • 
             
  • Externe Services
    • 
             
  • Single-Sign On (SSO)
    • 
-            
  • Secure idenTity acrOss boRders linKed (STORK)
    • 
             
  • Protokolle
-
      
-            
    1. Protkolle aktivieren
      2. 
-                
    2. Legacy Modus
      3. 
-                
    3. SAML1 Konfiguration
      4. 
-                
    4. PVP2.1 Konfiguration 
      5. 
-              
    
+  
      
+    
    1. Protkolle aktivieren
      2. 
+    
    2. Legacy Modus
      3. 
+    
    3. SAML1 Konfiguration
      4. 
+    
    4. PVP2.1 Konfiguration 
      5. 
+    
    
             
    • 
             
  • Security-Layer Transformationen
    • 
             
  • Revisionssicherheit
    • 
@@ -122,9 +120,9 @@
             
  • BKU Konfiguration
    • 
             
  • Test Credentials
    • 
             
  • Vollmachten
    • 
-            
  • SZR-Gateway Service
    • 
+            
  • Zentraler eIDAS Connector
    • 
             
  • Single Sign-On (SSO)
    • 
-            
  • Secure idenTity acrOss boRders linKed (STORK)
    • 
+            
  • Authentifizierung via eIDAS
    • 
             
  • Authentifizierungsprotokolle
 
      
             
    1. SAML 1
      2. 
@@ -504,8 +502,8 @@ https://<host>:<port>/moa-id-auth/MonitoringServlet
    • 
   
 
 
     
    
-
    2.2.2.2.3 Foreign Identities
    
-
    MOA-ID-Auth bietet die Möglichkeit der Nutzung von ausländischen Karten oder die Anmeldung ausländischer Personen mittels STORK. Hierfür ist   eine Verbindung zum Stammzahlenregister-Gateway nötig, das einen entsprechenden Zugang   zum Stammzahlenregister bereitstellt. Für diesen Zugriff muss das   Client-Zertifikat für die SSL-Verbindung zum Gateway angegeben werden.   Voraussetzung dafür ist ein Zertifikat von A-Trust bzw. A-CERT mit   Verwaltungseigenschaft  oder Dienstleistereigenschaft. Wenn ihr MOA-ID-Auth   Zertifikat diese Voraussetzung erfüllt, können Sie dieses hier angeben.
    
+
    2.2.2.2.3 Zentraler eIDAS Knoten
    
+
    MOA-ID-Auth bietet die Möglichkeit  die Anmeldung ausländischer Personen mittels eIDAS. Hierfür ist   eine Verbindung zum österreichischen zentralen eIDAS Knoten notwendig.  Für diesen Zugriff muss der Zugriff auf den zentralen eIDAS Knoten wie unten angegeben konfiguriert werden. Der Zugriff auf den zentralen eIDAS Knoten erfolgt via PVP2 S-Profil wobei das Signaturzertifikat für die PVP2 Metadaten beim Betreiber des zentralen eIDAS Knoten registriert werden muss.
    
 
@@ -513,19 +511,55 @@ https://<host>:<port>/moa-id-auth/MonitoringServlet
-    
+    
-    
+    
-    
+    
-    
-    
-    
+    
+    
+    
+  
+  
+    
+    
+    
+  
+  
+    
+    
+    
+  
+  
+    
+    
+    
+  
+  
+    
+    
+    
+  
+  
+    
+    
+    
+  
+  
+    
+    
+    
+  
+  
+    
+    
+    
    
   
    
     Name
     Beschreibung
   
    
   
    service.foreignidentities.clientKeyStoremodules.eidascentralauth.keystore.path
     keys/szrgw.p12Dateiname des PKCS#12 Keystores, relativ zur MOA-ID Konfigurationsdatei.                Diesem Keystore wird der private Schlüssel für                die TLS-Client-Authentisierung entnommen.Dateiname des Java Keystore oder PKCS12 Keystore zur Signierung von PVP 2.1 spezifischen Inhalten. (PVP 2.1 Metadaten, PVP 2.1 Assertion)
   
    
   
    service.foreignidentities.clientKeyStorePasswordmodules.eidascentralauth.keystore.password
     pass1234
     Passwort zum Keystore
   
    
   
    service.foreignidentities.acceptedServerCertificatescerts/szrgw-server/Hier kann ein Verzeichnisname              (relativ zur MOA-ID Konfigurationsdatei) angegeben werden, in dem              die akzeptierten Zertifikate der TLS-Verbindung hinterlegt sind. In              diesem Verzeichnis werden nur Serverzertifikate abgelegt. Fehlt dieser              Parameter wird lediglich überprüft ob ein Zertifikatspfad              zu den im Element <TrustedCACertificates> (siehe Kapitel 3.1.4) angegebenen              Zertifikaten erstellt werden kann.modules.eidascentralauth.metadata.sign.alias Name des Schlüssels der zur Signierung der PVP 2.1 Metadaten des eIDAS Authentifizierungsmoduls
    modules.eidascentralauth.metadata.sign.password Passwort des Schlüssels der zur Signierung der PVP 2.1 Metadaten  des eIDAS Authentifizierungsmoduls
    modules.eidascentralauth.request.sign.alias Name des Schlüssels mit dem der PVP 2.1 Authn. Request durch MOA-ID-Auth unterschieben wird
    modules.eidascentralauth.request.sign.password Passwort des Schlüssels mit dem der PVP 2.1 Authn. Request durch MOA-ID-Auth unterschieben wird
    modules.eidascentralauth.response.encryption.alias Name des Schlüssels mit dem die PVP 2.1 Assertion für MOA-ID-Auth verschlüsselt werden soll
    modules.eidascentralauth.response.encryption.password Passwort des Schlüssels mit dem PVP 2.1 Assertion für MOA-ID-Auth verschlüsselt werden soll
    modules.eidascentralauth.node.trustprofileID MOA-SP TrustProfil welches die vertrauenswürdigen Zertifikate zur Validierung der Metadaten des zentralen eIDAS Knoten beinhaltet
    modules.eidascentralauth.required.additional.attributes.x 
    Optional: zusätzliche Attribute welche vom zentralen eIDAS Knoten angefordert werden
    
+      
    Attribute werden entspechend PVP2 Attribute-Profil angegeben. Beispiele für die Konfiguration finden Sie in der Beispielkonfiguration
    		
   
    
 
    
 
     
    
@@ -911,38 +945,6 @@ https://<host>:<port>/moa-id-auth/MonitoringServlet

     

    Hinweis: Detaillierte Informationen zu den einzelnen PVP spezifischen Konfigurationsparametern finden Sie in der entsprechenden PVP Spezifikation.

    -
    2.2.2.6 STORK 2
    -

    Dieses Abschnitt beschreibt Konfigurationswerte welche nur für den Testbetrieb von STORK 2 erforderlich sind.

    - - - - - - - - - - - - - - - - - - - - - - - - - - -
    NameBeispielwertBeschreibung
    stork.fakeIdL.activetrue / false

    Im Produktivbetrieb ist eine Anmeldung nur für jene Länder mittels STORK 2 möglich welche in der Gleichwertigkeitsverordnung aufgelistet sind. Um einen Testbetrieb mit weiteren Ländern zu ermöglichen bietet das Modul MOA-ID-Auth die Möglichkeit zur Ausstellung eines Fake-Identititlink, welcher im Testbetrieb für die Anmeldung an einer österreichischen Test Online Applikation verwendet werden kann.

    -

    Hinweis: Diese Funktion ist standardmäßig deaktiviert. Eine Aktivierung ist nur im Testbetrieb für STORK 2 empfohlen.

    stork.fakeIdL.countriesDE,CHKürzel jener Länder für welche ein Fake-Identitilink ausgestellt werden soll.
    stork.fakeIdL.keygroupIDL_signingMOA-SS Schlüsselgruppe, welche für die Signatur des Fake-Identitilinks verwendet werden soll.
    stork.documentservice.urlhttp://testvidp.buergerkarte.at/
    - DocumentService/DocumentService?wsdl    		URL zum STORK 2 Dokumentenservice
    -

     

    2.3 Konfiguration des Loggings

    Die Module MOA-ID-Auth und MOA-ID-Configuration verwendet als Framework für Logging-Information die Open Source Software log4j. Die Konfiguration der Logging-Information erfolgt nicht direkt durch die einzelnen Module, sondern über eine eigene Konfigurationsdatei, die der Java Virtual Machine durch eine System Property mitgeteilt wird. Der Name der System Property lautet log4j.configuration; als Wert der System Property ist eine URL anzugeben, die auf die log4j-Konfigurationsdatei verweist, z.B. 

    log4j.configuration=file:/C:/Programme/apache/tomcat-8.x.x/conf/moa-id/log4j.properties
    @@ -953,99 +955,8 @@ https://<host>:<port>/moa-id-auth/MonitoringServlet

    Weitere Informationen zur Konfiguration des Loggings erhalten Sie in Abschnitt 2.1.3 des Installationshandbuchs.

    -

    2.4 Konfiguration des SamlEngines

    -

    Für die Untestützung des STORK2 Protokols verwendet MOA-ID eine zusätzliche Bibliothek, die über gesonderte Dateien konfiguriert wird. Diese Dateien sind unter einem Verzeichnis gespeichert, das sich üblicherweise im MOA-ID-Auth Konfigurationsverzeichnis befindet. Der Name der System Property lautet eu.stork.samlengine.config.location; als Wert der System Property ist das Verzeichnis anzugeben, wo die entsprechende SamlEngine Konfigurationsdateien gespeichert werden, z.B.

    -
    eu.stork.samlengine.config.location=file:/C:/Programme/apache/tomcat-8.x.x/conf/moa-id/conf/moa-id/stork
    -

    Dieses Verzeichnis muss mindestens folgende Dateien enthalten:

    - - - - - - - - - - - - - - - - -
    DateiBeschreibung
    SamlEngine.xmlDie Hauptdatei, in welcher die Konfigurationen von verschiedenen Instanzen des SamlEngines angegeben werden.
    StorkSamlEngine_XXX.xmlEnthält allgemeine Konfigurationsparametern einer spezifischen Instanz des SamlEngines.
    SignModule_XXX.xmlEnthält Konfigurationsparametern für Trust- und Keystore einer spezifischen Instanz des SamlEngines.
    -

    -

    In der Hauptkonfigurations-Datei (SamlEngine.xml) verweist auf alle Konfigurationsdateien für sie SamlEngine, welche für unterschiedliche Anwendungsszenarien verwendet werden können. Die Beispielkonfiguration dieser Datei sieht wie folgendes: -

    -
    -<?xml version="1.0" encoding="UTF-8"?>
-<instances>
-        <!-- Configuration name-->
-        <instance name="VIDP">
-                <!-- Configurations parameters StorkSamlEngine  -->
-                <configuration name="SamlEngineConf">
-                        <parameter name="fileConfiguration" value="StorkSamlEngine_VIDP.xml" />
-                </configuration>
-
-                <!-- Settings module signature-->
-                <configuration name="SignatureConf">
-                        <!-- Specific signature module -->
-                        <parameter name="class" value="eu.stork.peps.auth.engine.core.impl.SignSW" />
-                        <!-- Settings specific module -->
-                        <parameter name="fileConfiguration" value="SignModule_VIDP.xml" />
-                </configuration>
-        </instance>
-</instances>
-
    -

    In diesem Beispiel ist nur eine Instanz VIDP definiert deren spezifischen Parametern in zwei Konfigurationsdateien aufgeteilt werden.

    -

    Die Datei StorkSamlEngine_VIDP.xml enthält STORK-spezifische Parameter, die im Normalbetrieb nicht geändert werden müssen. Die zweite Datei, SignModule_VIDP.xml, definiert den von der SamlEngine verwendeten Trust- und Keystore. Die Beispielkonfiguration dieser Datei sieht wie folgendes:

    -
    -<?xml version="1.0" encoding="UTF-8"?>
-<!DOCTYPE properties SYSTEM "http://java.sun.com/dtd/properties.dtd">
-
-<properties>
-        <comment>SWModule sign with JKS.</comment>
-        <entry key="keystorePath">C:/Programme/apache/tomcat-4.1.30/conf/moa-id/keys/storkDemoKeys.jks</entry>
-        <entry key="keyStorePassword">local-demo</entry>
-        <entry key="keyPassword">XXX</entry>
-        <entry key="issuer">C=AT, L=Graz, OU=Institute for Applied Information Processing and Communications</entry>
-        <entry key="serialNumber">123AA2CDB1123</entry>
-        <entry key="keystoreType">JKS</entry>
-</properties>
-
    -

    Diese Parameter müssen bei der Installation angepasst werden, um die Zugriff an Keystore und die Schlüssel zu ermöglichen. Die einzelne Parameter werden in folgender Tabelle erläutert:

    - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
    NameBeschreibung
    keystorePathKeystore mit Schlüssel und Zertifikaten welche für das Signieren und Verschlüsseln von STORK Nachrichten verwendet werden sollen.
    keyStorePasswordPasswort des Keystores. Keystore soll den Schlüssel für das Signieren von Nachrichten enthalten, ebenso wie die vertrauenswürdige Zertifikate von anderen Parteien, wie z.B. ausländische PEPSes.
    keyPasswordPassword des Schlüssels, der für das Signieren der STORK Nachrichten verwendet werden soll.
    issuerIssuer des Keypairs, der für das Signieren der STORK Nachrichten verwendet werden soll.
    serialNumberNummer des Keypairs, der für das Signieren der STORK Nachrichten verwendet werden soll.
    keystoreTypeTyp und Format des Keystores. JKS steht für Java Key Store.
    -

    3 Konfiguration MOA-ID-Auth

    -

    Dieser Abschnitt beschreibt die Konfiguration des Modules MOA-ID-Auth mithilfe der durch das Modul MOA-ID-Configuration zur Verfügung gestellten Web-Oberfläche. Hierzu muss das Konfigurationstool (Module MOA-ID-Konfiguration) bereits installiert und konfiguriert sein (siehe Kapitel 2.1). Nach erfolgreichem Login am Konfigurationstool kann das Modul MOA-ID-Auth über die Web-Oberfläche konfiguriert werden.

    +

    3 Konfiguration MOA-ID-Auth

    +

    Dieser Abschnitt beschreibt die Konfiguration des Modules MOA-ID-Auth mithilfe der durch das Modul MOA-ID-Configuration zur Verfügung gestellten Web-Oberfläche. Hierzu muss das Konfigurationstool (Module MOA-ID-Konfiguration) bereits installiert und konfiguriert sein (siehe Kapitel 2.1). Nach erfolgreichem Login am Konfigurationstool kann das Modul MOA-ID-Auth über die Web-Oberfläche konfiguriert werden.

    Die Konfiguration von MOA-ID-Auth ist in zwei Teilbereiche unterteilet. Diese behandeln die Allgemeine Konfiguration der MOA-ID-Auth Instanz und die Konfiguration von Online-Applikationen (Service Providern) welche dieser MOA-ID-Auth Instanz zugeordnet sind.

    3.1 Allgemeine Konfiguration

    @@ -1212,9 +1123,9 @@ https://<host>:<port>/moa-id-auth/MonitoringServlet

    Hiermit werden die URLs zum Online-Vollmachten Service und zum SZR-Gateway konfiguriert. Die Konfiguration der für den Zugriff benötigen Client-Zertifikate wurden bereits im Abschnitt 2.2.2.2 behandelt.

    - - - + + + @@ -1229,16 +1140,15 @@ https://<host>:<port>/moa-id-auth/MonitoringServlet

    Hinweis: Erfolgt in der Online Applikation keine konkrete Auswahl wird Standardmäßig das erste eingetragen Service verwendet.

    - - - + + @@ -1308,166 +1218,6 @@ https://<host>:<port>/moa-id-auth/MonitoringServlet

    Ich Max Mustermann, geboren am 01.01.1978 stimme am 05.02.2014 um 10:35 einer Anmeldung mittels Single Sign-On zu.

    NameBeispielwertBeschreibungNameBeispielwertBeschreibung
    Online-Vollmachten Service (CSV)
    SZR-Gateway Service (CSV)https://szrgw.egiz.gv.at:8443/szr-gateway_2.0/services/IdentityLinkCreation

    URL(s) zum Stammzahlen-Register Gateway

    -

    Hinweis: Der SZR-Gateway Service welcher in der MOA-ID 1.5.1 Konfiguration verwendet wurde ist nicht mehr kompatibel zu MOA-ID 2.0. Das aktualisierte Test SZR-Gateway Service für MOA-ID 2.x steht unter folgender URL zur Verfügung. https://szrgw.egiz.gv.at:8443/szr-gateway_2.0/services/IdentityLinkCreation

    +     		Zentraler nationaler eIDAS Connector (CSV)https://vidp.gv.at.at/ms_connector/pvp/metadata

    URL(s) zum zentralen nationalen eIDAS Connector

    -

    Hinweis: Die URLs auf die unterschiedlichen Instanzen des SZR-Gateway Services können auch als Comma Separatet Value (CSV) eingetragen werden. Bei CSV werden die einzelnen URLs durch Beistrich (',') getrennt. Sind mehrere URLs hinterlegt kann das zu verwendeten Service je Online Applikation konfiguriert werden (siehe Kapitel 3.2.4).
    - (z.B.: https://szrgw.egiz.gv.at/services_2.0/IdentityLinkCreation,https://szrgw.egiz.gv.at:8443/services_2.0/IdentityLinkCreation)

    +

    Hinweis: Die URLs auf die unterschiedlichen Instanzen des zentralen eIDAS Connectos können auch als Comma Separatet Value (CSV) eingetragen werden. Bei CSV werden die einzelnen URLs durch Beistrich (',') getrennt. Sind mehrere URLs hinterlegt kann das zu verwendeten Service je Online Applikation konfiguriert werden (siehe Kapitel 3.2.4).
    + (z.B.: https://vidp.gv.at.at/ms_connector/pvp/metadata,https://eid.gv.at/ms_connector/pvp/metadata)

    Hinweis: Erfolgt in der Online Applikation keine konkrete Auswahl wird Standardmäßig das erste eingetragen Service verwendet.
    -

    3.1.8 Secure idenTity acrOss boRders linKed (STORK)

    -

    Hierbei werden allgemeine Parameter für STORK Protokoll konfiguriert.

    - - - - - - - - - - - - - - - - - - - - - - - - - - -
    NameBeispielwerteBeschreibung
    Standard QAA-Level4QAA (Attribute Quality Authentication Assurance) stellt Mindestanforderung von QAA fest.
    Country CodeESDer zweistelligen Code vom unterstützten PEPS-Staat.
    PEPS URLhttps://prespanishpeps.redsara.es/PEPS/ColleagueRequestDie Adresse von PEPS eines unterstützten PEPS-Staat.
    AttributnameeIdentifierDer Name des unterstützten Attributes. Die als zwingend markierte Attribute müssen im Response von dem gegenstehendem PEPS enthalten sein. Jedes Attribut wird gesondert eingetragen.
    Die Liste von vorhandenen und unterstützen Attributes ist in Konfigurationsdatei von SamlEngine (StorkSamlEngine_XXX.xml) vorhanden.
    -

     

    -

    Folgende PEPS URLs stehen aktuell zur Verfügung:

    - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
    LändercodeTestInstanzURL
    AT Xhttps://testvidp.buergerkarte.at/moa-id-auth/stork2/SendPEPSAuthnRequest
    EE Xhttps://testpeps.sk.ee/PEPS/ColleagueRequest
    EE  https://peps.sk.ee/PEPS/ColleagueRequest
    ES Xhttps://prespanishpeps.redsara.es/PEPS/ColleagueRequest
    IS Xhttps://storktest.advania.is/PEPS/ColleagueRequest
    IS  https://peps.island.is/PEPS/ColleagueRequest
    LT Xhttps://testpeps.eid.lt/PEPS/ColleagueRequest
    PTXhttps://eu-id.teste.cartaodecidadao.gov.pt/PEPS/ColleagueRequest
    SIXhttps://peps-test.mju.gov.si/PEPS/ColleagueRequest
    -

     

    -

    Folgende Attribute müssen jedoch mindestens angefordert werden, wobei die erforderlichen Attribute je nach Anmeldeart unterschiedlich sind. Eine Liste mit weiteren möglichen Attribute finden Sie im Kapitel Protokolle oder in der STORK Spezifikation.

    - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
    Namenatürliche PersonAnmeldung in VertretungBeschreibung
    eIdentifierXXEindeutiger Identifier der Person für die die Anmeldung erfolgt.

    givenName

    		XXVorname der Person für die die Anmeldung erfolgt.

    surname


    - X    		X

    Familienname der Person für die die Anmeldung erfolgt.

    dateOfBirthXXGeburtsdatum der Person für die die Anmeldung erfolgt.
    genderXXGeschlecht der Person für die die Anmeldung erfolgt.
    signedDocXXEin Dokument welches durch die Person, für die die Anmeldung erfolgt, signiert wurde.
    fiscalNumberXXEin eindeutiger nationaler Identifier der Person.
    canonicalResidenceAddress XAdresse der Person für welche die Anmeldung erfolgt
    mandateContent XElektronische Vollmacht, welche die Vertretungsverhältnisse widerspiegelt.
    representative XNatürliche Person welche eine juristische oder natürliche Person im Rahmen einer Anmeldung mittels Vollmacht vertritt.
    represented XJuristische oder natürliche Person welche im Rahmen einer Anmeldung mittels Vollmacht vertreten wird.

    3.1.9 Protokolle

    Hierbei handelt es ich um allgemeine Einstellungen zu den vom Modul MOA-ID-Auth unterstützen Authentifizierungsprotokollen.

    @@ -1826,8 +1576,8 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der

     

    Hinweis: Werden für die Online-Applikation eigene Templates für die Bürgerkartenauswahl oder die zusätzliche Anmeldeabfrage im SSO Fall (siehe Abschnitt 3.2.2) verwendet, stehen alle Konfigurationsparameter die Einfluss auf die BKU-Auswahl haben nicht zur Verfügung. Die Funktionalität der entsprechenden Parameter hat jedoch weiterhin Einfluss auf den Anmeldevorgang.

    -

    3.2.5 SZR-Gateway Service

    -

    Dieser Abschnitt behandelt online-applikationsspezifische Einstellungen zum Stammzahlenregistergateway der österreichischen Datenschutzbehörde.

    +

    3.2.5 Zentraler nationaler eIDAS Connector

    +

    Dieser Abschnitt behandelt online-applikationsspezifische Einstellungen zum Anknüpfung an den zentralen nationalen eIDAS Connector

    @@ -1837,11 +1587,11 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der - + -
    NameBeschreibung
    SZR-Gateway Service URL URL      

    Definiert das Stammzahlenregister-Gateway Service welches von dieser Online-Applikation verwendet werden soll. Hierfür stehen all jene Auswahlmöglichkeiten zur Verfügung welche in der Allgemeinen Konfiguration (siehe Kapitel 3.1.7) festgelegt wurden.

    +

    Definiert dan zentralen nationalen eIDAS Connector welcher von dieser Online-Applikation verwendet werden soll. Hierfür stehen all jene Auswahlmöglichkeiten zur Verfügung welche in der Allgemeinen Konfiguration (siehe Kapitel 3.1.7) festgelegt wurden.

    Hinweis: Wird keine spezifische Auswahl getroffen wird automatisch das Erste in der allgemeinen Konfiguration eingetragene Service verwendet.
    @@ -1873,8 +1623,8 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der

    Hinweis: Diese Abfrage ist standardmäßig aktiviert und kann nur durch einen Benutzer mit der Role admin deaktiviert werden.

    -

    3.2.7 Secure idenTity acrOss boRders linKed (STORK)

    -

    Dieser Abschnitt behandelt Online-Applikationsspezifische Einstellungen zu STORK.

    +

    3.2.7 Authentifizierung mittels eIDAS

    +

    Dieser Abschnitt behandelt Online-Applikationsspezifische Einstellungen zur Authentifizierung mittels eIDAS.

    @@ -1883,30 +1633,16 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der - + - + - + - - - - - - - - - - - - - +
    NameBeschreibung
    STORK verwendeneIDAS verwenden ja XDefiniert ob die Online-Applikation eine Anmeldung mittels STORK unterstützt. Wird STORK unterstützt wird in während der BKU-Auswahl die Option Home Country Selection für eine Anmeldung mittels STORK dargestellt.Definiert ob die Online-Applikation eine Anmeldung mittels eIDAS unterstützt. Wird eIDAS unterstützt wird in während der BKU-Auswahl die Option eIDAS LogIn für eine Anmeldung mittels eIDAS dargestellt.

    QAA-Level

    		4high XVon der Online-Applikation geforderter mindest QAA-Level der Authentifizierung
    aktivierte Zielländer X

    Hier können jene STORK Länder konfiguriert werden für welche diese Online-Applikation eine Anmeldung mittels STORK unterstützt.

    -

    Hinweis: Die zur Auswahl stehenden Länder werden aus den PEPS Konfigurationen generiert, welche im allgemeinen Konfigurationsbereich hinterlegt wurden.

    angeforderte Attribute

    		  X

    STORK Attribute welche die Online-Applikation anfordert

    -

    Bei den Attributen kann jedoch nur aus dem Set der in der allgemeinen Konfiguration hinterlegten STORK Attributen (siehe Kapitel 3.1.8) gewählt werden, wobei Attribute die in der allgemeinen Konfiguration als zwingend markiert sind immer mitgeliefert werden.

    		Von der Online-Applikation geforderter mindest LoA-Level der Authentifizierung

     

    -- cgit v1.2.3 From 5d7f7f3b6fc2fb8f8f72f359b0adb738e851d631 Mon Sep 17 00:00:00 2001 From: Thomas Lenz Date: Mon, 16 Jul 2018 13:12:39 +0200 Subject: update handbook, readme, history, example configuration, ... --- id/server/doc/handbook/config/config.html | 233 +++++++++++++++++++++++++----- 1 file changed, 193 insertions(+), 40 deletions(-) (limited to 'id/server/doc/handbook') diff --git a/id/server/doc/handbook/config/config.html b/id/server/doc/handbook/config/config.html index 26925709e..ea9eab017 100644 --- a/id/server/doc/handbook/config/config.html +++ b/id/server/doc/handbook/config/config.html @@ -76,7 +76,9 @@
  • Testing
    • +
  • Security Layer für mobile Authententifizierung
  • SZR Client für STORK <-> PVP Gateway Betrieb
    • +
  • Weitere optionale Konfigurationsparameter
    • @@ -118,6 +120,7 @@
  • BKU Konfiguration
    • +
  • Security Layer für mobile Authententifizierung
  • Test Credentials
  • Vollmachten
  • Zentraler eIDAS Connector
    • @@ -451,32 +454,7 @@ UNIX: moa.id.configuration=file:C:/Programme/apache/tomcat-8.x.x/conf/moa-id/moa https://<host>:<port>/moa-id-auth/MonitoringServlet

    Nach einem erfolgreichen Testdurchlauf Antwortet das Monitoring mit einen http Statuscode 200 und der oben definierten Statusmeldung aus dem Parameter configuration.monitoring.message.success. Im Falle eines Fehlers antwortet das Monitoring mit einem http Statuscode 500 und die Statusmeldung enthält eine Beschreibung des aufgetretenen Fehlers.

    2.2.2.2 Externe Services
    -

    Für den Aufbau von Verbindungen zu anderen Komponenten werden in manchen Fällen spezielle Client-Zertifikate oder Sicherheitseinstellungen benötigt. In diesem Abschnitt erfolgt die Konfiguration der für den Verbindungsaufbau benötigten Parameter. Die Konfiguration der URL zum jeweiligen Service wird jedoch über die Web-Oberfläche des Modules MOA-ID-Configuration vorgenommen (siehe Kapitel 3.1.7).

    -
    2.2.2.2.1 MOA-SP
    -

    Wird MOA-SP über ein Web-Service, welches Client Authentifizierung voraussetzt, angesprochen müssen in diesem Abschnitt die erforderlichen Schlüssel hinterlegt werden.

    - - - - - - - - - - - - - - - - - - - - - -
    NameBeispielwertBeschreibung
    service.moasp.clientKeyStorekeys/moa_sp.p12Dateiname des PKCS#12 Keystores, relativ zur MOA-ID Konfigurationsdatei. Diesem Keystore wird der private Schlüssel für die TLS-Client-Authentisierung entnommen.
    service.moasp.clientKeyStorePasswordpass1234Passwort zum Keystore
    service.moasp.acceptedServerCertificatescerts/moa-sp-server/Hier kann ein Verzeichnisname (relativ zur MOA-ID Konfigurationsdatei) angegeben werden, in dem die akzeptierten Zertifikate der TLS-Verbindung hinterlegt sind. In diesem Verzeichnis werden nur Serverzertifikate abgelegt. Fehlt dieser Parameter wird lediglich überprüft ob ein Zertifikatspfad zu den im Element <TrustedCACertificates> (siehe Kapitel 3.1.4) angegebenen Zertifikaten erstellt werden kann.
    -

     

    +

    Für den Aufbau von Verbindungen zu anderen Komponenten werden in manchen Fällen spezielle Client-Zertifikate oder Sicherheitseinstellungen benötigt. In diesem Abschnitt erfolgt die Konfiguration der für den Verbindungsaufbau benötigten Parameter. Die Konfiguration der URL zum jeweiligen Service wird jedoch über die Web-Oberfläche des Modules MOA-ID-Configuration vorgenommen (siehe Kapitel 3.1.7)

    2.2.2.2.2 Online-Vollmachen

    MOA-ID-Auth bietet die Möglichkeit der Nutzung von Online-Vollmachten für Anwendungen aus dem öffentlichen Bereich. Hierfür ist ein Online-Vollmachten-Service nötig, wobei die Zugangsdaten zum Online-Vollmachten-Service konfiguriert werden müssen. Der Zugang zum Online-Vollmachten-Service ein Client-Zertifikat für die SSL-Verbindung zum Service. Voraussetzung dafür ist ein Zertifikat von A-Trust bzw. A-CERT mit Verwaltungseigenschaft oder Dienstleistereigenschaft. Wenn ihr MOA-ID-Auth Zertifikat diese Voraussetzung erfüllt, können Sie dieses hier angeben.

    @@ -650,6 +628,21 @@ https://<host>:<port>/moa-id-auth/MonitoringServlet

     

    2.2.2.4 Datenbank

    Das Modul MOA-ID-Auth benötigt für den Betrieb zwei (optional drei) separate Datenbank Schema, welche in der Basiskonfiguration konfiguriert werden. Für Beispielkonfiguration wurde mySQL als Datenbank verwendet wodurch sich die Konfigurationsparameter auf mySQL beziehen. Das Modul MOA-ID-Auth kann jedoch auch mit Datenbanken anderer Hersteller oder einer InMemory Datenbank betrieben werden. Hierfür wird jedoch auf die Hibernate Dokumention verwiesen.

    +
    + + + + + + + + + + +
    NameBeispielwertBeschreibung
    configuration.database.byteBasedValues

    true / false

    Definiert ob Konfigurationswerte als Text oder als Bytes in der Datenbank abgelegt werden.
    + Hinweis: Testbasierte Speicherung kann bei manchen Datenbanksystemen zur problemen führen (z.B. postgreSQL)

    +

    Defaultwert: false

    +

     

    2.2.2.4.1 Konfiguration

    Alle Parameter aus der Basiskonfiguration welche als Prefix configuration.hibernate. im Parameternamen aufweisen konfigurieren den Zugriff auf das Datenbank Schema welches die Konfiguration von MOA-ID-Auth beinhaltet. Eine Konfiguration dieser Parameter ist nicht optional.

    @@ -821,7 +814,97 @@ https://<host>:<port>/moa-id-auth/MonitoringServlet

    Defaultwert: true

    -
    2.2.2.6 SZR Client für STORK <-> PVP Gateway Betrieb
    +
    2.2.2.6 Security Layer für mobile Authententifizierung
    +

    Diese Parameter dienen zur Konfiguration der neuen Authentifizierungsschnittstelle via Security-Layer 2.0

    + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
    NameBeispielwertBeschreibung
    modules.sl20.vda.urls.qualeID.endpoint.defaulthttps://www.handy-signatur.at/securitylayer2Defaultendpunkt für die Anbindung an einen VDA mittels Security-Layer 2.0
    modules.sl20.vda.urls.qualeID.endpoint.x Über diese Parameter können weitere Endpunkte konfiguriert werden, wobei das 'x' im Namen durch einen Identifier ersetzt werden muss (z.B.: modules.sl20.vda.urls.qualeID.endpoint.1=https://test1.a-trust.at/securitylayer2) Die Auwahl des Endpunkts erfolgt via http Header im Request an MOA-ID, wobei der Headername 'X-MOA-VDA' lautet und der Headerwert dem Identifier (z.B. '1') entsprechen muss.
    + Hinweis: Hiebei handelt es sich primär um eine Funktion zu Testzwecken im aktuellen Beta-Status
    modules.sl20.security.keystore.pathkeys/sl20.jksDateiname des Java Keystore welcher die Schlüssel zum Signieren und Verschlüsseln von Security-Layer 2.0 Nachrichten beinhaltet. Des weiteren dient dieser KeyStore als TrustStore zur Validierung von signierten Security-Layer 2.0 Nachrichten. Somit müssen Signaturzertifikate von SL2.0 Teilnehmern in diesem TrustStore hinterlegt sein.
    modules.sl20.security.keystore.passwordpasswordPasswort zum Keystore
    modules.sl20.security.sign.aliassigningName des Schlüssels der zur Signierung von SL2.0 Nachrichten
    modules.sl20.security.sign.password Passwort des Schlüssels zur Signierung von SL2.0 Nachrichten
    modules.sl20.security.encryption.aliasencryptionName des Schlüssels zur Verschlüsselung von SL2.0 Nachrichten
    modules.sl20.security.encryption.password Passwort des Schlüssels zur Verschlüsselung von SL2.0 Nachrichten
    modules.sl20.vda.authblock.iddefault

    Identifier für den AuthBlock, welcher der Benutzer im Authentifizierungsprozess unterschreiben muss

    +

    Default: default

    modules.sl20.vda.authblock.transformation.idSL20Authblock_v1.0,
    + SL20Authblock_v1.0_SIC

    Identifier der erlaubten AuthBlock-Transformationen als CSV für die visuelle Darstellung des AuthBlocks

    +

    Default: SL20Authblock_v1.0,SL20Authblock_v1.0_SIC

    modules.sl20.security.eID.validation.disabletrue / false

    Deaktivierung der eID Daten validierung.

    +

    Default: false

    modules.sl20.security.eID.signed.result.requiredtrue / false

    Aktivierung von verpflichtend signierten Kommandos

    +

    Default: true

    modules.sl20.security.eID.encryption.enabledtrue / false

    Aktivierung von Verschlüsselung, wodurch signierte Kommandos Schlüsselmaterial zur Verschlüsselung beinhalten.

    +

    Default:true

    modules.sl20.security.eID.encryption.requiredtrue / false

    Aktivierung von verpflichtender Verschlüsselung. eID Daten müssen durch den VDA verschlüsselt übertragen werden.

    +

    Default:true

    +

     

    +

     

    +

     

    +
    2.2.2.7 SZR Client für STORK <-> PVP Gateway Betrieb

    Die Konfiguration des Stammzahlenregister (SZR) Clients ist nur erforderlich wenn das Modul MOA-ID-Auth als STORK <-> PVP Gateway betrieben wird. Da in diesem Fall die Benutzerin oder der Benutzer über ein PVP Stammportal authentifiziert wird ist eine direkte Generierung der STORK eID während des Anmeldevorgangs nicht möglich. Somit erfolgt für diese Personen einen Stammzahlenregisterabfrage zur Bestimmung der STORK eID.

    Für den in MOA-ID-Auth verwendeten SZR Client sind folgende Konfigurationsparameter erforderlich.

    @@ -945,7 +1028,47 @@ https://<host>:<port>/moa-id-auth/MonitoringServlet

     

    Hinweis: Detaillierte Informationen zu den einzelnen PVP spezifischen Konfigurationsparametern finden Sie in der entsprechenden PVP Spezifikation.

    -

    2.3 Konfiguration des Loggings

    +
    2.2.2.8 Weitere optionale Konfigurationsparameter
    +

    Hierbei handelt es sich um weitere optionale Parameter.

    + + + + + + + + + + + + + + + + + + + + + + + + + + +
    NameBeispielwertBeschreibung
    configuration.restrictions.sp.entityIds

    https://demo.egiz.gv.at/demologin/

    Liste von eindeutigen Online-Applikationsidentifikatioren als Comma Separatet Values (CSV) für welche die Einschränkung auf bestimmte Benutzer aktiviert werden soll. Für alle OAs in dieser Liste ist eine Anmeldung nur dann möglich wenn die bPK des Benutzers in der Whitelist eingetragen ist.

    +

     

    configuration.restrictions.sp.users.urlwhitelist/users.csv

    Whitelist von bPKs als Comma Separatet Values (CSV) für welche eine Anmeldung erlaubt ist.

    +

    z.B.: ZP:xm1zT43arrfTRLnDsxYoFk3XwDU=,ZP:gr99V4hH5KLlarBCcCAbKJNMF18=

    configuration.restrictions.sp.users.sectorurn:publicid:gv.at:cdid+ZPbPK Berecih welcher in der Whitelist verwendet wird
    configuration.foreignsectors.pubkey.xxxxTargetxxxconfiguration.foreignsectors.pubkey.wbpk+FN+468924i=
    + MIIDCzCCAfMCBFr9aB4wDQYJKoZI....

    MOA-ID bietet die Möglichkeit verschlüsselte bPKs entsprechend der Berechnungsvorschrift für Fremd-bPKs zu generieren. Die hierfür benötigen öffentlichen Schlüssel müssen als Base64 kodierte X509 Zertifikate je bPK / wbPK Bereich hinterlegt werden.
    + Der bPK / wbPK Bereich muss als Teil des Konfigurationsschlüssels (z.B. wbpk+FN+468924i, BMI+T1, ...) angegeben werden.

    +
      +
    • Für öffentliche Bereiche: VKZ+Target (VKZ ... Verfahrenskennzeichen)
      • +
    • Für private Bereiche: wbpk+Stammzahl der juristischen Person (z.B. FN+468924i)
      • +
    +


    +

    +

     

    +

    2.3 Konfiguration des Loggings

    Die Module MOA-ID-Auth und MOA-ID-Configuration verwendet als Framework für Logging-Information die Open Source Software log4j. Die Konfiguration der Logging-Information erfolgt nicht direkt durch die einzelnen Module, sondern über eine eigene Konfigurationsdatei, die der Java Virtual Machine durch eine System Property mitgeteilt wird. Der Name der System Property lautet log4j.configuration; als Wert der System Property ist eine URL anzugeben, die auf die log4j-Konfigurationsdatei verweist, z.B. 

    log4j.configuration=file:/C:/Programme/apache/tomcat-8.x.x/conf/moa-id/log4j.properties

    Zustätzlich wird für einige Basiskomponenten, welche über Drittherstellerbibliotheken inkludiert sind, LogBack als Logging Framework verwendet. Die LogBack Konfiguration wird ebenfalls über den System Property angegeben

    @@ -1484,7 +1607,37 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der Über diese Funktion können drei zusätzliche SecurtityLayer-Request Templates für diese Online-Applikation definiert werden. Diese hier definierten Templates dienen als zusätzliche WhiteList für Templates welche im „StartAuthentication“ Request mit dem Parameter „template“ übergeben werden. Sollte im „StartAuthentication“ Request der Parameter „template“ fehlen, es wurde jedoch eine „bkuURL“ übergeben, dann wird für den Authentifizierungsvorgang das erste Template in dieser Liste verwendet. Detailinformationen zum Legacy Request finden Sie im Kapitel Protokolle. -

    3.2.3 Test Identitäten

    +

    3.2.3 Security Layer für mobile Authententifizierung

    +

    Mit diesem Abschnitt kann der neue Security Layer für mobile Authentifzierung für diese Online Applikation aktiviert werden.
    + Wird diese Schnittstelle aktiviert ist die Security-Layer 1.x Schnittstelle zur Bürgerkartenkommunikation deaktiviert und steht nicht mehr zur Verfügung.

    + + + + + + + + + + + + + + + + + + + + + + +
    NameBeispielwertAdminOptionalBeschreibung

    SL2.0 aktivieren

    		true / falseXXAktiviert den neuen Security Layer für mobile Authentifizierung für diese Online Applikation

    VDA Endpunkt URLs:

    default=https://www.handy-signatur.at/securitylayer2,

    +

    1=https://test1.a-trust.at/securitylayer2,

    +

    2=https://hs-abnahme.a-trust.at/securitylayer2

    		XXEine CSV Liste von VDA Endpunkten, welche für die Online Applikation verwendet werden können. Die Konfiguration erfolgt entsprechend den in Kapitel 2.2.2.6 beschriebenen Regeln.
    + Sind keine Parameter angegeben wird automatisch die Konfiguration aus Kapitel 2.2.2.6 verwendet.
    +

     

    +

    3.2.4 Test Identitäten

    In diesem Abschnitt können für diese Online-Applikation Testidentitäten erlaubt werden. Diese Testidentitäten können auch bei produktiven Instanzen freigeschalten werden, da die Unterschiedung zwischen Produkt- und Testidentität anhand einer speziellen OID im Signaturzertifikat der Testidentität getroffen wird. Folgende Konfigurationsparameter stehen hierfür zur Verfügung.

    @@ -1526,7 +1679,7 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der

     

    Hinweis: Diese Funktionalität steht jedoch nur Testidentitäten welchen bereits mit einer Test OID im Signaturzertifikat ausgestattet sind zur Verfügung.

    -

    3.2.4 Vollmachten

    +

    3.2.5 Vollmachten

    Dieser Abschnitt behandelt online-applikationsspezifische Einstellungen zur Anmeldung mittels Online-Vollmachen.

    @@ -1576,7 +1729,7 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der

     

    Hinweis: Werden für die Online-Applikation eigene Templates für die Bürgerkartenauswahl oder die zusätzliche Anmeldeabfrage im SSO Fall (siehe Abschnitt 3.2.2) verwendet, stehen alle Konfigurationsparameter die Einfluss auf die BKU-Auswahl haben nicht zur Verfügung. Die Funktionalität der entsprechenden Parameter hat jedoch weiterhin Einfluss auf den Anmeldevorgang.

    -

    3.2.5 Zentraler nationaler eIDAS Connector

    +

    3.2.6 Zentraler nationaler eIDAS Connector

    Dieser Abschnitt behandelt online-applikationsspezifische Einstellungen zum Anknüpfung an den zentralen nationalen eIDAS Connector

    @@ -1596,7 +1749,7 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der

     

    -

    3.2.6 Single Sign-On (SSO)

    +

    3.2.7 Single Sign-On (SSO)

    Dieser Abschnitt behandelt online-applikationsspezifische Einstellungen zu Single Sign-On

    @@ -1623,7 +1776,7 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der

    Hinweis: Diese Abfrage ist standardmäßig aktiviert und kann nur durch einen Benutzer mit der Role admin deaktiviert werden.

    -

    3.2.7 Authentifizierung mittels eIDAS

    +

    3.2.8 Authentifizierung mittels eIDAS

    Dieser Abschnitt behandelt Online-Applikationsspezifische Einstellungen zur Authentifizierung mittels eIDAS.

    @@ -1647,10 +1800,10 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der

     

    Hinweis: Werden für die Online-Applikation eigene Templates für die Bürgerkartenauswahl oder die zusätzliche Anmeldeabfrage im SSO Fall (siehe Abschnitt 3.2.2) verwendet, stehen alle Konfigurationsparameter die Einfluss auf die BKU-Auswahl haben nicht zur Verfügung.

    -

    3.2.8 Authentifizierungsprotokolle

    +

    3.2.9 Authentifizierungsprotokolle

    Dieser Abschnitt behandelt online-applikationsspezifische Einstellungen zu den von der Online-Applikation unterstützen Authentifizierungsprotokollen. Eine Verwendung aller zur Verfügung stehender Authentifizierungsprotokolle durch die Online-Applikation ist ebenfalls möglich. Hierfür müssen nur alle benötigten Protokolle konfiguriert werden. Nähere Informationen zu den unterstützten Protokollen finden sie im Kapitel Protokolle.

    Aus Gründen der Übersichtlichkeit kann der Konfigurationsbereich für jeden Protokoll, in der Web-Oberfläche des Konfigurationstools, ein- oder ausgeblendet werden.

    -
    3.2.8.1 SAML1
    +
    3.2.9.1 SAML1

    Für das Protokoll SAML1 stehen folgende Konfigurationsparameter zur Verfügung.

    @@ -1705,7 +1858,7 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der

     

    Hinweis: Das Modul MOA-ID-Auth in der Version 2.0 unterstützt SAML1 nur mehr zur Abwärtskompatibilität mit bereits bestehenden Online-Applikationen. Wir empfehlen den Umstieg auf ein anderes, von MOA-ID-Auth unterstütztes, Authentifizierungsprotokoll. Aus diesem Grund steht die Konfiguration des SAML1 Protokolls nur mehr einer Benutzerin oder einem Benutzer mit der Role admin zur Verfügung.

    -
    3.2.8.2 PVP 2.1
    +
    3.2.9.2 PVP 2.1

    In diesem Bereich erfolgt die applikationsspezifische Konfiguration für das Authentifizierungsprotokoll PVP 2.1.

    @@ -1746,7 +1899,7 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der
    Pfad zum online-applikationsspezifischen Template für SAML2 (PVP2 S-Profil) http POST-Binding. Relative Pfadangaben werden dabei relativ zum Verzeichnis, in dem sich die MOA-ID-Auth Basiskonfigurationsdatei befindet, interpretiert. Das Template kann ausschließlich aus dem Dateisystem geladen werden.
    -
    3.2.8.3 OpenID Connect
    +
    3.2.9.3 OpenID Connect

    In diesem Bereich erfolgt die applikationsspezifische Konfiguration für OpenID Connect (OAuth 2.0).

    @@ -1778,7 +1931,7 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der
    OpenID Connect Redirect URL. Nach erfolgreicher Authentifizierung wird die Benutzerin oder der Benutzer an diese URL zurückgeleitet.
    -
    3.2.9 Zusätzliche allgemeine Einstellungen
    +
    3.2.10 Zusätzliche allgemeine Einstellungen

    In Abschnitt ermöglicht eine erweiterte online-applikationsspezifische Individualisierung des AuthBlocks und der Bürgerkartenauswahl. Die Individualisierung des AuthBlocks steht jedoch dann zur Verfügung wenn die dem Module MOA-ID-Auth beigelegte Security-Layer Transformation verwendet wird oder wenn die individuelle Security-Layer Transformation den Formvorschriften der Spezifikation entspricht.

    @@ -1836,7 +1989,7 @@ wenn die individuelle Security-Layer Transformation den Formvorschriften der Sp
     
     
    -
    3.2.9.1 Login-Fenster Konfiguration
    +
    3.2.10.1 Login-Fenster Konfiguration

    Diese Konfigurationsparameter bieten zusätzliche Einstellungen für eine Anpassung der Bürgerkartenauswahl welche von MOA-ID-Auth generiert wird. Zur besseren Handhabung werden die angegebenen Parameter direkt in einer Vorschau dargestellt. Alle in diesem Abschnitt angegebenen Parameter sind Optional und werden bei Bedarf durch Standardwerte ergänzt. @@ -1925,7 +2078,7 @@ Alle in diesem Abschnitt angegebenen Parameter sind Optional und werden bei Beda

     

    Hinweis: Bei Verwendung einer online-applikationsspezifischen Bürgerkartenauswahl stehen alle Parameter die die Bürgerkartenauswahl betreffen nicht zur Verfügung.

    Hinweis: Bei Verwendung eines online-applikationsspezifischen Security-Layer-Request Templates stehen alle Parameter die das SL-Template betreffen nicht zur Verfügung.

    -
    3.2.10 Revisionslogging
    +
    3.2.11 Revisionslogging

    Ab MOA-ID 3.x steht ein erweitertes speziell für Revisionsaufgaben abgestimmtest Logging zur Verfügung. Über dieses Feld können die zu loggenden Events als CSV codierte Eventcodes konfiguriert werden. Werden keine Eventcodes konfiguriert wird eine in MOA-ID hinterlegte Defaultkonfiguration verwendet. Eine Liste aller möglichen Eventcodes finden Sie hier.

    3.3 Import / Export

    Üer diese Funktionalität besteht die Möglichkeit eine bestehende MOA-ID 2.x.x -- cgit v1.2.3 From 4ae32fabc822b3c8ed51d380969f7db682d1bfae Mon Sep 17 00:00:00 2001 From: Thomas Lenz Date: Mon, 16 Jul 2018 18:26:01 +0200 Subject: some GUI and handbook updates --- id/server/doc/handbook/index.html | 2 +- id/server/doc/handbook/protocol/protocol.html | 6 +++--- 2 files changed, 4 insertions(+), 4 deletions(-) (limited to 'id/server/doc/handbook') diff --git a/id/server/doc/handbook/index.html b/id/server/doc/handbook/index.html index e72105816..73ece89e3 100644 --- a/id/server/doc/handbook/index.html +++ b/id/server/doc/handbook/index.html @@ -29,7 +29,7 @@

    -

    Übersicht zur Dokumentation der Version 3.3.x

    +

    Übersicht zur Dokumentation der Version 3.4.x

    Einführung
    diff --git a/id/server/doc/handbook/protocol/protocol.html b/id/server/doc/handbook/protocol/protocol.html index 8f6ed735c..5e38dddf5 100644 --- a/id/server/doc/handbook/protocol/protocol.html +++ b/id/server/doc/handbook/protocol/protocol.html @@ -1045,9 +1045,9 @@ https://<host>:<port>/moa-id-auth/LogOut Optional: Gibt an ob eine Anmeldung im Online-Vollmachten-Modus durchgeführt werden soll (=true) oder nicht (=false); - CCC=<ccc> - BE, SI, - Optional: Gibt an ob die Anmeldung mittels STORK im angegebenen Land erfolgen soll. Die Angabe erfolgt mit dem Ländercode (z.B.: PT, LU, ES, ...) des jeweiligen Landes. + useeIDAS=<true/false> + true /false + Optional: Gibt an ob eine Anmeldung mittels eIDAS erfolgen soll. Wird der Parameter (=true) übergeben, startet der Anmeldeprozess mit einer Weiterleitung an den zentralen nationalen eIDAS Connector. -- cgit v1.2.3