From 11d43a1f0f2dd24bb36712b60495b61df4cdd2ef Mon Sep 17 00:00:00 2001
From: Thomas Lenz <tlenz@iaik.tugraz.at>
Date: Mon, 12 Mar 2018 11:20:15 +0100
Subject: update handbook

---
 id/server/doc/handbook/config/config.html | 70 +++++++++++++------------------
 1 file changed, 28 insertions(+), 42 deletions(-)

(limited to 'id/server/doc/handbook')

diff --git a/id/server/doc/handbook/config/config.html b/id/server/doc/handbook/config/config.html
index 8b2f6a632..30624d3b0 100644
--- a/id/server/doc/handbook/config/config.html
+++ b/id/server/doc/handbook/config/config.html
@@ -2242,10 +2242,10 @@ Exportfunktion verwendet werden.</p>
       </ul>    </td>
   </tr>
   <tr>
-    <td>MOASessionID</td>
-    <td>#SESSIONID#</td>
+    <td>pendingid</td>
+    <td>$pendingReqID</td>
     <td align="center">&nbsp;</td>
-    <td>Internes Session-Token. Der Parameterwert wird durch MOA-ID-Auth automatisch in das Formular eingef&uuml;gt. Hierf&uuml;r MUSS jedoch der Parameterwert durch Platzhalter #SESSIONID# gekennzeichnet werden.</td>
+    <td>Internes Session-Token. Der Parameterwert wird durch MOA-ID-Auth automatisch in das Formular eingef&uuml;gt. Hierf&uuml;r MUSS jedoch der Parameterwert durch Platzhalter $pendingReqID gekennzeichnet werden.</td>
   </tr>
   <tr>
     <td>useMandate</td>
@@ -2281,38 +2281,43 @@ Einige dieser Parameter werden jedoch nicht durch den  Benutzer oder dem Service
     <th>Beschreibung</th>
   </tr>
   <tr>
-    <td>#AUTH_URL#</td>
+    <td>$contextPath</td>
     <td>&nbsp;</td>
-    <td>Dieser Platzhalter wird durch die URL, an welche die BKU Auswahl gesendet wird ersetzt. </td>
+    <td>Dieser Platzhalter wird durch die PublikURLPrefix der MOA-ID Instanz ersetzt</td>
   </tr>
   <tr>
-    <td>#SESSIONID#</td>
+    <td>$submitEndpoint</td>
+    <td>&nbsp;</td>
+    <td>Dieser Platzhalter wird durch den Endpunkt f&uuml;r die Annahme der BKU Auswahl ersetzt</td>
+  </tr>
+  <tr>
+    <td>$pendingReqID</td>
     <td>&nbsp;</td>
     <td>Dieser Platzhalter wird durch ein internes Session-Token ersetzt, welches als GET Parameter wieder an MOA-ID-Auth &uuml;bergeben werden muss.</td>
   </tr>
   <tr>
-    <td>#LOCAL#</td>
+    <td>$bkuLocal</td>
     <td align="center">X</td>
     <td>Der Platzhalter wird durch den Parameterwert zur Auswahl der lokalen BKU ersetzt.</td>
   </tr>
   <tr>
-    <td>#ONLINE#</td>
+    <td>$bkuOnline</td>
     <td align="center">X</td>
     <td>Der Platzhalter wird durch den Parameterwert zur Auswahl der Online-BKU ersetzt.</td>
   </tr>
   <tr>
-    <td>#HANDY#</td>
+    <td>$bkuHandy</td>
     <td align="center">X</td>
     <td>Der Platzhalter wird durch den Parameterwert zur Auswahl der Handy-BKU ersetzt.</td>
   </tr>
 </table>
 <p><br>
   Die nachfolgende Form zeigt ein Beispiel f&uuml;r den Aufbau des im BKU-Auswahl  Template zu verwendeten http GET Request Templates f&uuml;r die lokale BKU.</p>
-<pre>&lt;form method=&quot;get&quot;  id=&quot;moaidform&quot; action=&quot;#AUTH_URL#&quot;&gt;<br>
-  &nbsp;&nbsp;&nbsp;  &lt;input type=&quot;hidden&quot; name=&quot;bkuURI&quot;  value=&quot;#LOCAL#&quot;&gt; <br>
+<pre>&lt;form method=&quot;get&quot;  id=&quot;moaidform&quot; action=&quot;$contextPath$submitEndpoint&quot;&gt;<br>
+  &nbsp;&nbsp;&nbsp;  &lt;input type=&quot;hidden&quot; name=&quot;bkuURI&quot;  value=&quot;$bkuLocal&quot;&gt; <br>
   &nbsp;&nbsp;&nbsp;  &lt;input type=&quot;hidden&quot; name=&quot;useMandate&quot;  id=&quot;useMandate&quot;&gt; <br>
   &nbsp;&nbsp;&nbsp;  &lt;input type=&quot;hidden&quot; name=&quot;CCC&quot;  id=&quot;ccc&quot;&gt; &lt;input type=&quot;hidden&quot;<br>
-  &nbsp;&nbsp;&nbsp;  &lt;input type=&quot;hidden&quot; name=&quot;MOASessionID&quot;  value=&quot;#SESSIONID#&quot;&gt;<br>
+  &nbsp;&nbsp;&nbsp;  &lt;input type=&quot;hidden&quot; name=&quot;pendingid&quot;  value=&quot;$pendingReqID&quot;&gt;<br>
   &nbsp;&nbsp;&nbsp;&nbsp;  &lt;input  type=&quot;submit&quot; value=&quot;&gt;lokale B&uuml;rgerkartenumgebung&quot;&gt;<br>
 &lt;/form&gt;
 </pre>
@@ -2330,20 +2335,8 @@ F&uuml;r die &Uuml;bermittlung an das Modul MOA-ID-Auth ist ein http POST Reques
     <th>Beschreibung</th>
   </tr>
   <tr>
-    <td>mod</td>
-    <td>#MODUL#</td>
-    <td align="center">&nbsp;</td>
-    <td><p>Internes Session-Token. Der Parameterwert wird durch MOA-ID-Auth automatisch in das Formular eingef&uuml;gt. Hierf&uuml;r MUSS jedoch der Parameterwert durch Platzhalter #MODUL# gekennzeichnet werden.</p></td>
-  </tr>
-  <tr>
-    <td>action</td>
-    <td>#ACTION#</td>
-    <td align="center">&nbsp;</td>
-    <td>Internes Session-Token. Der Parameterwert wird durch MOA-ID-Auth automatisch in das Formular eingef&uuml;gt. Hierf&uuml;r MUSS jedoch der Parameterwert durch Platzhalter #ACTION# gekennzeichnet werden.</td>
-  </tr>
-  <tr>
-    <td>identifier</td>
-    <td>#ID#</td>
+    <td>pendingid</td>
+    <td>$pendingReqID</td>
     <td align="center">&nbsp;</td>
     <td>Internes Session-Token. Der Parameterwert wird durch MOA-ID-Auth automatisch in das Formular eingef&uuml;gt. Hierf&uuml;r MUSS jedoch der Parameterwert durch Platzhalter #ID# gekennzeichnet werden.</td>
   </tr>
@@ -2363,33 +2356,26 @@ Einige dieser Parameter werden jedoch nicht durch den  Benutzer oder dem Service
     <th>Beschreibung</th>
   </tr>
   <tr>
-    <td>#URL#</td>
+    <td>$contextPath</td>
     <td>&nbsp;</td>
-    <td>Dieser Platzhalter wird durch die URL, an welche das Ergebnis der Single Sign-On Anmeldeabfrage gesendet wird ersetzt. </td>
+    <td>Dieser Platzhalter wird durch die PublikURLPrefix der MOA-ID Instanz ersetzt</td>
   </tr>
   <tr>
-    <td>#MODUL#</td>
+    <td>$submitEndpoint</td>
     <td>&nbsp;</td>
-    <td>Dieser Platzhalter wird durch das verwendete Authentifizierungsprotokoll ersetzt, welches als GET Parameter wieder an MOA-ID-Auth &uuml;bergeben werden muss.</td>
-  </tr>
-  <tr>
-    <td>#ACTION#</td>
-    <td align="center">&nbsp;</td>
-    <td>Dieser Platzhalter wird durch einen Subtyp des verwendeten Authentifizierungsprotokolls, welches als GET Parameter wieder an MOA-ID-Auth &uuml;bergeben werden muss.</td>
+    <td>Dieser Platzhalter wird durch den Endpunkt f&uuml;r die Annahme der BKU Auswahl ersetzt</td>
   </tr>
   <tr>
-    <td>#ID#</td>
-    <td align="center">&nbsp;</td>
+    <td>$pendingReqID</td>
+    <td>&nbsp;</td>
     <td>Dieser Platzhalter wird durch ein internes Session-Token ersetzt, welches als GET Parameter wieder an MOA-ID-Auth &uuml;bergeben werden muss.</td>
   </tr>
-</table>
+  </table>
 <p><br>
 Die nachfolgende Form zeigt ein Beispiel f&uuml;r den Aufbau des im  BKU-Auswahl Template zu verwendeten http GET Request Templates f&uuml;r die lokale  BKU.</p>
-<pre>&lt;form method=&quot;post&quot;  id=&quot;moaidform_yes&quot; action=&quot;#URL#&quot;&gt;
+<pre>&lt;form method=&quot;post&quot;  id=&quot;moaidform_yes&quot; action=&quot;$contextPath$submitEndpoint&quot;&gt;
   &lt;input type=&quot;hidden&quot; name=&quot;value&quot;  value=&quot;true&quot;&gt;
-  &lt;input type=&quot;hidden&quot; name=&quot;mod&quot;  value=&quot;#MODUL#&quot;&gt;
-  &lt;input type=&quot;hidden&quot; name=&quot;action&quot;  value=&quot;#ACTION#&quot;&gt;
-  &lt;input type=&quot;hidden&quot; name=&quot;identifier&quot;  value=&quot;#ID#&quot;&gt;
+  &lt;input type=&quot;hidden&quot; name=&quot;pendingid&quot;  value=&quot;$pendingReqID&quot;&gt;
   &lt;input type=&quot;submit&quot; size=&quot;400&quot;  value=&quot;Ja&quot;&gt;
 &lt;/form&gt;</pre>
 <p>Als Beispiel f&uuml;r ein Single Sign-On Anmeldeabfrage Template steht auch das bei MOA-ID-Auth hinterlegte Standardtemplate zur Verf&uuml;gung. Dieses finden Sie <a href="../../htmlTemplates/sendAssertion.html">hier</a>.</p>
-- 
cgit v1.2.3


From 709197ce12c5502f86e16da1167b97ca318f47fa Mon Sep 17 00:00:00 2001
From: Thomas Lenz <tlenz@iaik.tugraz.at>
Date: Tue, 5 Jun 2018 10:44:40 +0200
Subject: implement user restriction based on whitelisting

---
 id/server/doc/handbook/protocol/protocol.html      |  4 +
 .../internal/tasks/UserRestrictionTask.java        | 85 ++++++++++++++++++++++
 .../id/config/auth/data/UserWhitelistStore.java    | 73 +++++++++++++++++++
 .../main/resources/moaid.authentication.beans.xml  |  9 ++-
 .../resources/properties/id_messages_de.properties |  2 +
 .../protocol_response_statuscodes_de.properties    |  2 +
 .../internal/DefaultAuthentication.process.xml     | 11 ++-
 .../DefaultAuth_with_ELGA_mandates.process.xml     | 13 ++--
 .../main/resources/sl20.Authentication.process.xml |  8 +-
 9 files changed, 195 insertions(+), 12 deletions(-)
 create mode 100644 id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/modules/internal/tasks/UserRestrictionTask.java
 create mode 100644 id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/config/auth/data/UserWhitelistStore.java

(limited to 'id/server/doc/handbook')

diff --git a/id/server/doc/handbook/protocol/protocol.html b/id/server/doc/handbook/protocol/protocol.html
index 7d3f8d627..8f6ed735c 100644
--- a/id/server/doc/handbook/protocol/protocol.html
+++ b/id/server/doc/handbook/protocol/protocol.html
@@ -621,6 +621,10 @@ Redirect Binding</td>
     <td>1110</td>
     <td>Ung&uuml;ltige Single Sign-On Session</td>
   </tr>
+  <tr>
+    <td>1111</td>
+    <td>Der Anmeldevorgang wurde automatisiert abgebrochten da dem Benutzer die n&ouml;tigen Zugriffsrechte f&uuml;r diese Online Applikation fehlen.</td>
+  </tr>
 </table>
 <h5><a name="statuscodes_12xxx" id="allgemeines_zugangspunkte13"></a>1.3.1.3 STORK (12xxx)</h5>
 <table class="configtable">
diff --git a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/modules/internal/tasks/UserRestrictionTask.java b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/modules/internal/tasks/UserRestrictionTask.java
new file mode 100644
index 000000000..4853a5ab6
--- /dev/null
+++ b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/modules/internal/tasks/UserRestrictionTask.java
@@ -0,0 +1,85 @@
+package at.gv.egovernment.moa.id.auth.modules.internal.tasks;
+
+import java.util.List;
+
+import javax.servlet.http.HttpServletRequest;
+import javax.servlet.http.HttpServletResponse;
+
+import org.springframework.beans.factory.annotation.Autowired;
+
+import at.gv.egovernment.moa.id.auth.builder.BPKBuilder;
+import at.gv.egovernment.moa.id.auth.modules.AbstractAuthServletTask;
+import at.gv.egovernment.moa.id.auth.modules.TaskExecutionException;
+import at.gv.egovernment.moa.id.commons.api.exceptions.MOAIDException;
+import at.gv.egovernment.moa.id.commons.utils.KeyValueUtils;
+import at.gv.egovernment.moa.id.config.auth.data.UserWhitelistStore;
+import at.gv.egovernment.moa.id.data.Pair;
+import at.gv.egovernment.moa.id.process.api.ExecutionContext;
+import at.gv.egovernment.moa.logging.Logger;
+import at.gv.egovernment.moa.util.MiscUtil;
+
+public class UserRestrictionTask extends AbstractAuthServletTask {
+		
+	public static final String CONFIG_PROPS_SP_LIST = "configuration.restrictions.sp.entityIds";
+	public static final String CONFIG_PROPS_CSV_USER_FILE = "configuration.restrictions.sp.users.url";
+	public static final String CONFIG_PROPS_CSV_USER_SECTOR = "configuration.restrictions.sp.users.sector";
+	
+	@Autowired(required=true) UserWhitelistStore whitelist;
+	
+	@Override
+	public void execute(ExecutionContext executionContext, HttpServletRequest request, HttpServletResponse response)
+			throws TaskExecutionException {
+		try {			
+			String spEntityId = pendingReq.getOnlineApplicationConfiguration().getPublicURLPrefix();			
+			List<String> restrictedSPs = KeyValueUtils.getListOfCSVValues(authConfig.getBasicMOAIDConfiguration(CONFIG_PROPS_SP_LIST));						
+			if (restrictedSPs.contains(spEntityId)) {
+				Logger.debug("SP:" + spEntityId + " has a user restrication. Check users bPK ... ");				
+				defaultTaskInitialization(request, executionContext);;
+				
+				//check if user idl is already loaded
+				if (moasession.getIdentityLink() == null) {
+					Logger.warn("PendingRequest contains NO IdentityLink. User restrictation NOT possible!");
+					throw new MOAIDException("process.03", null);
+					
+				}
+				
+				//calculate whitelist bPK for current user
+				String bpkTarget = authConfig.getBasicMOAIDConfiguration(CONFIG_PROPS_CSV_USER_SECTOR);
+				if (MiscUtil.isEmpty(bpkTarget)) {
+					Logger.info("NO bPK sector for user whitelist in configuration");
+					throw new MOAIDException("config.05", new Object[] {CONFIG_PROPS_CSV_USER_SECTOR});
+					
+				}
+				
+				Pair<String, String> pseudonym = new BPKBuilder().generateAreaSpecificPersonIdentifier(
+						moasession.getIdentityLink().getIdentificationValue(), 
+						moasession.getIdentityLink().getIdentificationType(), 
+						bpkTarget);
+				
+				
+				//check if user's bPK is whitelisted 
+				if (!whitelist.isUserbPKInWhitelist(pseudonym.getFirst())) {
+					Logger.info("User's bPK is not whitelisted. Authentication process stops ...");
+					Logger.trace("User's bPK: " + pseudonym.getFirst());
+					throw new MOAIDException("auth.35", null);
+					
+				}
+				
+				Logger.debug("User was found in whitelist. Continue authentication process ... ");
+				
+			} else
+				Logger.trace("SP: " + spEntityId + " has no user restrication.");
+			
+			
+		} catch (MOAIDException e) {
+			throw new TaskExecutionException(pendingReq, e.getMessage(), e);
+			
+		} catch (Exception e) {
+			Logger.warn("RestartAuthProzessManagement has an internal error", e);
+			throw new TaskExecutionException(pendingReq, e.getMessage(), e);
+			
+		}		
+
+	}
+
+}
diff --git a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/config/auth/data/UserWhitelistStore.java b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/config/auth/data/UserWhitelistStore.java
new file mode 100644
index 000000000..a300739b3
--- /dev/null
+++ b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/config/auth/data/UserWhitelistStore.java
@@ -0,0 +1,73 @@
+package at.gv.egovernment.moa.id.config.auth.data;
+
+import java.io.File;
+import java.io.FileInputStream;
+import java.io.FileNotFoundException;
+import java.io.IOException;
+import java.io.InputStream;
+import java.io.InputStreamReader;
+import java.net.URISyntaxException;
+import java.net.URL;
+import java.util.ArrayList;
+import java.util.List;
+
+import javax.annotation.PostConstruct;
+
+import org.apache.commons.io.IOUtils;
+import org.springframework.beans.factory.annotation.Autowired;
+import org.springframework.stereotype.Service;
+
+import at.gv.egovernment.moa.id.auth.modules.internal.tasks.UserRestrictionTask;
+import at.gv.egovernment.moa.id.commons.api.AuthConfiguration;
+import at.gv.egovernment.moa.id.commons.utils.KeyValueUtils;
+import at.gv.egovernment.moa.util.FileUtils;
+import at.gv.egovernment.moa.util.MiscUtil;
+import at.gv.egovernment.moaspss.logging.Logger;
+
+@Service("UserWhiteList_Store")
+public class UserWhitelistStore {
+
+	@Autowired(required=true) AuthConfiguration authConfig;
+	
+	private List<String> whitelist = new ArrayList<String>();
+	
+	@PostConstruct
+	private void initialize() {
+		String whiteListUrl = authConfig.getBasicMOAIDConfiguration(UserRestrictionTask.CONFIG_PROPS_CSV_USER_FILE);
+		if (MiscUtil.isEmpty(whiteListUrl)) 
+			Logger.debug("Do not initialize user whitelist. Reason: No configuration path to CSV file.");
+		
+		else {
+			String absWhiteListUrl = FileUtils.makeAbsoluteURL(whiteListUrl, authConfig.getRootConfigFileDir());
+			try {			
+				InputStream is = new FileInputStream(new File(new URL(absWhiteListUrl).toURI()));
+				String whiteListString = IOUtils.toString(new InputStreamReader(is));
+				whitelist = KeyValueUtils.getListOfCSVValues(KeyValueUtils.normalizeCSVValueString(whiteListString));
+				Logger.info("User whitelist is initialized with " + whitelist.size() + " entries.");
+				 
+			} catch (FileNotFoundException e) {
+				Logger.warn("Do not initialize user whitelist. Reason: CSV file with bPKs NOT found", e);
+
+			} catch (IOException e) {
+				Logger.warn("Do not initialize user whitelist. Reason: CSV file is NOT readable", e);
+				
+			} catch (URISyntaxException e) {
+				Logger.warn("Do not initialize user whitelist. Reason: CSV file looks wrong", e);
+				
+			}
+			
+		}
+		
+	}
+	
+	/**
+	 * Check if bPK is in whitelist
+	 * 
+	 * @param bPK
+	 * @return true if bPK is in whitelist, otherwise false
+	 */
+	public boolean isUserbPKInWhitelist(String bPK) {		
+		return whitelist.contains(bPK);
+		
+	}
+}
diff --git a/id/server/idserverlib/src/main/resources/moaid.authentication.beans.xml b/id/server/idserverlib/src/main/resources/moaid.authentication.beans.xml
index ba8c47304..dc3022ab4 100644
--- a/id/server/idserverlib/src/main/resources/moaid.authentication.beans.xml
+++ b/id/server/idserverlib/src/main/resources/moaid.authentication.beans.xml
@@ -42,6 +42,9 @@
 	<bean id="MOAID_SSOManager" 
 				class="at.gv.egovernment.moa.id.moduls.SSOManager"/>
 
+	<bean id="UserWhiteList_Store" 
+				class="at.gv.egovernment.moa.id.config.auth.data.UserWhitelistStore"/>
+
 	
 
 	<bean id="AuthenticationSessionStoreage" 
@@ -91,7 +94,11 @@
 				
 	<bean id="EvaluateSSOConsentsTaskImpl" 
 				class="at.gv.egovernment.moa.id.auth.modules.internal.tasks.EvaluateSSOConsentsTaskImpl"
-				scope="prototype"/>		
+				scope="prototype"/>
+				
+	<bean id="UserRestrictionTask" 
+				class="at.gv.egovernment.moa.id.auth.modules.internal.tasks.UserRestrictionTask"
+				scope="prototype"/>			
 				
 	<beans profile="advancedLogOn">
 		<bean id="StatisticLogger" 
diff --git a/id/server/idserverlib/src/main/resources/resources/properties/id_messages_de.properties b/id/server/idserverlib/src/main/resources/resources/properties/id_messages_de.properties
index 84fd93773..799b32025 100644
--- a/id/server/idserverlib/src/main/resources/resources/properties/id_messages_de.properties
+++ b/id/server/idserverlib/src/main/resources/resources/properties/id_messages_de.properties
@@ -52,6 +52,7 @@ auth.31=Federated authentication FAILED. No information for AttributeQuery, mayb
 auth.32=Federated authentication FAILED. No configuration for IDP {0}
 auth.33=Federated authentication FAILED. Configuration of IDP {0} does not allow inbound messages. 
 auth.34=Federated authentication FAILED. Configuration of IDP {0} is marked as BusinessService-IDP, but Public-Service attributes are requested.
+auth.35=Der Anmeldevorgang wurde automatisiert abgebrochen, da der Benutzer nicht für dieses Onlineapplikation berechtigt ist. 
 
 init.00=MOA-ID-Auth wurde erfolgreich gestartet
 init.01=Fehler beim Aktivieren des IAIK-JCE/JSSE/JDK1.3 Workaround\: SSL ist m\u00F6glicherweise nicht verf\u00FCgbar
@@ -336,6 +337,7 @@ slo.02=Es wurde keine aktive SSO Session gefunden oder Sie sind bei keiner Onlin
 process.01=Fehler beim Ausf\u00FChren des Prozesses.
 process.02=Fehler beim Erstellen eines geeigneten Prozesses f\u00FCr die SessionID {0}.
 process.03=Fehler beim Weiterf\u00FChren es Prozesses. Msg:{0}
+process.03=Fehler beim Ausf\u00FChren des Prozesses. Interner state ung\u00FCltig.
 
 sl20.00=Allgemeiner Fehler w\u00e4hrend SL2.0 Authentifizierung. Msg: {0}
 sl20.01=Fehler beim Generieren des SL2.0 Kommandos. Msg: {0}
diff --git a/id/server/idserverlib/src/main/resources/resources/properties/protocol_response_statuscodes_de.properties b/id/server/idserverlib/src/main/resources/resources/properties/protocol_response_statuscodes_de.properties
index d77ea437b..dae88889f 100644
--- a/id/server/idserverlib/src/main/resources/resources/properties/protocol_response_statuscodes_de.properties
+++ b/id/server/idserverlib/src/main/resources/resources/properties/protocol_response_statuscodes_de.properties
@@ -32,6 +32,7 @@ auth.31=4400
 auth.32=4401
 auth.33=4401
 auth.34=4401
+auth.35=1111
 
 init.00=9199
 init.01=9199
@@ -103,6 +104,7 @@ service.10=4500
 process.01=9104
 process.02=9104
 process.03=9105
+process.03=9104
  
 sp.pvp2.00=4501
 sp.pvp2.01=4501
diff --git a/id/server/modules/moa-id-modul-citizencard_authentication/src/main/resources/at/gv/egovernment/moa/id/auth/modules/internal/DefaultAuthentication.process.xml b/id/server/modules/moa-id-modul-citizencard_authentication/src/main/resources/at/gv/egovernment/moa/id/auth/modules/internal/DefaultAuthentication.process.xml
index 74792ed72..48c7b6a07 100644
--- a/id/server/modules/moa-id-modul-citizencard_authentication/src/main/resources/at/gv/egovernment/moa/id/auth/modules/internal/DefaultAuthentication.process.xml
+++ b/id/server/modules/moa-id-modul-citizencard_authentication/src/main/resources/at/gv/egovernment/moa/id/auth/modules/internal/DefaultAuthentication.process.xml
@@ -15,7 +15,8 @@
 	<pd:Task id="prepareAuthBlockSignature" class="PrepareAuthBlockSignatureTask" />
 	<pd:Task id="prepareGetMISMandate" 			class="PrepareGetMISMandateTask" />
 	<pd:Task id="finalizeAuthentication" 		class="FinalizeAuthenticationTask" />
-	<pd:Task id="getForeignID"              class="GetForeignIDTask"              async="true" />
+	<pd:Task id="getForeignID"              class="GetForeignIDTask"              async="true" />	
+	<pd:Task id="userRestrictionTask" class="UserRestrictionTask" />
 
 	<!-- Process is triggered either by GenerateIFrameTemplateServlet (upon bku selection) or by AuthenticationManager (upon legacy authentication start using legacy parameters. -->
 	<pd:StartEvent id="start" />
@@ -39,13 +40,15 @@
 	<pd:Transition from="verifyCertificate"         to="getForeignID" />
 	
 	<pd:Transition from="verifyAuthBlock"           to="prepareGetMISMandate" conditionExpression="ctx['useMandate']" />
-	<pd:Transition from="verifyAuthBlock"           to="finalizeAuthentication" />
+	<pd:Transition from="verifyAuthBlock"           to="userRestrictionTask" />
 	
 	<pd:Transition from="prepareGetMISMandate"      to="getMISMandate" />
 		
-	<pd:Transition from="getMISMandate"           	to="finalizeAuthentication" />
-	<pd:Transition from="getForeignID"              to="finalizeAuthentication" />
+	<pd:Transition from="getMISMandate"           	to="userRestrictionTask" />
+	<pd:Transition from="getForeignID"              to="userRestrictionTask" />
 	
+	
+	<pd:Transition from="userRestrictionTask"           to="finalizeAuthentication" />
 	<pd:Transition from="finalizeAuthentication"    to="end" />
 		
 	<pd:EndEvent id="end" />
diff --git a/id/server/modules/moa-id-module-elga_mandate_service/src/main/resources/at/gv/egovernment/moa/id/auth/modules/elgamandates/DefaultAuth_with_ELGA_mandates.process.xml b/id/server/modules/moa-id-module-elga_mandate_service/src/main/resources/at/gv/egovernment/moa/id/auth/modules/elgamandates/DefaultAuth_with_ELGA_mandates.process.xml
index d41e8a017..60fd120d0 100644
--- a/id/server/modules/moa-id-module-elga_mandate_service/src/main/resources/at/gv/egovernment/moa/id/auth/modules/elgamandates/DefaultAuth_with_ELGA_mandates.process.xml
+++ b/id/server/modules/moa-id-module-elga_mandate_service/src/main/resources/at/gv/egovernment/moa/id/auth/modules/elgamandates/DefaultAuth_with_ELGA_mandates.process.xml
@@ -17,6 +17,8 @@
 	<pd:Task id="finalizeAuthentication" 		class="FinalizeAuthenticationTask" />
 	<pd:Task id="getForeignID"              class="GetForeignIDTask"              async="true" />
 	
+	<pd:Task id="userRestrictionTask" class="UserRestrictionTask" />
+	
 	<!-- ELGA Mandate-Service Tasks -->
 	<pd:Task id="redirectToMandateSelectionTask"    class="RedirectToMandateSelectionTask" />
 	<pd:Task id="selectMandateServiceTask"    			class="SelectMandateServiceTask" async="true"/>
@@ -47,7 +49,7 @@
 	<pd:Transition from="verifyCertificate"         to="getForeignID" />
 	
 	<pd:Transition from="verifyAuthBlock"           to="redirectToMandateSelectionTask" conditionExpression="ctx['useMandate']" />
-	<pd:Transition from="verifyAuthBlock"           to="finalizeAuthentication" />
+	<pd:Transition from="verifyAuthBlock"           to="userRestrictionTask" />
 	
 	<pd:Transition from="redirectToMandateSelectionTask"   to="prepareGetMISMandate" conditionExpression="ctx['useMISMandate']" />	
 	<pd:Transition from="redirectToMandateSelectionTask"   to="selectMandateServiceTask" />		
@@ -60,13 +62,14 @@
 
 			
 	<pd:Transition from="requestELGAMandateTask"      		to="receiveElgaMandateResponseTask" />
-	<pd:Transition from="receiveElgaMandateResponseTask"  to="finalizeAuthentication" />
+	<pd:Transition from="receiveElgaMandateResponseTask"  to="userRestrictionTask" />
 	
 	<pd:Transition from="prepareGetMISMandate"      to="getMISMandate" />	
-	<pd:Transition from="getMISMandate"           	to="finalizeAuthentication" />
-	
-	<pd:Transition from="getForeignID"              to="finalizeAuthentication" />
+	<pd:Transition from="getMISMandate"           	to="userRestrictionTask" />
 	
+	<pd:Transition from="getForeignID"              to="userRestrictionTask" />
+		
+	<pd:Transition from="userRestrictionTask"       to="finalizeAuthentication" />
 	<pd:Transition from="finalizeAuthentication"    to="end" />
 		
 	<pd:EndEvent id="end" />
diff --git a/id/server/modules/moa-id-module-sl20_authentication/src/main/resources/sl20.Authentication.process.xml b/id/server/modules/moa-id-module-sl20_authentication/src/main/resources/sl20.Authentication.process.xml
index 4975dc2d7..673144b06 100644
--- a/id/server/modules/moa-id-module-sl20_authentication/src/main/resources/sl20.Authentication.process.xml
+++ b/id/server/modules/moa-id-module-sl20_authentication/src/main/resources/sl20.Authentication.process.xml
@@ -3,16 +3,20 @@
 
 	<pd:Task id="createQualifiedeIDRequest" class="CreateQualeIDRequestTask" />
 	<pd:Task id="receiveQualifiedeID" class="ReceiveQualeIDResponseTask"  async="true"/>
-	<pd:Task id="verifyQualifiedeIDTask" class="VerifyQualifiedeIDTask" async="true"/>	
+	<pd:Task id="verifyQualifiedeIDTask" class="VerifyQualifiedeIDTask" async="true"/>
+	<pd:Task id="userRestrictionTask" class="UserRestrictionTask" />	
 	<pd:Task id="finalizeAuthentication" class="FinalizeAuthenticationTask" />
 
 	<pd:StartEvent id="start" />
 	<pd:Transition from="start" to="createQualifiedeIDRequest" />	
 	<pd:Transition from="createQualifiedeIDRequest" to="receiveQualifiedeID" />	
 	<pd:Transition from="receiveQualifiedeID" to="verifyQualifiedeIDTask" />
-	<pd:Transition from="verifyQualifiedeIDTask" to="finalizeAuthentication" />			
+	<pd:Transition from="verifyQualifiedeIDTask" to="userRestrictionTask" />			
+	<pd:Transition from="userRestrictionTask" to="finalizeAuthentication" />
 	<pd:Transition from="finalizeAuthentication"    to="end" />
 	
+	
+	
 	<pd:EndEvent id="end" />
 
 </pd:ProcessDefinition>
-- 
cgit v1.2.3


From 3535ae9500b29d0b2d0f317ea7f47a6c25c6f70e Mon Sep 17 00:00:00 2001
From: Thomas Lenz <tlenz@iaik.tugraz.at>
Date: Tue, 10 Jul 2018 16:53:03 +0200
Subject: some small updates and handbook update

---
 .../resources/applicationResources_de.properties   |   8 +-
 .../resources/applicationResources_en.properties   |   8 +-
 .../data/deploy/conf/moa-id/moa-id.properties      |  36 +-
 .../conf/moa-spss/SampleMOASPSSConfiguration.xml   |   3 +
 id/server/doc/handbook/additional/additional.html  |  25 ++
 id/server/doc/handbook/config/config.html          | 414 ++++-----------------
 .../id/advancedlogging/MOAIDEventConstants.java    |   8 +-
 .../moa/id/advancedlogging/MOAReversionLogger.java |   6 +
 .../EidasCentralAuthConstants.java                 |   2 +-
 ...idasCentralAuthRequestBuilderConfiguration.java |  12 +-
 .../tasks/CreateAuthnRequestTask.java              |  10 +
 .../tasks/ReceiveAuthnResponseTask.java            |  39 +-
 12 files changed, 179 insertions(+), 392 deletions(-)

(limited to 'id/server/doc/handbook')

diff --git a/id/ConfigWebTool/src/main/resources/applicationResources_de.properties b/id/ConfigWebTool/src/main/resources/applicationResources_de.properties
index 4b29f901a..030a30adc 100644
--- a/id/ConfigWebTool/src/main/resources/applicationResources_de.properties
+++ b/id/ConfigWebTool/src/main/resources/applicationResources_de.properties
@@ -152,7 +152,7 @@ webpages.moaconfig.moasp.url=URL zum MOA-SP Service
 webpages.moaconfig.identitylinksigners=IdentityLinkSigners
 webpages.moaconfig.services.header=Externe Services
 webpages.moaconfig.services.mandates=Online-Vollmachten Service URLs (CSV)
-webpages.moaconfig.services.szrgw=SZR Gateway Service URLs (CSV)
+webpages.moaconfig.services.szrgw=Zentraler nationaler eIDAS Connector URLs (CSV)
 webpages.moaconfig.services.elgamandateservice=ELGA Mandate Service EntityIDs (CSV)
 webpages.moaconfig.sso.header=Single Sign-On
 webpages.moaconfig.sso.PublicUrl=SSO Service URL-Prefix
@@ -263,8 +263,8 @@ webpages.oaconfig.general.aditional.useUTC=UTC Zeit verwenden
 webpages.oaconfig.general.aditional.calculateHPI="TODO!"
 webpages.oaconfig.general.isHideBPKAuthBlock=bPK/wbPK im AuthBlock ausblenden
 
-webpages.oaconfig.general.szrgw.header=SZR-Gateway Service
-webpages.oaconfig.general.szrgw.selected=SZR-Gateway Service URL
+webpages.oaconfig.general.szrgw.header=Zentraler nationaler eIDAS Connector
+webpages.oaconfig.general.szrgw.selected=URL zum zentralen eIDAS Connector
 
 webpages.oaconfig.menu.saml1.show=SAML1 Konfiguration einblenden
 webpages.oaconfig.menu.saml1.hidden=SAML1 Konfiguration ausblenden
@@ -409,7 +409,7 @@ validation.general.IdentityLinkSigners.empty=Es wurde kein IdentityLinkSigner an
 validation.general.IdentityLinkSigners.valid=Der IdentityLinkSigner in der Zeile {0} enth\u00E4lt ein ung\u00FCltiges Zeichen. Folgende Zeichen sind nicht erlaubt\: {1}
 validation.general.mandateservice.valid=Die URL {0} zum Online-Vollmachten Service hat kein g\u00F6ltiges Format.
 validation.general.elga.mandateservice.valid=Die EntityID {0} zum ELGA Vertretungsservice hat kein g\u00F6ltiges Format.
-validation.general.szrgw.url.valid=Die URL {0} des SZR Gateways hat kein g\u00F6ltiges Format.
+validation.general.szrgw.url.valid=Die URL {0} des zentralen eIDAS Connectors hat kein g\u00F6ltiges Format.
 validation.general.moasp.auth.transformation.empty=Die Transformation f\u00F6r den Authentfizierungsblock ist leer.
 validation.general.moasp.auth.transformation.valid=Die Transformation f\u00F6r den Authentfizierungsblock  in der Zeile {0} enth\u00E4lt ein ung\u00FCltiges Zeichen. Folgende Zeichen sind nicht erlaubt\: {1}
 validation.general.moasp.auth.trustprofile.empty=Das TrustProfile zur Pr\u00F6fung des Authentfizierungsblock ist leer.
diff --git a/id/ConfigWebTool/src/main/resources/applicationResources_en.properties b/id/ConfigWebTool/src/main/resources/applicationResources_en.properties
index d642994de..cf87394b9 100644
--- a/id/ConfigWebTool/src/main/resources/applicationResources_en.properties
+++ b/id/ConfigWebTool/src/main/resources/applicationResources_en.properties
@@ -151,7 +151,7 @@ webpages.moaconfig.moasp.url=URL for MOA-SP Service
 webpages.moaconfig.identitylinksigners=IdentityLinkSigners
 webpages.moaconfig.services.header=External Services
 webpages.moaconfig.services.mandates=Online-Mandate Service URLs (CSV)
-webpages.moaconfig.services.szrgw=SZR Gateway Service URLs (CSV)
+webpages.moaconfig.services.szrgw=Central national eIDAS Conenctor URLs (CSV)
 webpages.moaconfig.services.elgamandateservice=ELGA Mandate Service EntityIDs (CSV)
 webpages.moaconfig.sso.header=Single Sign-On
 webpages.moaconfig.sso.PublicUrl=SSO Service URL-Prefix
@@ -269,8 +269,8 @@ webpages.oaconfig.general.aditional.useUTC=Use UTC time
 webpages.oaconfig.general.aditional.calculateHPI="TODO!"
 webpages.oaconfig.general.isHideBPKAuthBlock=Hide bPK/wbPK from AuthBlock
 
-webpages.oaconfig.general.szrgw.header=SZR-Gateway Service
-webpages.oaconfig.general.szrgw.selected=SZR-Gateway Service URL
+webpages.oaconfig.general.szrgw.header=Central national eIDAS Connector
+webpages.oaconfig.general.szrgw.selected=URL to central eIDAS Connector
 
 webpages.oaconfig.menu.saml1.show=Show SAML1 configuration
 webpages.oaconfig.menu.saml1.hidden=Hide SAML1 configuration
@@ -408,7 +408,7 @@ validation.general.IdentityLinkSigners.empty=There is no IdentityLinkSigner give
 validation.general.IdentityLinkSigners.valid=IdentityLinkSigner in the line {0} contains forbidden characters. The following characters are not allowed\: {1}
 validation.general.mandateservice.valid=URL {0} for Online-Mandating Service has invalid format.
 validation.general.elga.mandateservice.valid=EntityID {0} for ELGA Mandate-Service has invalid format.
-validation.general.szrgw.url.valid=URL {0} for SZR Gateway has invalid format.
+validation.general.szrgw.url.valid=URL {0} for central eIDAs Connector has invalid format.
 validation.general.moasp.auth.transformation.empty=Transformation for authentication block is blank.
 validation.general.moasp.auth.transformation.valid=Transformation for authentication block in the line {0} contians forbidden characters. The following characters are not allowed\: {1}
 validation.general.moasp.auth.trustprofile.empty=TrustProfile for checking of authentication block is blank.
diff --git a/id/server/data/deploy/conf/moa-id/moa-id.properties b/id/server/data/deploy/conf/moa-id/moa-id.properties
index fa6bccef0..e8cdcf74d 100644
--- a/id/server/data/deploy/conf/moa-id/moa-id.properties
+++ b/id/server/data/deploy/conf/moa-id/moa-id.properties
@@ -27,22 +27,11 @@ configuration.monitoring.test.identitylink.url=$PATH_TO_CONFIG$/conf/moa-id/moni
 #MOA-ID 3.x Advanced Logging
 configuration.advancedlogging.active=false
 
-##Webservice Client Configuration
-#MOA-SP webservice
-#service.moasp.acceptedServerCertificates=
-#service.moasp.clientKeyStore=
-#service.moasp.clientKeyStorePassword=
-
 #Online mandates webservice (MIS)
 service.onlinemandates.acceptedServerCertificates=
 service.onlinemandates.clientKeyStore=keys/....
 service.onlinemandates.clientKeyStorePassword=
 
-#Foreign Identities (SZRGW)
-service.foreignidentities.acceptedServerCertificates=
-service.foreignidentities.clientKeyStore=keys/....
-service.foreignidentities.clientKeyStorePassword=
-
 ##Protocol configuration##
 #PVP2
 protocols.pvp2.idp.ks.file=file:$PATH_TO_CONFIG$/conf/moa-id/keys/moa_idp[password].p12
@@ -61,6 +50,31 @@ protocols.oauth20.jwt.ks.password=password
 protocols.oauth20.jwt.ks.key.name=oauth
 protocols.oauth20.jwt.ks.key.password=password
 
+
+
+######## central eIDAS-node connector module ##########
+modules.eidascentralauth.keystore.path=file:$PATH_TO_CONFIG$/conf/moa-id/keys/moa_idp[password].p12
+modules.eidascentralauth.keystore.password=password
+modules.eidascentralauth.metadata.sign.alias=pvp_metadata
+modules.eidascentralauth.metadata.sign.password=password
+modules.eidascentralauth.request.sign.alias=pvp_assertion 
+modules.eidascentralauth.request.sign.password=password
+modules.eidascentralauth.response.encryption.alias=pvp_assertion 
+modules.eidascentralauth.response.encryption.password=password
+ 
+modules.eidascentralauth.node.trustprofileID=centralnode_metadata
+
+
+#modules.eidascentralauth.required.additional.attributes.0=urn:oid:1.2.40.0.10.2.1.1.261.36,false
+#modules.eidascentralauth.required.additional.attributes.1=urn:oid:1.2.40.0.10.2.1.1.261.104,false
+#modules.eidascentralauth.required.additional.attributes.2=urn:oid:1.2.40.0.10.2.1.1.261.38,false
+
+##########################################################
+
+
+
+
+
 ##Database configuration##
 configuration.database.byteBasedValues=false
 
diff --git a/id/server/data/deploy/conf/moa-spss/SampleMOASPSSConfiguration.xml b/id/server/data/deploy/conf/moa-spss/SampleMOASPSSConfiguration.xml
index 31fc8a16c..18952eaf7 100644
--- a/id/server/data/deploy/conf/moa-spss/SampleMOASPSSConfiguration.xml
+++ b/id/server/data/deploy/conf/moa-spss/SampleMOASPSSConfiguration.xml
@@ -64,6 +64,9 @@
 				<cfg:Id>PVP_metadata</cfg:Id>
 					<cfg:TrustAnchorsLocation>trustProfiles/PVP_metadata</cfg:TrustAnchorsLocation>
 				</cfg:TrustProfile>
+        <cfg:Id>centralnode_metadata</cfg:Id>
+					<cfg:TrustAnchorsLocation>trustProfiles/centralnode_metadata</cfg:TrustAnchorsLocation>
+				</cfg:TrustProfile>
 			</cfg:PathValidation>
 			<cfg:RevocationChecking>
 				<cfg:EnableChecking>true</cfg:EnableChecking>
diff --git a/id/server/doc/handbook/additional/additional.html b/id/server/doc/handbook/additional/additional.html
index 9e3cdf11e..557f3d528 100644
--- a/id/server/doc/handbook/additional/additional.html
+++ b/id/server/doc/handbook/additional/additional.html
@@ -610,6 +610,31 @@
       <td valign="top">&nbsp;</td>
       <td valign="top">Personenbindung f&uuml;r Authentifizierung &uuml;ber eIDAS Node erstellt</td>
     </tr>
+    <tr>
+      <td valign="top">6200</td>
+      <td valign="top">&nbsp;</td>
+      <td valign="top">Anmeldung via nationalen zentralen eIDAS Knoten gestartet</td>
+    </tr>
+    <tr>
+      <td valign="top">6201</td>
+      <td valign="top">RequestID</td>
+      <td valign="top">Weiterleitung an zentralen eIDAS Knoten mit RequestID</td>
+    </tr>
+    <tr>
+      <td valign="top">6202</td>
+      <td valign="top">ResponseID</td>
+      <td valign="top">Antwort von zentralem eIDAS Knoten mit ResponseID erhalten</td>
+    </tr>
+    <tr>
+      <td valign="top">6203</td>
+      <td valign="top">&nbsp;</td>
+      <td valign="top">Antwort von zentralem eIDAS Knoten enth&auml;lt einen Fehler</td>
+    </tr>
+    <tr>
+      <td valign="top">6204</td>
+      <td valign="top">&nbsp;</td>
+      <td valign="top">Antwort von zentralem eIDAS Knoten vollst&auml;ndig und g&uuml;ltig</td>
+    </tr>
   </table>
 <p>&nbsp;</p>
 <p>Einzelne  Events werden um einen Transaktionsparameter erg&auml;nzt, welcher in der Spalte  Wert beschrieben ist. <br>
diff --git a/id/server/doc/handbook/config/config.html b/id/server/doc/handbook/config/config.html
index 30624d3b0..26925709e 100644
--- a/id/server/doc/handbook/config/config.html
+++ b/id/server/doc/handbook/config/config.html
@@ -59,7 +59,7 @@
   <ol>
     <li><a href="#basisconfig_moa_id_auth_param_services_moasp">MOA-SP</a></li>
     <li><a href="#basisconfig_moa_id_auth_param_services_mandates">Online-Vollmachen</a></li>
-    <li><a href="#">Foreign Identities</a></li>
+    <li><a href="#">Zentraler eIDAS Knoten</a></li>
     </ol>
     </li>
   <li><a href="#basisconfig_moa_id_auth_param_protocol">Protokolle</a>
@@ -77,7 +77,6 @@
     </li>
   <li>  <a href="#basisconfig_moa_id_auth_param_testing">Testing</a></li>
   <li><a href="#basisconfig_moa_id_auth_szrclient">SZR Client f&uuml;r STORK &lt;-&gt; PVP Gateway Betrieb</a></li>
-  <li><a href="#basisconfig_moaid_stork2">STORK 2.0</a></li>
 </ol>
 </li>
           </ol>
@@ -98,14 +97,13 @@
             <li><a href="#konfigurationsparameter_allgemein_moasp">MOA-SP</a></li>
             <li><a href="#konfigurationsparameter_allgemein_services">Externe Services</a></li>
             <li><a href="#konfigurationsparameter_allgemein_sso">Single-Sign On (SSO)</a></li>
-            <li><a href="#konfigurationsparameter_allgemein_stork">Secure idenTity acrOss boRders linKed (STORK)</a></li>
             <li><a href="#konfigurationsparameter_allgemein_protocol">Protokolle</a>
-<ol>
-            <li><a href="#konfigurationsparameter_allgemein_protocol_allowed">Protkolle aktivieren</a></li>
-                <li><a href="#konfigurationsparameter_allgemein_protocol_legacy">Legacy Modus</a></li>
-                <li><a href="#konfigurationsparameter_allgemein_protocol_saml1">SAML1 Konfiguration</a></li>
-                <li><a href="#konfigurationsparameter_allgemein_protocol_pvp21">PVP2.1 Konfiguration </a></li>
-              </ol>
+  <ol>
+    <li><a href="#konfigurationsparameter_allgemein_protocol_allowed">Protkolle aktivieren</a></li>
+    <li><a href="#konfigurationsparameter_allgemein_protocol_legacy">Legacy Modus</a></li>
+    <li><a href="#konfigurationsparameter_allgemein_protocol_saml1">SAML1 Konfiguration</a></li>
+    <li><a href="#konfigurationsparameter_allgemein_protocol_pvp21">PVP2.1 Konfiguration </a></li>
+    </ol>
             </li>
             <li><a href="#konfigurationsparameter_allgemein_sltransform">Security-Layer Transformationen</a></li>
             <li><a href="#general_revision">Revisionssicherheit</a></li>
@@ -122,9 +120,9 @@
             <li><a href="#konfigurationsparameter_oa_bku">BKU Konfiguration</a></li>
             <li><a href="#konfigurationsparameter_oa_testcredentials">Test Credentials</a></li>
             <li><a href="#konfigurationsparameter_oa_mandates">Vollmachten</a></li>
-            <li><a href="#konfigurationsparameter_oa_szr-gw-service">SZR-Gateway Service</a></li>
+            <li><a href="#konfigurationsparameter_oa_szr-gw-service">Zentraler eIDAS Connector</a></li>
             <li><a href="#konfigurationsparameter_oa_sso">Single Sign-On (SSO)</a></li>
-            <li><a href="#konfigurationsparameter_oa_stork">Secure idenTity acrOss boRders linKed (STORK)</a></li>
+            <li><a href="#konfigurationsparameter_oa_stork">Authentifizierung via eIDAS</a></li>
             <li><a href="#konfigurationsparameter_oa_protocol">Authentifizierungsprotokolle</a>
 <ol>
             <li><a href="#konfigurationsparameter_oa_protocol_saml1">SAML 1</a></li>
@@ -504,8 +502,8 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/MonitoringServlet</pre>
   </tr>
 </table>
 <p>&nbsp;</p>
-<h6><a name="basisconfig_moa_id_auth_param_services_foreign" id="uebersicht_bekanntmachung8"></a>2.2.2.2.3 Foreign Identities</h6>
-<p>MOA-ID-Auth bietet die M&ouml;glichkeit der Nutzung von ausl&auml;ndischen Karten oder die Anmeldung ausl&auml;ndischer Personen mittels STORK. Hierf&uuml;r ist   eine Verbindung zum Stammzahlenregister-Gateway n&ouml;tig, das einen entsprechenden Zugang   zum Stammzahlenregister bereitstellt. F&uuml;r diesen Zugriff muss das   Client-Zertifikat f&uuml;r die SSL-Verbindung zum Gateway angegeben werden.   Voraussetzung daf&uuml;r ist ein Zertifikat von A-Trust bzw. A-CERT mit   Verwaltungseigenschaft  oder Dienstleistereigenschaft. Wenn ihr MOA-ID-Auth   Zertifikat diese Voraussetzung erf&uuml;llt, k&ouml;nnen Sie dieses hier angeben.</p>
+<h6><a name="basisconfig_moa_id_auth_param_services_foreign" id="uebersicht_bekanntmachung8"></a>2.2.2.2.3 Zentraler eIDAS Knoten</h6>
+<p>MOA-ID-Auth bietet die M&ouml;glichkeit  die Anmeldung ausl&auml;ndischer Personen mittels eIDAS. Hierf&uuml;r ist   eine Verbindung zum &ouml;sterreichischen zentralen eIDAS Knoten notwendig.  F&uuml;r diesen Zugriff muss der Zugriff auf den zentralen eIDAS Knoten wie unten angegeben konfiguriert werden. Der Zugriff auf den zentralen eIDAS Knoten erfolgt via PVP2 S-Profil wobei das Signaturzertifikat f&uuml;r die PVP2 Metadaten beim Betreiber des zentralen eIDAS Knoten registriert werden muss.</p>
 <table class="configtable">
   <tr>
     <th>Name</th>
@@ -513,19 +511,55 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/MonitoringServlet</pre>
     <th>Beschreibung</th>
   </tr>
   <tr>
-    <td>service.foreignidentities.clientKeyStore</td>
+    <td>modules.eidascentralauth.keystore.path</td>
     <td>keys/szrgw.p12</td>
-    <td>Dateiname des PKCS#12 Keystores, relativ zur MOA-ID Konfigurationsdatei.                Diesem Keystore wird der private Schl&uuml;ssel f&uuml;r                die TLS-Client-Authentisierung entnommen.</td>
+    <td>Dateiname des Java Keystore oder PKCS12 Keystore zur Signierung von PVP 2.1 spezifischen Inhalten. (PVP 2.1 Metadaten, PVP 2.1 Assertion)</td>
   </tr>
   <tr>
-    <td>service.foreignidentities.clientKeyStorePassword</td>
+    <td>modules.eidascentralauth.keystore.password</td>
     <td>pass1234</td>
     <td>Passwort zum Keystore</td>
   </tr>
   <tr>
-    <td>service.foreignidentities.acceptedServerCertificates</td>
-    <td>certs/szrgw-server/</td>
-    <td>Hier kann ein Verzeichnisname              (relativ zur MOA-ID Konfigurationsdatei) angegeben werden, in dem              die akzeptierten Zertifikate der TLS-Verbindung hinterlegt sind. In              diesem Verzeichnis werden nur Serverzertifikate abgelegt. Fehlt dieser              Parameter wird lediglich &uuml;berpr&uuml;ft ob ein Zertifikatspfad              zu den im Element &lt;TrustedCACertificates&gt; (siehe <a href="#konfigurationsparameter_allgemein_certvalidation">Kapitel 3.1.4</a>) angegebenen              Zertifikaten erstellt werden kann.</td>
+    <td>modules.eidascentralauth.metadata.sign.alias</td>
+    <td>&nbsp;</td>
+    <td>Name des Schl&uuml;ssels der zur Signierung der PVP 2.1 Metadaten des eIDAS Authentifizierungsmoduls</td>
+  </tr>
+  <tr>
+    <td>modules.eidascentralauth.metadata.sign.password</td>
+    <td>&nbsp;</td>
+    <td>Passwort des Schl&uuml;ssels der zur Signierung der PVP 2.1 Metadaten  des eIDAS Authentifizierungsmoduls</td>
+  </tr>
+  <tr>
+    <td>modules.eidascentralauth.request.sign.alias</td>
+    <td>&nbsp;</td>
+    <td>Name des Schl&uuml;ssels mit dem der PVP 2.1 Authn. Request durch MOA-ID-Auth unterschieben wird</td>
+  </tr>
+  <tr>
+    <td>modules.eidascentralauth.request.sign.password</td>
+    <td>&nbsp;</td>
+    <td>Passwort des Schl&uuml;ssels mit dem der PVP 2.1 Authn. Request durch MOA-ID-Auth unterschieben wird</td>
+  </tr>
+  <tr>
+    <td>modules.eidascentralauth.response.encryption.alias</td>
+    <td>&nbsp;</td>
+    <td>Name des Schl&uuml;ssels mit dem die PVP 2.1 Assertion f&uuml;r MOA-ID-Auth verschl&uuml;sselt werden soll</td>
+  </tr>
+  <tr>
+    <td>modules.eidascentralauth.response.encryption.password</td>
+    <td>&nbsp;</td>
+    <td>Passwort des Schl&uuml;ssels mit dem PVP 2.1 Assertion f&uuml;r MOA-ID-Auth verschl&uuml;sselt werden soll</td>
+  </tr>
+  <tr>
+    <td>modules.eidascentralauth.node.trustprofileID</td>
+    <td>&nbsp;</td>
+    <td>MOA-SP TrustProfil welches die vertrauensw&uuml;rdigen Zertifikate zur Validierung der Metadaten des zentralen eIDAS Knoten beinhaltet</td>
+  </tr>
+  <tr>
+    <td>modules.eidascentralauth.required.additional.attributes.x</td>
+    <td>&nbsp;</td>
+    <td><p><strong>Optional:</strong> zus&auml;tzliche Attribute welche vom zentralen eIDAS Knoten angefordert werden</p>
+      <p>Attribute werden entspechend PVP2 Attribute-Profil angegeben. Beispiele f&uuml;r die Konfiguration finden Sie in der Beispielkonfiguration</p></td>
   </tr>
 </table>
 <p>&nbsp;</p>
@@ -911,38 +945,6 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/MonitoringServlet</pre>
   </table>
   <p>&nbsp;</p>
   <p><strong>Hinweis:</strong> Detaillierte Informationen zu den einzelnen PVP spezifischen Konfigurationsparametern finden Sie in der entsprechenden PVP Spezifikation.</p>
-  <h5><a name="basisconfig_moaid_stork2" id="uebersicht_bekanntmachung17"></a>2.2.2.6 STORK 2</h5>
-  <p>Dieses Abschnitt beschreibt Konfigurationswerte welche nur f&uuml;r den <strong>Testbetrieb von STORK 2</strong> erforderlich sind.</p>
-  <table class="configtable">
-    <tr>
-      <th>Name</th>
-      <th>Beispielwert</th>
-      <th>Beschreibung</th>
-    </tr>
-    <tr>
-      <td>stork.fakeIdL.active</td>
-      <td>true / false</td>
-      <td><p>Im Produktivbetrieb ist eine Anmeldung nur f&uuml;r jene L&auml;nder mittels STORK 2 m&ouml;glich welche in der <em>Gleichwertigkeitsverordnung</em> aufgelistet sind. Um einen Testbetrieb mit weiteren L&auml;ndern zu erm&ouml;glichen bietet das Modul MOA-ID-Auth die M&ouml;glichkeit zur Ausstellung eines Fake-Identititlink, welcher im Testbetrieb f&uuml;r die Anmeldung an einer &ouml;sterreichischen Test Online Applikation verwendet werden kann.</p>
-        <p><strong>Hinweis:</strong> Diese Funktion ist standardm&auml;&szlig;ig <strong>deaktiviert</strong>. Eine Aktivierung ist nur im Testbetrieb f&uuml;r STORK 2 empfohlen.</p></td>
-    </tr>
-    <tr>
-      <td>stork.fakeIdL.countries</td>
-      <td>DE,CH</td>
-      <td>K&uuml;rzel jener L&auml;nder f&uuml;r welche ein Fake-Identitilink ausgestellt werden soll.</td>
-    </tr>
-    <tr>
-      <td>stork.fakeIdL.keygroup</td>
-      <td>IDL_signing</td>
-      <td>MOA-SS Schl&uuml;sselgruppe, welche f&uuml;r die Signatur des Fake-Identitilinks verwendet werden soll.</td>
-    </tr>
-    <tr>
-      <td>stork.documentservice.url</td>
-      <td>http://testvidp.buergerkarte.at/<br>
-      DocumentService/DocumentService?wsdl</td>
-      <td>URL zum STORK 2 Dokumentenservice</td>
-    </tr>
-  </table>
-  <p>&nbsp;</p>
 <h3><a name="uebersicht_logging" id="uebersicht_logging"></a>2.3 Konfiguration des Loggings</h3>
   <p>Die Module MOA-ID-Auth und MOA-ID-Configuration verwendet als Framework f&uuml;r Logging-Information die Open Source Software <code>log4j</code>. Die Konfiguration der Logging-Information erfolgt  nicht direkt durch die einzelnen Module, sondern &uuml;ber eine eigene Konfigurationsdatei, die der <span class="term">Java Virtual Machine</span> durch eine <span class="term">System Property </span>  mitgeteilt wird. Der Name der <span class="term">System Property </span>  lautet <code>log4j.configuration</code>; als Wert der <span class="term">System Property </span>  ist eine URL anzugeben, die auf die <code>log4j</code>-Konfigurationsdatei verweist, z.B.  </p>
 <pre>log4j.configuration=file:/C:/Programme/apache/tomcat-8.x.x/conf/moa-id/log4j.properties</pre>
@@ -953,99 +955,8 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/MonitoringServlet</pre>
   <p>Weitere Informationen zur Konfiguration des Loggings erhalten Sie in <a href="../install/install.html#webservice_basisinstallation_logging">Abschnitt 2.1.3</a> des Installationshandbuchs.
   </p>
   <p></p>
-<h3><a name="uebersicht_samlengine" id="uebersicht_samlengine"></a>2.4 Konfiguration des SamlEngines</h3>
-<p>F&uuml;r die Untest&uuml;tzung des STORK2 Protokols verwendet MOA-ID eine zus&auml;tzliche Bibliothek, die &uuml;ber gesonderte Dateien konfiguriert wird. Diese Dateien sind unter einem Verzeichnis gespeichert, das sich &uuml;blicherweise im MOA-ID-Auth Konfigurationsverzeichnis befindet. Der Name der <span class="term">System Property </span>  lautet <code>eu.stork.samlengine.config.location</code>; als Wert der <span class="term">System Property </span>  ist das Verzeichnis anzugeben, wo die entsprechende SamlEngine Konfigurationsdateien gespeichert werden, z.B.  </p>
-<pre>eu.stork.samlengine.config.location=file:/C:/Programme/apache/tomcat-8.x.x/conf/moa-id/conf/moa-id/stork</pre>
-<p>Dieses Verzeichnis muss mindestens folgende Dateien enthalten:</p>
-<table class="configtable">
-  <tr>
-    <th>Datei</th>
-    <th>Beschreibung</th>
-  </tr>
-  <tr>
-    <td>SamlEngine.xml</td>
-    <td>Die Hauptdatei, in welcher die Konfigurationen von verschiedenen Instanzen des SamlEngines angegeben werden.</td>
-  </tr>
-   <tr>
-    <td>StorkSamlEngine_<span class="term">XXX</span>.xml</td>
-    <td>Enth&auml;lt allgemeine Konfigurationsparametern einer spezifischen Instanz des SamlEngines.</td>
-  </tr> <tr>
-    <td>SignModule_<span class="term">XXX</span>.xml</td>
-    <td>Enth&auml;lt Konfigurationsparametern f&uuml;r Trust- und Keystore einer spezifischen Instanz des SamlEngines.</td>
-  </tr>
-</table>
-<p></p>
-<p>In der Hauptkonfigurations-Datei (<span class="term">SamlEngine.xml</span>) verweist auf alle Konfigurationsdateien f&uuml;r sie SamlEngine, welche f&uuml;r unterschiedliche Anwendungsszenarien verwendet werden k&ouml;nnen. Die Beispielkonfiguration dieser Datei sieht wie folgendes: 
-</p>
-<pre>
-&lt;?xml version=&quot;1.0&quot; encoding=&quot;UTF-8&quot;?&gt;
-&lt;instances&gt;
-        &lt;!-- Configuration name--&gt;
-        &lt;instance name=&quot;<span class="strongerterm">VIDP</span>&quot;&gt;
-                &lt;!-- Configurations parameters StorkSamlEngine  --&gt;
-                &lt;configuration name=&quot;SamlEngineConf&quot;&gt;
-                        &lt;parameter name=&quot;fileConfiguration&quot; value=&quot;StorkSamlEngine_<span class="strongerterm">VIDP</span>.xml&quot; /&gt;
-                &lt;/configuration&gt;
-
-                &lt;!-- Settings module signature--&gt;
-                &lt;configuration name=&quot;SignatureConf&quot;&gt;
-                        &lt;!-- Specific signature module --&gt;
-                        &lt;parameter name=&quot;class&quot; value=&quot;eu.stork.peps.auth.engine.core.impl.SignSW&quot; /&gt;
-                        &lt;!-- Settings specific module --&gt;
-                        &lt;parameter name=&quot;fileConfiguration&quot; value=&quot;SignModule_<span class="strongerterm">VIDP</span>.xml&quot; /&gt;
-                &lt;/configuration&gt;
-        &lt;/instance&gt;
-&lt;/instances&gt;
-</pre>
-<p>In diesem Beispiel ist nur eine Instanz <em>VIDP</em> definiert deren spezifischen Parametern in zwei Konfigurationsdateien aufgeteilt werden.</p>
-<p>Die Datei <span class="strongerterm">StorkSamlEngine_VIDP.xml</span> enth&auml;lt STORK-spezifische Parameter, die im Normalbetrieb nicht ge&auml;ndert werden m&uuml;ssen. Die zweite Datei, <span class="strongerterm">SignModule_VIDP.xml</span>, definiert   den von der SamlEngine verwendeten Trust- und Keystore. Die Beispielkonfiguration dieser Datei sieht wie folgendes:</p>
-<pre>
-&lt;?xml version=&quot;1.0&quot; encoding=&quot;UTF-8&quot;?&gt;
-&lt;!DOCTYPE properties SYSTEM &quot;http://java.sun.com/dtd/properties.dtd&quot;&gt;
-
-&lt;properties&gt;
-        &lt;comment&gt;SWModule sign with JKS.&lt;/comment&gt;
-        &lt;entry key=&quot;keystorePath&quot;&gt;C:/Programme/apache/tomcat-4.1.30/conf/moa-id/keys/storkDemoKeys.jks&lt;/entry&gt;
-        &lt;entry key=&quot;keyStorePassword&quot;&gt;local-demo&lt;/entry&gt;
-        &lt;entry key=&quot;keyPassword&quot;&gt;<span class="strongerterm">XXX</span>&lt;/entry&gt;
-        &lt;entry key=&quot;issuer&quot;&gt;C=AT, L=Graz, OU=Institute for Applied Information Processing and Communications&lt;/entry&gt;
-        &lt;entry key=&quot;serialNumber&quot;&gt;123AA2CDB1123&lt;/entry&gt;
-        &lt;entry key=&quot;keystoreType&quot;&gt;JKS&lt;/entry&gt;
-&lt;/properties&gt;
-</pre>
-<p>Diese Parameter m&uuml;ssen bei der Installation angepasst werden, um die Zugriff an Keystore und die Schl&uuml;ssel zu erm&ouml;glichen. Die einzelne Parameter werden in folgender Tabelle erl&auml;utert:</p>
-<table class="configtable">
-  <tr>
-    <th>Name</th>
-    <th>Beschreibung</th>
-  </tr>
-  <tr>
-    <td>keystorePath</td>
-    <td>Keystore mit Schl&uuml;ssel und Zertifikaten welche f&uuml;r das Signieren und Verschl&uuml;sseln von STORK Nachrichten verwendet werden sollen. </td>
-  </tr>
-  <tr>
-    <td>keyStorePassword</td>
-    <td>Passwort des Keystores. Keystore soll den Schl&uuml;ssel f&uuml;r das Signieren von Nachrichten enthalten, ebenso wie die vertrauensw&uuml;rdige Zertifikate von anderen Parteien, wie z.B. ausl&auml;ndische PEPSes. </td>
-  </tr>
-  <tr>
-    <td>keyPassword</td>
-    <td>Password des Schl&uuml;ssels, der f&uuml;r das Signieren der STORK Nachrichten verwendet werden soll.</td>
-  </tr>
-  <tr>
-    <td>issuer</td>
-    <td>Issuer des Keypairs, der f&uuml;r das Signieren der STORK Nachrichten verwendet werden soll.</td>
-  </tr>
-  <tr>
-    <td>serialNumber</td>
-    <td>Nummer des Keypairs, der f&uuml;r das Signieren der STORK Nachrichten verwendet werden soll.</td>
-  </tr>
-  <tr>
-    <td>keystoreType</td>
-    <td>Typ und Format des Keystores. <span class="term">JKS</span> steht f&uuml;r <span class="term">Java Key Store</span>.</td>
-  </tr>
-</table>
-<h2><a name="konfigurationsparameter"></a>3 Konfiguration MOA-ID-Auth</h2>
-  <p>Dieser Abschnitt beschreibt die Konfiguration des Modules MOA-ID-Auth mithilfe der durch das Modul MOA-ID-Configuration zur Verf&uuml;gung gestellten Web-Oberfl&auml;che. Hierzu muss das Konfigurationstool (Module MOA-ID-Konfiguration) bereits installiert und konfiguriert sein (siehe <a href="#uebersicht_zentraledatei_aktualisierung">Kapitel 2.1</a>). Nach erfolgreichem Login am Konfigurationstool kann das Modul MOA-ID-Auth &uuml;ber die Web-Oberfl&auml;che konfiguriert werden.</p>
+<h3><a name="uebersicht_samlengine" id="uebersicht_samlengine"></a>3 Konfiguration MOA-ID-Auth</h3>
+<p>Dieser Abschnitt beschreibt die Konfiguration des Modules MOA-ID-Auth mithilfe der durch das Modul MOA-ID-Configuration zur Verf&uuml;gung gestellten Web-Oberfl&auml;che. Hierzu muss das Konfigurationstool (Module MOA-ID-Konfiguration) bereits installiert und konfiguriert sein (siehe <a href="#uebersicht_zentraledatei_aktualisierung">Kapitel 2.1</a>). Nach erfolgreichem Login am Konfigurationstool kann das Modul MOA-ID-Auth &uuml;ber die Web-Oberfl&auml;che konfiguriert werden.</p>
   <p>Die Konfiguration von MOA-ID-Auth ist in zwei Teilbereiche unterteilet. Diese behandeln die Allgemeine Konfiguration der MOA-ID-Auth Instanz und die Konfiguration von Online-Applikationen (Service Providern) welche dieser MOA-ID-Auth Instanz zugeordnet sind.</p>
 <h3><a name="konfigurationsparameter_allgemein" id="konfigurationsparameter_allgemein"></a>3.1
     Allgemeine Konfiguration</h3>
@@ -1212,9 +1123,9 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/MonitoringServlet</pre>
 <p>Hiermit werden die URLs  zum Online-Vollmachten Service und zum SZR-Gateway konfiguriert. Die Konfiguration der f&uuml;r den Zugriff ben&ouml;tigen Client-Zertifikate wurden bereits im Abschnitt <a href="#basisconfig_moa_id_auth_param_services">2.2.2.2</a> behandelt.</p>
 <table class="configtable">
   <tr>
-    <th>Name</th>
-    <th>Beispielwert</th>
-    <th>Beschreibung</th>
+    <th width="10%">Name</th>
+    <th width="23%">Beispielwert</th>
+    <th width="67%">Beschreibung</th>
   </tr>
   <tr>
     <td><span id="wwlbl_loadGeneralConfig_moaconfig_mandateURL">Online-Vollmachten Service (CSV)</span></td>
@@ -1229,16 +1140,15 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/MonitoringServlet</pre>
       <p><strong>Hinweis:</strong> Erfolgt in der Online Applikation keine konkrete Auswahl wird Standardm&auml;&szlig;ig <strong>das erste eingetragen Service</strong> verwendet.</p></td>
   </tr>
   <tr>
-    <td>SZR-Gateway Service (CSV)</td>
-    <td>https://szrgw.egiz.gv.at:8443/szr-gateway_2.0/services/IdentityLinkCreation</td>
-    <td><p>URL(s) zum Stammzahlen-Register Gateway</p>
-      <p><strong>Hinweis:</strong> Der SZR-Gateway Service welcher in der MOA-ID 1.5.1 Konfiguration verwendet wurde ist nicht mehr kompatibel zu MOA-ID 2.0. Das aktualisierte Test SZR-Gateway Service f&uuml;r MOA-ID 2.x steht unter folgender URL zur Verf&uuml;gung. <em>https://szrgw.egiz.gv.at:8443/szr-gateway_2.0/services/IdentityLinkCreation</em></p>
+    <td>Zentraler nationaler eIDAS Connector (CSV)</td>
+    <td>https://vidp.gv.at.at/ms_connector/pvp/metadata</td>
+    <td><p>URL(s) zum zentralen nationalen eIDAS Connector</p>
       <ul>
-        <li>Produktivsystem: <a href="https://vollmachten.stammzahlenregister.gv.at/mis/MandateIssueRequest">https://szrgw.egiz.gv.at/services_2.0/IdentityLinkCreation</a></li>
-        <li>Testsystem: <a href="https://vollmachten.egiz.gv.at/mis-test/MandateIssueRequest">https://szrgw.egiz.gv.at:8443/services_2.0/IdentityLinkCreation</a></li>
+        <li>Produktivsystem: </li>
+        <li>Testsystem: <a href="https://vollmachten.egiz.gv.at/mis-test/MandateIssueRequest">https://vidp.gv.at.at/ms_connector/pvp/metadata</a></li>
       </ul>
-      <p><strong>Hinweis:</strong> Die URLs auf die unterschiedlichen Instanzen des SZR-Gateway Services k&ouml;nnen auch als Comma Separatet Value (CSV) eingetragen werden. Bei CSV werden die einzelnen URLs durch Beistrich (',') getrennt. Sind mehrere URLs hinterlegt kann das zu verwendeten Service je Online Applikation konfiguriert werden (siehe <a href="#konfigurationsparameter_oa_mandates">Kapitel 3.2.4</a>).<br>
-        (z.B.: <a href="https://vollmachten.stammzahlenregister.gv.at/mis/MandateIssueRequest">https://szrgw.egiz.gv.at/services_2.0/IdentityLinkCreation</a>,<a href="https://vollmachten.egiz.gv.at/mis-test/MandateIssueRequest">https://szrgw.egiz.gv.at:8443/services_2.0/IdentityLinkCreation</a>)</p>
+      <p><strong>Hinweis:</strong> Die URLs auf die unterschiedlichen Instanzen des zentralen eIDAS Connectos k&ouml;nnen auch als Comma Separatet Value (CSV) eingetragen werden. Bei CSV werden die einzelnen URLs durch Beistrich (',') getrennt. Sind mehrere URLs hinterlegt kann das zu verwendeten Service je Online Applikation konfiguriert werden (siehe <a href="#konfigurationsparameter_oa_mandates">Kapitel 3.2.4</a>).<br>
+        (z.B.: <a href="https://vollmachten.egiz.gv.at/mis-test/MandateIssueRequest">https://vidp.gv.at.at/ms_connector/pvp/metadata</a><a href="https://vollmachten.stammzahlenregister.gv.at/mis/MandateIssueRequest"></a>,<a href="https://vollmachten.egiz.gv.at/mis-test/MandateIssueRequest">https://eid.gv.at/ms_connector/pvp/metadata</a>)</p>
       <p><strong>Hinweis:</strong> Erfolgt in der Online Applikation keine konkrete Auswahl wird Standardm&auml;&szlig;ig <strong>das erste eingetragen Service</strong> verwendet.</p></td>
     </tr>
   <tr>
@@ -1308,166 +1218,6 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/MonitoringServlet</pre>
     <p><em>Ich Max Mustermann, geboren am 01.01.1978 stimme am 05.02.2014 um 10:35 einer Anmeldung mittels Single Sign-On zu.</em></p></td>
   </tr>
 </table>
-<h4><a name="konfigurationsparameter_allgemein_stork" id="konfigurationsparameter_allgemein_bku8"></a>3.1.8 Secure idenTity acrOss boRders linKed (STORK)</h4>
-<p>Hierbei werden allgemeine Parameter f&uuml;r STORK Protokoll konfiguriert.</p>
-<table class="configtable">
-  <tr>
-    <th>Name</th>
-    <th>Beispielwerte</th>
-    <th>Beschreibung</th>
-  </tr>
-  <tr>
-    <td>Standard QAA-Level</td>
-    <td>4</td>
-    <td>QAA <span class="term">(Attribute Quality Authentication Assurance)</span> stellt Mindestanforderung von QAA fest. </td>
-  </tr>
-  <tr>
-    <td>Country Code</td>
-    <td>ES</td>
-    <td>Der zweistelligen Code vom unterst&uuml;tzten PEPS-Staat.</td>
-  </tr>
-  <tr>
-    <td>PEPS URL</td>
-    <td>https://prespanishpeps.redsara.es/PEPS/ColleagueRequest</td>
-    <td>Die Adresse von PEPS eines unterst&uuml;tzten PEPS-Staat.</td>
-  </tr>
-  <tr>
-    <td>Attributname</td>
-    <td>eIdentifier</td>
-    <td>Der Name des unterst&uuml;tzten Attributes. Die als <span class="term">zwingend</span>  markierte Attribute m&uuml;ssen im Response von dem gegenstehendem PEPS enthalten sein. Jedes Attribut wird gesondert eingetragen. <br/>Die Liste von vorhandenen und unterst&uuml;tzen Attributes ist in Konfigurationsdatei von SamlEngine <span class="term">(StorkSamlEngine_XXX.xml)</span>  vorhanden. </td>
-  </tr>
-</table>
-<p>&nbsp;</p>
-<p>Folgende PEPS URLs stehen aktuell zur Verf&uuml;gung:</p>
-<table class="configtable">
-  <tr>
-    <th>L&auml;ndercode</th>
-    <th>TestInstanz</th>
-    <th>URL</th>
-  </tr>
-  <tr>
-    <td>AT </td>
-    <td align="center">X</td>
-    <td><a href="https://testvidp.buergerkarte.at/moa-id-auth/stork2/SendPEPSAuthnRequest">https://testvidp.buergerkarte.at/moa-id-auth/stork2/SendPEPSAuthnRequest</a></td>
-  </tr>
-  <tr>
-    <td>EE </td>
-    <td align="center">X</td>
-    <td><a href="https://testpeps.sk.ee/PEPS/ColleagueRequest">https://testpeps.sk.ee/PEPS/ColleagueRequest</a></td>
-  </tr>
-  <tr>
-    <td>EE </td>
-    <td align="center">&nbsp;</td>
-    <td><a href="https://peps.sk.ee/PEPS/ColleagueRequest">https://peps.sk.ee/PEPS/ColleagueRequest</a></td>
-  </tr>
-  <tr>
-    <td>ES </td>
-    <td align="center">X</td>
-    <td><a href="https://prespanishpeps.redsara.es/PEPS/ColleagueRequest">https://prespanishpeps.redsara.es/PEPS/ColleagueRequest</a></td>
-  </tr>
-  <tr>
-    <td>IS </td>
-    <td align="center">X</td>
-    <td><a href="https://storktest.advania.is/PEPS/ColleagueRequest">https://storktest.advania.is/PEPS/ColleagueRequest</a></td>
-  </tr>
-  <tr>
-    <td>IS </td>
-    <td align="center">&nbsp;</td>
-    <td><a href="https://peps.island.is/PEPS/ColleagueRequest">https://peps.island.is/PEPS/ColleagueRequest</a></td>
-  </tr>
-  <tr>
-    <td>LT </td>
-    <td align="center">X</td>
-    <td><a href="https://testpeps.eid.lt/PEPS/ColleagueRequest">https://testpeps.eid.lt/PEPS/ColleagueRequest</a></td>
-  </tr>
-  <tr>
-    <td>PT</td>
-    <td align="center">X</td>
-    <td><a href="https://eu-id.teste.cartaodecidadao.gov.pt/PEPS/ColleagueRequest">https://eu-id.teste.cartaodecidadao.gov.pt/PEPS/ColleagueRequest</a></td>
-  </tr>
-  <tr>
-    <td>SI</td>
-    <td align="center">X</td>
-    <td><a href="https://peps-test.mju.gov.si/PEPS/ColleagueRequest">https://peps-test.mju.gov.si/PEPS/ColleagueRequest</a></td>
-  </tr>
-</table>
-<p>&nbsp;</p>
-<p>Folgende Attribute m&uuml;ssen jedoch mindestens angefordert werden, wobei die erforderlichen Attribute je nach Anmeldeart unterschiedlich sind. Eine Liste mit weiteren m&ouml;glichen Attribute finden Sie im Kapitel <a href="./../protocol/protocol.html#allgemeines_attribute">Protokolle</a> oder in der <a href="#referenzierte_spezifikation">STORK Spezifikation</a>.</p>
-<table class="configtable">
-  <tr>
-    <th>Name</th>
-    <th>nat&uuml;rliche Person</th>
-    <th>Anmeldung in Vertretung</th>
-    <th>Beschreibung</th>
-  </tr>
-  <tr>
-    <td>eIdentifier</td>
-    <td align="center">X</td>
-    <td align="center">X</td>
-    <td>Eindeutiger Identifier der Person f&uuml;r die die Anmeldung erfolgt.</td>
-  </tr>
-  <tr>
-    <td><p>givenName</p></td>
-    <td align="center">X</td>
-    <td align="center">X</td>
-    <td>Vorname der Person f&uuml;r die die Anmeldung erfolgt.</td>
-  </tr>
-  <tr>
-    <td><p>surname</p></td>
-    <td align="center"><br>
-      X</td>
-    <td align="center">X</td>
-    <td><p>Familienname der Person f&uuml;r die die Anmeldung erfolgt.</p></td>
-  </tr>
-  <tr>
-    <td>dateOfBirth</td>
-    <td align="center">X</td>
-    <td align="center">X</td>
-    <td>Geburtsdatum der Person f&uuml;r die die Anmeldung erfolgt.</td>
-  </tr>
-  <tr>
-    <td>gender</td>
-    <td align="center">X</td>
-    <td align="center">X</td>
-    <td>Geschlecht der Person f&uuml;r die die Anmeldung erfolgt.</td>
-  </tr>
-  <tr>
-    <td>signedDoc</td>
-    <td align="center">X</td>
-    <td align="center">X</td>
-    <td>Ein Dokument welches durch die Person, f&uuml;r die die Anmeldung erfolgt, signiert wurde.</td>
-  </tr>
-  <tr>
-    <td>fiscalNumber</td>
-    <td align="center">X</td>
-    <td align="center">X</td>
-    <td>Ein eindeutiger nationaler Identifier der Person.</td>
-  </tr>
-  <tr>
-    <td>canonicalResidenceAddress</td>
-    <td align="center">&nbsp;</td>
-    <td align="center">X</td>
-    <td>Adresse der Person f&uuml;r welche die Anmeldung erfolgt</td>
-  </tr>
-  <tr>
-    <td>mandateContent</td>
-    <td align="center">&nbsp;</td>
-    <td align="center">X</td>
-    <td>Elektronische Vollmacht, welche die Vertretungsverh&auml;ltnisse widerspiegelt.</td>
-  </tr>
-  <tr>
-    <td>representative</td>
-    <td align="center">&nbsp;</td>
-    <td align="center">X</td>
-    <td>Nat&uuml;rliche Person welche eine juristische oder nat&uuml;rliche Person im Rahmen einer Anmeldung mittels Vollmacht vertritt.</td>
-  </tr>
-  <tr>
-    <td>represented</td>
-    <td align="center">&nbsp;</td>
-    <td align="center">X</td>
-    <td>Juristische oder nat&uuml;rliche Person welche im Rahmen einer Anmeldung mittels Vollmacht vertreten wird.</td>
-  </tr>
-</table>
 <p></p>
 <h4><a name="konfigurationsparameter_allgemein_protocol" id="konfigurationsparameter_allgemein_bku9"></a>3.1.9 Protokolle</h4>
 <p>Hierbei handelt es ich um allgemeine Einstellungen zu den vom Modul MOA-ID-Auth unterst&uuml;tzen Authentifizierungsprotokollen.</p>
@@ -1826,8 +1576,8 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID  1.5.1 im Kontext der
 </table>
 <p>&nbsp;</p>
 <p><strong>Hinweis:</strong> Werden f&uuml;r die Online-Applikation eigene Templates f&uuml;r die B&uuml;rgerkartenauswahl oder die zus&auml;tzliche Anmeldeabfrage im SSO Fall (siehe <a href="#konfigurationsparameter_oa_bku">Abschnitt 3.2.2</a>) verwendet, stehen alle Konfigurationsparameter die Einfluss auf die BKU-Auswahl haben nicht zur Verf&uuml;gung. Die Funktionalit&auml;t der entsprechenden Parameter hat jedoch weiterhin Einfluss auf den Anmeldevorgang.</p>
-<h4><a name="konfigurationsparameter_oa_szr-gw-service" id="uebersicht_zentraledatei_aktualisierung12"></a>3.2.5 SZR-Gateway Service</h4>
-<p>Dieser Abschnitt behandelt online-applikationsspezifische Einstellungen zum Stammzahlenregistergateway der &ouml;sterreichischen Datenschutzbeh&ouml;rde.</p>
+<h4><a name="konfigurationsparameter_oa_szr-gw-service" id="uebersicht_zentraledatei_aktualisierung12"></a>3.2.5 Zentraler nationaler eIDAS Connector</h4>
+<p>Dieser Abschnitt behandelt online-applikationsspezifische Einstellungen zum Ankn&uuml;pfung an den zentralen nationalen eIDAS Connector</p>
 <table class="configtable">
   <tr>
     <th width="17%">Name</th>
@@ -1837,11 +1587,11 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID  1.5.1 im Kontext der
     <th width="64%">Beschreibung</th>
   </tr>
   <tr>
-    <td>SZR-Gateway Service URL</td>
+    <td> URL</td>
     <td>&nbsp;</td>
     <td align="center">&nbsp;</td>
     <td align="center">&nbsp;</td>
-    <td><p>Definiert das Stammzahlenregister-Gateway Service welches von dieser Online-Applikation verwendet werden soll. Hierf&uuml;r stehen all jene Auswahlm&ouml;glichkeiten zur Verf&uuml;gung welche in der Allgemeinen Konfiguration (siehe <a href="#konfigurationsparameter_allgemein_services">Kapitel 3.1.7</a>) festgelegt wurden. </p>
+    <td><p>Definiert dan zentralen nationalen eIDAS Connector welcher von dieser Online-Applikation verwendet werden soll. Hierf&uuml;r stehen all jene Auswahlm&ouml;glichkeiten zur Verf&uuml;gung welche in der Allgemeinen Konfiguration (siehe <a href="#konfigurationsparameter_allgemein_services">Kapitel 3.1.7</a>) festgelegt wurden. </p>
       <p><strong>Hinweis:</strong> Wird keine spezifische Auswahl getroffen wird automatisch <strong>das Erste in der allgemeinen Konfiguration eingetragene Service</strong> verwendet.</p></td>
   </tr>
 </table>
@@ -1873,8 +1623,8 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID  1.5.1 im Kontext der
     <p><strong>Hinweis:</strong> Diese Abfrage ist standardm&auml;&szlig;ig aktiviert und kann nur durch einen Benutzer mit der Role <em>admin</em> deaktiviert werden.</p></td>
   </tr>
 </table>
-<h4><a name="konfigurationsparameter_oa_stork" id="uebersicht_zentraledatei_aktualisierung23"></a>3.2.7 Secure idenTity acrOss boRders linKed (STORK)</h4>
-<p>Dieser Abschnitt  behandelt Online-Applikationsspezifische Einstellungen zu STORK.</p>
+<h4><a name="konfigurationsparameter_oa_stork" id="uebersicht_zentraledatei_aktualisierung23"></a>3.2.7 Authentifizierung mittels eIDAS</h4>
+<p>Dieser Abschnitt  behandelt Online-Applikationsspezifische Einstellungen zur Authentifizierung mittels eIDAS.</p>
 <table class="configtable">
   <tr>
     <th>Name</th>
@@ -1883,30 +1633,16 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID  1.5.1 im Kontext der
     <th>Beschreibung</th>
   </tr>
   <tr>
-    <td>STORK verwenden</td>
+    <td>eIDAS verwenden</td>
     <td>ja</td>
     <td align="center">X</td>
-    <td>Definiert ob die Online-Applikation eine Anmeldung mittels STORK unterst&uuml;tzt. Wird STORK unterst&uuml;tzt wird in w&auml;hrend der BKU-Auswahl die Option <em>Home Country Selection </em> f&uuml;r eine Anmeldung mittels STORK dargestellt.</td>
+    <td>Definiert ob die Online-Applikation eine Anmeldung mittels eIDAS unterst&uuml;tzt. Wird eIDAS unterst&uuml;tzt wird in w&auml;hrend der BKU-Auswahl die Option <em>eIDAS LogIn </em> f&uuml;r eine Anmeldung mittels eIDAS dargestellt.</td>
   </tr>
   <tr>
     <td><p>QAA-Level</p></td>
-    <td>4</td>
+    <td>high</td>
     <td align="center">X</td>
-    <td>Von der Online-Applikation geforderter mindest QAA-Level der Authentifizierung</td>
-  </tr>
-  <tr>
-    <td>aktivierte Ziell&auml;nder</td>
-    <td>&nbsp;</td>
-    <td align="center">X</td>
-    <td><p>Hier k&ouml;nnen jene STORK L&auml;nder konfiguriert werden f&uuml;r welche diese Online-Applikation eine Anmeldung mittels STORK unterst&uuml;tzt.</p>
-      <p><strong>Hinweis:</strong> Die zur Auswahl stehenden L&auml;nder werden aus den <a href="#konfigurationsparameter_allgemein_stork">PEPS Konfigurationen</a> generiert, welche im allgemeinen Konfigurationsbereich hinterlegt wurden.</p></td>
-  </tr>
-  <tr>
-    <td><p>angeforderte Attribute</p></td>
-    <td>&nbsp;</td>
-    <td align="center">      X</td>
-    <td align="center"><p>STORK Attribute welche die Online-Applikation anfordert</p>
-      <p>Bei den Attributen kann  jedoch nur aus dem Set der in der allgemeinen Konfiguration hinterlegten STORK  Attributen (siehe <a href="#konfigurationsparameter_allgemein_stork">Kapitel 3.1.8</a>) gew&auml;hlt werden, wobei  Attribute die in der allgemeinen Konfiguration als <span class="term">zwingend</span> markiert  sind immer mitgeliefert werden.</p></td>
+    <td>Von der Online-Applikation geforderter mindest LoA-Level der Authentifizierung</td>
   </tr>
 </table>
 <p>&nbsp;</p>
diff --git a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/advancedlogging/MOAIDEventConstants.java b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/advancedlogging/MOAIDEventConstants.java
index 2c1e47009..05d344fb6 100644
--- a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/advancedlogging/MOAIDEventConstants.java
+++ b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/advancedlogging/MOAIDEventConstants.java
@@ -85,7 +85,13 @@ public interface MOAIDEventConstants extends EventConstants {
 	public static final int AUTHPROCESS_PEPS_RECEIVED = 6102;
 	public static final int AUTHPROCESS_PEPS_RECEIVED_ERROR = 6103;
 	public static final int AUTHPROCESS_PEPS_IDL_RECEIVED = 6104;
-		
+	
+	public static final int AUTHPROCESS_EIDAS_AT_CONNECTOR_SELECTED = 6200;
+	public static final int AUTHPROCESS_EIDAS_AT_CONNECTOR_REQUESTED = 6201;
+	public static final int AUTHPROCESS_EIDAS_AT_CONNECTOR_RECEIVED = 6202;
+	public static final int AUTHPROCESS_EIDAS_AT_CONNECTOR_RECEIVED_ERROR = 6203;
+	public static final int AUTHPROCESS_EIDAS_AT_CONNECTOR_MDS_VALID = 6204;
+	
 	//person information
 	public static final int PERSONAL_INFORMATION_PROF_REPRESENTATIVE_BPK = 5000;
 	public static final int PERSONAL_INFORMATION_PROF_REPRESENTATIVE = 5001;
diff --git a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/advancedlogging/MOAReversionLogger.java b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/advancedlogging/MOAReversionLogger.java
index 9894ffbe9..1c1cc4168 100644
--- a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/advancedlogging/MOAReversionLogger.java
+++ b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/advancedlogging/MOAReversionLogger.java
@@ -95,6 +95,12 @@ public class MOAReversionLogger implements IRevisionLogger {
 			MOAIDEventConstants.AUTHPROCESS_PEPS_RECEIVED,
 			MOAIDEventConstants.AUTHPROCESS_PEPS_RECEIVED_ERROR,
 			MOAIDEventConstants.AUTHPROCESS_PEPS_IDL_RECEIVED,
+						
+			MOAIDEventConstants.AUTHPROCESS_EIDAS_AT_CONNECTOR_MDS_VALID,
+			MOAIDEventConstants.AUTHPROCESS_EIDAS_AT_CONNECTOR_RECEIVED,
+			MOAIDEventConstants.AUTHPROCESS_EIDAS_AT_CONNECTOR_RECEIVED_ERROR,
+			MOAIDEventConstants.AUTHPROCESS_EIDAS_AT_CONNECTOR_REQUESTED,
+			MOAIDEventConstants.AUTHPROCESS_EIDAS_AT_CONNECTOR_SELECTED,
 			
 			MOAIDEventConstants.AUTHPROCESS_FOREIGN_FOUND,
 			MOAIDEventConstants.AUTHPROCESS_FOREIGN_SZRGW_RECEIVED,
diff --git a/id/server/modules/moa-id-module-AT_eIDAS_connector/src/main/java/at/gv/egovernment/moa/id/auth/modules/eIDAScentralAuth/EidasCentralAuthConstants.java b/id/server/modules/moa-id-module-AT_eIDAS_connector/src/main/java/at/gv/egovernment/moa/id/auth/modules/eIDAScentralAuth/EidasCentralAuthConstants.java
index 55864f3c9..0f4f81122 100644
--- a/id/server/modules/moa-id-module-AT_eIDAS_connector/src/main/java/at/gv/egovernment/moa/id/auth/modules/eIDAScentralAuth/EidasCentralAuthConstants.java
+++ b/id/server/modules/moa-id-module-AT_eIDAS_connector/src/main/java/at/gv/egovernment/moa/id/auth/modules/eIDAScentralAuth/EidasCentralAuthConstants.java
@@ -55,7 +55,7 @@ public class EidasCentralAuthConstants {
 	public static final String CONFIG_PROPS_SIGN_SIGNING_ALIAS_PASSWORD = CONFIG_PROPS_PREFIX + "request.sign.alias";
 	public static final String CONFIG_PROPS_ENCRYPTION_KEY_PASSWORD = CONFIG_PROPS_PREFIX + "response.encryption.password";
 	public static final String CONFIG_PROPS_ENCRYPTION_ALIAS_PASSWORD = CONFIG_PROPS_PREFIX + "response.encryption.alias";	
-	public static final String CONFIG_PROPS_REQUIRED_PVP_ATTRIBUTES_LIST = CONFIG_PROPS_PREFIX + "required.additinal.attributes";	
+	public static final String CONFIG_PROPS_REQUIRED_PVP_ATTRIBUTES_LIST = CONFIG_PROPS_PREFIX + "required.additional.attributes";	
 	public static final String CONFIG_PROPS_NODE_ENTITYID = CONFIG_PROPS_PREFIX + "node.entityId";
 	public static final String CONFIG_PROPS_NODE_METADATAURL = CONFIG_PROPS_PREFIX + "node.metadataUrl";
 	public static final String CONFIG_PROPS_NODE_TRUSTPROFILEID = CONFIG_PROPS_PREFIX + "node.trustprofileID";	
diff --git a/id/server/modules/moa-id-module-AT_eIDAS_connector/src/main/java/at/gv/egovernment/moa/id/auth/modules/eIDAScentralAuth/config/EidasCentralAuthRequestBuilderConfiguration.java b/id/server/modules/moa-id-module-AT_eIDAS_connector/src/main/java/at/gv/egovernment/moa/id/auth/modules/eIDAScentralAuth/config/EidasCentralAuthRequestBuilderConfiguration.java
index ebbe08588..8376f3aad 100644
--- a/id/server/modules/moa-id-module-AT_eIDAS_connector/src/main/java/at/gv/egovernment/moa/id/auth/modules/eIDAScentralAuth/config/EidasCentralAuthRequestBuilderConfiguration.java
+++ b/id/server/modules/moa-id-module-AT_eIDAS_connector/src/main/java/at/gv/egovernment/moa/id/auth/modules/eIDAScentralAuth/config/EidasCentralAuthRequestBuilderConfiguration.java
@@ -48,6 +48,7 @@ public class EidasCentralAuthRequestBuilderConfiguration implements IPVPAuthnReq
 	private String scopeRequesterId;
 	private String providerName;
 	private List<EAAFRequestedAttribute> requestedAttributes;
+	private String reqId;
 	
 	
 	/* (non-Javadoc)
@@ -186,7 +187,7 @@ public class EidasCentralAuthRequestBuilderConfiguration implements IPVPAuthnReq
 	 */
 	@Override
 	public String getRequestID() {
-		return null;
+		return this.reqId;
 	}
 
 	/* (non-Javadoc)
@@ -256,6 +257,15 @@ public class EidasCentralAuthRequestBuilderConfiguration implements IPVPAuthnReq
 		this.requestedAttributes = requestedAttributes;
 	}
 	
+	/**
+	 * Set a RequestId for this Authn. Request
+	 * 
+	 * @param reqId
+	 */
+	public void setRequestId(String reqId) {
+		this.reqId = reqId;
+	}
+	
 	
 
 	
diff --git a/id/server/modules/moa-id-module-AT_eIDAS_connector/src/main/java/at/gv/egovernment/moa/id/auth/modules/eIDAScentralAuth/tasks/CreateAuthnRequestTask.java b/id/server/modules/moa-id-module-AT_eIDAS_connector/src/main/java/at/gv/egovernment/moa/id/auth/modules/eIDAScentralAuth/tasks/CreateAuthnRequestTask.java
index 08ae845cb..e312299f8 100644
--- a/id/server/modules/moa-id-module-AT_eIDAS_connector/src/main/java/at/gv/egovernment/moa/id/auth/modules/eIDAScentralAuth/tasks/CreateAuthnRequestTask.java
+++ b/id/server/modules/moa-id-module-AT_eIDAS_connector/src/main/java/at/gv/egovernment/moa/id/auth/modules/eIDAScentralAuth/tasks/CreateAuthnRequestTask.java
@@ -29,6 +29,7 @@ import java.util.List;
 import javax.servlet.http.HttpServletRequest;
 import javax.servlet.http.HttpServletResponse;
 
+import org.opensaml.common.impl.SecureRandomIdentifierGenerator;
 import org.opensaml.saml2.core.Attribute;
 import org.opensaml.saml2.metadata.EntityDescriptor;
 import org.opensaml.saml2.metadata.provider.MetadataProviderException;
@@ -45,6 +46,7 @@ import at.gv.egiz.eaaf.modules.pvp2.api.reqattr.EAAFRequestedAttribute;
 import at.gv.egiz.eaaf.modules.pvp2.impl.builder.PVPAttributeBuilder;
 import at.gv.egiz.eaaf.modules.pvp2.impl.utils.SAML2Utils;
 import at.gv.egiz.eaaf.modules.pvp2.sp.impl.PVPAuthnRequestBuilder;
+import at.gv.egovernment.moa.id.advancedlogging.MOAIDEventConstants;
 import at.gv.egovernment.moa.id.auth.modules.eIDAScentralAuth.EidasCentralAuthConstants;
 import at.gv.egovernment.moa.id.auth.modules.eIDAScentralAuth.config.EidasCentralAuthRequestBuilderConfiguration;
 import at.gv.egovernment.moa.id.auth.modules.eIDAScentralAuth.utils.EidasCentralAuthCredentialProvider;
@@ -76,6 +78,8 @@ public class CreateAuthnRequestTask extends AbstractAuthServletTask {
 	public void execute(ExecutionContext executionContext, HttpServletRequest request, HttpServletResponse response)
 			throws TaskExecutionException {
 		try{
+			revisionsLogger.logEvent(pendingReq, MOAIDEventConstants.AUTHPROCESS_EIDAS_AT_CONNECTOR_SELECTED);
+			
 			//check if eIDAS authentication is enabled for this SP
 			if (!Boolean.parseBoolean(pendingReq.getServiceProviderConfiguration().getConfigurationValue(MOAIDConfigurationConstants.SERVICE_AUTH_STORK_ENABLED, String.valueOf(false)))) {
 				Logger.info("eIDAS authentication is NOT enabled for OA: " + pendingReq.getServiceProviderConfiguration().getUniqueIdentifier());
@@ -114,6 +118,8 @@ public class CreateAuthnRequestTask extends AbstractAuthServletTask {
 			
 			//setup AuthnRequestBuilder configuration
 			EidasCentralAuthRequestBuilderConfiguration authnReqConfig = new EidasCentralAuthRequestBuilderConfiguration();
+			SecureRandomIdentifierGenerator gen = new SecureRandomIdentifierGenerator();
+			authnReqConfig.setRequestId(gen.generateIdentifier());
 			authnReqConfig.setIdpEntity(entityDesc);
 			authnReqConfig.setPassive(false);
 			authnReqConfig.setSignCred(credential.getIDPAssertionSigningCredential());
@@ -130,6 +136,10 @@ public class CreateAuthnRequestTask extends AbstractAuthServletTask {
 			//build and transmit AuthnRequest
 			authnReqBuilder.buildAuthnRequest(pendingReq, authnReqConfig , response);
 
+			revisionsLogger.logEvent(pendingReq, 
+					MOAIDEventConstants.AUTHPROCESS_EIDAS_AT_CONNECTOR_REQUESTED,
+					authnReqConfig.getRequestID());
+			
 		} catch (MOAIDException e) {
 			throw new TaskExecutionException(pendingReq, e.getMessage(), e);
 						
diff --git a/id/server/modules/moa-id-module-AT_eIDAS_connector/src/main/java/at/gv/egovernment/moa/id/auth/modules/eIDAScentralAuth/tasks/ReceiveAuthnResponseTask.java b/id/server/modules/moa-id-module-AT_eIDAS_connector/src/main/java/at/gv/egovernment/moa/id/auth/modules/eIDAScentralAuth/tasks/ReceiveAuthnResponseTask.java
index f9686029f..214a23f88 100644
--- a/id/server/modules/moa-id-module-AT_eIDAS_connector/src/main/java/at/gv/egovernment/moa/id/auth/modules/eIDAScentralAuth/tasks/ReceiveAuthnResponseTask.java
+++ b/id/server/modules/moa-id-module-AT_eIDAS_connector/src/main/java/at/gv/egovernment/moa/id/auth/modules/eIDAScentralAuth/tasks/ReceiveAuthnResponseTask.java
@@ -59,7 +59,6 @@ import at.gv.egovernment.moa.id.auth.exception.BuildException;
 import at.gv.egovernment.moa.id.auth.modules.eIDAScentralAuth.EidasCentralAuthConstants;
 import at.gv.egovernment.moa.id.auth.modules.eIDAScentralAuth.utils.EidasCentralAuthCredentialProvider;
 import at.gv.egovernment.moa.id.auth.modules.eIDAScentralAuth.utils.EidasCentralAuthMetadataProvider;
-import at.gv.egovernment.moa.id.commons.MOAIDAuthConstants;
 import at.gv.egovernment.moa.id.commons.api.IOAAuthParameters;
 import at.gv.egovernment.moa.id.commons.api.exceptions.ConfigurationException;
 import at.gv.egovernment.moa.id.protocols.pvp2x.verification.SAMLVerificationEngineSP;
@@ -112,7 +111,7 @@ public class ReceiveAuthnResponseTask extends AbstractAuthServletTask {
 			msg = (InboundMessage) decoder.decode(
 					request, response, metadataProvider, true,
 					comperator);
-			 
+			
 			if (MiscUtil.isEmpty(msg.getEntityID())) {
 				throw new InvalidProtocolRequestException("sp.pvp2.04", 
 						new Object[] {EidasCentralAuthConstants.MODULE_NAME_FOR_LOGGING},
@@ -126,9 +125,7 @@ public class ReceiveAuthnResponseTask extends AbstractAuthServletTask {
 				msg.setVerified(true);
 								
 			}
-			
-			revisionsLogger.logEvent(pendingReq, MOAIDEventConstants.AUTHPROTOCOL_PVP_REQUEST_AUTHRESPONSE);
-			
+						
 			//validate assertion
 			PVPSProfileResponse processedMsg = preProcessAuthResponse((PVPSProfileResponse) msg);
 			
@@ -153,7 +150,7 @@ public class ReceiveAuthnResponseTask extends AbstractAuthServletTask {
 			requestStoreage.storePendingRequest(pendingReq);
 			
 			//write log entries
-			revisionsLogger.logEvent(pendingReq, MOAIDEventConstants.AUTHPROCESS_INTERFEDERATION_REVEIVED);				
+			revisionsLogger.logEvent(pendingReq, MOAIDEventConstants.AUTHPROCESS_EIDAS_AT_CONNECTOR_MDS_VALID);				
 			Logger.info("Receive a valid assertion from IDP " + msg.getEntityID()); 
 											
 		} catch (MessageDecodingException | SecurityException e) {
@@ -208,32 +205,7 @@ public class ReceiveAuthnResponseTask extends AbstractAuthServletTask {
 			
 		}
 	}
-	
-	/**
-	 * @param executionContext
-	 * @param idpConfig
-	 * @param message 
-	 * @param objects 
-	 * @throws TaskExecutionException 
-	 * @throws Throwable 
-	 */
-	private void handleAuthnResponseValidationProblem(ExecutionContext executionContext, IOAAuthParameters idpConfig, Throwable e) throws TaskExecutionException {
-
-		if (idpConfig != null && idpConfig.isPerformLocalAuthenticationOnInterfederationError()) {
-			Logger.info("Switch to local authentication on this IDP ... ");
-		
-			executionContext.put(MOAIDAuthConstants.PROCESSCONTEXT_REQUIRELOCALAUTHENTICATION, true);
-			executionContext.put(MOAIDAuthConstants.PROCESSCONTEXT_PERFORM_BKUSELECTION, true);
 		
-			executionContext.remove(MOAIDAuthConstants.PROCESSCONTEXT_PERFORM_INTERFEDERATION_AUTH);
-			
-		} else {
-			throw new TaskExecutionException(pendingReq, "PVP response validation FAILED.", e);
-			
-		}
-		
-	}
-	
 	/**
 	 * PreProcess AuthResponse and Assertion 
 	 * @param msg
@@ -257,11 +229,16 @@ public class ReceiveAuthnResponseTask extends AbstractAuthServletTask {
 					EidasCentralAuthConstants.MODULE_NAME_FOR_LOGGING);
 
 			msg.setSAMLMessage(SAML2Utils.asDOMDocument(samlResp).getDocumentElement());
+			revisionsLogger.logEvent(pendingReq, 
+					MOAIDEventConstants.AUTHPROCESS_EIDAS_AT_CONNECTOR_RECEIVED,
+					samlResp.getID());
 			return msg;
 				
 		} else {
 			Logger.info("Receive StatusCode " + samlResp.getStatus().getStatusCode().getValue() 
 				+ " from 'ms-specific eIDAS node'.");
+			revisionsLogger.logEvent(pendingReq, 
+					MOAIDEventConstants.AUTHPROCESS_EIDAS_AT_CONNECTOR_RECEIVED_ERROR);			
 			throw new AuthnResponseValidationException("sp.pvp2.05", 
 					new Object[]{EidasCentralAuthConstants.MODULE_NAME_FOR_LOGGING, samlResp.getIssuer().getValue(), samlResp.getStatus().getStatusCode().getValue()});
 					
-- 
cgit v1.2.3


From 5d7f7f3b6fc2fb8f8f72f359b0adb738e851d631 Mon Sep 17 00:00:00 2001
From: Thomas Lenz <tlenz@iaik.tugraz.at>
Date: Mon, 16 Jul 2018 13:12:39 +0200
Subject: update handbook, readme, history, example configuration, ...

---
 id/history.txt                                     |   21 +
 id/moa-spss-container/pom.xml                      |   28 +-
 id/readme_3.4.0.txt                                |  262 +++++
 id/server/auth-edu/pom.xml                         |   16 +-
 .../auth-edu/src/main/resources/log4j.properties   |   69 +-
 id/server/auth-final/pom.xml                       |   18 +-
 .../auth-final/src/main/resources/log4j.properties |   69 +-
 .../htmlTemplates/loginFormFull.html               |   66 +-
 .../conf/moa-id/htmlTemplates/css_template.css     | 1005 +++++++-------------
 .../conf/moa-id/htmlTemplates/loginFormFull.html   |    8 +-
 id/server/data/deploy/conf/moa-id/keys/sl20.jks    |  Bin 0 -> 7348 bytes
 id/server/data/deploy/conf/moa-id/log4j.properties |    1 +
 .../data/deploy/conf/moa-id/logback_config.xml     |   74 +-
 .../data/deploy/conf/moa-id/moa-id.properties      |   85 +-
 .../national_central_eIDAS_node_-_testsystem.crt   |   24 +
 id/server/data/deploy/tomcat/unix/tomcat-start.sh  |    5 +-
 id/server/data/deploy/tomcat/win32/startTomcat.bat |    5 +-
 id/server/doc/handbook/config/config.html          |  233 ++++-
 id/server/doc/htmlTemplates/BKU-selection.html     |   66 +-
 19 files changed, 1180 insertions(+), 875 deletions(-)
 create mode 100644 id/readme_3.4.0.txt
 create mode 100644 id/server/data/deploy/conf/moa-id/keys/sl20.jks
 create mode 100644 id/server/data/deploy/conf/moa-spss/trustProfiles/centralnode_metadata/national_central_eIDAS_node_-_testsystem.crt

(limited to 'id/server/doc/handbook')

diff --git a/id/history.txt b/id/history.txt
index f3c995a5e..3ef96f1bc 100644
--- a/id/history.txt
+++ b/id/history.txt
@@ -1,5 +1,26 @@
 Dieses Dokument zeigt die Veränderungen und Erweiterungen von MOA-ID auf.
 
+Version MOA-ID Release 3.4.0: Änderungen seit Version MOA-ID 3.3.2
+- Änderungen
+  - Unerstützung der Authentifizierung von ausländischen Bürgern via eIDAS
+  - Authentifizierung via neuer VDA Schnittstelle (Security-Layer 2.0) 
+    (Im Betastatus, da die Schnittstellenspezifikation noch nicht final 
+     zur Verfügung steht)
+  - Erweiterung zur Einschränkung des Authentifzierungsvorgangs auf bestimmte
+    Benutzer via bPK
+  - Überarbeitung der Bürgerkartenauswahl und weiterer Templates  
+  - Bugfix - Probleme in Kombination mit postgreSQL Datenbanken behoben 
+  - Update von Libraries
+    > MOA-SPSS 3.1.2
+    > org.springframework 4.3.18.RELEASE
+    > org.springframework.data.spring-data-jpa 1.11.13.RELEASE
+    > org.hibernate:hibernate-core 5.2.17.Final
+    > apache:cxf 3.2.5
+    > mysql:mysql-connector-java 6.0.6
+    > joda-time 2.10
+    > org.apache.httpcomponents:httpcore 4.4.10  
+    > eIDAS-saml-engine 1.4.0 
+
 Version MOA-ID Release 3.3.2: Änderungen seit Version MOA-ID 3.3.1
 - Änderungen
   - Bugfix - if "hide bPK from AuthBlock" is used then the AuthBlock validation failes  
diff --git a/id/moa-spss-container/pom.xml b/id/moa-spss-container/pom.xml
index 84c3b2f29..1a2a5750d 100644
--- a/id/moa-spss-container/pom.xml
+++ b/id/moa-spss-container/pom.xml
@@ -201,36 +201,36 @@
 			<version>${jaxb.version}</version>
 		</dependency>
 		
-        <dependency>
+<!--         <dependency>
             <groupId>xalan-bin-dist</groupId>
             <artifactId>xalan</artifactId>
-            <!-- should be provided by the container or jre -->
-            <!-- <scope>provided</scope> -->
+            should be provided by the container or jre
+            <scope>provided</scope>
             <exclusions>
             	<exclusion>
             		<artifactId>serializer</artifactId>
             		<groupId>xalan</groupId>
             	</exclusion>
             </exclusions>
-        </dependency>
-        <dependency>
+        </dependency> -->
+<!--         <dependency>
             <groupId>xerces</groupId>
             <artifactId>xercesImpl</artifactId>
-            <!-- should be provided by the container or jre -->
-            <!-- <scope>provided</scope> -->
-        </dependency>
-        <dependency>
+            should be provided by the container or jre
+            <scope>provided</scope>
+        </dependency> -->
+<!--         <dependency>
             <groupId>xalan-bin-dist</groupId>
             <artifactId>xml-apis</artifactId>
-            <!-- should be provided by the container or jre -->
-            <!-- <scope>provided</scope> -->
+            should be provided by the container or jre
+            <scope>provided</scope>
         </dependency>
         <dependency>
             <groupId>xalan-bin-dist</groupId>
             <artifactId>serializer</artifactId>
-            <!-- should be provided by the container or jre -->
-            <!-- <scope>provided</scope> -->
-        </dependency>
+            should be provided by the container or jre
+            <scope>provided</scope>
+        </dependency> -->
 	
   </dependencies>
   
diff --git a/id/readme_3.4.0.txt b/id/readme_3.4.0.txt
new file mode 100644
index 000000000..81d4805a4
--- /dev/null
+++ b/id/readme_3.4.0.txt
@@ -0,0 +1,262 @@
+===============================================================================
+MOA ID Version Release 3.4.0 - Wichtige Informationen zur Installation
+===============================================================================
+
+-------------------------------------------------------------------------------
+A. Neuerungen/Änderungen
+-------------------------------------------------------------------------------
+
+Mit MOA ID Version 3.4.0 wurden folgende Neuerungen und Änderungen eingeführt, 
+die jetzt erstmals in der Veröffentlichung enthalten sind (siehe auch 
+history.txt im gleichen Verzeichnis).
+   
+- Änderungen
+  - Unerstützung der Authentifizierung von ausländischen Bürgern via eIDAS
+  - Authentifizierung via neuer VDA Schnittstelle (Security-Layer 2.0) 
+    (Im Betastatus, da die Schnittstellenspezifikation noch nicht final 
+     zur Verfügung steht)
+  - Erweiterung zur Einschränkung des Authentifzierungsvorgangs auf bestimmte
+    Benutzer via bPK
+  - Überarbeitung der Bürgerkartenauswahl und weiterer Templates  
+  - Bugfix - Probleme in Kombination mit postgreSQL Datenbanken behoben 
+  - Update von Libraries 
+
+-------------------------------------------------------------------------------
+B. Durchführung eines Updates
+-------------------------------------------------------------------------------
+
+Es wird generell eine Neuinstallation lt. Handbuch empfohlen! Dennoch ist auch
+eine Aktualisierung bestehender Installationen möglich. Je nachdem von welcher
+MOA-ID Version ausgegangen wird ergibt sich eine Kombination der nachfolgend 
+angebebenen Updateschritte.
+
+Hinweis: Wenn Sie die bestehende Konfiguration von MOA-ID 2.x.x in MOA-ID 3.4.x
+reimportieren möchten, so muss diese vor dem Update mit Hilfe der import/export
+Funktion der grafischen Konfigurationsoberfläche in eine Datei exportiert werden.
+Diese Datei dient dann als Basis für den Import in MOA-ID 3.4.x. 
+
+...............................................................................
+B.1 Durchführung eines Updates von Version 3.3.x auf Version 3.4.0
+...............................................................................
+1. Stoppen Sie den Tomcat, in dem Ihre bisherige Installation betrieben wird.
+   Fertigen Sie eine Sicherungskopie Ihrer kompletten Tomcat-Installation an.
+
+2. Entpacken Sie die Distribution von MOA-ID-Auth (moa-id-auth-3.4.0.zip) in
+   ein temporäres Verzeichnis, in weiterer Folge als MOA_ID_AUTH_INST 
+   bezeichnet.
+
+3. Wechseln Sie in jenes Verzeichnis, das die Webapplikation von MOA ID Auth
+   beinhaltet (für gewöhnlich ist dieses Verzeichnis CATALINA_HOME_ID/webapps,
+   wobei CATALINA_HOME_ID für das Basisverzeichnis der Tomcat-Installation 
+   für MOA ID steht). Löschen Sie darin sowohl die Dateien moa-id-auth.war 
+   als auch das komplette Verzeichnis moa-id-auth. 
+
+4. Kopieren Sie die Datei MOA_ID_AUTH_INST/moa-id-auth.war nach
+   CATALINA_HOME_ID/webapps.
+
+5. Kopieren Sie die Datei MOA_ID_AUTH_INST/moa-id-configuration.war nach
+   CATALINA_HOME_ID/webapps.
+
+6. Hinzufügen der zusätzlichen Konfigurationsparameter in der MOA-ID-Auth
+   Konfigurationsdatei CATALINA_HOME\conf\moa-id\moa-id.properties
+6.1 Anbindung an zentralen nationalen eIDAS Connector   
+   > modules.eidascentralauth.keystore.path=
+   > modules.eidascentralauth.keystore.password=
+   > modules.eidascentralauth.metadata.sign.alias=
+   > modules.eidascentralauth.metadata.sign.password=
+   > modules.eidascentralauth.request.sign.alias= 
+   > modules.eidascentralauth.request.sign.password=
+   > modules.eidascentralauth.response.encryption.alias= 
+   > modules.eidascentralauth.response.encryption.password= 
+   > modules.eidascentralauth.node.trustprofileID=centralnode_metadata    
+
+
+7. HTML Template updates
+7.1 Update der HTML Templates für Auswahl des zentralen nationalen eIDAS Connectors
+    Sollten Sie eigene     Modifikationen an den bestehenden Templates vorgenommen 
+    haben müssen die Anpassungen manuell in die neuen Templates übertragen werden. 
+    MOA-ID 3.4.0 kann jedoch auch mit den bestehenden Templates betrieben werden, sofern
+    keine Unterstützung für eIDAS benötigt wird.
+    a.) Erstellen Sie eine Sicherungskopie der Verzeichnisse:
+       - CATALINA_HOME\conf\moa-id\htmlTemplates
+       - CATALINA_HOME\conf\moa-id-configuration\htmlTemplates     
+    b.) Kopieren Sie die Dateien aus dem Verzeichnis MOA_ID_INST_AUTH\conf\moa-id\htmlTemplates
+         in das Verzeichnis CATALINA_HOME\conf\moa-id\htmlTemplates          
+    d.) Kopieren Sie die Dateien aus dem Verzeichnis MOA_ID_INST_AUTH\conf\moa-id-configuration\htmlTemplates
+         in das Verzeichnis CATALINA_HOME\conf\moa-id-configuration\htmlTemplates.     
+
+8. Update the MOA-ID Konfiguration via Web-basierten Konfigurationstool
+    Diese Schitte können erst nach der Installation und dem Start der Applikation
+    moa-id-configuration.war durchgeführt werden
+8.1 Anbindung an zentralen nationalen eIDAS Connector 
+    a.) Bekanntgabe von Endpunkten (Produktiv, Test, ... ) der verwendbaren 
+        zentralen nationalen eIDAS Connectoren. 
+        
+    b.) Auswahl des gewünschten zentraler nationaler eIDAS Connector je Online-Applikation
+        sofern im Schritt a. mehr als Ein Endpunkt konfiguriert wurde. 
+        Hinweis: Als Default wird immer der Erste im Schritt a. hinterlegte Endpunkt verwendet
+
+9. Optionale Updates:
+9.1. Unterstützung der neuen VDA Schnittstelle via Security-Layer 2.0:
+     Hierbei handelt es sich um eine Authentifizierungsschnittstelle im Beta Status
+     da die Spezifikation der Schnittstelle noch nicht Final ist. Die Schnittstelle ist in 
+     MOA-ID funktional umgesetzt, es kann jedoch noch offene Punkte bezüglich Fehlerhändlung
+     und Logging geben. 
+     a.) Hinzufügen der zusätzlichen Konfigurationsparameter in der MOA-ID-Auth
+         Konfigurationsdatei CATALINA_HOME\conf\moa-id\moa-id.properties
+         > modules.sl20.security.keystore.path=keys/sl20.jks
+         > modules.sl20.security.keystore.password=password
+         > modules.sl20.security.sign.alias=signing
+         > modules.sl20.security.sign.password=password
+         > modules.sl20.security.encryption.alias=encryption
+         > modules.sl20.security.encryption.password=password
+         
+     b.) Aktivierung je Online-Applikation im Web-basierten Konfigurationstool
+         Die neue VDA-Schnittstelle muss je Online-Applikation aktiviert werden, wobei 
+         die Aktivierung im Abschnitt "Security Layer für mobile Authententifizierung" 
+         der Online-Applikationskonfiguration erfolgt. 
+
+9.2. Umstellung auf Java JDK 9
+     Die 'JAVA_HOME\jre\lib\ext' und die 'CATALINA_HOME_ID\endorsed' wird in Java 9 
+     nicht mehr unterstützt und entsprechende Referenzen müssen aus den Start-Scripts
+     entfernt werden. Ab MOA-ID 3.3.2 sind die Bibliotheken, welche früher in 
+     den beiden Verzeichnissen hinterlegt waren, direkt in MOA-ID integriert.   
+   
+10. Starten Sie den Tomcat neu, achten Sie auf eventuelle Fehlermeldungen im
+    Logging von MOA ID beim Einlesen der Konfiguration.
+
+
+################################################################################################################
+
+...............................................................................
+B.1 Durchführung eines Updates von Version 3.2.x auf Version 3.4.0
+...............................................................................
+1. Stoppen Sie den Tomcat, in dem Ihre bisherige Installation betrieben wird.
+   Fertigen Sie eine Sicherungskopie Ihrer kompletten Tomcat-Installation an.
+
+2. Entpacken Sie die Distribution von MOA-ID-Auth (moa-id-auth-3.3.2.zip) in
+   ein temporäres Verzeichnis, in weiterer Folge als MOA_ID_AUTH_INST 
+   bezeichnet.
+
+3. Wechseln Sie in jenes Verzeichnis, das die Webapplikation von MOA ID Auth
+   beinhaltet (für gewöhnlich ist dieses Verzeichnis CATALINA_HOME_ID/webapps,
+   wobei CATALINA_HOME_ID für das Basisverzeichnis der Tomcat-Installation 
+   für MOA ID steht). Löschen Sie darin sowohl die Dateien moa-id-auth.war 
+   als auch das komplette Verzeichnis moa-id-auth. 
+
+4. Kopieren Sie die Datei MOA_ID_AUTH_INST/moa-id-auth.war nach
+   CATALINA_HOME_ID/webapps.
+
+5. Kopieren Sie die Datei MOA_ID_AUTH_INST/moa-id-configuration.war nach
+   CATALINA_HOME_ID/webapps.
+
+6. Erstellen Sie eine Sicherungskopie aller "iaik*.jar"-Dateien im Verzeichnis
+	 JAVA_HOME\jre\lib\ext und loeschen Sie diese Dateien danach.
+	
+7. Kopieren Sie alle Dateien aus dem Verzeichnis MOA_ID_AUTH_INST\ext in das 
+   Verzeichnis	JAVA_HOME\jre\lib\ext (Achtung: Java 1.4.x wird nicht mehr 
+   unterstuetzt).
+
+8. Erstellen Sie eine Sicherungskopie aller "*.jar"-Dateien im Verzeichnis
+   CATALINA_HOME_ID\endorsed und loeschen Sie diese Dateien danach.
+   
+9. Kopieren Sie alle Dateien aus dem Verzeichnis MOA_ID_AUTH_INST\endorsed in das 
+   Verzeichnis	CATALINA_HOME_ID\endorsed.
+
+10. Hinzufügen der zusätzlichen Konfigurationsparameter in der MOA-ID-Auth
+    Konfigurationsdatei CATALINA_HOME\conf\moa-id\moa-id.properties
+10.1 Anbindung an zentralen nationalen eIDAS Connector   
+    > modules.eidascentralauth.keystore.path=
+    > modules.eidascentralauth.keystore.password=
+    > modules.eidascentralauth.metadata.sign.alias=
+    > modules.eidascentralauth.metadata.sign.password=
+    > modules.eidascentralauth.request.sign.alias= 
+    > modules.eidascentralauth.request.sign.password=
+    > modules.eidascentralauth.response.encryption.alias= 
+    > modules.eidascentralauth.response.encryption.password= 
+    > modules.eidascentralauth.node.trustprofileID=centralnode_metadata    
+
+11. HTML Template updates
+11.1 Update der HTML Templates für Auswahl des zentralen nationalen eIDAS Connectors
+     Sollten Sie eigene     Modifikationen an den bestehenden Templates vorgenommen 
+     haben müssen die Anpassungen manuell in die neuen Templates übertragen werden. 
+     MOA-ID 3.4.0 kann jedoch auch mit den bestehenden Templates betrieben werden, sofern
+     keine Unterstützung für eIDAS benötigt wird.
+     a.) Erstellen Sie eine Sicherungskopie der Verzeichnisse:
+        - CATALINA_HOME\conf\moa-id\htmlTemplates
+        - CATALINA_HOME\conf\moa-id-configuration\htmlTemplates     
+     b.) Kopieren Sie die Dateien aus dem Verzeichnis MOA_ID_INST_AUTH\conf\moa-id\htmlTemplates
+          in das Verzeichnis CATALINA_HOME\conf\moa-id\htmlTemplates          
+     d.) Kopieren Sie die Dateien aus dem Verzeichnis MOA_ID_INST_AUTH\conf\moa-id-configuration\htmlTemplates
+          in das Verzeichnis CATALINA_HOME\conf\moa-id-configuration\htmlTemplates.     
+
+12. Update the MOA-ID Konfiguration via Web-basierten Konfigurationstool
+     Diese Schitte können erst nach der Installation und dem Start der Applikation
+     moa-id-configuration.war durchgeführt werden
+12.1 Anbindung an zentralen nationalen eIDAS Connector 
+     a.) Bekanntgabe von Endpunkten (Produktiv, Test, ... ) der verwendbaren 
+         zentralen nationalen eIDAS Connectoren. 
+        
+     b.) Auswahl des gewünschten zentraler nationaler eIDAS Connector je Online-Applikation
+         sofern im Schritt a. mehr als Ein Endpunkt konfiguriert wurde. 
+         Hinweis: Als Default wird immer der Erste im Schritt a. hinterlegte Endpunkt verwendet
+
+13. Optionale Updates:
+13.1. Unterstützung der neuen VDA Schnittstelle via Security-Layer 2.0:
+      Hierbei handelt es sich um eine Authentifizierungsschnittstelle im Beta Status
+      da die Spezifikation der Schnittstelle noch nicht Final ist. Die Schnittstelle ist in 
+      MOA-ID funktional umgesetzt, es kann jedoch noch offene Punkte bezüglich Fehlerhändlung
+      und Logging geben. 
+      a.) Hinzufügen der zusätzlichen Konfigurationsparameter in der MOA-ID-Auth
+          Konfigurationsdatei CATALINA_HOME\conf\moa-id\moa-id.properties
+          > modules.sl20.security.keystore.path=keys/sl20.jks
+          > modules.sl20.security.keystore.password=password
+          > modules.sl20.security.sign.alias=signing
+          > modules.sl20.security.sign.password=password
+          > modules.sl20.security.encryption.alias=encryption
+          > modules.sl20.security.encryption.password=password
+         
+      b.) Aktivierung je Online-Applikation im Web-basierten Konfigurationstool
+          Die neue VDA-Schnittstelle muss je Online-Applikation aktiviert werden, wobei 
+          die Aktivierung im Abschnitt "Security Layer für mobile Authententifizierung" 
+          der Online-Applikationskonfiguration erfolgt. 
+
+13.2. Umstellung auf Java JDK 9
+      Die 'JAVA_HOME\jre\lib\ext' und die 'CATALINA_HOME_ID\endorsed' wird in Java 9 
+      nicht mehr unterstützt und entsprechende Referenzen müssen aus den Start-Scripts
+      entfernt werden. Ab MOA-ID 3.3.2 sind die Bibliotheken, welche früher in 
+      den beiden Verzeichnissen hinterlegt waren, direkt in MOA-ID integriert.   
+
+13.3. Das BKU Auswahltemplate von MOA-ID wurde um eine Detection der lokalen BKU
+      erweitert und mocca Online wurde entfernt.
+      a.) Kopieren Sie die Dateien aus dem Verzeichnis MOA_ID_INST_AUTH\conf\moa-id\htmlTemplates
+          in das Verzeichnis CATALINA_HOME\conf\moa-id\htmlTemplates
+      b.) Kopieren Sie die Dateien aus dem Verzeichnis MOA_ID_INST_AUTH\conf\moa-id-configuration\htmlTemplates
+          in das Verzeichnis CATALINA_HOME\conf\moa-id-configuration\htmlTemplates. 
+13.4. Die mySQL Treiber 'com.mysql.jdbc.Drive' und 'org.hibernate.dialect.MySQLDialect'
+      sind deprecated für aktuelle mySQL DB Versionen. Der neue Treiber 
+      für mySQL Datenbanken lautet 'com.mysql.cj.jdbc.Driver' und ein aktuellerer
+      Hibernate Dialect lautet 'org.hibernate.dialect.MySQL5Dialect'. 
+      Sollte es zu Problemen kommen ersetzen Sie entsprechenden Zeilen durch:
+      a.) Konfigurationsdatei CATALINA_HOME\conf\moa-id\moa-id.properties
+          moasession.hibernate.dialect=org.hibernate.dialect.MySQL5Dialect
+          moasession.hibernate.connection.driver_class=com.mysql.cj.jdbc.Driver
+          configuration.hibernate.dialect=org.hibernate.dialect.MySQL5Dialect
+          configuration.hibernate.connection.driver_class=com.mysql.cj.jdbc.Driver
+          advancedlogging.hibernate.dialect=org.hibernate.dialect.MySQL5Dialect
+          advancedlogging.hibernate.connection.driver_class=com.mysql.cj.jdbc.Driver
+      b.) Konfigurationsdatei CATALINA_HOME\conf\moa-id-configuration\moa-id-configtool.properties
+          hibernate.connection.driver_class=com.mysql.cj.jdbc.Driver
+   
+14.  Starten Sie den Tomcat neu, achten Sie auf eventuelle Fehlermeldungen im
+     Logging von MOA ID beim Einlesen der Konfiguration.
+
+
+...............................................................................
+B.2 Durchführung eines Updates von Version < 3.2.0
+...............................................................................
+
+Bitte führen Sie eine Neuinstallation von MOA ID laut Handbuch durch und passen
+Sie die mitgelieferte Musterkonfiguration entsprechend Ihren Bedürfnissen unter 
+Zuhilfenahme Ihrer bisherigen Konfiguration an.
+
diff --git a/id/server/auth-edu/pom.xml b/id/server/auth-edu/pom.xml
index 8f4ab662e..a1901177e 100644
--- a/id/server/auth-edu/pom.xml
+++ b/id/server/auth-edu/pom.xml
@@ -249,18 +249,18 @@
 			<!-- should be in the ext directory of the jre -->
 			<!-- <scope>provided</scope> -->
 		</dependency>
-		<dependency>
+<!-- 		<dependency>
 			<groupId>xalan-bin-dist</groupId>
 			<artifactId>xalan</artifactId>
-			<!-- should be provided by the container or jre -->
-			<!-- <scope>provided</scope> -->
+			should be provided by the container or jre
+			<scope>provided</scope>
 			<exclusions>
 				<exclusion>
 					<groupId>xalan</groupId>
 					<artifactId>serializer</artifactId>
 				</exclusion>
 			</exclusions>
-		</dependency>
+		</dependency>  -->
 		<dependency>
 			<groupId>xerces</groupId>
 			<artifactId>xercesImpl</artifactId>
@@ -273,12 +273,12 @@
 			<!-- should be provided by the container or jre -->
 			<!-- <scope>provided</scope> -->
 		</dependency>
-		<dependency>
+<!-- 		<dependency>
 			<groupId>xalan-bin-dist</groupId>
 			<artifactId>serializer</artifactId>
-			<!-- should be provided by the container or jre -->
-			<!-- <scope>provided</scope> -->
-		</dependency>
+			should be provided by the container or jre
+			<scope>provided</scope>
+		</dependency> -->
 
 		<dependency>
 			<groupId>org.springframework</groupId>
diff --git a/id/server/auth-edu/src/main/resources/log4j.properties b/id/server/auth-edu/src/main/resources/log4j.properties
index ecdfad165..2914fcff1 100644
--- a/id/server/auth-edu/src/main/resources/log4j.properties
+++ b/id/server/auth-edu/src/main/resources/log4j.properties
@@ -2,26 +2,61 @@
 org.apache.commons.logging.LogFactory=org.apache.commons.logging.impl.Log4jFactory
 
 # define log4j root loggers
-log4j.rootLogger=info, stdout, R
-log4j.logger.at.gv.egovernment.moa=info, R
-log4j.logger.at.gv.egovernment.moa.spss=info, R
-log4j.logger.iaik.server=info, R
-log4j.logger.at.gv.egovernment.moa.id=info, R
-log4j.logger.at.gv.egovernment.moa.id.proxy=info, R
-log4j.logger.eu.stork=info, R
-log4j.logger.org.hibernate=warn, R
+log4j.rootLogger=warn,stdout
 
+### MOA-ID process log ###
+log4j.logger.at.gv.egiz.eaaf=info,moaid
+log4j.logger.at.gv.egovernment.moa.id=info,moaid
+log4j.logger.at.gv.egovernment.moa.spss=info,moaid
+
+### process revision log with event-codes ###
+log4j.logger.at.gv.egiz.eventlog.plain.all=info,reversion
+
+### Signature verification and certificate proofing ####
+log4j.logger.at.gv.egovernment.moa.spss=info,moaspss
+log4j.logger.iaik.server=info,moaspss
+log4j.logger.pki=info,moaspss
+
+### ConfigTool Logs ####
+log4j.logger.at.gv.egiz.components.configuration=info,CONFIGTOOL
+log4j.logger.at.gv.egovernment.moa.id.commons=info,CONFIGTOOL
+log4j.logger.at.gv.egovernment.moa.id.config.webgui=info,CONFIGTOOL
+log4j.logger.at.gv.egovernment.moa.id.configuration=info,CONFIGTOOL
+
+
+### Log Appender ####
 # configure the stdout appender
 log4j.appender.stdout=org.apache.log4j.ConsoleAppender
 log4j.appender.stdout.layout=org.apache.log4j.PatternLayout
-#log4j.appender.stdout.layout.ConversionPattern=%5p | %d{dd HH:mm:ss,SSS} | %20c |  %10t | %m%n
-log4j.appender.stdout.layout.ConversionPattern=%5p | %d{dd HH:mm:ss,SSS} | %20.20c | %10t | %m%n
+log4j.appender.stdout.layout.ConversionPattern=%5p | %d{dd HH:mm:ss,SSS} | %X{sessionId} | %X{transactionId} | %X{oaId} |%20.20c | %10t | %m%n
+
+# configure the rolling file appender (moaid)
+log4j.appender.moaid=org.apache.log4j.RollingFileAppender
+log4j.appender.moaid.File=${catalina.base}/logs/moa-id.log
+log4j.appender.moaid.MaxFileSize=10000KB
+log4j.appender.moaid.MaxBackupIndex=1
+log4j.appender.moaid.layout=org.apache.log4j.PatternLayout
+log4j.appender.moaid.layout.ConversionPattern=%5p | %d{dd HH:mm:ss,SSS} | %X{sessionId} | %X{transactionId} | %X{oaId} | %t | %m%n
+
+# configure the rolling file appender (moaid)
+log4j.appender.moaspss=org.apache.log4j.RollingFileAppender
+log4j.appender.moaspss.File=${catalina.base}/logs/moa-spss.log
+log4j.appender.moaspss.MaxFileSize=10000KB
+log4j.appender.moaspss.MaxBackupIndex=1
+log4j.appender.moaspss.layout=org.apache.log4j.PatternLayout
+log4j.appender.moaspss.layout.ConversionPattern=%5p | %d{dd HH:mm:ss,SSS} | %X{sessionId} | %X{transactionId} | %X{oaId} | %t | %m%n
 
-# configure the rolling file appender (R)
-log4j.appender.R=org.apache.log4j.RollingFileAppender
-log4j.appender.R.File=${catalina.base}/logs/moa-id.log
-log4j.appender.R.MaxFileSize=10000KB
-log4j.appender.R.MaxBackupIndex=1
-log4j.appender.R.layout=org.apache.log4j.PatternLayout
-log4j.appender.R.layout.ConversionPattern=%5p | %d{dd HH:mm:ss,SSS} | %t | %m%n
+log4j.appender.reversion=org.apache.log4j.RollingFileAppender
+log4j.appender.reversion.File=${catalina.base}/moa-id-reversion.log
+log4j.appender.reversion.MaxFileSize=10000KB
+log4j.appender.reversion.MaxBackupIndex=9999
+log4j.appender.reversion.layout=org.apache.log4j.PatternLayout
+log4j.appender.reversion.layout.ConversionPattern=%5p | %d{ISO8601} | %t | %m%n
 
+# configure the rolling file appender (configtool)
+log4j.appender.CONFIGTOOL=org.apache.log4j.RollingFileAppender
+log4j.appender.CONFIGTOOL.File=${catalina.base}/logs/moa-id-webgui.log
+log4j.appender.CONFIGTOOL.MaxFileSize=10000KB
+log4j.appender.CONFIGTOOL.MaxBackupIndex=1
+log4j.appender.CONFIGTOOL.layout=org.apache.log4j.PatternLayout
+log4j.appender.CONFIGTOOL.layout.ConversionPattern=%5p | %d{dd HH:mm:ss,SSS} | %X{sessionId} | %X{transactionId} | %X{oaId} | %t | %m%n
\ No newline at end of file
diff --git a/id/server/auth-final/pom.xml b/id/server/auth-final/pom.xml
index 15208bb47..09fb70a19 100644
--- a/id/server/auth-final/pom.xml
+++ b/id/server/auth-final/pom.xml
@@ -186,7 +186,7 @@
 			<groupId>iaik.prod</groupId>
 			<artifactId>iaik_jce_full</artifactId>
 			<!-- should be in the ext directory of the jre -->
-			<scope>provided</scope>
+			<!-- <scope>provided</scope> -->
 		</dependency>
 <!-- 		<dependency>
 			<groupId>iaik.prod</groupId>
@@ -206,10 +206,10 @@
 			<!-- should be in the ext directory of the jre -->
 			<scope>provided</scope>
 		</dependency>
-		<dependency>
+<!-- 		<dependency>
 			<groupId>xalan-bin-dist</groupId>
 			<artifactId>xalan</artifactId>
-			<!-- should be provided by the container or jre -->
+			should be provided by the container or jre
 			<scope>provided</scope>
 			<exclusions>
 				<exclusion>
@@ -217,25 +217,25 @@
 					<artifactId>serializer</artifactId>
 				</exclusion>
 			</exclusions>
-		</dependency>
+		</dependency> -->
 		<dependency>
 			<groupId>xerces</groupId>
 			<artifactId>xercesImpl</artifactId>
 			<!-- should be provided by the container or jre -->
-			<scope>provided</scope>
+<!-- 			<scope>provided</scope> -->
 		</dependency>
 		<dependency>
 			<groupId>xalan-bin-dist</groupId>
 			<artifactId>xml-apis</artifactId>
 			<!-- should be provided by the container or jre -->
-			<scope>provided</scope>
+			<!-- <scope>provided</scope> -->
 		</dependency>
-		<dependency>
+<!-- 		<dependency>
 			<groupId>xalan-bin-dist</groupId>
 			<artifactId>serializer</artifactId>
-			<!-- should be provided by the container or jre -->
+			should be provided by the container or jre
 			<scope>provided</scope>
-		</dependency>
+		</dependency> -->
 
 		<dependency>
 			<groupId>org.springframework</groupId>
diff --git a/id/server/auth-final/src/main/resources/log4j.properties b/id/server/auth-final/src/main/resources/log4j.properties
index ecdfad165..2914fcff1 100644
--- a/id/server/auth-final/src/main/resources/log4j.properties
+++ b/id/server/auth-final/src/main/resources/log4j.properties
@@ -2,26 +2,61 @@
 org.apache.commons.logging.LogFactory=org.apache.commons.logging.impl.Log4jFactory
 
 # define log4j root loggers
-log4j.rootLogger=info, stdout, R
-log4j.logger.at.gv.egovernment.moa=info, R
-log4j.logger.at.gv.egovernment.moa.spss=info, R
-log4j.logger.iaik.server=info, R
-log4j.logger.at.gv.egovernment.moa.id=info, R
-log4j.logger.at.gv.egovernment.moa.id.proxy=info, R
-log4j.logger.eu.stork=info, R
-log4j.logger.org.hibernate=warn, R
+log4j.rootLogger=warn,stdout
 
+### MOA-ID process log ###
+log4j.logger.at.gv.egiz.eaaf=info,moaid
+log4j.logger.at.gv.egovernment.moa.id=info,moaid
+log4j.logger.at.gv.egovernment.moa.spss=info,moaid
+
+### process revision log with event-codes ###
+log4j.logger.at.gv.egiz.eventlog.plain.all=info,reversion
+
+### Signature verification and certificate proofing ####
+log4j.logger.at.gv.egovernment.moa.spss=info,moaspss
+log4j.logger.iaik.server=info,moaspss
+log4j.logger.pki=info,moaspss
+
+### ConfigTool Logs ####
+log4j.logger.at.gv.egiz.components.configuration=info,CONFIGTOOL
+log4j.logger.at.gv.egovernment.moa.id.commons=info,CONFIGTOOL
+log4j.logger.at.gv.egovernment.moa.id.config.webgui=info,CONFIGTOOL
+log4j.logger.at.gv.egovernment.moa.id.configuration=info,CONFIGTOOL
+
+
+### Log Appender ####
 # configure the stdout appender
 log4j.appender.stdout=org.apache.log4j.ConsoleAppender
 log4j.appender.stdout.layout=org.apache.log4j.PatternLayout
-#log4j.appender.stdout.layout.ConversionPattern=%5p | %d{dd HH:mm:ss,SSS} | %20c |  %10t | %m%n
-log4j.appender.stdout.layout.ConversionPattern=%5p | %d{dd HH:mm:ss,SSS} | %20.20c | %10t | %m%n
+log4j.appender.stdout.layout.ConversionPattern=%5p | %d{dd HH:mm:ss,SSS} | %X{sessionId} | %X{transactionId} | %X{oaId} |%20.20c | %10t | %m%n
+
+# configure the rolling file appender (moaid)
+log4j.appender.moaid=org.apache.log4j.RollingFileAppender
+log4j.appender.moaid.File=${catalina.base}/logs/moa-id.log
+log4j.appender.moaid.MaxFileSize=10000KB
+log4j.appender.moaid.MaxBackupIndex=1
+log4j.appender.moaid.layout=org.apache.log4j.PatternLayout
+log4j.appender.moaid.layout.ConversionPattern=%5p | %d{dd HH:mm:ss,SSS} | %X{sessionId} | %X{transactionId} | %X{oaId} | %t | %m%n
+
+# configure the rolling file appender (moaid)
+log4j.appender.moaspss=org.apache.log4j.RollingFileAppender
+log4j.appender.moaspss.File=${catalina.base}/logs/moa-spss.log
+log4j.appender.moaspss.MaxFileSize=10000KB
+log4j.appender.moaspss.MaxBackupIndex=1
+log4j.appender.moaspss.layout=org.apache.log4j.PatternLayout
+log4j.appender.moaspss.layout.ConversionPattern=%5p | %d{dd HH:mm:ss,SSS} | %X{sessionId} | %X{transactionId} | %X{oaId} | %t | %m%n
 
-# configure the rolling file appender (R)
-log4j.appender.R=org.apache.log4j.RollingFileAppender
-log4j.appender.R.File=${catalina.base}/logs/moa-id.log
-log4j.appender.R.MaxFileSize=10000KB
-log4j.appender.R.MaxBackupIndex=1
-log4j.appender.R.layout=org.apache.log4j.PatternLayout
-log4j.appender.R.layout.ConversionPattern=%5p | %d{dd HH:mm:ss,SSS} | %t | %m%n
+log4j.appender.reversion=org.apache.log4j.RollingFileAppender
+log4j.appender.reversion.File=${catalina.base}/moa-id-reversion.log
+log4j.appender.reversion.MaxFileSize=10000KB
+log4j.appender.reversion.MaxBackupIndex=9999
+log4j.appender.reversion.layout=org.apache.log4j.PatternLayout
+log4j.appender.reversion.layout.ConversionPattern=%5p | %d{ISO8601} | %t | %m%n
 
+# configure the rolling file appender (configtool)
+log4j.appender.CONFIGTOOL=org.apache.log4j.RollingFileAppender
+log4j.appender.CONFIGTOOL.File=${catalina.base}/logs/moa-id-webgui.log
+log4j.appender.CONFIGTOOL.MaxFileSize=10000KB
+log4j.appender.CONFIGTOOL.MaxBackupIndex=1
+log4j.appender.CONFIGTOOL.layout=org.apache.log4j.PatternLayout
+log4j.appender.CONFIGTOOL.layout.ConversionPattern=%5p | %d{dd HH:mm:ss,SSS} | %X{sessionId} | %X{transactionId} | %X{oaId} | %t | %m%n
\ No newline at end of file
diff --git a/id/server/data/deploy/conf/moa-id-configuration/htmlTemplates/loginFormFull.html b/id/server/data/deploy/conf/moa-id-configuration/htmlTemplates/loginFormFull.html
index fe9bc2166..62f954ada 100644
--- a/id/server/data/deploy/conf/moa-id-configuration/htmlTemplates/loginFormFull.html
+++ b/id/server/data/deploy/conf/moa-id-configuration/htmlTemplates/loginFormFull.html
@@ -4,7 +4,7 @@
 <meta content="text/html; charset=utf-8" http-equiv="Content-Type">
 
    <!-- MOA-ID 2.x BKUSelection Layout CSS -->               
-   <link rel="stylesheet" href="$contextPath/css/buildCSS?pendingid=$pendingReqID" />
+   <link rel="stylesheet" href="$contextPath/css/buildCSS?pendingid=$pendingReqID"/>
    
    <!-- MOA-ID 2.x BKUSelection JavaScript fucnctions-->
    <script src="$contextPath/js/buildJS?pendingid=$pendingReqID"></script>
@@ -26,8 +26,8 @@
 						<div id="mandateLogin" class="$MANDATEVISIBLE">
 							<div>
 								<input tabindex="1" type="checkbox" name="Mandate"
-									id="mandateCheckBox" class="verticalcenter" role="checkbox" $MANDATECHECKED>
-								<label for="mandateCheckBox" class="verticalcenter">in
+									id="mandateCheckBox" class="mandate" role="checkbox" $MANDATECHECKED>
+								<label for="mandateCheckBox" class="mandate">in
 									Vertretung anmelden</label>
 								<!--a      href="info_mandates.html" 
                         target="_blank"
@@ -37,31 +37,42 @@
 						</div>
 						<div id="bkuselectionarea">
 							<div id="bkukarte">
-								<img id="bkuimage" class="bkuimage" src="$contextPath/img/karte.png" alt="OnlineBKU" /> 
+								<img id="bkuimage" class="bkuimage" src="$contextPath/img/karte.png" alt="OnlineBKU"/> 
                 
-                <!-- Remove support for Online BKU and swith the card button to local BKU-->
-                <!--input name="bkuButtonOnline" type="button" onClick="bkuOnlineClicked();" tabindex="2" role="button" value="Karte" /-->                
+                  <!-- Remove support for Online BKU and swith the card button to local BKU-->
+                  <!--input name="bkuButtonOnline" type="button" onClick="bkuOnlineClicked();" tabindex="2" role="button" value="Karte" /-->                
                 
-                <form method="get" id="moaidform" action="$contextPath$submitEndpoint" class="verticalcenter" target="_parent">
-								  <input type="hidden" name="bkuURI" value="$bkuLocal" />
-								  <input type="hidden" name="useMandate" id="useMandate" /> 
-								  <input type="hidden" name="SSO" id="useSSO" /> 
-								  <input type="hidden" name="ccc" id="ccc" /> 
-								  <input type="hidden" name="pendingid" value="$pendingReqID" /> 
-                  <input type="submit" value=" Karte " tabindex="4" role="button">
-                </form>
+                  <form method="get" id="moaidform" action="$contextPath$submitEndpoint" class="verticalcenter" target="_parent">
+								    <input type="hidden" name="bkuURI" value="$bkuLocal" />
+								    <input type="hidden" name="useMandate" id="useMandate" /> 
+								    <input type="hidden" name="SSO" id="useSSO" /> 
+								    <input type="hidden" name="ccc" id="ccc" /> 
+								    <input type="hidden" name="pendingid" value="$pendingReqID" /> 
+                    <input type="submit" value=" Karte " tabindex="5" role="button" onclick="setMandateSelection();" />
+                  </form>
                 
-                <iframe name="bkudetect" width="0" height="0" scrolling="no" marginheight="0" marginwidth="0" frameborder="0" src="$contextPath/feature/bkuDetection?pendingid=$pendingReqID"></iframe>
+                  <iframe name="bkudetect" width="0" height="0" scrolling="no" marginheight="0" marginwidth="0" frameborder="0" src="$contextPath/feature/bkuDetection?pendingid=$pendingReqID"></iframe>
+                
+                  <!-- BKU detection with static template-->
+                  <!--iframe name="bkudetect" width="0" height="0" scrolling="no" marginheight="0" marginwidth="0" frameborder="0" src="$contextPath/iframeLBKUdetect.html"></iframe-->                                                            
+				        </div>
+                            
+				        <div id="bkuhandy">
+				            <img class="bkuimage" src="$contextPath/img/handysign.png" alt="HandyBKU" />         
+                            <input name="bkuButtonHandy" type="button" tabindex="3" role="button" value="HANDY" />
+				        </div>
+                
+            
+				        <div id="bkueulogin" class="$eIDASVisible">
+				            <img class="bkuimage" src="$contextPath/img/eIDAS_small.png" alt="EULogin" />                                                        
+                    <form method="get" id="moaidform" action="$contextPath$submitEndpoint" class="verticalcenter" target="_parent">
+								      <input type="hidden" name="useeIDAS" value="true" />
+								      <input type="hidden" name="useMandate" id="useMandate" />  
+								      <input type="hidden" name="pendingid" value="$pendingReqID" /> 
+                      <input name="bkuButtonEULogin" onclick="setMandateSelection();" type="submit" role="button" value="EULogin" />
+                    </form>
+				        </div>
                 
-                <!-- BKU detection with static template-->
-                <!--iframe name="bkudetect" width="0" height="0" scrolling="no" marginheight="0" marginwidth="0" frameborder="0" src="$contextPath/iframeLBKUdetect.html"></iframe-->
-                                                            
-							</div>
-							<div id="bkuhandy">
-								<img class="bkuimage" src="$contextPath/img/handysign.png" alt="HandyBKU" />         
-                <input name="bkuButtonHandy" type="button" tabindex="3" role="button" value="HANDY" />
-							</div>
-						</div>
 						<!--div id="localBKU">
 							<form method="get" id="moaidform" action="$contextPath$submitEndpoint"
 								class="verticalcenter" target="_parent">
@@ -80,7 +91,8 @@
               <!--div id="ssoSessionTransferBlock">
                 <a href="$contextPath$submitEndpoint?pendingid=$pendingReqID&restoreSSOSession=true">>Restore SSO Session from Smartphone</a>
               </div-->
-              
+                                  
+            <!-- 
               <div id="stork" align="center" class="$STORKVISIBLE">
                 <h2 id="tabheader" class="dunkel">Home Country Selection</h2>
                 <p>
@@ -88,9 +100,9 @@
                     $countryList
                   </select>
                   <button id="eIDASButton" name="bkuButton" type="button">Proceed</button>
-                  <!--a href="info_stork.html" target="_blank" class="infobutton">i</a-->
+                  a href="info_stork.html" target="_blank" class="infobutton">i</a
                 </p>
-              </div>
+              </div>-->
 
 						<div id="metroDetected" class="unvisible">
 							<p>Anscheinend verwenden Sie Internet Explorer im
diff --git a/id/server/data/deploy/conf/moa-id/htmlTemplates/css_template.css b/id/server/data/deploy/conf/moa-id/htmlTemplates/css_template.css
index f95106c5a..fab541751 100644
--- a/id/server/data/deploy/conf/moa-id/htmlTemplates/css_template.css
+++ b/id/server/data/deploy/conf/moa-id/htmlTemplates/css_template.css
@@ -1,705 +1,394 @@
 @charset "utf-8";
-	@media screen and (min-width: 650px) {
-			
-				body {
-					margin:0;
-					padding:0;
-					color : #000;
-					background-color : #fff;
-			  	text-align: center;
-			  	background-color: #6B7B8B;
-				}
-                
-                .browserInfoButton{
-         color: rgb(128, 128, 128); 
-        }
-				
-        #localBKU p {
-          font-size: 0.7em;
-        } 
-        
-        #localBKU input{
-          font-size: 0.85em;
-          /*border-radius: 5px;*/
-        }
-        
-         #bkuselectionarea input[type=button],#bkuselectionarea input[type=submit]{
-          font-size: 0.85em;
-          /*border-radius: 7px;*/
-          margin-bottom: 25px;
-          min-width: 80px;
-         }
-        
-        #mandateLogin {
-          font-size: 0.85em;
-        }
-        
-        #bku_header h2 {
-          font-size: 0.8em;
-        } 
-        
-        
-			  #page {
-			    display: block;
-			    border: 2px solid rgb(0,0,0);
-			    width: 650px;
-			    height: 460px;
-			    margin: 0 auto;
-			    margin-top: 5%;
-			    position: relative;
-			    border-radius: 25px;
-			    background: rgb(255,255,255);
-			  }
-			  
-			  #page1 {
-			    text-align: center;
-			  }
+    body {
+        margin:0;
+        padding:0;
+        color : #000;
+        background-color : #fff;
+        text-align: left;
+        background-color: #E6E6E6;
+    }
+
+    .browserInfoButton{
+        color: rgb(128, 128, 128); 
+    }	
+    
+    #page {
+        display: block;
+        margin: 0 auto;
+        margin-top: 5%;
+        position: relative;
+        background: rgb(255,255,255);
+    }
 			  
-			  #main {
-			    /*	clear:both; */
-				  position:relative;
-			    margin: 0 auto;
-			    /*width: 250px;*/
-			    text-align: center;
-			  }
+    #page1 {
+        padding-top: 1%;
+        text-align: center;
+    }
 			  
-			  .OA_header {
-			/*	  background-color: white;*/
-			    font-size: 20pt;
-			    margin-bottom: 25px;
-			    margin-top: 25px;
-			  }
-			 #alert_area {
-        width: 500px;
-        padding-left: 80px;
-        }
-			  #leftcontent {
-			    /*float:left; */
-				  width:250px;
-				  margin-bottom: 25px;
-			    text-align: left;
-			    border: 1px solid rgb(0,0,0);
-			  }
-			  			  
-			  #selectArea {
-				 font-size: 15px;
-				 padding-bottom: 65px;
-			  }
-			
-			  #leftcontent {
-				 width: 400px;
-				 /*margin-top: 30px;*/
-         margin: auto;
-			  }
-			
-        #bku_header {
-          height: 5%;
-          padding-bottom: 3px;
-          padding-top: 3px;
-        }
-      
-        #bkulogin {
-            overflow:hidden;	
-            min-width: 190px;
-            min-height: 180px;
-          /*height: 260px;*/	
-			  }
-      
-        h2#tabheader{
-				  font-size: 1.1em; 
-          padding-left: 2%;
-          padding-right: 2%;
-          position: relative;
-			  }
-      	
-        #stork h2 {
-          font-size: 1.0em;
-          margin-bottom: 2%;
-        }
-        		  
-			  .setAssertionButton_full {
-			  	background: #efefef;
-				  cursor: pointer;
-				  margin-top: 15px;
-			    width: 100px;
-			    height: 30px
-			  }
-			
-			  #leftbutton  {
-				 width: 30%; 
-				 float:left; 
-				 margin-left: 40px;
-			  }
-            #centerbutton {
-                width: 30%
-                float: middle; 
-            }
-			
-			
-			  #rightbutton {
-				 width: 30%; 
-				 float:right; 
-				 margin-right: 40px; 
-				 text-align: right;
-			  }
-        
-        button {
-          height: 25px;
-          width: 75px;
-          margin-bottom: 10px;
-        }
-        
-        
-        
-       #validation {
-        position: absolute;
-        bottom: 0px;
-        margin-left: 270px;
-        padding-bottom: 10px;
-      }
-			
-			}
+    #main {
+        float:left;
+        width: 100%;
+        text-align: center;
+    }
+    #bkulogin {	
+        min-width: 200px;
+        min-height: 155px;
+        margin-bottom: 5%;
+    }
 
-      @media screen and (max-width: 205px) {
-        #localBKU p {
-          font-size: 0.6em;
-        }
-       .browserInfoButton{
-         color: rgb(128, 128, 128); 
-        }
-        
-        #localBKU input {
-          font-size: 0.6em;
-          min-width: 60px;
-         /* max-width: 65px; */
-          min-height: 1.0em;
-         /* border-radius: 5px; */
-        }
-        
-        #bkuselectionarea input[type=button],#bkuselectionarea input[type=submit]{
-          font-size: 0.7em;
-          min-width: 55px;
-          /*min-height: 1.1em;
-          border-radius: 5px;*/
-          margin-bottom: 2%
-        }
-        
-        #mandateLogin {
-          font-size: 0.65em;
-        }
-        
-        #bku_header h2 {
-          font-size: 0.8em;
-          margin-top: -0.4em;
-          padding-top: 0.4em;
-        }
-        
-        #bkulogin {
-        min-height: 150px;
-        } 
+   .unvisible {
+       visibility: hidden;
       }
 
-      @media screen and (max-width: 249px) and (min-width: 206px) {
-        #localBKU p {
-          font-size: 0.7em;
-        } 
-        .browserInfoButton{
-         color: rgb(128, 128, 128); 
-        }
-        
-        #localBKU input {
-          font-size: 0.7em;
-          min-width: 70px;
-       /*    max-width: 75px;    */
-          min-height: 0.95em;
-        /*  border-radius: 6px;    */
-        }
-        
-        #bkuselectionarea input[type=button],#bkuselectionarea input[type=submit] {
-          font-size: 0.75em;
-          min-width: 60px;
-      /*    min-height: 0.95em;
-          border-radius: 6px;    */
-          margin-bottom: 5%
-        }
-        
-        #mandateLogin {
-          font-size: 0.75em;
-        }
-        
-        #bku_header h2 {
-          font-size: 0.9em;
-          margin-top: -0.45em;
-          padding-top: 0.45em;
-        }
-        
-        #bkulogin {
-          min-height: 180px;
-        }  
-      }
+    .OA_header {
+			/*	  background-color: white;*/
+        font-size: 2.1em;
+        margin-bottom: 1%;
+        margin-top: 1%;
+    }
 
-      @media screen and (max-width: 299px) and (min-width: 250px) {
-        #localBKU p {
-          font-size: 0.9em;
-        } 
-        .browserInfoButton{
-         color: rgb(128, 128, 128); 
-        }
-        
-        #localBKU input {
-          font-size: 0.8em;
-          min-width: 70px;
-       /*    max-width: 75px;      */
-      /*    border-radius: 6px;  */
-        }
-        
-        #bkuselectionarea input[type=button],#bkuselectionarea input[type=submit] {
-          font-size: 0.85em;
-     /*     min-height: 1.05em;
-          border-radius: 7px;        */
-          margin-bottom: 10%;
-        }
-        
-        #mandateLogin {
-          font-size: 1em;
-        }
-        
-        #bku_header h2 {
-          font-size: 1.0em;
-          margin-top: -0.50em;
-          padding-top: 0.50em;
-        } 
+    #ssoSessionTransferBlock {
+        font-size: 0.8em;
+        margin-left: 1%;
+        margin-bottom: 1%;
       }
 
-      @media screen and (max-width: 399px) and (min-width: 400px) {
-        #localBKU p {
-          font-size: 0.9em;
-        } 
-        .browserInfoButton{
-         color: rgb(128, 128, 128); 
-        }
-        #localBKU input {
-          font-size: 0.8em;
-          min-width: 70px;
-      /*     max-width: 75px;     */
-      /*    border-radius: 6px;       */
-        }
-        
-        #bkuselectionarea input[type=button],#bkuselectionarea input[type=submit] {
-          font-size: 0.9em;
-   /*       min-height: 1.2em;
-          border-radius: 8px;          */
-          margin-bottom: 10%;
-          max-width: 80px;
-        }
-        
-        #mandateLogin {
-          font-size: 1em;
-        }
-        
-        #bku_header h2 {
-          font-size: 1.1em;
-          margin-top: -0.55em;
-          padding-top: 0.55em;
-        } 
+    #processInfoArea {
+        margin-bottom: 4%;
+        margin-top: 4%;
+    }
+
+    #processSelectionArea {
+        width: 550px;
+        margin-left: 25px;
+        margin-top: 35px;
+    }
+
+    .processSelectionButtonArea {
+        float: none;
+        margin-bottom: 5%;
+        height: 35px;
+    }
+
+    .processSelectionButton {
+        background: #ababab;
+        cursor: pointer;
+        height: 40px;
+        width: 200px;
+        float: right;
+    }
+
+    .buttonDescription {
+        float: left;
+        margin-left: 10px;
+        padding-bottom: 0.4em;
+        text-align: left;
+        width: 60%;
+    }
+    
+    #processContent {
+        margin-top: 10%;
       }
-      
-      @media screen and (max-width: 649px) and (min-width: 400px) {
-        #localBKU p {
-          font-size: 0.9em;
-        } 
-       .browserInfoButton{
-         color: rgb(128, 128, 128); 
-        } 
-        #localBKU input {
-          font-size: 0.8em;
-          min-width: 70px;
-      /*     max-width: 80px;       */
-     /*     border-radius: 6px;          */
-        }
-        
-        #bkuselectionarea input[type=button],#bkuselectionarea input[type=submit] {
-          font-size: 1.0em;
-     /*      min-height: 1.3em;
-         border-radius: 10px;         */
-          margin-bottom: 10%;
-          max-width: 85px;
-        }
-        
-        #mandateLogin {
-          font-size: 1.2em;
-        }
-        
-        #bku_header h2 {
-          font-size: 1.3em;
-          margin-top: -0.65em;
-          padding-top: 0.65em;
-        } 
+
+    #eIDASSelection {
+        width: 120px; 
+        margin-right: 5px;        
       }
 
+     #bkukarte {
+        float:left;
+        width:33%;
+        text-align:center;
+        margin-top: 2%;
+    }
 
-			
-			@media screen and (max-width: 649px) {
-				
-        body {
-					margin:0;
-					padding:0;
-					color : #000;
-			  	text-align: center;
-          font-size: 100%;
-			  	background-color: $MAIN_BACKGOUNDCOLOR;
-				}
-        		.browserInfoButton{
-                    color: rgb(128, 128, 128); 
-                }		
-			  #page {
-			     visibility: hidden;
-			     margin-top: 0%;
-			  }
-			  
-			  #page1 {
-			    visibility: hidden;
-			  }
-			  
-			  #main {
-			    visibility: hidden;
-			  }
-        
-        #validation {
-          visibility: hidden;
-          display: none;
-        }
-			  
-			  .OA_header {
-			    margin-bottom: 0px;
-			    margin-top: 0px;
-			    font-size: 0pt;
-			    visibility: hidden;
-			  }
-			  
-        #alert_area {
-          visibility: visible;
-          width: 250px;
-        }
-        #alert_area > p:first-child {
-          display: none;
-          visibility: hidden;
-        }
-        
-                #leftcontent {
-			     visibility: visible;
-			     margin-bottom: 0px;
-			     text-align: left;
-			     border:none;
-                vertical-align: middle;
-                min-height: 173px;
-                min-width: 204px;
-			  }
-			  
-        #bku_header {
-          height: 10%;
-          min-height: 1.2em;
-          margin-top: 1%;
-        }
-        
-        h2#tabheader{
-          padding-left: 2%;
-          padding-right: 2%;
-          position: relative;
-          top: 50%;
-			  }
-        
-        #stork h2 {
-          font-size: 0.9em;
-          margin-bottom: 2%;
-        }
-        
-       	#bkulogin {	
-          min-width: 190px;
-          min-height: 155px;	
-			 }
-        
-			 .setAssertionButton_full {
-			     	background: #efefef;
-				    cursor: pointer;
-				    margin-top: 15px;
-			      width: 70px;
-			      height: 25px;
-			 }
-       
-        input[type=button],input[type=submit] {
-/*          height: 11%;  */
-          width: 70%;
-        }
-			}
-			      
-			* {
-				margin: 0;
-				padding: 0;
-				#if($FONTTYPE)
-        	font-family: $FONTTYPE;
-        #end
-			}
-							      			
-			#selectArea {
-				padding-top: 10px;
-				padding-bottom: 55px;
-				padding-left: 10px;
-			}
-			
-			.setAssertionButton {
-				background: #efefef;
-				cursor: pointer;
-				margin-top: 15px;
-			  width: 70px;
-			  height: 25px;
-			}
-			
-			#leftbutton  {
-				width: 30%; 
-				float:left; 
-				margin-left: 15px;
-			}
+    #bkuhandy {
+        float:left;
+        width:33%;
+        text-align:center;
+        margin-top: 2%;
+    }
+
+    #bkueulogin {
+        display:block;
+        float:left;
+        text-align:center;
+        width:33%;
+        margin-top: 2%;
+    }
+
+    .bkuimage {
+        width: 60%;
+    }
 
+    input {
+        cursor: pointer;
+    }
+
+  #localBKU input {
+    display: inline-block;
+
+  }
 			
-			#rightbutton {
-				width: 30%; 
-				float:right; 
-				margin-right: 25px; 
-				text-align: right;
-			}
+  #localBKU input:hover, #localBKU input:focus, #localBKU input:active {
+    /*text-decoration: underline;*/
+  }
+
+    #installJava, #BrowserNOK {
+        clear:both;
+        font-size:0.8em;
+        padding:4px;
+    }
+
 			
-      #ssoSessionTransferBlock {
+    #ssoSessionTransferBlock {
         clear: both;
-      }
-      
-			#stork {
-			    /*margin-bottom: 10px;*/
-			   /* margin-top: 5px; */
-         clear: both;
-			}
+  }
+
+    #stork {
+        clear: both;
+    }
       			
-      #mandateLogin {
-        padding-bottom: 4%;
-        padding-top: 4%;
-        height: 10%;
+    #mandateLogin {
+        padding-bottom: 2%;
+        padding-top: 2%;
         position: relative;
         text-align: left;
 			}
       
-      .verticalcenter {
+    .verticalcenter {
         vertical-align: middle;
       }
 
     .mandate{
         float: left;
-        margin-left: 4%;
+        margin-left: 2%;
+        font-size: 1.3em;
     }
       
-      #mandateLogin div {
+    #mandateLogin div {
         clear: both;
         margin-top: -1%;
         position: relative;
         top: 50%;
-      }
-      
-      #bkuselectionarea {
-          position: relative;
-          display: block;
-      }
-      
-      #localBKU {
+    }
+         
+    #localBKU {
         padding-bottom: 4%;
         /*padding-top: 4%;*/
         position: relative;
         clear: both;     
         text-align: center;
-			}
-          			
-			#bkukarte {
-				float:left;
-				text-align:center;
-				width:33%;
-                min-height: 90px;
-
-                padding-top: 2%;
-			}
-			
-			#bkuhandy {
-				float:left;
-				text-align:center;
-				width:33%;
-                min-height: 90px;
+    }
+    
+    #selectArea {
+        float:left;
+        width:90%;
+        padding-left: 4%
+    }
 
-                padding-top: 2%;
-			}
-            #bkueulogin {
-            float:left;
-            text-align:center;
-            width:33%;
-            min-height: 90px;
-            padding-top: 2%;
-         
-        }
-			
-            .bkuimage {
-            width: 55%;
-            height: auto;
-            margin-bottom: 10%;
-            }
-      
-			#mandate{
-				text-align:left;
-				padding : 5px 5px 5px 5px;
-			}
-      
-/*		input[type=button], .sendButton {
-				background: $BUTTON_BACKGROUNDCOLOR;
-        color: $BUTTON_COLOR;
-/*				border:1px solid #000;  */
-/*				cursor: pointer;
-/*        box-shadow: 3px 3px 3px #222222;  */
-/*			}
+    .setAssertionButton {
+        background: #efefef;
+        cursor: pointer;
+        margin-top: 15px;
+        width: 70px;
+        height: 25px;
+    }
+    #leftcontent {
+        width: 70%;
+        margin-bottom: 4%;
+        text-align: left;
+        border: 1px solid rgb(0,0,0);
+        margin:auto;
+    }
+    .hell {
+        background-color : $MAIN_BACKGOUNDCOLOR;
+        color: $MAIN_COLOR;	
+    }
 			
-/*      button:hover, button:focus, button:active, 
-      .sendButton:hover , .sendButton:focus, .sendButton:active,
-      #mandateCheckBox:hover, #mandateCheckBox:focus, #mandateCheckBox:active {
-				background: $BUTTON_BACKGROUNDCOLOR_FOCUS;
-        color: $BUTTON_COLOR;
-/*				border:1px solid #000;                */
-/*				cursor: pointer;
-/*        box-shadow: -1px -1px 3px #222222;  */
-/*			}
-      
-*/      
-			input {
-				/*border:1px solid #000;*/
-				cursor: pointer;
-			}
-      
-      #localBKU input {
-/*        color: $BUTTON_COLOR;  */
-        /*border: 0px;*/
-        display: inline-block;
+    .dunkel {
+        background-color: $HEADER_BACKGROUNDCOLOR;
+        color: $HEADER_COLOR;
+    }
+    h2#tabheader{
+        font-size: 2.0em; 
+        padding-left: 2%;
+        padding-right: 2%;
+        position: relative;
+    }
+
+
+@media screen and (min-width: 650px) {
+			        
+    #page {
+         width: 650px;
+         height: 460px;		    
+    }
         
+    #localBKU p {
+        font-size: 0.7em;
+    } 
+        
+    #localBKU input{
+        font-size: 0.85em;
+        /*border-radius: 5px;*/
+    }
+
+    #bkuselectionarea input[type=button],#bkuselectionarea input[type=submit]{
+        font-size: 0.85em;
+    }
+
+    #mandateLogin {
+        font-size: 0.85em;
+    }    
+
+    #bku_header h2 {
+        font-size: 0.8em;
+    } 
+
+    #alert_area {
+        width: 500px;
+        padding-left: 80px;
+    }
+
+      #selectArea {
+         font-size: 15px;
+         padding-bottom: 65px;
       }
 			
-      #localBKU input:hover, #localBKU input:focus, #localBKU input:active {
-        /*text-decoration: underline;*/
-      }
-      
-			#installJava, #BrowserNOK {
-				clear:both;
-				font-size:0.8em;
-				padding:4px;
-			}
-						
-			.selectText{
-			
-			}
-			
+    #bku_header {
+        height: 5%;
+        padding-bottom: 2%;
+        padding-top: 2%;
+    }
+              
+    h2#tabheader{
+        font-size: 1.1em; 
+        padding-left: 2%;
+        padding-right: 2%;
+        position: relative;
+    }
+      	
+    #stork h2 {
+        font-size: 1.0em;
+        margin-bottom: 2%;
+    }
+        		  
+    .setAssertionButton_full {
+        background: #efefef;
+        cursor: pointer;
+        margin-top: 15px;
+        width: 100px;
+        height: 30px
+    }
+        
+        button {
+          height: 25px;
+          width: 75px;
+          margin-bottom: 4%;
+        }      
+        
+    #validation {
+        position: absolute;
+        bottom: 0px;
+        margin-left: 270px;
+        padding-bottom: 10px;
+    }			
+}
 
-			.selectTextHeader{
-			
-			}
-			
-			.sendButton {
-        width: 30%;
-        margin-bottom: 1%;	
-			}
-			
-			#leftcontent a {
-				text-decoration:none; 
-				color: #000;
-			/*	display:block;*/
-				padding:4px;	
-			}
-			
-			#leftcontent a:hover, #leftcontent a:focus, #leftcontent a:active {
-				text-decoration:underline;
-				color: #000;	
-			}
-						
-			.infobutton {
-				background-color: #005a00;
-				color: white;
-				font-family: serif;
-				text-decoration: none;
-				padding-top: 2px;
-				padding-right: 4px;
-				padding-bottom: 2px;
-				padding-left: 4px;
-				font-weight: bold;
-			}
-			
-			.hell {
-				background-color : $MAIN_BACKGOUNDCOLOR;
-        color: $MAIN_COLOR;	
-			}
-			
-			.dunkel {
-				background-color: $HEADER_BACKGROUNDCOLOR;
-        color: $HEADER_COLOR;
-			}
-			      
-			.main_header {
-			   color: black;
-			    font-size: 32pt;
-			    position: absolute;
-			    right: 10%;
-			    top: 40px;
+
+
+@media screen and (max-width: 649px) {
 				
-			}
+    body {
+        background-color:#fff;
+    }
+                	  
+    #page {
+        visibility: hidden;
+        margin-top: 0%;
+    }
+			  
+    #page1 {
+        visibility: hidden;
+    }
+			  
+    #main {
+        visibility: hidden;
+    }
+        
+    #validation {
+        visibility: hidden;
+        display: none;
+    }
+			  
+    .OA_header {
+        margin-bottom: 0%;
+        margin-top: 0%;
+        font-size: 0pt;
+        visibility: hidden;
+    }
+			  
+    #alert_area {
+        visibility: visible;
+        width: 250px;
+    }
+    
+    #alert_area > p:first-child {
+        display: none;
+        visibility: hidden;
+    }
+    
+    .mandate{
+        font-size: 1.0em;
+    }
+        
+    #leftcontent {
+        float: left;
+        width:auto;
+        border:none;
+        visibility:visible;
+        margin-bottom: 2%;
+    }
+    .bkuimage {
       
-      #ssoSessionTransferBlock {
-        font-size: 0.8em;
-        margin-left: 5px;
-        margin-bottom: 5px;
-      }
-      #processInfoArea {
-        margin-bottom: 15px;
+        
+    }
+    
+    #bkukarte {
+        box-sizing: border-box;
+    }
+
+    #bkuhandy {
+        box-sizing: border-box;
+    }
+
+    #bkueulogin {
+        box-sizing: border-box;
+    }
+			  
+    #bku_header {
+        height: 10%;
+        min-height: 1.2em;
+        margin-top: 1%;
+    }
+        
+    h2#tabheader{
+        padding-left: 2%;
+        padding-right: 2%;
+        font-size: 1.5em;
+        position: relative;
+    }
+        
+    .setAssertionButton_full {
+        background: #efefef;
+        cursor: pointer;
         margin-top: 15px;
-      }
-      #processSelectionArea {
-        width: 550px;
-        margin-left: 25px;
-        margin-top: 35px;
-      }
-      .processSelectionButtonArea {
-        float: none;
-        margin-bottom: 20px;
-        height: 35px;
-      }
-      .processSelectionButton {
-        background: #ababab;
-				cursor: pointer;
-        height: 30px;
-        width: 200px;
-        float: right;
-        border-style: solid;
-        border-bottom-width: 2px;
-        border-right-width: 2px;
-        border-left-width: 1px;
-        border-top-width: 1px;
-        border-color: #000000;
-      }
-      .buttonDescription {
-        float: left;
-        margin-left: 10px;
-        padding-top: 4px;
-        text-align: left;
-        width: 330px;
-      }
-      #processContent {
-        margin-top: 25px;
-      }
-      #eIDASButton {
-         /*color:#FFF;*/
-      }
-      #eIDASSelection {
-        width: 120px; 
-        margin-right: 5px;        
-      }
-      .unvisible {
-        display: none;
-      }
\ No newline at end of file
+        width: 70px;
+        height: 25px;
+    }
+       
+    input[type=button],input[type=submit] {
+        width: 70%;
+    }
+}      
\ No newline at end of file
diff --git a/id/server/data/deploy/conf/moa-id/htmlTemplates/loginFormFull.html b/id/server/data/deploy/conf/moa-id/htmlTemplates/loginFormFull.html
index 01249537f..62f954ada 100644
--- a/id/server/data/deploy/conf/moa-id/htmlTemplates/loginFormFull.html
+++ b/id/server/data/deploy/conf/moa-id/htmlTemplates/loginFormFull.html
@@ -63,7 +63,7 @@
 				        </div>
                 
             
-				        <div id="bkueulogin" style="$STORKVISIBLE">
+				        <div id="bkueulogin" class="$eIDASVisible">
 				            <img class="bkuimage" src="$contextPath/img/eIDAS_small.png" alt="EULogin" />                                                        
                     <form method="get" id="moaidform" action="$contextPath$submitEndpoint" class="verticalcenter" target="_parent">
 								      <input type="hidden" name="useeIDAS" value="true" />
@@ -72,6 +72,7 @@
                       <input name="bkuButtonEULogin" onclick="setMandateSelection();" type="submit" role="button" value="EULogin" />
                     </form>
 				        </div>
+                
 						<!--div id="localBKU">
 							<form method="get" id="moaidform" action="$contextPath$submitEndpoint"
 								class="verticalcenter" target="_parent">
@@ -90,10 +91,7 @@
               <!--div id="ssoSessionTransferBlock">
                 <a href="$contextPath$submitEndpoint?pendingid=$pendingReqID&restoreSSOSession=true">>Restore SSO Session from Smartphone</a>
               </div-->
-            
-                  
-                        
-            
+                                  
             <!-- 
               <div id="stork" align="center" class="$STORKVISIBLE">
                 <h2 id="tabheader" class="dunkel">Home Country Selection</h2>
diff --git a/id/server/data/deploy/conf/moa-id/keys/sl20.jks b/id/server/data/deploy/conf/moa-id/keys/sl20.jks
new file mode 100644
index 000000000..e1896b9e5
Binary files /dev/null and b/id/server/data/deploy/conf/moa-id/keys/sl20.jks differ
diff --git a/id/server/data/deploy/conf/moa-id/log4j.properties b/id/server/data/deploy/conf/moa-id/log4j.properties
index 2c3b8a311..2914fcff1 100644
--- a/id/server/data/deploy/conf/moa-id/log4j.properties
+++ b/id/server/data/deploy/conf/moa-id/log4j.properties
@@ -5,6 +5,7 @@ org.apache.commons.logging.LogFactory=org.apache.commons.logging.impl.Log4jFacto
 log4j.rootLogger=warn,stdout
 
 ### MOA-ID process log ###
+log4j.logger.at.gv.egiz.eaaf=info,moaid
 log4j.logger.at.gv.egovernment.moa.id=info,moaid
 log4j.logger.at.gv.egovernment.moa.spss=info,moaid
 
diff --git a/id/server/data/deploy/conf/moa-id/logback_config.xml b/id/server/data/deploy/conf/moa-id/logback_config.xml
index c00e62e52..fa221fbc2 100644
--- a/id/server/data/deploy/conf/moa-id/logback_config.xml
+++ b/id/server/data/deploy/conf/moa-id/logback_config.xml
@@ -8,14 +8,11 @@
 <!--    http://www.qos.ch/shop/products/professionalSupport         -->
 <!--                                                                -->
 <configuration>
-  <!-- Errors were reported during translation. -->
-  <!-- No class found for appender CONFIGTOOL R -->
-  <!-- Could not find transformer for null -->
-  <appender name="R" class="ch.qos.logback.core.rolling.RollingFileAppender">
+  <appender name="moaid" class="ch.qos.logback.core.rolling.RollingFileAppender">
     <!--See also http://logback.qos.ch/manual/appenders.html#RollingFileAppender-->
     <File>${catalina.base}/logs/moa-id.log</File>
     <encoder>
-      <pattern>%5p | %d{dd HH:mm:ss,SSS} | %X{transactionId} | %t | %m%n</pattern>
+      <pattern>%5p | %d{dd HH:mm:ss,SSS} | %X{sessionId} | %X{transactionId} | %X{oaId} | %t | %m%n</pattern>
     </encoder>
     <rollingPolicy class="ch.qos.logback.core.rolling.FixedWindowRollingPolicy">
       <maxIndex>1</maxIndex>
@@ -25,14 +22,25 @@
       <MaxFileSize>10000KB</MaxFileSize>
     </triggeringPolicy>
   </appender>
-  <appender name="CONFIGTOOL R">
-    <!--No layout specified for appender named [CONFIGTOOL R] of class [null]-->
+  <appender name="moaspss" class="ch.qos.logback.core.rolling.RollingFileAppender">
+    <!--See also http://logback.qos.ch/manual/appenders.html#RollingFileAppender-->
+    <File>${catalina.base}/logs/moa-spss.log</File>
+    <encoder>
+      <pattern>%5p | %d{dd HH:mm:ss,SSS} | %X{sessionId} | %X{transactionId} | %X{oaId} | %t | %m%n</pattern>
+    </encoder>
+    <rollingPolicy class="ch.qos.logback.core.rolling.FixedWindowRollingPolicy">
+      <maxIndex>1</maxIndex>
+      <FileNamePattern>${catalina.base}/logs/moa-spss.log.%i</FileNamePattern>
+    </rollingPolicy>
+    <triggeringPolicy class="ch.qos.logback.core.rolling.SizeBasedTriggeringPolicy">
+      <MaxFileSize>10000KB</MaxFileSize>
+    </triggeringPolicy>
   </appender>
   <appender name="CONFIGTOOL" class="ch.qos.logback.core.rolling.RollingFileAppender">
     <!--See also http://logback.qos.ch/manual/appenders.html#RollingFileAppender-->
     <File>${catalina.base}/logs/moa-id-webgui.log</File>
     <encoder>
-      <pattern>%5p | %d{dd HH:mm:ss,SSS} | %X{transactionId} | %t | %m%n</pattern>
+      <pattern>%5p | %d{dd HH:mm:ss,SSS} | %X{sessionId} | %X{transactionId} | %X{oaId} | %t | %m%n</pattern>
     </encoder>
     <rollingPolicy class="ch.qos.logback.core.rolling.FixedWindowRollingPolicy">
       <maxIndex>1</maxIndex>
@@ -42,30 +50,56 @@
       <MaxFileSize>10000KB</MaxFileSize>
     </triggeringPolicy>
   </appender>
+  <appender name="reversion" class="ch.qos.logback.core.rolling.RollingFileAppender">
+    <!--See also http://logback.qos.ch/manual/appenders.html#RollingFileAppender-->
+    <File>${catalina.base}/moa-id-reversion.log</File>
+    <encoder>
+      <pattern>%5p | %d{ISO8601} | %t | %m%n</pattern>
+    </encoder>
+    <rollingPolicy class="ch.qos.logback.core.rolling.FixedWindowRollingPolicy">
+      <maxIndex>9999</maxIndex>
+      <FileNamePattern>${catalina.base}/moa-id-reversion.log.%i</FileNamePattern>
+    </rollingPolicy>
+    <triggeringPolicy class="ch.qos.logback.core.rolling.SizeBasedTriggeringPolicy">
+      <MaxFileSize>10000KB</MaxFileSize>
+    </triggeringPolicy>
+  </appender>
   <appender name="stdout" class="ch.qos.logback.core.ConsoleAppender">
     <encoder>
-      <pattern>%5p | %d{dd HH:mm:ss,SSS} | %X{transactionId} |%20.20c | %10t | %m%n</pattern>
+      <pattern>%5p | %d{dd HH:mm:ss,SSS} | %X{sessionId} | %X{transactionId} | %X{oaId} |%20.20c | %10t | %m%n</pattern>
     </encoder>
   </appender>
-  <logger name="eu.stork" level="info"/>
-  <logger name="iaik.server" level="info"/>
-  <logger name="at.gv.egovernment.moa.id" level="info">
-    <appender-ref ref="R"/>
+  <logger name="at.gv.egiz.eaaf" level="info">
+    <appender-ref ref="moaid"/>
+  </logger>
+  <logger name="at.gv.egovernment.moa.spss" level="info">
+    <appender-ref ref="moaspss"/>
+  </logger>
+  <logger name="pki" level="info">
+    <appender-ref ref="moaspss"/>
   </logger>
   <logger name="at.gv.egovernment.moa.id.commons" level="info">
-    <appender-ref ref="CONFIGTOOL R"/>
+    <appender-ref ref="CONFIGTOOL"/>
   </logger>
-  <logger name="org.hibernate" level="warn"/>
-  <logger name="at.gv.egiz.components.configuration" level="info">
+  <logger name="at.gv.egovernment.moa.id.configuration" level="info">
     <appender-ref ref="CONFIGTOOL"/>
   </logger>
-  <logger name="at.gv.egovernment.moa.id.proxy" level="info"/>
+  <logger name="at.gv.egiz.eventlog.plain.all" level="info">
+    <appender-ref ref="reversion"/>
+  </logger>
   <logger name="at.gv.egovernment.moa.id.config.webgui" level="info">
     <appender-ref ref="CONFIGTOOL"/>
   </logger>
-  <logger name="at.gv.egovernment.moa.spss" level="info"/>
-  <logger name="at.gv.egovernment.moa" level="info"/>
-  <root level="info">
+  <logger name="at.gv.egiz.components.configuration" level="info">
+    <appender-ref ref="CONFIGTOOL"/>
+  </logger>
+  <logger name="at.gv.egovernment.moa.id" level="info">
+    <appender-ref ref="moaid"/>
+  </logger>
+  <logger name="iaik.server" level="info">
+    <appender-ref ref="moaspss"/>
+  </logger>
+  <root level="warn">
     <appender-ref ref="stdout"/>
   </root>
 </configuration>
diff --git a/id/server/data/deploy/conf/moa-id/moa-id.properties b/id/server/data/deploy/conf/moa-id/moa-id.properties
index 1db01ba9b..614696628 100644
--- a/id/server/data/deploy/conf/moa-id/moa-id.properties
+++ b/id/server/data/deploy/conf/moa-id/moa-id.properties
@@ -27,11 +27,27 @@ configuration.monitoring.test.identitylink.url=$PATH_TO_CONFIG$/conf/moa-id/moni
 #MOA-ID 3.x Advanced Logging
 configuration.advancedlogging.active=false
 
-#Online mandates webservice (MIS)
+######################## Externe Services ############################################
+
+######## Online mandates webservice (MIS) ######## 
 service.onlinemandates.acceptedServerCertificates=
 service.onlinemandates.clientKeyStore=keys/....
 service.onlinemandates.clientKeyStorePassword=
 
+######## central eIDAS-node connector module ##########
+modules.eidascentralauth.keystore.path=file:$PATH_TO_CONFIG$/conf/moa-id/keys/moa_idp[password].p12
+modules.eidascentralauth.keystore.password=password
+modules.eidascentralauth.metadata.sign.alias=pvp_metadata
+modules.eidascentralauth.metadata.sign.password=password
+modules.eidascentralauth.request.sign.alias=pvp_assertion 
+modules.eidascentralauth.request.sign.password=password
+modules.eidascentralauth.response.encryption.alias=pvp_assertion 
+modules.eidascentralauth.response.encryption.password=password 
+modules.eidascentralauth.node.trustprofileID=centralnode_metadata
+
+
+######################## Protokolle am IDP ############################################
+
 ##Protocol configuration##
 #PVP2
 protocols.pvp2.idp.ks.file=file:$PATH_TO_CONFIG$/conf/moa-id/keys/moa_idp[password].p12
@@ -51,29 +67,9 @@ protocols.oauth20.jwt.ks.key.name=oauth
 protocols.oauth20.jwt.ks.key.password=password
 
 
-
-######## central eIDAS-node connector module ##########
-modules.eidascentralauth.keystore.path=file:$PATH_TO_CONFIG$/conf/moa-id/keys/moa_idp[password].p12
-modules.eidascentralauth.keystore.password=password
-modules.eidascentralauth.metadata.sign.alias=pvp_metadata
-modules.eidascentralauth.metadata.sign.password=password
-modules.eidascentralauth.request.sign.alias=pvp_assertion 
-modules.eidascentralauth.request.sign.password=password
-modules.eidascentralauth.response.encryption.alias=pvp_assertion 
-modules.eidascentralauth.response.encryption.password=password
- 
-modules.eidascentralauth.node.trustprofileID=centralnode_metadata
-
-##########################################################
-
-
-
-
-
-##Database configuration##
+######################## Datenbankkonfiguration ############################################
 configuration.database.byteBasedValues=false
 
-
 #Hibnerate configuration for MOA-ID 3.x session store 
 moasession.hibernate.dialect=org.hibernate.dialect.MySQL5Dialect
 moasession.hibernate.connection.url=jdbc:mysql://localhost/moa-id-session?charSet=utf-8&serverTimezone=UTC
@@ -154,11 +150,38 @@ advancedlogging.dbcp.testWhileIdle=false
 advancedlogging.dbcp.validationQuery=select 1
 
 
-################ Additonal eID-modul configuration ####################################
-##  This additional eID moduls add special functionality to MOA-ID-Auth.
-##  The configuration of this modules is only needed if this modules are in use.
-########
-### eIDAS protocol configuration ###
+################ Additonal eID-modul configuration ################################
+##  This additional eID moduls add special functionality to MOA-ID-Auth.          #
+##  The configuration of this modules is only needed if this modules are in use.  #
+###################################################################################
+
+######## SL2.0 authentication module ######## 
+modules.sl20.vda.urls.qualeID.endpoint.default=https://www.handy-signatur.at/securitylayer2
+modules.sl20.vda.urls.qualeID.endpoint.1=https://hs-abnahme.a-trust.at/securitylayer2
+modules.sl20.vda.urls.qualeID.endpoint.2=https://test1.a-trust.at/securitylayer2
+modules.sl20.security.keystore.path=keys/sl20.jks
+modules.sl20.security.keystore.password=password
+modules.sl20.security.sign.alias=signing
+modules.sl20.security.sign.password=password
+modules.sl20.security.encryption.alias=encryption
+modules.sl20.security.encryption.password=password
+modules.sl20.vda.authblock.id=default
+modules.sl20.vda.authblock.transformation.id=SL20Authblock_v1.0,SL20Authblock_v1.0_SIC
+modules.sl20.security.eID.validation.disable=false
+modules.sl20.security.eID.signed.result.required=true
+modules.sl20.security.eID.encryption.enabled=true
+modules.sl20.security.eID.encryption.required=true
+
+######## user-restriction ##########
+configuration.restrictions.sp.entityIds=
+configuration.restrictions.sp.users.url=
+configuration.restrictions.sp.users.sector=
+
+####### Direkte Fremd-bPK Berechnung ######## 
+configuration.foreignsectors.pubkey.xxxxTargetxxx= xxx BASE64-Cert xxx
+
+######## eIDAS protocol configuration ########
+######## This is ONLY required, if MOA-ID operates as an eIDAS node!!! ########
 moa.id.protocols.eIDAS.samlengine.config.file=eIDAS/SamlEngine_basics.xml
 moa.id.protocols.eIDAS.samlengine.sign.config.file=eIDAS/SignModule.xml
 moa.id.protocols.eIDAS.samlengine.enc.config.file=eIDAS/EncryptModule.xml
@@ -167,7 +190,7 @@ moa.id.protocols.eIDAS.node.country=Austria
 moa.id.protocols.eIDAS.node.countrycode=AT
 moa.id.protocols.eIDAS.node.LoA=http://eidas.europa.eu/LoA/high
 
-### HBV Mandate-Service client module ###
+######## HBV Mandate-Service client module ########
 modules.elga_mandate.nameID.target=urn:publicid:gv.at:cdid+GH
 modules.elga_mandate.service.metadata.trustprofileID=
 modules.elga_mandate.service.mandateprofiles=
@@ -180,7 +203,7 @@ modules.elga_mandate.request.sign.password=password
 modules.elga_mandate.response.encryption.alias=pvp_assertion
 modules.elga_mandate.response.encryption.password=password
 
-### SSO Interfederation client module ###
+######## SSO Interfederation client module ########
 modules.federatedAuth.keystore.path=keys/moa_idp[password].p12
 modules.federatedAuth.keystore.password=password
 modules.federatedAuth.metadata.sign.alias=pvp_metadata
@@ -190,8 +213,8 @@ modules.federatedAuth.request.sign.password=password
 modules.federatedAuth.response.encryption.alias=pvp_assertion
 modules.federatedAuth.response.encryption.password=password
 
-#Redis Settings, if Redis is used as a backend for session data.
-#has to be enabled with the following parameter
+######## Redis Settings, if Redis is used as a backend for session data.
+#        has to be enabled with the following parameter
 #redis.active=true
 redis.use-pool=true
 redis.host-name=localhost
diff --git a/id/server/data/deploy/conf/moa-spss/trustProfiles/centralnode_metadata/national_central_eIDAS_node_-_testsystem.crt b/id/server/data/deploy/conf/moa-spss/trustProfiles/centralnode_metadata/national_central_eIDAS_node_-_testsystem.crt
new file mode 100644
index 000000000..2babcef6a
--- /dev/null
+++ b/id/server/data/deploy/conf/moa-spss/trustProfiles/centralnode_metadata/national_central_eIDAS_node_-_testsystem.crt
@@ -0,0 +1,24 @@
+-----BEGIN CERTIFICATE-----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+-----END CERTIFICATE-----
diff --git a/id/server/data/deploy/tomcat/unix/tomcat-start.sh b/id/server/data/deploy/tomcat/unix/tomcat-start.sh
index 9e292540a..d717ecd25 100644
--- a/id/server/data/deploy/tomcat/unix/tomcat-start.sh
+++ b/id/server/data/deploy/tomcat/unix/tomcat-start.sh
@@ -4,6 +4,9 @@ export JAVA_HOME= <insert java home directory (no trailing path separator)>
 export CATALINA_HOME= <insert Tomcat home directory (no trailing path separator)>
 export CATALINA_BASE=$CATALINA_HOME
 
+FILE_ENCODING=-Dfile.encoding=UTF-8
+RAND_FILE=-Djava.security.egd=file:///dev/urandom
+
 LOGGING_OPT=-Dlog4j.configuration=file:$CATALINA_BASE/conf/moa-id/log4j.properties
 LOGGING_LOGBACK_OPT=-Dlogback.configurationFile=$CATALINA_BASE/conf/moa-id/logback_config.xml
 
@@ -21,7 +24,7 @@ PROXY_OPT=-Dmoa.id.proxy.configuration=$CATALINA_BASE/conf/moa-id-proxy/MOAIDCon
 #TRUST_STORE_PASS_OPT=-Djavax.net.ssl.trustStorePassword=changeit
 #TRUST_STORE_TYPE_OPT=-Djavax.net.ssl.trustStoreType=jks
 
-export CATALINA_OPTS="$CONFIG_OPT $LOGGING_OPT $LOGGING_LOGBACK_OPT $SPSS_OPT $TRUST_STORE_OPT $TRUST_STORE_PASS_OPT $TRUST_STORE_TYPE_OPT $CONFIGTOOL_OPT $CONFIGTOOL_USER_OPT $DEMOOA_OPT $STORK_OPT $PROXY_OPT -Xms512m -Xmx1536m -XX:PermSize=256m"
+export CATALINA_OPTS="$FILE_ENCODING $RAND_FILE $CONFIG_OPT $LOGGING_OPT $LOGGING_LOGBACK_OPT $SPSS_OPT $TRUST_STORE_OPT $TRUST_STORE_PASS_OPT $TRUST_STORE_TYPE_OPT $CONFIGTOOL_OPT $CONFIGTOOL_USER_OPT $DEMOOA_OPT $STORK_OPT $PROXY_OPT -Xms512m -Xmx1536m -XX:PermSize=256m"
 
 echo CATALINA_HOME: $CATALINA_HOME
 echo CATALINA_BASE: $CATALINA_BASE
diff --git a/id/server/data/deploy/tomcat/win32/startTomcat.bat b/id/server/data/deploy/tomcat/win32/startTomcat.bat
index 325ae1f20..afdd907c8 100644
--- a/id/server/data/deploy/tomcat/win32/startTomcat.bat
+++ b/id/server/data/deploy/tomcat/win32/startTomcat.bat
@@ -9,6 +9,9 @@ set CATALINA_HOME=<Tomcat home directory>
 
 rem ----------------------------------------------------------------------------------------------
 
+set FILE_ENCODING=-Dfile.encoding=UTF-8
+set RAND_FILE=-Djava.security.egd=file:///dev/urandom
+
 set LOGGING_OPT=-Dlog4j.configuration=file:%CATALINA_HOME%/conf/moa-id/log4j.properties
 set LOGGING_LOGBACK_OPT=-Dlogback.configurationFile=%CATALINA_HOME%/conf/moa-id/logback_config.xml
 
@@ -20,7 +23,7 @@ set DEMOOA_OPT=-Dmoa.id.demoOA=%CATALINA_HOME%/conf/moa-id-oa/oa.properties
 set STORK_OPT=-Deu.stork.samlengine.config.location=%CATALINA_HOME%/conf/moa-id/stork/
 set PROXY_OPT=-Dmoa.id.proxy.configuration=%CATALINA_HOME%/conf/moa-id-proxy/MOAIDConfiguration.xml
  
-set PARAMS_MOA=%CONFIG_OPT_SPSS% %CONFIG_OPT_ID% %LOGGING_OPT% %LOGGING_LOGBACK_OPT% %CONFIGTOOL_OPT% %CONFIGTOOL_USER_OPT% %DEMOOA_OPT% %STORK_OPT% %PROXY_OPT% -Xms512m -Xmx1536m -XX:PermSize=256m
+set PARAMS_MOA=%FILE_ENCODING %RAND_FILE %CONFIG_OPT_SPSS% %CONFIG_OPT_ID% %LOGGING_OPT% %LOGGING_LOGBACK_OPT% %CONFIGTOOL_OPT% %CONFIGTOOL_USER_OPT% %DEMOOA_OPT% %STORK_OPT% %PROXY_OPT% -Xms512m -Xmx1536m -XX:PermSize=256m
 
 rem set PARAM_TRUST_STORE=-Djavax.net.ssl.trustStore=truststore.jks
 rem set PARAM_TRUST_STORE_PASS=-Djavax.net.ssl.trustStorePassword=changeit
diff --git a/id/server/doc/handbook/config/config.html b/id/server/doc/handbook/config/config.html
index 26925709e..ea9eab017 100644
--- a/id/server/doc/handbook/config/config.html
+++ b/id/server/doc/handbook/config/config.html
@@ -76,7 +76,9 @@
   </ol>
     </li>
   <li>  <a href="#basisconfig_moa_id_auth_param_testing">Testing</a></li>
+  <li><a href="#basisconfig_moa_id_auth_sl20">Security Layer für mobile Authententifizierung</a></li>
   <li><a href="#basisconfig_moa_id_auth_szrclient">SZR Client f&uuml;r STORK &lt;-&gt; PVP Gateway Betrieb</a></li>
+  <li><a href="#basisconfig_moa_id_auth_others">Weitere optionale Konfigurationsparameter</a></li>
 </ol>
 </li>
           </ol>
@@ -118,6 +120,7 @@
               </ol>
             </li>
             <li><a href="#konfigurationsparameter_oa_bku">BKU Konfiguration</a></li>
+            <li><a href="#konfigurationsparameter_oa_sl20">Security Layer für mobile Authententifizierung</a></li>
             <li><a href="#konfigurationsparameter_oa_testcredentials">Test Credentials</a></li>
             <li><a href="#konfigurationsparameter_oa_mandates">Vollmachten</a></li>
             <li><a href="#konfigurationsparameter_oa_szr-gw-service">Zentraler eIDAS Connector</a></li>
@@ -451,32 +454,7 @@ UNIX: moa.id.configuration=file:C:/Programme/apache/tomcat-8.x.x/conf/moa-id/moa
 https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/MonitoringServlet</pre>
 <p>Nach einem erfolgreichen Testdurchlauf Antwortet das Monitoring mit einen http Statuscode 200 und der oben definierten Statusmeldung aus dem Parameter <em>configuration.monitoring.message.success</em>. Im Falle eines Fehlers antwortet das Monitoring mit einem http Statuscode 500 und die Statusmeldung enth&auml;lt eine Beschreibung des aufgetretenen Fehlers.</p>
 <h5><a name="basisconfig_moa_id_auth_param_services" id="uebersicht_bekanntmachung5"></a>2.2.2.2 Externe Services</h5>
-<p>F&uuml;r den Aufbau von Verbindungen zu anderen Komponenten werden in manchen F&auml;llen spezielle Client-Zertifikate oder Sicherheitseinstellungen ben&ouml;tigt. In diesem Abschnitt erfolgt die Konfiguration der f&uuml;r den Verbindungsaufbau ben&ouml;tigten Parameter. Die Konfiguration der URL zum jeweiligen Service wird jedoch &uuml;ber die Web-Oberfl&auml;che des Modules MOA-ID-Configuration vorgenommen (siehe <a href="#konfigurationsparameter_allgemein_services">Kapitel 3.1.7</a>).</p>
-<h6><a name="basisconfig_moa_id_auth_param_services_moasp" id="uebersicht_bekanntmachung6"></a>2.2.2.2.1 MOA-SP</h6>
-<p>Wird MOA-SP &uuml;ber ein Web-Service, welches Client Authentifizierung voraussetzt, angesprochen m&uuml;ssen in diesem Abschnitt die erforderlichen Schl&uuml;ssel hinterlegt werden.</p>
-<table class="configtable">
-  <tr>
-    <th>Name</th>
-    <th>Beispielwert</th>
-    <th>Beschreibung</th>
-  </tr>
-  <tr>
-    <td>service.moasp.clientKeyStore</td>
-    <td>keys/moa_sp.p12</td>
-    <td>Dateiname des PKCS#12 Keystores, relativ zur MOA-ID Konfigurationsdatei.                Diesem Keystore wird der private Schl&uuml;ssel f&uuml;r                die TLS-Client-Authentisierung entnommen.</td>
-  </tr>
-  <tr>
-    <td>service.moasp.clientKeyStorePassword</td>
-    <td>pass1234</td>
-    <td>Passwort zum Keystore</td>
-  </tr>
-  <tr>
-    <td>service.moasp.acceptedServerCertificates</td>
-    <td>certs/moa-sp-server/</td>
-    <td>Hier kann ein Verzeichnisname              (relativ zur MOA-ID Konfigurationsdatei) angegeben werden, in dem              die akzeptierten Zertifikate der TLS-Verbindung hinterlegt sind. In              diesem Verzeichnis werden nur Serverzertifikate abgelegt. Fehlt dieser              Parameter wird lediglich &uuml;berpr&uuml;ft ob ein Zertifikatspfad              zu den im Element &lt;TrustedCACertificates&gt; (siehe <a href="#konfigurationsparameter_allgemein_certvalidation">Kapitel 3.1.4</a>) angegebenen              Zertifikaten erstellt werden kann.</td>
-  </tr>
-</table>
-<p>&nbsp;</p>
+<p>F&uuml;r den Aufbau von Verbindungen zu anderen Komponenten werden in manchen F&auml;llen spezielle Client-Zertifikate oder Sicherheitseinstellungen ben&ouml;tigt. In diesem Abschnitt erfolgt die Konfiguration der f&uuml;r den Verbindungsaufbau ben&ouml;tigten Parameter. Die Konfiguration der URL zum jeweiligen Service wird jedoch &uuml;ber die Web-Oberfl&auml;che des Modules MOA-ID-Configuration vorgenommen (siehe <a href="#konfigurationsparameter_allgemein_services">Kapitel 3.1.7</a>)</p>
 <h6><a name="basisconfig_moa_id_auth_param_services_mandates" id="uebersicht_bekanntmachung7"></a>2.2.2.2.2 Online-Vollmachen</h6>
 <p>MOA-ID-Auth bietet die M&ouml;glichkeit der Nutzung von Online-Vollmachten f&uuml;r Anwendungen aus   dem &ouml;ffentlichen Bereich. Hierf&uuml;r ist ein Online-Vollmachten-Service   n&ouml;tig, wobei die Zugangsdaten zum Online-Vollmachten-Service konfiguriert werden m&uuml;ssen.   Der Zugang zum   Online-Vollmachten-Service ein   Client-Zertifikat f&uuml;r die SSL-Verbindung zum Service.   Voraussetzung daf&uuml;r ist ein Zertifikat von A-Trust bzw. A-CERT mit   Verwaltungseigenschaft oder Dienstleistereigenschaft. Wenn ihr MOA-ID-Auth   Zertifikat diese Voraussetzung erf&uuml;llt, k&ouml;nnen Sie dieses hier angeben. </p>
 <table class="configtable">
@@ -650,6 +628,21 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/MonitoringServlet</pre>
 <p>&nbsp;</p>
   <h5><a name="basisconfig_moa_id_auth_param_database" id="uebersicht_bekanntmachung3"></a>2.2.2.4 Datenbank  </h5>
 <p>Das Modul MOA-ID-Auth ben&ouml;tigt f&uuml;r den Betrieb zwei (optional drei) separate Datenbank Schema, welche in der Basiskonfiguration konfiguriert werden. F&uuml;r Beispielkonfiguration wurde mySQL als Datenbank verwendet wodurch sich die Konfigurationsparameter auf mySQL beziehen. Das Modul MOA-ID-Auth kann jedoch auch mit Datenbanken anderer Hersteller oder einer InMemory Datenbank betrieben werden. Hierf&uuml;r wird jedoch auf die <a href="http://docs.jboss.org/hibernate/core/4.2/manual/en-US/html/">Hibernate Dokumention</a> verwiesen. </p>
+<table class="configtable">
+  <tr>
+    <th width="21%">Name</th>
+    <th width="11%">Beispielwert</th>
+    <th width="68%">Beschreibung</th>
+  </tr>
+  <tr>
+    <td>configuration.database.byteBasedValues</td>
+    <td><p>true / false</p></td>
+    <td><p>Definiert ob Konfigurationswerte als Text oder als Bytes in der Datenbank abgelegt werden. <br>
+        <strong>Hinweis:</strong> Testbasierte Speicherung kann bei manchen Datenbanksystemen zur problemen f&uuml;hren (z.B. postgreSQL)</p>
+      <p><strong>Defaultwert:</strong> false</p></td>
+  </tr>
+</table>
+<p>&nbsp;</p>
 <h6><a name="basisconfig_moa_id_auth_param_database_conf" id="uebersicht_bekanntmachung12"></a>2.2.2.4.1 Konfiguration</h6>
 <p>Alle Parameter aus der Basiskonfiguration welche als Prefix <em>configuration.hibernate</em>. im Parameternamen aufweisen konfigurieren den Zugriff auf das Datenbank Schema welches die Konfiguration von MOA-ID-Auth beinhaltet. Eine Konfiguration dieser Parameter ist nicht optional.</p>
 <table class="configtable">
@@ -821,7 +814,97 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/MonitoringServlet</pre>
       <p><strong>Defaultwert:</strong> true</p></td>
     </tr>
   </table>
-  <h5><a name="basisconfig_moa_id_auth_szrclient" id="uebersicht_bekanntmachung16"></a>2.2.2.6 SZR Client f&uuml;r STORK &lt;-&gt; PVP Gateway Betrieb</h5>
+  <h5><a name="basisconfig_moa_id_auth_sl20" id="uebersicht_bekanntmachung17"></a>2.2.2.6 Security Layer f&uuml;r mobile Authententifizierung</h5>
+<p>Diese Parameter dienen zur Konfiguration der neuen Authentifizierungsschnittstelle via Security-Layer 2.0</p>
+  <table class="configtable">
+    <tr>
+      <th width="23%">Name</th>
+      <th width="15%">Beispielwert</th>
+      <th width="62%">Beschreibung</th>
+    </tr>
+    <tr>
+      <td>modules.sl20.vda.urls.qualeID.endpoint.default</td>
+      <td>https://www.handy-signatur.at/securitylayer2</td>
+      <td>Defaultendpunkt f&uuml;r die Anbindung an einen VDA mittels Security-Layer 2.0</td>
+    </tr>
+    <tr>
+      <td>modules.sl20.vda.urls.qualeID.endpoint.x</td>
+      <td>&nbsp;</td>
+      <td>&Uuml;ber diese Parameter k&ouml;nnen weitere Endpunkte konfiguriert werden, wobei das 'x' im Namen durch einen Identifier ersetzt werden muss (z.B.: modules.sl20.vda.urls.qualeID.endpoint.1=https://test1.a-trust.at/securitylayer2) Die Auwahl des Endpunkts erfolgt via http Header im Request an MOA-ID, wobei der Headername '<em>X-MOA-VDA</em>' lautet und der Headerwert dem Identifier (z.B. '<em>1</em>') entsprechen muss. <br>
+        <strong>Hinweis:</strong> Hiebei handelt es sich prim&auml;r um eine Funktion zu Testzwecken im aktuellen Beta-Status</td>
+    </tr>
+    <tr>
+      <td>modules.sl20.security.keystore.path</td>
+      <td>keys/sl20.jks</td>
+      <td>Dateiname des Java Keystore welcher die Schl&uuml;ssel zum Signieren und Verschl&uuml;sseln von Security-Layer 2.0 Nachrichten beinhaltet. Des weiteren dient dieser KeyStore als TrustStore zur Validierung von signierten Security-Layer 2.0 Nachrichten. Somit m&uuml;ssen Signaturzertifikate von SL2.0 Teilnehmern in diesem TrustStore hinterlegt sein.</td>
+    </tr>
+    <tr>
+      <td>modules.sl20.security.keystore.password</td>
+      <td>password</td>
+      <td>Passwort zum Keystore</td>
+    </tr>
+    <tr>
+      <td>modules.sl20.security.sign.alias</td>
+      <td>signing</td>
+      <td>Name des Schl&uuml;ssels der zur Signierung von SL2.0 Nachrichten</td>
+    </tr>
+    <tr>
+      <td>modules.sl20.security.sign.password</td>
+      <td>&nbsp;</td>
+      <td>Passwort des Schl&uuml;ssels zur Signierung von SL2.0 Nachrichten</td>
+    </tr>
+    <tr>
+      <td>modules.sl20.security.encryption.alias</td>
+      <td>encryption</td>
+      <td>Name des Schl&uuml;ssels zur Verschl&uuml;sselung von SL2.0 Nachrichten</td>
+    </tr>
+    <tr>
+      <td>modules.sl20.security.encryption.password</td>
+      <td>&nbsp;</td>
+      <td>Passwort des Schl&uuml;ssels zur Verschl&uuml;sselung von SL2.0 Nachrichten</td>
+    </tr>
+    <tr>
+      <td>modules.sl20.vda.authblock.id</td>
+      <td>default</td>
+      <td><p>Identifier f&uuml;r den AuthBlock, welcher der Benutzer im Authentifizierungsprozess unterschreiben muss</p>
+      <p><strong>Default:</strong> default</p></td>
+    </tr>
+    <tr>
+      <td>modules.sl20.vda.authblock.transformation.id</td>
+      <td>SL20Authblock_v1.0,<br>
+      SL20Authblock_v1.0_SIC</td>
+      <td><p>Identifier der erlaubten AuthBlock-Transformationen als CSV f&uuml;r die visuelle Darstellung des AuthBlocks</p>
+      <p><strong>Default:</strong> SL20Authblock_v1.0,SL20Authblock_v1.0_SIC</p></td>
+    </tr>
+    <tr>
+      <td>modules.sl20.security.eID.validation.disable</td>
+      <td>true / false</td>
+      <td><p>Deaktivierung der eID Daten validierung.</p>
+      <p><strong>Default:</strong> false</p></td>
+    </tr>
+    <tr>
+      <td>modules.sl20.security.eID.signed.result.required</td>
+      <td>true / false</td>
+      <td><p>Aktivierung von verpflichtend signierten Kommandos</p>
+      <p><strong>Default:</strong> true</p></td>
+    </tr>
+    <tr>
+      <td>modules.sl20.security.eID.encryption.enabled</td>
+      <td>true / false</td>
+      <td><p>Aktivierung von Verschl&uuml;sselung, wodurch signierte Kommandos Schl&uuml;sselmaterial zur Verschl&uuml;sselung beinhalten.</p>
+      <p><strong>Default:</strong>true</p></td>
+    </tr>
+    <tr>
+      <td>modules.sl20.security.eID.encryption.required</td>
+      <td>true / false</td>
+      <td><p>Aktivierung von verpflichtender Verschl&uuml;sselung. eID Daten m&uuml;ssen durch den VDA verschl&uuml;sselt &uuml;bertragen werden.</p>
+      <p><strong>Default:</strong>true</p></td>
+    </tr>
+  </table>
+  <p>&nbsp;</p>
+  <p>&nbsp;</p>
+  <p>&nbsp;</p>
+  <h5><a name="basisconfig_moa_id_auth_szrclient" id="uebersicht_bekanntmachung16"></a>2.2.2.7 SZR Client f&uuml;r STORK &lt;-&gt; PVP Gateway Betrieb</h5>
   <p>Die Konfiguration des Stammzahlenregister (SZR) Clients ist nur erforderlich wenn das Modul MOA-ID-Auth als STORK &lt;-&gt; PVP Gateway betrieben wird. Da in diesem Fall die Benutzerin oder der Benutzer &uuml;ber ein PVP Stammportal authentifiziert wird ist eine direkte Generierung der STORK eID w&auml;hrend des Anmeldevorgangs nicht m&ouml;glich. Somit erfolgt f&uuml;r diese Personen einen Stammzahlenregisterabfrage zur Bestimmung der STORK eID.</p>
   <p>F&uuml;r den in MOA-ID-Auth verwendeten SZR Client sind folgende Konfigurationsparameter erforderlich.</p>
   <table class="configtable">
@@ -945,7 +1028,47 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/MonitoringServlet</pre>
   </table>
   <p>&nbsp;</p>
   <p><strong>Hinweis:</strong> Detaillierte Informationen zu den einzelnen PVP spezifischen Konfigurationsparametern finden Sie in der entsprechenden PVP Spezifikation.</p>
-<h3><a name="uebersicht_logging" id="uebersicht_logging"></a>2.3 Konfiguration des Loggings</h3>
+  <h5><a name="basisconfig_moa_id_auth_others" id="uebersicht_bekanntmachung18"></a>2.2.2.8 Weitere optionale Konfigurationsparameter</h5>
+  <p>Hierbei handelt es sich um weitere optionale Parameter.</p>
+  <table class="configtable">
+    <tr>
+      <th width="26%">Name</th>
+      <th width="18%">Beispielwert</th>
+      <th width="56%">Beschreibung</th>
+    </tr>
+    <tr>
+      <td>configuration.restrictions.sp.entityIds</td>
+      <td><p>https://demo.egiz.gv.at/demologin/</p></td>
+      <td><p>Liste von eindeutigen Online-Applikationsidentifikatioren als  Comma Separatet Values (CSV) f&uuml;r welche die Einschr&auml;nkung auf bestimmte Benutzer aktiviert werden soll. F&uuml;r alle OAs in dieser Liste ist eine Anmeldung nur dann m&ouml;glich wenn die bPK des Benutzers in der Whitelist eingetragen ist.</p>
+        <p>&nbsp;</p></td>
+    </tr>
+    <tr>
+      <td>configuration.restrictions.sp.users.url</td>
+      <td>whitelist/users.csv</td>
+      <td><p>Whitelist von bPKs als  Comma Separatet Values (CSV) f&uuml;r welche eine Anmeldung erlaubt ist.</p>
+        <p>z.B.: ZP:xm1zT43arrfTRLnDsxYoFk3XwDU=,ZP:gr99V4hH5KLlarBCcCAbKJNMF18=</p></td>
+    </tr>
+    <tr>
+      <td>configuration.restrictions.sp.users.sector</td>
+      <td>urn:publicid:gv.at:cdid+ZP</td>
+      <td>bPK Berecih welcher in der Whitelist verwendet wird</td>
+    </tr>
+    <tr>
+      <td>configuration.foreignsectors.pubkey.xxxxTargetxxx</td>
+      <td>configuration.foreignsectors.pubkey.wbpk+FN+468924i=<br>
+        MIIDCzCCAfMCBFr9aB4wDQYJKoZI....</td>
+      <td><p>MOA-ID bietet die M&ouml;glichkeit verschl&uuml;sselte bPKs entsprechend der Berechnungsvorschrift f&uuml;r Fremd-bPKs zu generieren. Die hierf&uuml;r ben&ouml;tigen &ouml;ffentlichen Schl&uuml;ssel m&uuml;ssen als Base64 kodierte X509 Zertifikate je bPK / wbPK Bereich hinterlegt werden.<br>
+      Der bPK / wbPK Bereich muss als Teil des Konfigurationsschl&uuml;ssels (z.B. wbpk+FN+468924i, BMI+T1, ...) angegeben werden.</p>
+        <ul>
+          <li>F&uuml;r &ouml;ffentliche Bereiche: VKZ+Target (VKZ ... Verfahrenskennzeichen)</li>
+          <li>F&uuml;r private Bereiche: wbpk+Stammzahl der juristischen Person (z.B. FN+468924i)</li>
+        </ul>
+        <p>          <br>
+      </p></td>
+    </tr>
+  </table>
+  <p>&nbsp;</p>
+  <h3><a name="uebersicht_logging" id="uebersicht_logging"></a>2.3 Konfiguration des Loggings</h3>
   <p>Die Module MOA-ID-Auth und MOA-ID-Configuration verwendet als Framework f&uuml;r Logging-Information die Open Source Software <code>log4j</code>. Die Konfiguration der Logging-Information erfolgt  nicht direkt durch die einzelnen Module, sondern &uuml;ber eine eigene Konfigurationsdatei, die der <span class="term">Java Virtual Machine</span> durch eine <span class="term">System Property </span>  mitgeteilt wird. Der Name der <span class="term">System Property </span>  lautet <code>log4j.configuration</code>; als Wert der <span class="term">System Property </span>  ist eine URL anzugeben, die auf die <code>log4j</code>-Konfigurationsdatei verweist, z.B.  </p>
 <pre>log4j.configuration=file:/C:/Programme/apache/tomcat-8.x.x/conf/moa-id/log4j.properties</pre>
   <p>Zust&auml;tzlich wird f&uuml;r einige Basiskomponenten, welche &uuml;ber Drittherstellerbibliotheken inkludiert sind, LogBack als Logging Framework verwendet. Die LogBack Konfiguration wird ebenfalls &uuml;ber den System Property angegeben</p>
@@ -1484,7 +1607,37 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID  1.5.1 im Kontext der
     <td>&Uuml;ber diese Funktion k&ouml;nnen drei zus&auml;tzliche SecurtityLayer-Request Templates f&uuml;r diese Online-Applikation definiert werden. Diese hier definierten Templates dienen als zus&auml;tzliche WhiteList f&uuml;r Templates welche im &bdquo;StartAuthentication&ldquo; Request mit dem Parameter &bdquo;template&ldquo; &uuml;bergeben werden. Sollte im &bdquo;StartAuthentication&ldquo; Request der Parameter &bdquo;template&ldquo; fehlen, es wurde jedoch eine &bdquo;bkuURL&ldquo; &uuml;bergeben, dann wird f&uuml;r den Authentifizierungsvorgang das erste Template in dieser Liste verwendet. Detailinformationen zum <a href="./../protocol/protocol.html#allgemeines_legacy">Legacy Request</a> finden Sie im Kapitel Protokolle.</td>
   </tr>
 </table>
-<h4><a name="konfigurationsparameter_oa_testcredentials" id="uebersicht_zentraledatei_aktualisierung10"></a> 3.2.3 Test Identit&auml;ten</h4>
+<h4><a name="konfigurationsparameter_oa_sl20" id="uebersicht_zentraledatei_aktualisierung31"></a> 3.2.3 Security Layer f&uuml;r mobile Authententifizierung</h4>
+<p>Mit diesem Abschnitt kann der neue Security Layer f&uuml;r mobile Authentifzierung f&uuml;r diese Online Applikation aktiviert werden.<br>
+  Wird diese Schnittstelle aktiviert ist die Security-Layer 1.x Schnittstelle zur B&uuml;rgerkartenkommunikation deaktiviert und steht nicht mehr zur Verf&uuml;gung.</p>
+<table class="configtable">
+  <tr>
+    <th width="13%">Name</th>
+    <th width="27%">Beispielwert</th>
+    <th width="5%">Admin</th>
+    <th width="6%">Optional</th>
+    <th width="49%">Beschreibung</th>
+  </tr>
+  <tr>
+    <td><p><span id="wwlbl_loadOA_authOA_sl20Active">SL2.0 aktiviere</span>n</p></td>
+    <td>true / false</td>
+    <td align="center">X</td>
+    <td align="center">X</td>
+    <td>Aktiviert den neuen Security Layer f&uuml;r mobile Authentifizierung f&uuml;r diese Online Applikation</td>
+  </tr>
+  <tr>
+    <td><p><span id="wwlbl_loadOA_authOA_sl20EndPoints">VDA Endpunkt URLs:</span></p></td>
+    <td><p>default=https://www.handy-signatur.at/securitylayer2,</p>
+      <p>1=https://test1.a-trust.at/securitylayer2,</p>
+<p>2=https://hs-abnahme.a-trust.at/securitylayer2</p></td>
+    <td align="center">X</td>
+    <td align="center">X</td>
+    <td>Eine CSV Liste von VDA Endpunkten, welche f&uuml;r die Online Applikation verwendet werden k&ouml;nnen. Die Konfiguration erfolgt entsprechend den in <a href="#basisconfig_moa_id_auth_sl20">Kapitel 2.2.2.6</a> beschriebenen Regeln.<br>
+      Sind keine Parameter angegeben wird automatisch die Konfiguration aus <a href="#basisconfig_moa_id_auth_sl20">Kapitel 2.2.2.6</a> verwendet. </td>
+  </tr>
+</table>
+<p>&nbsp;</p>
+<h4><a name="konfigurationsparameter_oa_testcredentials" id="uebersicht_zentraledatei_aktualisierung10"></a> 3.2.4 Test Identit&auml;ten</h4>
 <p>In diesem Abschnitt k&ouml;nnen f&uuml;r diese Online-Applikation Testidentit&auml;ten erlaubt werden. Diese Testidentit&auml;ten k&ouml;nnen auch bei produktiven Instanzen freigeschalten werden, da die Unterschiedung zwischen Produkt- und Testidentit&auml;t anhand einer speziellen OID im Signaturzertifikat der Testidentit&auml;t getroffen wird. Folgende Konfigurationsparameter stehen hierf&uuml;r zur Verf&uuml;gung.</p>
 <table class="configtable">
   <tr>
@@ -1526,7 +1679,7 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID  1.5.1 im Kontext der
 </table>
 <p>&nbsp;</p>
 <p><strong>Hinweis:</strong> Diese Funktionalit&auml;t steht jedoch nur Testidentit&auml;ten welchen bereits mit einer Test OID im Signaturzertifikat ausgestattet sind zur Verf&uuml;gung.</p>
-<h4><a name="konfigurationsparameter_oa_mandates" id="uebersicht_zentraledatei_aktualisierung21"></a>3.2.4 Vollmachten</h4>
+<h4><a name="konfigurationsparameter_oa_mandates" id="uebersicht_zentraledatei_aktualisierung21"></a>3.2.5 Vollmachten</h4>
 <p>Dieser Abschnitt behandelt online-applikationsspezifische Einstellungen zur Anmeldung mittels Online-Vollmachen.</p>
 <table class="configtable">
   <tr>
@@ -1576,7 +1729,7 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID  1.5.1 im Kontext der
 </table>
 <p>&nbsp;</p>
 <p><strong>Hinweis:</strong> Werden f&uuml;r die Online-Applikation eigene Templates f&uuml;r die B&uuml;rgerkartenauswahl oder die zus&auml;tzliche Anmeldeabfrage im SSO Fall (siehe <a href="#konfigurationsparameter_oa_bku">Abschnitt 3.2.2</a>) verwendet, stehen alle Konfigurationsparameter die Einfluss auf die BKU-Auswahl haben nicht zur Verf&uuml;gung. Die Funktionalit&auml;t der entsprechenden Parameter hat jedoch weiterhin Einfluss auf den Anmeldevorgang.</p>
-<h4><a name="konfigurationsparameter_oa_szr-gw-service" id="uebersicht_zentraledatei_aktualisierung12"></a>3.2.5 Zentraler nationaler eIDAS Connector</h4>
+<h4><a name="konfigurationsparameter_oa_szr-gw-service" id="uebersicht_zentraledatei_aktualisierung12"></a>3.2.6 Zentraler nationaler eIDAS Connector</h4>
 <p>Dieser Abschnitt behandelt online-applikationsspezifische Einstellungen zum Ankn&uuml;pfung an den zentralen nationalen eIDAS Connector</p>
 <table class="configtable">
   <tr>
@@ -1596,7 +1749,7 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID  1.5.1 im Kontext der
   </tr>
 </table>
 <p>&nbsp;</p>
-<h4><a name="konfigurationsparameter_oa_sso" id="uebersicht_zentraledatei_aktualisierung22"></a>3.2.6 Single Sign-On (SSO)</h4>
+<h4><a name="konfigurationsparameter_oa_sso" id="uebersicht_zentraledatei_aktualisierung22"></a>3.2.7 Single Sign-On (SSO)</h4>
 <p>Dieser Abschnitt  behandelt online-applikationsspezifische Einstellungen zu Single Sign-On</p>
 <table class="configtable">
   <tr>
@@ -1623,7 +1776,7 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID  1.5.1 im Kontext der
     <p><strong>Hinweis:</strong> Diese Abfrage ist standardm&auml;&szlig;ig aktiviert und kann nur durch einen Benutzer mit der Role <em>admin</em> deaktiviert werden.</p></td>
   </tr>
 </table>
-<h4><a name="konfigurationsparameter_oa_stork" id="uebersicht_zentraledatei_aktualisierung23"></a>3.2.7 Authentifizierung mittels eIDAS</h4>
+<h4><a name="konfigurationsparameter_oa_stork" id="uebersicht_zentraledatei_aktualisierung23"></a>3.2.8 Authentifizierung mittels eIDAS</h4>
 <p>Dieser Abschnitt  behandelt Online-Applikationsspezifische Einstellungen zur Authentifizierung mittels eIDAS.</p>
 <table class="configtable">
   <tr>
@@ -1647,10 +1800,10 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID  1.5.1 im Kontext der
 </table>
 <p>&nbsp;</p>
 <p><strong>Hinweis:</strong> Werden f&uuml;r die Online-Applikation eigene Templates f&uuml;r die B&uuml;rgerkartenauswahl oder die zus&auml;tzliche Anmeldeabfrage im SSO Fall (siehe <a href="#konfigurationsparameter_oa_bku">Abschnitt 3.2.2</a>) verwendet, stehen alle Konfigurationsparameter die Einfluss auf die BKU-Auswahl haben nicht zur Verf&uuml;gung.</p>
-<h4><a name="konfigurationsparameter_oa_protocol" id="uebersicht_zentraledatei_aktualisierung24"></a>3.2.8 Authentifizierungsprotokolle</h4>
+<h4><a name="konfigurationsparameter_oa_protocol" id="uebersicht_zentraledatei_aktualisierung24"></a>3.2.9 Authentifizierungsprotokolle</h4>
 <p>Dieser Abschnitt  behandelt online-applikationsspezifische Einstellungen zu den von der Online-Applikation unterst&uuml;tzen Authentifizierungsprotokollen. Eine Verwendung aller zur Verf&uuml;gung stehender Authentifizierungsprotokolle durch die Online-Applikation ist ebenfalls m&ouml;glich. Hierf&uuml;r m&uuml;ssen nur alle ben&ouml;tigten Protokolle konfiguriert werden. N&auml;here Informationen zu den unterst&uuml;tzten Protokollen finden sie im Kapitel <a href="./../protocol/protocol.html">Protokolle</a>.</p>
 <p>Aus Gr&uuml;nden der &Uuml;bersichtlichkeit kann der Konfigurationsbereich f&uuml;r jeden Protokoll, in der Web-Oberfl&auml;che des Konfigurationstools, ein- oder ausgeblendet werden.</p>
-<h5><a name="konfigurationsparameter_oa_protocol_saml1" id="uebersicht_zentraledatei_aktualisierung25"></a>3.2.8.1 SAML1</h5>
+<h5><a name="konfigurationsparameter_oa_protocol_saml1" id="uebersicht_zentraledatei_aktualisierung25"></a>3.2.9.1 SAML1</h5>
 <p>F&uuml;r das Protokoll SAML1 stehen folgende Konfigurationsparameter zur Verf&uuml;gung.</p>
 <table class="configtable">
   <tr>
@@ -1705,7 +1858,7 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID  1.5.1 im Kontext der
 </table>
 <p>&nbsp;</p>
 <p><strong>Hinweis: </strong>Das Modul MOA-ID-Auth in der Version 2.0 unterst&uuml;tzt SAML1 nur mehr zur Abw&auml;rtskompatibilit&auml;t mit bereits bestehenden Online-Applikationen. Wir empfehlen den Umstieg auf ein anderes, von MOA-ID-Auth unterst&uuml;tztes, Authentifizierungsprotokoll. Aus diesem Grund steht die Konfiguration des SAML1 Protokolls nur mehr einer Benutzerin oder einem Benutzer mit der Role <em>admin</em> zur Verf&uuml;gung.</p>
-<h5><a name="konfigurationsparameter_oa_protocol_pvp21" id="uebersicht_zentraledatei_aktualisierung26"></a>3.2.8.2 PVP 2.1</h5>
+<h5><a name="konfigurationsparameter_oa_protocol_pvp21" id="uebersicht_zentraledatei_aktualisierung26"></a>3.2.9.2 PVP 2.1</h5>
 <p>In diesem Bereich erfolgt die applikationsspezifische Konfiguration f&uuml;r das Authentifizierungsprotokoll PVP 2.1.</p>
 <table class="configtable">
   <tr>
@@ -1746,7 +1899,7 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID  1.5.1 im Kontext der
     <td>Pfad zum online-applikationsspezifischen Template f&uuml;r SAML2 (PVP2 S-Profil) http POST-Binding. Relative Pfadangaben werden dabei relativ zum Verzeichnis, in dem sich die MOA-ID-Auth Basiskonfigurationsdatei befindet, interpretiert. Das Template kann ausschlie&szlig;lich aus dem Dateisystem geladen werden.</td>
   </tr>
 </table>
-<h5><a name="konfigurationsparameter_oa_protocol_openIDConnect" id="uebersicht_zentraledatei_aktualisierung27"></a>3.2.8.3 OpenID Connect</h5>
+<h5><a name="konfigurationsparameter_oa_protocol_openIDConnect" id="uebersicht_zentraledatei_aktualisierung27"></a>3.2.9.3 OpenID Connect</h5>
 <p>In diesem Bereich erfolgt die applikationsspezifische Konfiguration f&uuml;r OpenID Connect (OAuth 2.0). </p>
 <table class="configtable">
   <tr>
@@ -1778,7 +1931,7 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID  1.5.1 im Kontext der
     <td>OpenID Connect Redirect URL. Nach erfolgreicher  Authentifizierung wird die Benutzerin oder der Benutzer an diese URL zur&uuml;ckgeleitet.</td>
   </tr>
 </table>
-<h5><a name="konfigurationsparameter_oa_additional" id="uebersicht_zentraledatei_aktualisierung28"></a>3.2.9 Zus&auml;tzliche allgemeine Einstellungen</h5>
+<h5><a name="konfigurationsparameter_oa_additional" id="uebersicht_zentraledatei_aktualisierung28"></a>3.2.10 Zus&auml;tzliche allgemeine Einstellungen</h5>
 <p>In Abschnitt erm&ouml;glicht eine erweiterte online-applikationsspezifische Individualisierung des AuthBlocks und der B&uuml;rgerkartenauswahl. 
   Die Individualisierung des AuthBlocks steht jedoch dann zur Verf&uuml;gung wenn die dem Module MOA-ID-Auth beigelegte Security-Layer Transformation verwendet wird oder 
 wenn die individuelle Security-Layer Transformation den Formvorschriften  der Spezifikation entspricht.</p>
@@ -1836,7 +1989,7 @@ wenn die individuelle Security-Layer Transformation den Formvorschriften  der Sp
 </table>
 <h5>&nbsp;</h5>
 <h5>&nbsp;</h5>
-<h5><a name="konfigurationsparameter_oa_additional_formular" id="uebersicht_zentraledatei_aktualisierung29"></a>3.2.9.1 Login-Fenster Konfiguration</h5>
+<h5><a name="konfigurationsparameter_oa_additional_formular" id="uebersicht_zentraledatei_aktualisierung29"></a>3.2.10.1 Login-Fenster Konfiguration</h5>
 <p>Diese Konfigurationsparameter  bieten zus&auml;tzliche Einstellungen f&uuml;r eine Anpassung der B&uuml;rgerkartenauswahl welche von MOA-ID-Auth generiert wird.
 Zur besseren Handhabung werden die angegebenen Parameter direkt in einer Vorschau dargestellt.  
 Alle in diesem Abschnitt angegebenen Parameter sind Optional und werden bei Bedarf durch Standardwerte erg&auml;nzt. 
@@ -1925,7 +2078,7 @@ Alle in diesem Abschnitt angegebenen Parameter sind Optional und werden bei Beda
 <p>&nbsp;</p>
 <p><strong>Hinweis:</strong> Bei Verwendung einer online-applikationsspezifischen B&uuml;rgerkartenauswahl stehen alle Parameter die die B&uuml;rgerkartenauswahl betreffen nicht zur Verf&uuml;gung.</p>
 <p><strong>Hinweis:</strong> Bei Verwendung eines online-applikationsspezifischen Security-Layer-Request Templates stehen alle Parameter die das SL-Template betreffen nicht zur Verf&uuml;gung.</p>
-<h5><a name="service_revisionslogging" id="uebersicht_zentraledatei_aktualisierung11"></a>3.2.10 Revisionslogging</h5>
+<h5><a name="service_revisionslogging" id="uebersicht_zentraledatei_aktualisierung11"></a>3.2.11 Revisionslogging</h5>
 <p>Ab MOA-ID 3.x steht ein erweitertes speziell f&uuml;r Revisionsaufgaben abgestimmtest Logging zur Verf&uuml;gung. &Uuml;ber dieses Feld k&ouml;nnen die zu loggenden Events als CSV codierte Eventcodes konfiguriert werden. Werden keine Eventcodes konfiguriert wird eine in MOA-ID hinterlegte Defaultkonfiguration verwendet. Eine Liste aller m&ouml;glichen Eventcodes finden Sie <a href="../additional/additional.html#revisionslog">hier</a>.</p>
 <h3><a name="import_export" id="uebersicht_zentraledatei_aktualisierung4"></a>3.3 Import / Export</h3>
 <p>&Uuml;er diese Funktionalit&auml;t besteht die M&ouml;glichkeit eine bestehende MOA-ID 2.x.x
diff --git a/id/server/doc/htmlTemplates/BKU-selection.html b/id/server/doc/htmlTemplates/BKU-selection.html
index fe9bc2166..62f954ada 100644
--- a/id/server/doc/htmlTemplates/BKU-selection.html
+++ b/id/server/doc/htmlTemplates/BKU-selection.html
@@ -4,7 +4,7 @@
 <meta content="text/html; charset=utf-8" http-equiv="Content-Type">
 
    <!-- MOA-ID 2.x BKUSelection Layout CSS -->               
-   <link rel="stylesheet" href="$contextPath/css/buildCSS?pendingid=$pendingReqID" />
+   <link rel="stylesheet" href="$contextPath/css/buildCSS?pendingid=$pendingReqID"/>
    
    <!-- MOA-ID 2.x BKUSelection JavaScript fucnctions-->
    <script src="$contextPath/js/buildJS?pendingid=$pendingReqID"></script>
@@ -26,8 +26,8 @@
 						<div id="mandateLogin" class="$MANDATEVISIBLE">
 							<div>
 								<input tabindex="1" type="checkbox" name="Mandate"
-									id="mandateCheckBox" class="verticalcenter" role="checkbox" $MANDATECHECKED>
-								<label for="mandateCheckBox" class="verticalcenter">in
+									id="mandateCheckBox" class="mandate" role="checkbox" $MANDATECHECKED>
+								<label for="mandateCheckBox" class="mandate">in
 									Vertretung anmelden</label>
 								<!--a      href="info_mandates.html" 
                         target="_blank"
@@ -37,31 +37,42 @@
 						</div>
 						<div id="bkuselectionarea">
 							<div id="bkukarte">
-								<img id="bkuimage" class="bkuimage" src="$contextPath/img/karte.png" alt="OnlineBKU" /> 
+								<img id="bkuimage" class="bkuimage" src="$contextPath/img/karte.png" alt="OnlineBKU"/> 
                 
-                <!-- Remove support for Online BKU and swith the card button to local BKU-->
-                <!--input name="bkuButtonOnline" type="button" onClick="bkuOnlineClicked();" tabindex="2" role="button" value="Karte" /-->                
+                  <!-- Remove support for Online BKU and swith the card button to local BKU-->
+                  <!--input name="bkuButtonOnline" type="button" onClick="bkuOnlineClicked();" tabindex="2" role="button" value="Karte" /-->                
                 
-                <form method="get" id="moaidform" action="$contextPath$submitEndpoint" class="verticalcenter" target="_parent">
-								  <input type="hidden" name="bkuURI" value="$bkuLocal" />
-								  <input type="hidden" name="useMandate" id="useMandate" /> 
-								  <input type="hidden" name="SSO" id="useSSO" /> 
-								  <input type="hidden" name="ccc" id="ccc" /> 
-								  <input type="hidden" name="pendingid" value="$pendingReqID" /> 
-                  <input type="submit" value=" Karte " tabindex="4" role="button">
-                </form>
+                  <form method="get" id="moaidform" action="$contextPath$submitEndpoint" class="verticalcenter" target="_parent">
+								    <input type="hidden" name="bkuURI" value="$bkuLocal" />
+								    <input type="hidden" name="useMandate" id="useMandate" /> 
+								    <input type="hidden" name="SSO" id="useSSO" /> 
+								    <input type="hidden" name="ccc" id="ccc" /> 
+								    <input type="hidden" name="pendingid" value="$pendingReqID" /> 
+                    <input type="submit" value=" Karte " tabindex="5" role="button" onclick="setMandateSelection();" />
+                  </form>
                 
-                <iframe name="bkudetect" width="0" height="0" scrolling="no" marginheight="0" marginwidth="0" frameborder="0" src="$contextPath/feature/bkuDetection?pendingid=$pendingReqID"></iframe>
+                  <iframe name="bkudetect" width="0" height="0" scrolling="no" marginheight="0" marginwidth="0" frameborder="0" src="$contextPath/feature/bkuDetection?pendingid=$pendingReqID"></iframe>
+                
+                  <!-- BKU detection with static template-->
+                  <!--iframe name="bkudetect" width="0" height="0" scrolling="no" marginheight="0" marginwidth="0" frameborder="0" src="$contextPath/iframeLBKUdetect.html"></iframe-->                                                            
+				        </div>
+                            
+				        <div id="bkuhandy">
+				            <img class="bkuimage" src="$contextPath/img/handysign.png" alt="HandyBKU" />         
+                            <input name="bkuButtonHandy" type="button" tabindex="3" role="button" value="HANDY" />
+				        </div>
+                
+            
+				        <div id="bkueulogin" class="$eIDASVisible">
+				            <img class="bkuimage" src="$contextPath/img/eIDAS_small.png" alt="EULogin" />                                                        
+                    <form method="get" id="moaidform" action="$contextPath$submitEndpoint" class="verticalcenter" target="_parent">
+								      <input type="hidden" name="useeIDAS" value="true" />
+								      <input type="hidden" name="useMandate" id="useMandate" />  
+								      <input type="hidden" name="pendingid" value="$pendingReqID" /> 
+                      <input name="bkuButtonEULogin" onclick="setMandateSelection();" type="submit" role="button" value="EULogin" />
+                    </form>
+				        </div>
                 
-                <!-- BKU detection with static template-->
-                <!--iframe name="bkudetect" width="0" height="0" scrolling="no" marginheight="0" marginwidth="0" frameborder="0" src="$contextPath/iframeLBKUdetect.html"></iframe-->
-                                                            
-							</div>
-							<div id="bkuhandy">
-								<img class="bkuimage" src="$contextPath/img/handysign.png" alt="HandyBKU" />         
-                <input name="bkuButtonHandy" type="button" tabindex="3" role="button" value="HANDY" />
-							</div>
-						</div>
 						<!--div id="localBKU">
 							<form method="get" id="moaidform" action="$contextPath$submitEndpoint"
 								class="verticalcenter" target="_parent">
@@ -80,7 +91,8 @@
               <!--div id="ssoSessionTransferBlock">
                 <a href="$contextPath$submitEndpoint?pendingid=$pendingReqID&restoreSSOSession=true">>Restore SSO Session from Smartphone</a>
               </div-->
-              
+                                  
+            <!-- 
               <div id="stork" align="center" class="$STORKVISIBLE">
                 <h2 id="tabheader" class="dunkel">Home Country Selection</h2>
                 <p>
@@ -88,9 +100,9 @@
                     $countryList
                   </select>
                   <button id="eIDASButton" name="bkuButton" type="button">Proceed</button>
-                  <!--a href="info_stork.html" target="_blank" class="infobutton">i</a-->
+                  a href="info_stork.html" target="_blank" class="infobutton">i</a
                 </p>
-              </div>
+              </div>-->
 
 						<div id="metroDetected" class="unvisible">
 							<p>Anscheinend verwenden Sie Internet Explorer im
-- 
cgit v1.2.3


From 4ae32fabc822b3c8ed51d380969f7db682d1bfae Mon Sep 17 00:00:00 2001
From: Thomas Lenz <tlenz@iaik.tugraz.at>
Date: Mon, 16 Jul 2018 18:26:01 +0200
Subject: some GUI and handbook updates

---
 id/readme_3.4.0.txt                                | 129 ++-
 id/server/auth-final/pom.xml                       |   7 +-
 .../htmlTemplates/loginFormFull.html               |  14 +-
 .../conf/moa-id/htmlTemplates/css_template.css     |  86 +-
 .../moa-id/htmlTemplates/javascript_tempalte.js    |  23 +-
 .../conf/moa-id/htmlTemplates/loginFormFull.html   |  14 +-
 .../conf/moa-spss/SampleMOASPSSConfiguration.xml   |   3 +-
 id/server/doc/handbook/index.html                  |   2 +-
 id/server/doc/handbook/protocol/protocol.html      |   6 +-
 id/server/doc/htmlTemplates/BKU-selection.html     |  14 +-
 id/server/idserverlib/pom.xml                      |  15 +-
 .../mainGUI/img/eIDAS_small_deactivated.png        | Bin 0 -> 34671 bytes
 .../src/main/resources/mainGUI/index.html          |  14 +-
 .../src/main/resources/templates/css_template.css  | 985 +++++++--------------
 .../resources/templates/javascript_tempalte.js     |  23 +-
 .../main/resources/templates/loginFormFull.html    |  51 +-
 16 files changed, 561 insertions(+), 825 deletions(-)
 create mode 100644 id/server/moa-id-frontend-resources/src/main/resources/mainGUI/img/eIDAS_small_deactivated.png

(limited to 'id/server/doc/handbook')

diff --git a/id/readme_3.4.0.txt b/id/readme_3.4.0.txt
index 81d4805a4..bc1b864b2 100644
--- a/id/readme_3.4.0.txt
+++ b/id/readme_3.4.0.txt
@@ -70,9 +70,33 @@ B.1 Durchf
    > modules.eidascentralauth.response.encryption.password= 
    > modules.eidascentralauth.node.trustprofileID=centralnode_metadata    
 
-
-7. HTML Template updates
-7.1 Update der HTML Templates für Auswahl des zentralen nationalen eIDAS Connectors
+7. Update der MOA-SPSS Konfiguration
+    a.) Erstellen Sie eine Sicherungskopie der Verzeichnisse:
+       - CATALINA_HOME\conf\moa-spss     
+    b.) Kopieren Sie die Dateien aus dem Verzeichnis MOA_ID_INST_AUTH\conf\moa-spss\trustProfiles\centralnode_metadata
+         in das Verzeichnis CATALINA_HOME\conf\moa-spss\trustProfiles\centralnode_metadata
+    c.) Kopieren Sie die Dateien aus dem Verzeichnis MOA_ID_INST_AUTH\conf\moa-spss\profiles\SL20.*
+         in das Verzeichnis CATALINA_HOME\conf\moa-spss\profiles\           
+    d.) Kopieren Sie die Datei MOA_ID_INST_AUTH\conf\moa-spss\SampleMOASPSSConfiguration.xml 
+         in das Verzeichnis CATALINA_HOME\conf\moa-spss\ , oder aktualisieren Sie ihre aktuell
+         verwendete MOA-SPSS Konfiguration manuell. Folgende Teile wurden ergänzt:
+           ...
+           <cfg:Id>centralnode_metadata</cfg:Id>
+					    <cfg:TrustAnchorsLocation>trustProfiles/centralnode_metadata</cfg:TrustAnchorsLocation>
+				   </cfg:TrustProfile>
+           ...
+           <cfg:VerifyTransformsInfoProfile>
+			       <cfg:Id>SL20Authblock_v1.0</cfg:Id>
+			       <cfg:Location>profiles/SL20_authblock_v1.0.xml</cfg:Location>      
+		       </cfg:VerifyTransformsInfoProfile>		
+		       <cfg:VerifyTransformsInfoProfile>
+			       <cfg:Id>SL20Authblock_v1.0_SIC</cfg:Id>
+			       <cfg:Location>profiles/SL20_authblock_v1.0_SIC.xml</cfg:Location>      
+		       </cfg:VerifyTransformsInfoProfile>
+           ...
+             
+8. HTML Template updates
+8.1 Update der HTML Templates für Auswahl des zentralen nationalen eIDAS Connectors
     Sollten Sie eigene     Modifikationen an den bestehenden Templates vorgenommen 
     haben müssen die Anpassungen manuell in die neuen Templates übertragen werden. 
     MOA-ID 3.4.0 kann jedoch auch mit den bestehenden Templates betrieben werden, sofern
@@ -85,10 +109,10 @@ B.1 Durchf
     d.) Kopieren Sie die Dateien aus dem Verzeichnis MOA_ID_INST_AUTH\conf\moa-id-configuration\htmlTemplates
          in das Verzeichnis CATALINA_HOME\conf\moa-id-configuration\htmlTemplates.     
 
-8. Update the MOA-ID Konfiguration via Web-basierten Konfigurationstool
+9. Update the MOA-ID Konfiguration via Web-basierten Konfigurationstool
     Diese Schitte können erst nach der Installation und dem Start der Applikation
     moa-id-configuration.war durchgeführt werden
-8.1 Anbindung an zentralen nationalen eIDAS Connector 
+9.1 Anbindung an zentralen nationalen eIDAS Connector 
     a.) Bekanntgabe von Endpunkten (Produktiv, Test, ... ) der verwendbaren 
         zentralen nationalen eIDAS Connectoren. 
         
@@ -96,33 +120,33 @@ B.1 Durchf
         sofern im Schritt a. mehr als Ein Endpunkt konfiguriert wurde. 
         Hinweis: Als Default wird immer der Erste im Schritt a. hinterlegte Endpunkt verwendet
 
-9. Optionale Updates:
-9.1. Unterstützung der neuen VDA Schnittstelle via Security-Layer 2.0:
-     Hierbei handelt es sich um eine Authentifizierungsschnittstelle im Beta Status
-     da die Spezifikation der Schnittstelle noch nicht Final ist. Die Schnittstelle ist in 
-     MOA-ID funktional umgesetzt, es kann jedoch noch offene Punkte bezüglich Fehlerhändlung
-     und Logging geben. 
-     a.) Hinzufügen der zusätzlichen Konfigurationsparameter in der MOA-ID-Auth
-         Konfigurationsdatei CATALINA_HOME\conf\moa-id\moa-id.properties
-         > modules.sl20.security.keystore.path=keys/sl20.jks
-         > modules.sl20.security.keystore.password=password
-         > modules.sl20.security.sign.alias=signing
-         > modules.sl20.security.sign.password=password
-         > modules.sl20.security.encryption.alias=encryption
-         > modules.sl20.security.encryption.password=password
+10.  Optionale Updates:
+10.1 Unterstützung der neuen VDA Schnittstelle via Security-Layer 2.0:
+      Hierbei handelt es sich um eine Authentifizierungsschnittstelle im Beta Status
+      da die Spezifikation der Schnittstelle noch nicht Final ist. Die Schnittstelle ist in 
+      MOA-ID funktional umgesetzt, es kann jedoch noch offene Punkte bezüglich Fehlerhändlung
+      und Logging geben. 
+      a.) Hinzufügen der zusätzlichen Konfigurationsparameter in der MOA-ID-Auth
+          Konfigurationsdatei CATALINA_HOME\conf\moa-id\moa-id.properties
+          > modules.sl20.security.keystore.path=keys/sl20.jks
+          > modules.sl20.security.keystore.password=password
+          > modules.sl20.security.sign.alias=signing
+          > modules.sl20.security.sign.password=password
+          > modules.sl20.security.encryption.alias=encryption
+          > modules.sl20.security.encryption.password=password
          
-     b.) Aktivierung je Online-Applikation im Web-basierten Konfigurationstool
-         Die neue VDA-Schnittstelle muss je Online-Applikation aktiviert werden, wobei 
-         die Aktivierung im Abschnitt "Security Layer für mobile Authententifizierung" 
-         der Online-Applikationskonfiguration erfolgt. 
-
-9.2. Umstellung auf Java JDK 9
-     Die 'JAVA_HOME\jre\lib\ext' und die 'CATALINA_HOME_ID\endorsed' wird in Java 9 
-     nicht mehr unterstützt und entsprechende Referenzen müssen aus den Start-Scripts
-     entfernt werden. Ab MOA-ID 3.3.2 sind die Bibliotheken, welche früher in 
-     den beiden Verzeichnissen hinterlegt waren, direkt in MOA-ID integriert.   
+      b.) Aktivierung je Online-Applikation im Web-basierten Konfigurationstool
+          Die neue VDA-Schnittstelle muss je Online-Applikation aktiviert werden, wobei 
+          die Aktivierung im Abschnitt "Security Layer für mobile Authententifizierung" 
+          der Online-Applikationskonfiguration erfolgt. 
+
+10.2 Umstellung auf Java JDK 9
+      Die 'JAVA_HOME\jre\lib\ext' und die 'CATALINA_HOME_ID\endorsed' wird in Java 9 
+      nicht mehr unterstützt und entsprechende Referenzen müssen aus den Start-Scripts
+      entfernt werden. Ab MOA-ID 3.3.2 sind die Bibliotheken, welche früher in 
+      den beiden Verzeichnissen hinterlegt waren, direkt in MOA-ID integriert.   
    
-10. Starten Sie den Tomcat neu, achten Sie auf eventuelle Fehlermeldungen im
+11. Starten Sie den Tomcat neu, achten Sie auf eventuelle Fehlermeldungen im
     Logging von MOA ID beim Einlesen der Konfiguration.
 
 
@@ -176,8 +200,33 @@ B.1 Durchf
     > modules.eidascentralauth.response.encryption.password= 
     > modules.eidascentralauth.node.trustprofileID=centralnode_metadata    
 
-11. HTML Template updates
-11.1 Update der HTML Templates für Auswahl des zentralen nationalen eIDAS Connectors
+11. Update der MOA-SPSS Konfiguration
+    a.) Erstellen Sie eine Sicherungskopie der Verzeichnisse:
+       - CATALINA_HOME\conf\moa-spss     
+    b.) Kopieren Sie die Dateien aus dem Verzeichnis MOA_ID_INST_AUTH\conf\moa-spss\trustProfiles\centralnode_metadata
+         in das Verzeichnis CATALINA_HOME\conf\moa-spss\trustProfiles\centralnode_metadata
+    c.) Kopieren Sie die Dateien aus dem Verzeichnis MOA_ID_INST_AUTH\conf\moa-spss\profiles\SL20.*
+         in das Verzeichnis CATALINA_HOME\conf\moa-spss\profiles\           
+    d.) Kopieren Sie die Datei MOA_ID_INST_AUTH\conf\moa-spss\SampleMOASPSSConfiguration.xml 
+         in das Verzeichnis CATALINA_HOME\conf\moa-spss\ , oder aktualisieren Sie ihre aktuell
+         verwendete MOA-SPSS Konfiguration manuell. Folgende Teile wurden ergänzt:
+           ...
+           <cfg:Id>centralnode_metadata</cfg:Id>
+					    <cfg:TrustAnchorsLocation>trustProfiles/centralnode_metadata</cfg:TrustAnchorsLocation>
+				   </cfg:TrustProfile>
+           ...
+           <cfg:VerifyTransformsInfoProfile>
+			       <cfg:Id>SL20Authblock_v1.0</cfg:Id>
+			       <cfg:Location>profiles/SL20_authblock_v1.0.xml</cfg:Location>      
+		       </cfg:VerifyTransformsInfoProfile>		
+		       <cfg:VerifyTransformsInfoProfile>
+			       <cfg:Id>SL20Authblock_v1.0_SIC</cfg:Id>
+			       <cfg:Location>profiles/SL20_authblock_v1.0_SIC.xml</cfg:Location>      
+		       </cfg:VerifyTransformsInfoProfile>
+           ...
+
+12. HTML Template updates
+12.1 Update der HTML Templates für Auswahl des zentralen nationalen eIDAS Connectors
      Sollten Sie eigene     Modifikationen an den bestehenden Templates vorgenommen 
      haben müssen die Anpassungen manuell in die neuen Templates übertragen werden. 
      MOA-ID 3.4.0 kann jedoch auch mit den bestehenden Templates betrieben werden, sofern
@@ -190,10 +239,10 @@ B.1 Durchf
      d.) Kopieren Sie die Dateien aus dem Verzeichnis MOA_ID_INST_AUTH\conf\moa-id-configuration\htmlTemplates
           in das Verzeichnis CATALINA_HOME\conf\moa-id-configuration\htmlTemplates.     
 
-12. Update the MOA-ID Konfiguration via Web-basierten Konfigurationstool
+13. Update the MOA-ID Konfiguration via Web-basierten Konfigurationstool
      Diese Schitte können erst nach der Installation und dem Start der Applikation
      moa-id-configuration.war durchgeführt werden
-12.1 Anbindung an zentralen nationalen eIDAS Connector 
+13.1 Anbindung an zentralen nationalen eIDAS Connector 
      a.) Bekanntgabe von Endpunkten (Produktiv, Test, ... ) der verwendbaren 
          zentralen nationalen eIDAS Connectoren. 
         
@@ -201,8 +250,8 @@ B.1 Durchf
          sofern im Schritt a. mehr als Ein Endpunkt konfiguriert wurde. 
          Hinweis: Als Default wird immer der Erste im Schritt a. hinterlegte Endpunkt verwendet
 
-13. Optionale Updates:
-13.1. Unterstützung der neuen VDA Schnittstelle via Security-Layer 2.0:
+14. Optionale Updates:
+14.1. Unterstützung der neuen VDA Schnittstelle via Security-Layer 2.0:
       Hierbei handelt es sich um eine Authentifizierungsschnittstelle im Beta Status
       da die Spezifikation der Schnittstelle noch nicht Final ist. Die Schnittstelle ist in 
       MOA-ID funktional umgesetzt, es kann jedoch noch offene Punkte bezüglich Fehlerhändlung
@@ -221,19 +270,19 @@ B.1 Durchf
           die Aktivierung im Abschnitt "Security Layer für mobile Authententifizierung" 
           der Online-Applikationskonfiguration erfolgt. 
 
-13.2. Umstellung auf Java JDK 9
+14.2. Umstellung auf Java JDK 9
       Die 'JAVA_HOME\jre\lib\ext' und die 'CATALINA_HOME_ID\endorsed' wird in Java 9 
       nicht mehr unterstützt und entsprechende Referenzen müssen aus den Start-Scripts
       entfernt werden. Ab MOA-ID 3.3.2 sind die Bibliotheken, welche früher in 
       den beiden Verzeichnissen hinterlegt waren, direkt in MOA-ID integriert.   
 
-13.3. Das BKU Auswahltemplate von MOA-ID wurde um eine Detection der lokalen BKU
+14.3. Das BKU Auswahltemplate von MOA-ID wurde um eine Detection der lokalen BKU
       erweitert und mocca Online wurde entfernt.
       a.) Kopieren Sie die Dateien aus dem Verzeichnis MOA_ID_INST_AUTH\conf\moa-id\htmlTemplates
           in das Verzeichnis CATALINA_HOME\conf\moa-id\htmlTemplates
       b.) Kopieren Sie die Dateien aus dem Verzeichnis MOA_ID_INST_AUTH\conf\moa-id-configuration\htmlTemplates
           in das Verzeichnis CATALINA_HOME\conf\moa-id-configuration\htmlTemplates. 
-13.4. Die mySQL Treiber 'com.mysql.jdbc.Drive' und 'org.hibernate.dialect.MySQLDialect'
+14.4. Die mySQL Treiber 'com.mysql.jdbc.Drive' und 'org.hibernate.dialect.MySQLDialect'
       sind deprecated für aktuelle mySQL DB Versionen. Der neue Treiber 
       für mySQL Datenbanken lautet 'com.mysql.cj.jdbc.Driver' und ein aktuellerer
       Hibernate Dialect lautet 'org.hibernate.dialect.MySQL5Dialect'. 
@@ -248,7 +297,7 @@ B.1 Durchf
       b.) Konfigurationsdatei CATALINA_HOME\conf\moa-id-configuration\moa-id-configtool.properties
           hibernate.connection.driver_class=com.mysql.cj.jdbc.Driver
    
-14.  Starten Sie den Tomcat neu, achten Sie auf eventuelle Fehlermeldungen im
+15.  Starten Sie den Tomcat neu, achten Sie auf eventuelle Fehlermeldungen im
      Logging von MOA ID beim Einlesen der Konfiguration.
 
 
diff --git a/id/server/auth-final/pom.xml b/id/server/auth-final/pom.xml
index 09fb70a19..504adb486 100644
--- a/id/server/auth-final/pom.xml
+++ b/id/server/auth-final/pom.xml
@@ -165,10 +165,15 @@
 			<artifactId>moa-id-modul-citizencard_authentication</artifactId>
 		</dependency>
 
+		<dependency>
+			<groupId>MOA.id.server.modules</groupId>				
+		 	<artifactId>moa-id-module-sl20_authentication</artifactId>
+		 </dependency>		
+
 		<dependency>
 			<groupId>MOA.id.server.modules</groupId>
 			<artifactId>moa-id-module-AT_eIDAS_connector</artifactId>
-		</dependency>
+		</dependency> 
 
 			<!--dependency>
 				<groupId>MOA.id.server.modules</groupId>
diff --git a/id/server/data/deploy/conf/moa-id-configuration/htmlTemplates/loginFormFull.html b/id/server/data/deploy/conf/moa-id-configuration/htmlTemplates/loginFormFull.html
index 62f954ada..4e548e58c 100644
--- a/id/server/data/deploy/conf/moa-id-configuration/htmlTemplates/loginFormFull.html
+++ b/id/server/data/deploy/conf/moa-id-configuration/htmlTemplates/loginFormFull.html
@@ -48,7 +48,7 @@
 								    <input type="hidden" name="SSO" id="useSSO" /> 
 								    <input type="hidden" name="ccc" id="ccc" /> 
 								    <input type="hidden" name="pendingid" value="$pendingReqID" /> 
-                    <input type="submit" value=" Karte " tabindex="5" role="button" onclick="setMandateSelection();" />
+                    <input type="submit" value=" Karte " tabindex="5" role="button" />
                   </form>
                 
                   <iframe name="bkudetect" width="0" height="0" scrolling="no" marginheight="0" marginwidth="0" frameborder="0" src="$contextPath/feature/bkuDetection?pendingid=$pendingReqID"></iframe>
@@ -64,15 +64,14 @@
                 
             
 				        <div id="bkueulogin" class="$eIDASVisible">
-				            <img class="bkuimage" src="$contextPath/img/eIDAS_small.png" alt="EULogin" />                                                        
-                    <form method="get" id="moaidform" action="$contextPath$submitEndpoint" class="verticalcenter" target="_parent">
+				            <img id="eIDASImage" class="bkuimage" src="$contextPath/img/eIDAS_small.png" alt="EULogin" />                                                        
+                    <form method="get" id="moaideIDASform" action="$contextPath$submitEndpoint" class="verticalcenter" target="_parent">
 								      <input type="hidden" name="useeIDAS" value="true" />
 								      <input type="hidden" name="useMandate" id="useMandate" />  
 								      <input type="hidden" name="pendingid" value="$pendingReqID" /> 
-                      <input name="bkuButtonEULogin" onclick="setMandateSelection();" type="submit" role="button" value="EULogin" />
+                      <input id="buttonEULogin" name="bkuButtonEULogin" type="submit" role="button" value="EULogin" />
                     </form>
 				        </div>
-                
 						<!--div id="localBKU">
 							<form method="get" id="moaidform" action="$contextPath$submitEndpoint"
 								class="verticalcenter" target="_parent">
@@ -91,7 +90,10 @@
               <!--div id="ssoSessionTransferBlock">
                 <a href="$contextPath$submitEndpoint?pendingid=$pendingReqID&restoreSSOSession=true">>Restore SSO Session from Smartphone</a>
               </div-->
-                                  
+            
+                  
+                        
+            
             <!-- 
               <div id="stork" align="center" class="$STORKVISIBLE">
                 <h2 id="tabheader" class="dunkel">Home Country Selection</h2>
diff --git a/id/server/data/deploy/conf/moa-id/htmlTemplates/css_template.css b/id/server/data/deploy/conf/moa-id/htmlTemplates/css_template.css
index fab541751..40e8eae7a 100644
--- a/id/server/data/deploy/conf/moa-id/htmlTemplates/css_template.css
+++ b/id/server/data/deploy/conf/moa-id/htmlTemplates/css_template.css
@@ -30,11 +30,25 @@
         width: 100%;
         text-align: center;
     }
+       
+    h2#tabheader{
+        font-size: 1.0em; 
+        padding-left: 2%;
+        padding-right: 2%;
+        position: relative;
+    }
+
     #bkulogin {	
         min-width: 200px;
         min-height: 155px;
         margin-bottom: 5%;
     }
+    #mandateLogin {
+        padding-bottom: 1%;
+        padding-top: 2%;
+        position: relative;
+        text-align: left;
+			}
 
    .unvisible {
        visibility: hidden;
@@ -118,11 +132,13 @@
     }
 
     .bkuimage {
-        width: 60%;
+        width: 55%;
     }
 
     input {
+        width:auto;
         cursor: pointer;
+        
     }
 
   #localBKU input {
@@ -149,12 +165,7 @@
         clear: both;
     }
       			
-    #mandateLogin {
-        padding-bottom: 2%;
-        padding-top: 2%;
-        position: relative;
-        text-align: left;
-			}
+
       
     .verticalcenter {
         vertical-align: middle;
@@ -182,7 +193,6 @@
     }
     
     #selectArea {
-        float:left;
         width:90%;
         padding-left: 4%
     }
@@ -210,12 +220,6 @@
         background-color: $HEADER_BACKGROUNDCOLOR;
         color: $HEADER_COLOR;
     }
-    h2#tabheader{
-        font-size: 2.0em; 
-        padding-left: 2%;
-        padding-right: 2%;
-        position: relative;
-    }
 
 
 @media screen and (min-width: 650px) {
@@ -236,16 +240,13 @@
 
     #bkuselectionarea input[type=button],#bkuselectionarea input[type=submit]{
         font-size: 0.85em;
+        width:65%
     }
 
     #mandateLogin {
         font-size: 0.85em;
     }    
 
-    #bku_header h2 {
-        font-size: 0.8em;
-    } 
-
     #alert_area {
         width: 500px;
         padding-left: 80px;
@@ -255,20 +256,7 @@
          font-size: 15px;
          padding-bottom: 65px;
       }
-			
-    #bku_header {
-        height: 5%;
-        padding-bottom: 2%;
-        padding-top: 2%;
-    }
-              
-    h2#tabheader{
-        font-size: 1.1em; 
-        padding-left: 2%;
-        padding-right: 2%;
-        position: relative;
-    }
-      	
+			      	
     #stork h2 {
         font-size: 1.0em;
         margin-bottom: 2%;
@@ -281,12 +269,7 @@
         width: 100px;
         height: 30px
     }
-        
-        button {
-          height: 25px;
-          width: 75px;
-          margin-bottom: 4%;
-        }      
+             
         
     #validation {
         position: absolute;
@@ -338,7 +321,12 @@
         display: none;
         visibility: hidden;
     }
-    
+
+        
+    h2#tabheader{
+        font-size: 1.5em;
+        position: relative;
+    }
     .mandate{
         font-size: 1.0em;
     }
@@ -351,8 +339,7 @@
         margin-bottom: 2%;
     }
     .bkuimage {
-      
-        
+        width: 40%;
     }
     
     #bkukarte {
@@ -366,20 +353,7 @@
     #bkueulogin {
         box-sizing: border-box;
     }
-			  
-    #bku_header {
-        height: 10%;
-        min-height: 1.2em;
-        margin-top: 1%;
-    }
-        
-    h2#tabheader{
-        padding-left: 2%;
-        padding-right: 2%;
-        font-size: 1.5em;
-        position: relative;
-    }
-        
+		        
     .setAssertionButton_full {
         background: #efefef;
         cursor: pointer;
@@ -389,6 +363,6 @@
     }
        
     input[type=button],input[type=submit] {
-        width: 70%;
+        width:65%;
     }
 }      
\ No newline at end of file
diff --git a/id/server/data/deploy/conf/moa-id/htmlTemplates/javascript_tempalte.js b/id/server/data/deploy/conf/moa-id/htmlTemplates/javascript_tempalte.js
index 313f14b4a..15b82614c 100644
--- a/id/server/data/deploy/conf/moa-id/htmlTemplates/javascript_tempalte.js
+++ b/id/server/data/deploy/conf/moa-id/htmlTemplates/javascript_tempalte.js
@@ -84,9 +84,9 @@ function isIE() {
 /* 			setSSOSelection(); */
 			
 			var ccc = "AT";
-			var countrySelection = document.getElementById("eIDASSelection");
+			var countrySelection = document.getElementById("cccSelection");
 			if (countrySelection !=  null) {
-				ccc = document.getElementById("eIDASSelection").value;
+				ccc = document.getElementById("cccSelection").value;
 			}
 			var iFrameURL = "$contextPath$submitEndpoint" + "?";			
 			iFrameURL += "&pendingid=" + "$pendingReqID";
@@ -238,7 +238,22 @@ function isIE() {
     }
     function setUseMandateFlag(e) {
       /*document.getElementById("mandateCheckBox").setAttribute("aria-checked", document.getElementById("mandateCheckBox").checked);*/
-      e.setAttribute("aria-checked", e.checked);
+      e.target.setAttribute("aria-checked", e.target.checked);
+      if (e.target.checked) {
+        var image = document.getElementById("eIDASImage");
+        var srcatt = image.getAttribute("src");
+        var last = srcatt.substring(srcatt.lastIndexOf('/')+1);
+        srcatt = srcatt.replace(last,'eIDAS_small_deactivated.png');    
+        image.setAttribute("src",srcatt);
+        document.getElementById("buttonEULogin").disabled=true;
+      } else {
+          var image = document.getElementById("eIDASImage");
+          var srcatt = image.getAttribute("src");
+          var last = srcatt.substring(srcatt.lastIndexOf('/')+1);
+          srcatt = srcatt.replace(last,'eIDAS_small.png');    
+          image.setAttribute("src",srcatt);
+          document.getElementById("buttonEULogin").disabled=false      
+      }            
     }
     
     document.addEventListener('resize', onChangeChecks);
@@ -246,7 +261,7 @@ function isIE() {
       document.querySelector('#mandateCheckBox').addEventListener('click', setUseMandateFlag);
       document.querySelector('#moaidform>input[type=submit]').addEventListener('click', setMandateSelection);
       document.querySelector('#bkuhandy>input[type=button]').addEventListener('click', bkuHandyClicked);
-      document.querySelector('#stork button[type=button]').addEventListener('click', storkClicked);
+      document.querySelector('#moaideIDASform>input[type=submit]').addEventListener('click', setMandateSelection);
       onChangeChecks(); 
     });
     
diff --git a/id/server/data/deploy/conf/moa-id/htmlTemplates/loginFormFull.html b/id/server/data/deploy/conf/moa-id/htmlTemplates/loginFormFull.html
index 62f954ada..4e548e58c 100644
--- a/id/server/data/deploy/conf/moa-id/htmlTemplates/loginFormFull.html
+++ b/id/server/data/deploy/conf/moa-id/htmlTemplates/loginFormFull.html
@@ -48,7 +48,7 @@
 								    <input type="hidden" name="SSO" id="useSSO" /> 
 								    <input type="hidden" name="ccc" id="ccc" /> 
 								    <input type="hidden" name="pendingid" value="$pendingReqID" /> 
-                    <input type="submit" value=" Karte " tabindex="5" role="button" onclick="setMandateSelection();" />
+                    <input type="submit" value=" Karte " tabindex="5" role="button" />
                   </form>
                 
                   <iframe name="bkudetect" width="0" height="0" scrolling="no" marginheight="0" marginwidth="0" frameborder="0" src="$contextPath/feature/bkuDetection?pendingid=$pendingReqID"></iframe>
@@ -64,15 +64,14 @@
                 
             
 				        <div id="bkueulogin" class="$eIDASVisible">
-				            <img class="bkuimage" src="$contextPath/img/eIDAS_small.png" alt="EULogin" />                                                        
-                    <form method="get" id="moaidform" action="$contextPath$submitEndpoint" class="verticalcenter" target="_parent">
+				            <img id="eIDASImage" class="bkuimage" src="$contextPath/img/eIDAS_small.png" alt="EULogin" />                                                        
+                    <form method="get" id="moaideIDASform" action="$contextPath$submitEndpoint" class="verticalcenter" target="_parent">
 								      <input type="hidden" name="useeIDAS" value="true" />
 								      <input type="hidden" name="useMandate" id="useMandate" />  
 								      <input type="hidden" name="pendingid" value="$pendingReqID" /> 
-                      <input name="bkuButtonEULogin" onclick="setMandateSelection();" type="submit" role="button" value="EULogin" />
+                      <input id="buttonEULogin" name="bkuButtonEULogin" type="submit" role="button" value="EULogin" />
                     </form>
 				        </div>
-                
 						<!--div id="localBKU">
 							<form method="get" id="moaidform" action="$contextPath$submitEndpoint"
 								class="verticalcenter" target="_parent">
@@ -91,7 +90,10 @@
               <!--div id="ssoSessionTransferBlock">
                 <a href="$contextPath$submitEndpoint?pendingid=$pendingReqID&restoreSSOSession=true">>Restore SSO Session from Smartphone</a>
               </div-->
-                                  
+            
+                  
+                        
+            
             <!-- 
               <div id="stork" align="center" class="$STORKVISIBLE">
                 <h2 id="tabheader" class="dunkel">Home Country Selection</h2>
diff --git a/id/server/data/deploy/conf/moa-spss/SampleMOASPSSConfiguration.xml b/id/server/data/deploy/conf/moa-spss/SampleMOASPSSConfiguration.xml
index 85d801245..9dede486d 100644
--- a/id/server/data/deploy/conf/moa-spss/SampleMOASPSSConfiguration.xml
+++ b/id/server/data/deploy/conf/moa-spss/SampleMOASPSSConfiguration.xml
@@ -64,7 +64,8 @@
 				<cfg:Id>PVP_metadata</cfg:Id>
 					<cfg:TrustAnchorsLocation>trustProfiles/PVP_metadata</cfg:TrustAnchorsLocation>
 				</cfg:TrustProfile>
-        <cfg:Id>centralnode_metadata</cfg:Id>
+        <cfg:TrustProfile>
+          <cfg:Id>centralnode_metadata</cfg:Id>
 					<cfg:TrustAnchorsLocation>trustProfiles/centralnode_metadata</cfg:TrustAnchorsLocation>
 				</cfg:TrustProfile>
 			</cfg:PathValidation>
diff --git a/id/server/doc/handbook/index.html b/id/server/doc/handbook/index.html
index e72105816..73ece89e3 100644
--- a/id/server/doc/handbook/index.html
+++ b/id/server/doc/handbook/index.html
@@ -29,7 +29,7 @@
   </div>
 
 <div class="container">
-  <h2>&Uuml;bersicht zur Dokumentation der Version 3.3.x </h2>
+  <h2>&Uuml;bersicht zur Dokumentation der Version 3.4.x </h2>
   
   <dl>
     <dt><a href="./intro/intro.html">Einf&uuml;hrung</a></dt>
diff --git a/id/server/doc/handbook/protocol/protocol.html b/id/server/doc/handbook/protocol/protocol.html
index 8f6ed735c..5e38dddf5 100644
--- a/id/server/doc/handbook/protocol/protocol.html
+++ b/id/server/doc/handbook/protocol/protocol.html
@@ -1045,9 +1045,9 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/LogOut
       <td><strong>Optional:</strong> Gibt an ob eine Anmeldung im Online-Vollmachten-Modus durchgef&uuml;hrt werden soll (=true) oder nicht (=false);</td>
     </tr>
     <tr>
-      <td>CCC=&lt;ccc&gt;</td>
-      <td>BE, SI, </td>
-      <td><strong>Optional:</strong> Gibt an ob die Anmeldung mittels   STORK im angegebenen Land erfolgen soll. Die Angabe erfolgt mit dem   L&auml;ndercode (z.B.: PT, LU, ES, ...) des jeweiligen Landes.</td>
+      <td>useeIDAS=&lt;true/false&gt;</td>
+      <td>true /false</td>
+      <td>Optional: Gibt an ob eine Anmeldung mittels eIDAS erfolgen soll. Wird der Parameter (=true) &uuml;bergeben, startet der Anmeldeprozess mit einer Weiterleitung an den zentralen nationalen eIDAS Connector.</td>
     </tr>
   </tbody>
 </table>
diff --git a/id/server/doc/htmlTemplates/BKU-selection.html b/id/server/doc/htmlTemplates/BKU-selection.html
index 62f954ada..4e548e58c 100644
--- a/id/server/doc/htmlTemplates/BKU-selection.html
+++ b/id/server/doc/htmlTemplates/BKU-selection.html
@@ -48,7 +48,7 @@
 								    <input type="hidden" name="SSO" id="useSSO" /> 
 								    <input type="hidden" name="ccc" id="ccc" /> 
 								    <input type="hidden" name="pendingid" value="$pendingReqID" /> 
-                    <input type="submit" value=" Karte " tabindex="5" role="button" onclick="setMandateSelection();" />
+                    <input type="submit" value=" Karte " tabindex="5" role="button" />
                   </form>
                 
                   <iframe name="bkudetect" width="0" height="0" scrolling="no" marginheight="0" marginwidth="0" frameborder="0" src="$contextPath/feature/bkuDetection?pendingid=$pendingReqID"></iframe>
@@ -64,15 +64,14 @@
                 
             
 				        <div id="bkueulogin" class="$eIDASVisible">
-				            <img class="bkuimage" src="$contextPath/img/eIDAS_small.png" alt="EULogin" />                                                        
-                    <form method="get" id="moaidform" action="$contextPath$submitEndpoint" class="verticalcenter" target="_parent">
+				            <img id="eIDASImage" class="bkuimage" src="$contextPath/img/eIDAS_small.png" alt="EULogin" />                                                        
+                    <form method="get" id="moaideIDASform" action="$contextPath$submitEndpoint" class="verticalcenter" target="_parent">
 								      <input type="hidden" name="useeIDAS" value="true" />
 								      <input type="hidden" name="useMandate" id="useMandate" />  
 								      <input type="hidden" name="pendingid" value="$pendingReqID" /> 
-                      <input name="bkuButtonEULogin" onclick="setMandateSelection();" type="submit" role="button" value="EULogin" />
+                      <input id="buttonEULogin" name="bkuButtonEULogin" type="submit" role="button" value="EULogin" />
                     </form>
 				        </div>
-                
 						<!--div id="localBKU">
 							<form method="get" id="moaidform" action="$contextPath$submitEndpoint"
 								class="verticalcenter" target="_parent">
@@ -91,7 +90,10 @@
               <!--div id="ssoSessionTransferBlock">
                 <a href="$contextPath$submitEndpoint?pendingid=$pendingReqID&restoreSSOSession=true">>Restore SSO Session from Smartphone</a>
               </div-->
-                                  
+            
+                  
+                        
+            
             <!-- 
               <div id="stork" align="center" class="$STORKVISIBLE">
                 <h2 id="tabheader" class="dunkel">Home Country Selection</h2>
diff --git a/id/server/idserverlib/pom.xml b/id/server/idserverlib/pom.xml
index 0e8b996ba..67885c409 100644
--- a/id/server/idserverlib/pom.xml
+++ b/id/server/idserverlib/pom.xml
@@ -548,7 +548,15 @@
 						<plugin>
 				<groupId>org.apache.maven.plugins</groupId>
 				<artifactId>maven-javadoc-plugin</artifactId>
-				<version>2.9.1</version>
+				<version>3.0.1</version>
+				<dependencies>
+					<dependency>
+    					<groupId>javax.annotation</groupId>
+    					<artifactId>javax.annotation-api</artifactId>
+					    <version>1.3.1</version>
+					    <scope>compile</scope>
+					</dependency>
+				</dependencies>
 				<configuration>
 					<charset>UTF-8</charset>
 					<docencoding>UTF-8</docencoding>
@@ -584,8 +592,9 @@
 							<goal>jar</goal>
 						</goals>
 						<configuration>
-                <additionalparam>-Xdoclint:none</additionalparam>
-            </configuration>
+                			<additionalparam>-Xdoclint:none</additionalparam>
+                			<additionalOptions>--add-modules ALL-MODULE-PATH</additionalOptions>
+            			</configuration>	
 					</execution>
 				</executions>
 			</plugin>
diff --git a/id/server/moa-id-frontend-resources/src/main/resources/mainGUI/img/eIDAS_small_deactivated.png b/id/server/moa-id-frontend-resources/src/main/resources/mainGUI/img/eIDAS_small_deactivated.png
new file mode 100644
index 000000000..21050502f
Binary files /dev/null and b/id/server/moa-id-frontend-resources/src/main/resources/mainGUI/img/eIDAS_small_deactivated.png differ
diff --git a/id/server/moa-id-frontend-resources/src/main/resources/mainGUI/index.html b/id/server/moa-id-frontend-resources/src/main/resources/mainGUI/index.html
index 7fc2b0298..13fe891b7 100644
--- a/id/server/moa-id-frontend-resources/src/main/resources/mainGUI/index.html
+++ b/id/server/moa-id-frontend-resources/src/main/resources/mainGUI/index.html
@@ -2,7 +2,7 @@
 <html>
     <head>
         <meta http-equiv="content-type" content="text/html; charset=utf8" >
-        <title>MOA-ID 3.3.x</title>
+        <title>MOA-ID 3.4.x</title>
         <link rel="stylesheet" href="./common/main.css" type="text/css">
         <meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1">
         <link href='https://fonts.googleapis.com/css?family=Roboto:300,400' rel='stylesheet' type='text/css'>
@@ -72,20 +72,20 @@
                 <ul>
                     <!--li><a href="_index.html">Allgemein</a></li-->
                     <!--li><a href="http://joinup.ec.europa.eu/site/moa-idspss/">Dokumentation</a></li-->
-                    <li><a href="http://joinup.ec.europa.eu/site/moa-idspss/moa-id-3.x/doc/handbook">Dokumentation</a></li>
+                    <li><a href="https://apps.egiz.gv.at/handbooks/moa-id/handbook/index.html">Dokumentation</a></li>
                     <!--Link zu den Demo-Clients-->
-                    <li><a href=#>Demo Clients</a></li>
+                    <!--li><a href=#>Demo Clients</a></li-->
                     <!--Link zum Konfigtool-->
-                    <li><a href="https://localhost:8443/moa-id-configuration">Konfiguration GUI</a></li>
-                    <li><a href="./TransferSSOSession">Transfer Single Sign-On Session to Smartphone App</a></li>
+                    <!--li><a href="https://localhost:8443/moa-id-configuration">Konfiguration GUI</a></li-->
+                    <!--li><a href="./TransferSSOSession">Transfer Single Sign-On Session to Smartphone App</a></li-->
                 	
                 </ul>
             </nav>
-        <div id="demologin" class="container">
+        <!--div id="demologin" class="container">
             <br/>
             <a href="#" id="loginButton" class="button" onClick="PVP2LoginIframe('https://menja.iaik.tugraz.at:8443/moa-id-oa/servlet/pvp2login')">Login</a>
             <p id="loginText">Über den Login-Button können Sie sich anschließend bei Ihrer Online-Applikation mit der Bürgerkarte oder der Handysignatur anmelden. Dazu müssen Sie allerdings zuvor die Applikation gemäß <a href="http://joinup.ec.europa.eu/site/moa-idspss/moa-id-3.x/doc/handbook/application/application.html#DemoApp_pvp21">Beschreibung</a> konfigurieren.</p>
-        </div>
+        </div-->
         </div>
 
     </body>
diff --git a/id/server/moa-id-frontend-resources/src/main/resources/templates/css_template.css b/id/server/moa-id-frontend-resources/src/main/resources/templates/css_template.css
index f95106c5a..40e8eae7a 100644
--- a/id/server/moa-id-frontend-resources/src/main/resources/templates/css_template.css
+++ b/id/server/moa-id-frontend-resources/src/main/resources/templates/css_template.css
@@ -1,705 +1,368 @@
 @charset "utf-8";
-	@media screen and (min-width: 650px) {
-			
-				body {
-					margin:0;
-					padding:0;
-					color : #000;
-					background-color : #fff;
-			  	text-align: center;
-			  	background-color: #6B7B8B;
-				}
-                
-                .browserInfoButton{
-         color: rgb(128, 128, 128); 
-        }
-				
-        #localBKU p {
-          font-size: 0.7em;
-        } 
-        
-        #localBKU input{
-          font-size: 0.85em;
-          /*border-radius: 5px;*/
-        }
-        
-         #bkuselectionarea input[type=button],#bkuselectionarea input[type=submit]{
-          font-size: 0.85em;
-          /*border-radius: 7px;*/
-          margin-bottom: 25px;
-          min-width: 80px;
-         }
-        
-        #mandateLogin {
-          font-size: 0.85em;
-        }
-        
-        #bku_header h2 {
-          font-size: 0.8em;
-        } 
-        
-        
-			  #page {
-			    display: block;
-			    border: 2px solid rgb(0,0,0);
-			    width: 650px;
-			    height: 460px;
-			    margin: 0 auto;
-			    margin-top: 5%;
-			    position: relative;
-			    border-radius: 25px;
-			    background: rgb(255,255,255);
-			  }
-			  
-			  #page1 {
-			    text-align: center;
-			  }
+    body {
+        margin:0;
+        padding:0;
+        color : #000;
+        background-color : #fff;
+        text-align: left;
+        background-color: #E6E6E6;
+    }
+
+    .browserInfoButton{
+        color: rgb(128, 128, 128); 
+    }	
+    
+    #page {
+        display: block;
+        margin: 0 auto;
+        margin-top: 5%;
+        position: relative;
+        background: rgb(255,255,255);
+    }
 			  
-			  #main {
-			    /*	clear:both; */
-				  position:relative;
-			    margin: 0 auto;
-			    /*width: 250px;*/
-			    text-align: center;
-			  }
+    #page1 {
+        padding-top: 1%;
+        text-align: center;
+    }
 			  
-			  .OA_header {
-			/*	  background-color: white;*/
-			    font-size: 20pt;
-			    margin-bottom: 25px;
-			    margin-top: 25px;
-			  }
-			 #alert_area {
-        width: 500px;
-        padding-left: 80px;
-        }
-			  #leftcontent {
-			    /*float:left; */
-				  width:250px;
-				  margin-bottom: 25px;
-			    text-align: left;
-			    border: 1px solid rgb(0,0,0);
-			  }
-			  			  
-			  #selectArea {
-				 font-size: 15px;
-				 padding-bottom: 65px;
-			  }
-			
-			  #leftcontent {
-				 width: 400px;
-				 /*margin-top: 30px;*/
-         margin: auto;
-			  }
-			
-        #bku_header {
-          height: 5%;
-          padding-bottom: 3px;
-          padding-top: 3px;
-        }
-      
-        #bkulogin {
-            overflow:hidden;	
-            min-width: 190px;
-            min-height: 180px;
-          /*height: 260px;*/	
-			  }
-      
-        h2#tabheader{
-				  font-size: 1.1em; 
-          padding-left: 2%;
-          padding-right: 2%;
-          position: relative;
-			  }
-      	
-        #stork h2 {
-          font-size: 1.0em;
-          margin-bottom: 2%;
-        }
-        		  
-			  .setAssertionButton_full {
-			  	background: #efefef;
-				  cursor: pointer;
-				  margin-top: 15px;
-			    width: 100px;
-			    height: 30px
-			  }
-			
-			  #leftbutton  {
-				 width: 30%; 
-				 float:left; 
-				 margin-left: 40px;
-			  }
-            #centerbutton {
-                width: 30%
-                float: middle; 
-            }
-			
-			
-			  #rightbutton {
-				 width: 30%; 
-				 float:right; 
-				 margin-right: 40px; 
-				 text-align: right;
-			  }
-        
-        button {
-          height: 25px;
-          width: 75px;
-          margin-bottom: 10px;
-        }
-        
-        
-        
-       #validation {
-        position: absolute;
-        bottom: 0px;
-        margin-left: 270px;
-        padding-bottom: 10px;
-      }
-			
+    #main {
+        float:left;
+        width: 100%;
+        text-align: center;
+    }
+       
+    h2#tabheader{
+        font-size: 1.0em; 
+        padding-left: 2%;
+        padding-right: 2%;
+        position: relative;
+    }
+
+    #bkulogin {	
+        min-width: 200px;
+        min-height: 155px;
+        margin-bottom: 5%;
+    }
+    #mandateLogin {
+        padding-bottom: 1%;
+        padding-top: 2%;
+        position: relative;
+        text-align: left;
 			}
 
-      @media screen and (max-width: 205px) {
-        #localBKU p {
-          font-size: 0.6em;
-        }
-       .browserInfoButton{
-         color: rgb(128, 128, 128); 
-        }
-        
-        #localBKU input {
-          font-size: 0.6em;
-          min-width: 60px;
-         /* max-width: 65px; */
-          min-height: 1.0em;
-         /* border-radius: 5px; */
-        }
-        
-        #bkuselectionarea input[type=button],#bkuselectionarea input[type=submit]{
-          font-size: 0.7em;
-          min-width: 55px;
-          /*min-height: 1.1em;
-          border-radius: 5px;*/
-          margin-bottom: 2%
-        }
-        
-        #mandateLogin {
-          font-size: 0.65em;
-        }
-        
-        #bku_header h2 {
-          font-size: 0.8em;
-          margin-top: -0.4em;
-          padding-top: 0.4em;
-        }
-        
-        #bkulogin {
-        min-height: 150px;
-        } 
+   .unvisible {
+       visibility: hidden;
       }
 
-      @media screen and (max-width: 249px) and (min-width: 206px) {
-        #localBKU p {
-          font-size: 0.7em;
-        } 
-        .browserInfoButton{
-         color: rgb(128, 128, 128); 
-        }
-        
-        #localBKU input {
-          font-size: 0.7em;
-          min-width: 70px;
-       /*    max-width: 75px;    */
-          min-height: 0.95em;
-        /*  border-radius: 6px;    */
-        }
-        
-        #bkuselectionarea input[type=button],#bkuselectionarea input[type=submit] {
-          font-size: 0.75em;
-          min-width: 60px;
-      /*    min-height: 0.95em;
-          border-radius: 6px;    */
-          margin-bottom: 5%
-        }
-        
-        #mandateLogin {
-          font-size: 0.75em;
-        }
-        
-        #bku_header h2 {
-          font-size: 0.9em;
-          margin-top: -0.45em;
-          padding-top: 0.45em;
-        }
-        
-        #bkulogin {
-          min-height: 180px;
-        }  
-      }
+    .OA_header {
+			/*	  background-color: white;*/
+        font-size: 2.1em;
+        margin-bottom: 1%;
+        margin-top: 1%;
+    }
 
-      @media screen and (max-width: 299px) and (min-width: 250px) {
-        #localBKU p {
-          font-size: 0.9em;
-        } 
-        .browserInfoButton{
-         color: rgb(128, 128, 128); 
-        }
-        
-        #localBKU input {
-          font-size: 0.8em;
-          min-width: 70px;
-       /*    max-width: 75px;      */
-      /*    border-radius: 6px;  */
-        }
-        
-        #bkuselectionarea input[type=button],#bkuselectionarea input[type=submit] {
-          font-size: 0.85em;
-     /*     min-height: 1.05em;
-          border-radius: 7px;        */
-          margin-bottom: 10%;
-        }
-        
-        #mandateLogin {
-          font-size: 1em;
-        }
-        
-        #bku_header h2 {
-          font-size: 1.0em;
-          margin-top: -0.50em;
-          padding-top: 0.50em;
-        } 
+    #ssoSessionTransferBlock {
+        font-size: 0.8em;
+        margin-left: 1%;
+        margin-bottom: 1%;
       }
 
-      @media screen and (max-width: 399px) and (min-width: 400px) {
-        #localBKU p {
-          font-size: 0.9em;
-        } 
-        .browserInfoButton{
-         color: rgb(128, 128, 128); 
-        }
-        #localBKU input {
-          font-size: 0.8em;
-          min-width: 70px;
-      /*     max-width: 75px;     */
-      /*    border-radius: 6px;       */
-        }
-        
-        #bkuselectionarea input[type=button],#bkuselectionarea input[type=submit] {
-          font-size: 0.9em;
-   /*       min-height: 1.2em;
-          border-radius: 8px;          */
-          margin-bottom: 10%;
-          max-width: 80px;
-        }
-        
-        #mandateLogin {
-          font-size: 1em;
-        }
-        
-        #bku_header h2 {
-          font-size: 1.1em;
-          margin-top: -0.55em;
-          padding-top: 0.55em;
-        } 
+    #processInfoArea {
+        margin-bottom: 4%;
+        margin-top: 4%;
+    }
+
+    #processSelectionArea {
+        width: 550px;
+        margin-left: 25px;
+        margin-top: 35px;
+    }
+
+    .processSelectionButtonArea {
+        float: none;
+        margin-bottom: 5%;
+        height: 35px;
+    }
+
+    .processSelectionButton {
+        background: #ababab;
+        cursor: pointer;
+        height: 40px;
+        width: 200px;
+        float: right;
+    }
+
+    .buttonDescription {
+        float: left;
+        margin-left: 10px;
+        padding-bottom: 0.4em;
+        text-align: left;
+        width: 60%;
+    }
+    
+    #processContent {
+        margin-top: 10%;
       }
-      
-      @media screen and (max-width: 649px) and (min-width: 400px) {
-        #localBKU p {
-          font-size: 0.9em;
-        } 
-       .browserInfoButton{
-         color: rgb(128, 128, 128); 
-        } 
-        #localBKU input {
-          font-size: 0.8em;
-          min-width: 70px;
-      /*     max-width: 80px;       */
-     /*     border-radius: 6px;          */
-        }
-        
-        #bkuselectionarea input[type=button],#bkuselectionarea input[type=submit] {
-          font-size: 1.0em;
-     /*      min-height: 1.3em;
-         border-radius: 10px;         */
-          margin-bottom: 10%;
-          max-width: 85px;
-        }
-        
-        #mandateLogin {
-          font-size: 1.2em;
-        }
-        
-        #bku_header h2 {
-          font-size: 1.3em;
-          margin-top: -0.65em;
-          padding-top: 0.65em;
-        } 
+
+    #eIDASSelection {
+        width: 120px; 
+        margin-right: 5px;        
       }
 
+     #bkukarte {
+        float:left;
+        width:33%;
+        text-align:center;
+        margin-top: 2%;
+    }
 
-			
-			@media screen and (max-width: 649px) {
-				
-        body {
-					margin:0;
-					padding:0;
-					color : #000;
-			  	text-align: center;
-          font-size: 100%;
-			  	background-color: $MAIN_BACKGOUNDCOLOR;
-				}
-        		.browserInfoButton{
-                    color: rgb(128, 128, 128); 
-                }		
-			  #page {
-			     visibility: hidden;
-			     margin-top: 0%;
-			  }
-			  
-			  #page1 {
-			    visibility: hidden;
-			  }
-			  
-			  #main {
-			    visibility: hidden;
-			  }
-        
-        #validation {
-          visibility: hidden;
-          display: none;
-        }
-			  
-			  .OA_header {
-			    margin-bottom: 0px;
-			    margin-top: 0px;
-			    font-size: 0pt;
-			    visibility: hidden;
-			  }
-			  
-        #alert_area {
-          visibility: visible;
-          width: 250px;
-        }
-        #alert_area > p:first-child {
-          display: none;
-          visibility: hidden;
-        }
-        
-                #leftcontent {
-			     visibility: visible;
-			     margin-bottom: 0px;
-			     text-align: left;
-			     border:none;
-                vertical-align: middle;
-                min-height: 173px;
-                min-width: 204px;
-			  }
-			  
-        #bku_header {
-          height: 10%;
-          min-height: 1.2em;
-          margin-top: 1%;
-        }
-        
-        h2#tabheader{
-          padding-left: 2%;
-          padding-right: 2%;
-          position: relative;
-          top: 50%;
-			  }
-        
-        #stork h2 {
-          font-size: 0.9em;
-          margin-bottom: 2%;
-        }
-        
-       	#bkulogin {	
-          min-width: 190px;
-          min-height: 155px;	
-			 }
+    #bkuhandy {
+        float:left;
+        width:33%;
+        text-align:center;
+        margin-top: 2%;
+    }
+
+    #bkueulogin {
+        display:block;
+        float:left;
+        text-align:center;
+        width:33%;
+        margin-top: 2%;
+    }
+
+    .bkuimage {
+        width: 55%;
+    }
+
+    input {
+        width:auto;
+        cursor: pointer;
         
-			 .setAssertionButton_full {
-			     	background: #efefef;
-				    cursor: pointer;
-				    margin-top: 15px;
-			      width: 70px;
-			      height: 25px;
-			 }
-       
-        input[type=button],input[type=submit] {
-/*          height: 11%;  */
-          width: 70%;
-        }
-			}
-			      
-			* {
-				margin: 0;
-				padding: 0;
-				#if($FONTTYPE)
-        	font-family: $FONTTYPE;
-        #end
-			}
-							      			
-			#selectArea {
-				padding-top: 10px;
-				padding-bottom: 55px;
-				padding-left: 10px;
-			}
-			
-			.setAssertionButton {
-				background: #efefef;
-				cursor: pointer;
-				margin-top: 15px;
-			  width: 70px;
-			  height: 25px;
-			}
-			
-			#leftbutton  {
-				width: 30%; 
-				float:left; 
-				margin-left: 15px;
-			}
+    }
 
+  #localBKU input {
+    display: inline-block;
+
+  }
 			
-			#rightbutton {
-				width: 30%; 
-				float:right; 
-				margin-right: 25px; 
-				text-align: right;
-			}
+  #localBKU input:hover, #localBKU input:focus, #localBKU input:active {
+    /*text-decoration: underline;*/
+  }
+
+    #installJava, #BrowserNOK {
+        clear:both;
+        font-size:0.8em;
+        padding:4px;
+    }
+
 			
-      #ssoSessionTransferBlock {
+    #ssoSessionTransferBlock {
         clear: both;
-      }
-      
-			#stork {
-			    /*margin-bottom: 10px;*/
-			   /* margin-top: 5px; */
-         clear: both;
-			}
+  }
+
+    #stork {
+        clear: both;
+    }
       			
-      #mandateLogin {
-        padding-bottom: 4%;
-        padding-top: 4%;
-        height: 10%;
-        position: relative;
-        text-align: left;
-			}
+
       
-      .verticalcenter {
+    .verticalcenter {
         vertical-align: middle;
       }
 
     .mandate{
         float: left;
-        margin-left: 4%;
+        margin-left: 2%;
+        font-size: 1.3em;
     }
       
-      #mandateLogin div {
+    #mandateLogin div {
         clear: both;
         margin-top: -1%;
         position: relative;
         top: 50%;
-      }
-      
-      #bkuselectionarea {
-          position: relative;
-          display: block;
-      }
-      
-      #localBKU {
+    }
+         
+    #localBKU {
         padding-bottom: 4%;
         /*padding-top: 4%;*/
         position: relative;
         clear: both;     
         text-align: center;
-			}
-          			
-			#bkukarte {
-				float:left;
-				text-align:center;
-				width:33%;
-                min-height: 90px;
-
-                padding-top: 2%;
-			}
-			
-			#bkuhandy {
-				float:left;
-				text-align:center;
-				width:33%;
-                min-height: 90px;
-
-                padding-top: 2%;
-			}
-            #bkueulogin {
-            float:left;
-            text-align:center;
-            width:33%;
-            min-height: 90px;
-            padding-top: 2%;
-         
-        }
-			
-            .bkuimage {
-            width: 55%;
-            height: auto;
-            margin-bottom: 10%;
-            }
-      
-			#mandate{
-				text-align:left;
-				padding : 5px 5px 5px 5px;
-			}
-      
-/*		input[type=button], .sendButton {
-				background: $BUTTON_BACKGROUNDCOLOR;
-        color: $BUTTON_COLOR;
-/*				border:1px solid #000;  */
-/*				cursor: pointer;
-/*        box-shadow: 3px 3px 3px #222222;  */
-/*			}
-			
-/*      button:hover, button:focus, button:active, 
-      .sendButton:hover , .sendButton:focus, .sendButton:active,
-      #mandateCheckBox:hover, #mandateCheckBox:focus, #mandateCheckBox:active {
-				background: $BUTTON_BACKGROUNDCOLOR_FOCUS;
-        color: $BUTTON_COLOR;
-/*				border:1px solid #000;                */
-/*				cursor: pointer;
-/*        box-shadow: -1px -1px 3px #222222;  */
-/*			}
-      
-*/      
-			input {
-				/*border:1px solid #000;*/
-				cursor: pointer;
-			}
-      
-      #localBKU input {
-/*        color: $BUTTON_COLOR;  */
-        /*border: 0px;*/
-        display: inline-block;
-        
-      }
-			
-      #localBKU input:hover, #localBKU input:focus, #localBKU input:active {
-        /*text-decoration: underline;*/
-      }
-      
-			#installJava, #BrowserNOK {
-				clear:both;
-				font-size:0.8em;
-				padding:4px;
-			}
-						
-			.selectText{
-			
-			}
-			
+    }
+    
+    #selectArea {
+        width:90%;
+        padding-left: 4%
+    }
 
-			.selectTextHeader{
-			
-			}
-			
-			.sendButton {
-        width: 30%;
-        margin-bottom: 1%;	
-			}
-			
-			#leftcontent a {
-				text-decoration:none; 
-				color: #000;
-			/*	display:block;*/
-				padding:4px;	
-			}
-			
-			#leftcontent a:hover, #leftcontent a:focus, #leftcontent a:active {
-				text-decoration:underline;
-				color: #000;	
-			}
-						
-			.infobutton {
-				background-color: #005a00;
-				color: white;
-				font-family: serif;
-				text-decoration: none;
-				padding-top: 2px;
-				padding-right: 4px;
-				padding-bottom: 2px;
-				padding-left: 4px;
-				font-weight: bold;
-			}
-			
-			.hell {
-				background-color : $MAIN_BACKGOUNDCOLOR;
+    .setAssertionButton {
+        background: #efefef;
+        cursor: pointer;
+        margin-top: 15px;
+        width: 70px;
+        height: 25px;
+    }
+    #leftcontent {
+        width: 70%;
+        margin-bottom: 4%;
+        text-align: left;
+        border: 1px solid rgb(0,0,0);
+        margin:auto;
+    }
+    .hell {
+        background-color : $MAIN_BACKGOUNDCOLOR;
         color: $MAIN_COLOR;	
-			}
+    }
 			
-			.dunkel {
-				background-color: $HEADER_BACKGROUNDCOLOR;
+    .dunkel {
+        background-color: $HEADER_BACKGROUNDCOLOR;
         color: $HEADER_COLOR;
-			}
-			      
-			.main_header {
-			   color: black;
-			    font-size: 32pt;
-			    position: absolute;
-			    right: 10%;
-			    top: 40px;
-				
-			}
-      
-      #ssoSessionTransferBlock {
-        font-size: 0.8em;
-        margin-left: 5px;
-        margin-bottom: 5px;
+    }
+
+
+@media screen and (min-width: 650px) {
+			        
+    #page {
+         width: 650px;
+         height: 460px;		    
+    }
+        
+    #localBKU p {
+        font-size: 0.7em;
+    } 
+        
+    #localBKU input{
+        font-size: 0.85em;
+        /*border-radius: 5px;*/
+    }
+
+    #bkuselectionarea input[type=button],#bkuselectionarea input[type=submit]{
+        font-size: 0.85em;
+        width:65%
+    }
+
+    #mandateLogin {
+        font-size: 0.85em;
+    }    
+
+    #alert_area {
+        width: 500px;
+        padding-left: 80px;
+    }
+
+      #selectArea {
+         font-size: 15px;
+         padding-bottom: 65px;
       }
-      #processInfoArea {
-        margin-bottom: 15px;
+			      	
+    #stork h2 {
+        font-size: 1.0em;
+        margin-bottom: 2%;
+    }
+        		  
+    .setAssertionButton_full {
+        background: #efefef;
+        cursor: pointer;
         margin-top: 15px;
-      }
-      #processSelectionArea {
-        width: 550px;
-        margin-left: 25px;
-        margin-top: 35px;
-      }
-      .processSelectionButtonArea {
-        float: none;
-        margin-bottom: 20px;
-        height: 35px;
-      }
-      .processSelectionButton {
-        background: #ababab;
-				cursor: pointer;
-        height: 30px;
-        width: 200px;
-        float: right;
-        border-style: solid;
-        border-bottom-width: 2px;
-        border-right-width: 2px;
-        border-left-width: 1px;
-        border-top-width: 1px;
-        border-color: #000000;
-      }
-      .buttonDescription {
-        float: left;
-        margin-left: 10px;
-        padding-top: 4px;
-        text-align: left;
-        width: 330px;
-      }
-      #processContent {
-        margin-top: 25px;
-      }
-      #eIDASButton {
-         /*color:#FFF;*/
-      }
-      #eIDASSelection {
-        width: 120px; 
-        margin-right: 5px;        
-      }
-      .unvisible {
+        width: 100px;
+        height: 30px
+    }
+             
+        
+    #validation {
+        position: absolute;
+        bottom: 0px;
+        margin-left: 270px;
+        padding-bottom: 10px;
+    }			
+}
+
+
+
+@media screen and (max-width: 649px) {
+				
+    body {
+        background-color:#fff;
+    }
+                	  
+    #page {
+        visibility: hidden;
+        margin-top: 0%;
+    }
+			  
+    #page1 {
+        visibility: hidden;
+    }
+			  
+    #main {
+        visibility: hidden;
+    }
+        
+    #validation {
+        visibility: hidden;
         display: none;
-      }
\ No newline at end of file
+    }
+			  
+    .OA_header {
+        margin-bottom: 0%;
+        margin-top: 0%;
+        font-size: 0pt;
+        visibility: hidden;
+    }
+			  
+    #alert_area {
+        visibility: visible;
+        width: 250px;
+    }
+    
+    #alert_area > p:first-child {
+        display: none;
+        visibility: hidden;
+    }
+
+        
+    h2#tabheader{
+        font-size: 1.5em;
+        position: relative;
+    }
+    .mandate{
+        font-size: 1.0em;
+    }
+        
+    #leftcontent {
+        float: left;
+        width:auto;
+        border:none;
+        visibility:visible;
+        margin-bottom: 2%;
+    }
+    .bkuimage {
+        width: 40%;
+    }
+    
+    #bkukarte {
+        box-sizing: border-box;
+    }
+
+    #bkuhandy {
+        box-sizing: border-box;
+    }
+
+    #bkueulogin {
+        box-sizing: border-box;
+    }
+		        
+    .setAssertionButton_full {
+        background: #efefef;
+        cursor: pointer;
+        margin-top: 15px;
+        width: 70px;
+        height: 25px;
+    }
+       
+    input[type=button],input[type=submit] {
+        width:65%;
+    }
+}      
\ No newline at end of file
diff --git a/id/server/moa-id-frontend-resources/src/main/resources/templates/javascript_tempalte.js b/id/server/moa-id-frontend-resources/src/main/resources/templates/javascript_tempalte.js
index 313f14b4a..15b82614c 100644
--- a/id/server/moa-id-frontend-resources/src/main/resources/templates/javascript_tempalte.js
+++ b/id/server/moa-id-frontend-resources/src/main/resources/templates/javascript_tempalte.js
@@ -84,9 +84,9 @@ function isIE() {
 /* 			setSSOSelection(); */
 			
 			var ccc = "AT";
-			var countrySelection = document.getElementById("eIDASSelection");
+			var countrySelection = document.getElementById("cccSelection");
 			if (countrySelection !=  null) {
-				ccc = document.getElementById("eIDASSelection").value;
+				ccc = document.getElementById("cccSelection").value;
 			}
 			var iFrameURL = "$contextPath$submitEndpoint" + "?";			
 			iFrameURL += "&pendingid=" + "$pendingReqID";
@@ -238,7 +238,22 @@ function isIE() {
     }
     function setUseMandateFlag(e) {
       /*document.getElementById("mandateCheckBox").setAttribute("aria-checked", document.getElementById("mandateCheckBox").checked);*/
-      e.setAttribute("aria-checked", e.checked);
+      e.target.setAttribute("aria-checked", e.target.checked);
+      if (e.target.checked) {
+        var image = document.getElementById("eIDASImage");
+        var srcatt = image.getAttribute("src");
+        var last = srcatt.substring(srcatt.lastIndexOf('/')+1);
+        srcatt = srcatt.replace(last,'eIDAS_small_deactivated.png');    
+        image.setAttribute("src",srcatt);
+        document.getElementById("buttonEULogin").disabled=true;
+      } else {
+          var image = document.getElementById("eIDASImage");
+          var srcatt = image.getAttribute("src");
+          var last = srcatt.substring(srcatt.lastIndexOf('/')+1);
+          srcatt = srcatt.replace(last,'eIDAS_small.png');    
+          image.setAttribute("src",srcatt);
+          document.getElementById("buttonEULogin").disabled=false      
+      }            
     }
     
     document.addEventListener('resize', onChangeChecks);
@@ -246,7 +261,7 @@ function isIE() {
       document.querySelector('#mandateCheckBox').addEventListener('click', setUseMandateFlag);
       document.querySelector('#moaidform>input[type=submit]').addEventListener('click', setMandateSelection);
       document.querySelector('#bkuhandy>input[type=button]').addEventListener('click', bkuHandyClicked);
-      document.querySelector('#stork button[type=button]').addEventListener('click', storkClicked);
+      document.querySelector('#moaideIDASform>input[type=submit]').addEventListener('click', setMandateSelection);
       onChangeChecks(); 
     });
     
diff --git a/id/server/moa-id-frontend-resources/src/main/resources/templates/loginFormFull.html b/id/server/moa-id-frontend-resources/src/main/resources/templates/loginFormFull.html
index 1a78ffd1a..4e548e58c 100644
--- a/id/server/moa-id-frontend-resources/src/main/resources/templates/loginFormFull.html
+++ b/id/server/moa-id-frontend-resources/src/main/resources/templates/loginFormFull.html
@@ -4,10 +4,10 @@
 <meta content="text/html; charset=utf-8" http-equiv="Content-Type">
 
    <!-- MOA-ID 2.x BKUSelection Layout CSS -->               
-   <link rel="stylesheet" href="/css_template.css"/>
+   <link rel="stylesheet" href="$contextPath/css/buildCSS?pendingid=$pendingReqID"/>
    
    <!-- MOA-ID 2.x BKUSelection JavaScript fucnctions-->
-   <script src="/javascript_tempalte.js"></script>
+   <script src="$contextPath/js/buildJS?pendingid=$pendingReqID"></script>
    
 
 <title>Anmeldung mittels Bürgerkarte oder Handy-Signatur</title>
@@ -37,41 +37,40 @@
 						</div>
 						<div id="bkuselectionarea">
 							<div id="bkukarte">
-								<img id="bkuimage" class="bkuimage" src="/img/karte.png" alt="OnlineBKU"/> 
+								<img id="bkuimage" class="bkuimage" src="$contextPath/img/karte.png" alt="OnlineBKU"/> 
                 
-                <!-- Remove support for Online BKU and swith the card button to local BKU-->
-                <!--input name="bkuButtonOnline" type="button" onClick="bkuOnlineClicked();" tabindex="2" role="button" value="Karte" /-->                
+                  <!-- Remove support for Online BKU and swith the card button to local BKU-->
+                  <!--input name="bkuButtonOnline" type="button" onClick="bkuOnlineClicked();" tabindex="2" role="button" value="Karte" /-->                
                 
-                                <form method="get" id="moaidform" action="$contextPath$submitEndpoint" class="verticalcenter" target="_parent">
-								  <input type="hidden" name="bkuURI" value="$bkuLocal" />
-								  <input type="hidden" name="useMandate" id="useMandate" /> 
-								  <input type="hidden" name="SSO" id="useSSO" /> 
-								  <input type="hidden" name="ccc" id="ccc" /> 
-								  <input type="hidden" name="pendingid" value="$pendingReqID" /> 
-                                    <input type="submit" value=" Karte " tabindex="5" role="button">
-                                </form>
+                  <form method="get" id="moaidform" action="$contextPath$submitEndpoint" class="verticalcenter" target="_parent">
+								    <input type="hidden" name="bkuURI" value="$bkuLocal" />
+								    <input type="hidden" name="useMandate" id="useMandate" /> 
+								    <input type="hidden" name="SSO" id="useSSO" /> 
+								    <input type="hidden" name="ccc" id="ccc" /> 
+								    <input type="hidden" name="pendingid" value="$pendingReqID" /> 
+                    <input type="submit" value=" Karte " tabindex="5" role="button" />
+                  </form>
                 
-                            <iframe name="bkudetect" width="0" height="0" scrolling="no" marginheight="0" marginwidth="0" frameborder="0" src="$contextPath/feature/bkuDetection?pendingid=$pendingReqID"></iframe>
+                  <iframe name="bkudetect" width="0" height="0" scrolling="no" marginheight="0" marginwidth="0" frameborder="0" src="$contextPath/feature/bkuDetection?pendingid=$pendingReqID"></iframe>
                 
-                                <!-- BKU detection with static template-->
-                                <!--iframe name="bkudetect" width="0" height="0" scrolling="no" marginheight="0" marginwidth="0" frameborder="0" src="$contextPath/iframeLBKUdetect.html"></iframe-->
-                                                            
+                  <!-- BKU detection with static template-->
+                  <!--iframe name="bkudetect" width="0" height="0" scrolling="no" marginheight="0" marginwidth="0" frameborder="0" src="$contextPath/iframeLBKUdetect.html"></iframe-->                                                            
 				        </div>
                             
 				        <div id="bkuhandy">
-				            <img class="bkuimage" src="/img/handysign.png" alt="HandyBKU" />         
+				            <img class="bkuimage" src="$contextPath/img/handysign.png" alt="HandyBKU" />         
                             <input name="bkuButtonHandy" type="button" tabindex="3" role="button" value="HANDY" />
 				        </div>
                 
             
-				        <div id="bkueulogin">
-				            <img class="bkuimage" src="/img/eIDAS_small.png" alt="EULogin" />                                                        
-                              <form method="get" id="moaidform" action="$contextPath$submitEndpoint" class="verticalcenter" target="_parent">
-								  <input type="hidden" name="useeIDAS" value="true" />
-								  <input type="hidden" name="useMandate" id="useMandate" />  
-								  <input type="hidden" name="pendingid" value="$pendingReqID" /> 
-                                  <input name="bkuButtonEULogin" onclick="setMandateSelection();" type="button" role="button" value="EULogin" />
-                                </form>
+				        <div id="bkueulogin" class="$eIDASVisible">
+				            <img id="eIDASImage" class="bkuimage" src="$contextPath/img/eIDAS_small.png" alt="EULogin" />                                                        
+                    <form method="get" id="moaideIDASform" action="$contextPath$submitEndpoint" class="verticalcenter" target="_parent">
+								      <input type="hidden" name="useeIDAS" value="true" />
+								      <input type="hidden" name="useMandate" id="useMandate" />  
+								      <input type="hidden" name="pendingid" value="$pendingReqID" /> 
+                      <input id="buttonEULogin" name="bkuButtonEULogin" type="submit" role="button" value="EULogin" />
+                    </form>
 				        </div>
 						<!--div id="localBKU">
 							<form method="get" id="moaidform" action="$contextPath$submitEndpoint"
-- 
cgit v1.2.3