From 5d7f7f3b6fc2fb8f8f72f359b0adb738e851d631 Mon Sep 17 00:00:00 2001
From: Thomas Lenz <tlenz@iaik.tugraz.at>
Date: Mon, 16 Jul 2018 13:12:39 +0200
Subject: update handbook, readme, history, example configuration, ...

---
 id/server/doc/handbook/config/config.html | 233 +++++++++++++++++++++++++-----
 1 file changed, 193 insertions(+), 40 deletions(-)

(limited to 'id/server/doc/handbook')
diff --git a/id/server/doc/handbook/config/config.html b/id/server/doc/handbook/config/config.html
index 26925709e..ea9eab017 100644
--- a/id/server/doc/handbook/config/config.html
+++ b/id/server/doc/handbook/config/config.html
@@ -76,7 +76,9 @@
   </ol>
     </li>
   <li>  <a href="#basisconfig_moa_id_auth_param_testing">Testing</a></li>
+  <li><a href="#basisconfig_moa_id_auth_sl20">Security Layer für mobile Authententifizierung</a></li>
   <li><a href="#basisconfig_moa_id_auth_szrclient">SZR Client f&uuml;r STORK &lt;-&gt; PVP Gateway Betrieb</a></li>
+  <li><a href="#basisconfig_moa_id_auth_others">Weitere optionale Konfigurationsparameter</a></li>
 </ol>
 </li>
           </ol>
@@ -118,6 +120,7 @@
               </ol>
             </li>
             <li><a href="#konfigurationsparameter_oa_bku">BKU Konfiguration</a></li>
+            <li><a href="#konfigurationsparameter_oa_sl20">Security Layer für mobile Authententifizierung</a></li>
             <li><a href="#konfigurationsparameter_oa_testcredentials">Test Credentials</a></li>
             <li><a href="#konfigurationsparameter_oa_mandates">Vollmachten</a></li>
             <li><a href="#konfigurationsparameter_oa_szr-gw-service">Zentraler eIDAS Connector</a></li>
@@ -451,32 +454,7 @@ UNIX: moa.id.configuration=file:C:/Programme/apache/tomcat-8.x.x/conf/moa-id/moa
 https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/MonitoringServlet</pre>
 <p>Nach einem erfolgreichen Testdurchlauf Antwortet das Monitoring mit einen http Statuscode 200 und der oben definierten Statusmeldung aus dem Parameter <em>configuration.monitoring.message.success</em>. Im Falle eines Fehlers antwortet das Monitoring mit einem http Statuscode 500 und die Statusmeldung enth&auml;lt eine Beschreibung des aufgetretenen Fehlers.</p>
 <h5><a name="basisconfig_moa_id_auth_param_services" id="uebersicht_bekanntmachung5"></a>2.2.2.2 Externe Services</h5>
-<p>F&uuml;r den Aufbau von Verbindungen zu anderen Komponenten werden in manchen F&auml;llen spezielle Client-Zertifikate oder Sicherheitseinstellungen ben&ouml;tigt. In diesem Abschnitt erfolgt die Konfiguration der f&uuml;r den Verbindungsaufbau ben&ouml;tigten Parameter. Die Konfiguration der URL zum jeweiligen Service wird jedoch &uuml;ber die Web-Oberfl&auml;che des Modules MOA-ID-Configuration vorgenommen (siehe <a href="#konfigurationsparameter_allgemein_services">Kapitel 3.1.7</a>).</p>
-<h6><a name="basisconfig_moa_id_auth_param_services_moasp" id="uebersicht_bekanntmachung6"></a>2.2.2.2.1 MOA-SP</h6>
-<p>Wird MOA-SP &uuml;ber ein Web-Service, welches Client Authentifizierung voraussetzt, angesprochen m&uuml;ssen in diesem Abschnitt die erforderlichen Schl&uuml;ssel hinterlegt werden.</p>
-<table class="configtable">
-  <tr>
-    <th>Name</th>
-    <th>Beispielwert</th>
-    <th>Beschreibung</th>
-  </tr>
-  <tr>
-    <td>service.moasp.clientKeyStore</td>
-    <td>keys/moa_sp.p12</td>
-    <td>Dateiname des PKCS#12 Keystores, relativ zur MOA-ID Konfigurationsdatei.                Diesem Keystore wird der private Schl&uuml;ssel f&uuml;r                die TLS-Client-Authentisierung entnommen.</td>
-  </tr>
-  <tr>
-    <td>service.moasp.clientKeyStorePassword</td>
-    <td>pass1234</td>
-    <td>Passwort zum Keystore</td>
-  </tr>
-  <tr>
-    <td>service.moasp.acceptedServerCertificates</td>
-    <td>certs/moa-sp-server/</td>
-    <td>Hier kann ein Verzeichnisname              (relativ zur MOA-ID Konfigurationsdatei) angegeben werden, in dem              die akzeptierten Zertifikate der TLS-Verbindung hinterlegt sind. In              diesem Verzeichnis werden nur Serverzertifikate abgelegt. Fehlt dieser              Parameter wird lediglich &uuml;berpr&uuml;ft ob ein Zertifikatspfad              zu den im Element &lt;TrustedCACertificates&gt; (siehe <a href="#konfigurationsparameter_allgemein_certvalidation">Kapitel 3.1.4</a>) angegebenen              Zertifikaten erstellt werden kann.</td>
-  </tr>
-</table>
-<p>&nbsp;</p>
+<p>F&uuml;r den Aufbau von Verbindungen zu anderen Komponenten werden in manchen F&auml;llen spezielle Client-Zertifikate oder Sicherheitseinstellungen ben&ouml;tigt. In diesem Abschnitt erfolgt die Konfiguration der f&uuml;r den Verbindungsaufbau ben&ouml;tigten Parameter. Die Konfiguration der URL zum jeweiligen Service wird jedoch &uuml;ber die Web-Oberfl&auml;che des Modules MOA-ID-Configuration vorgenommen (siehe <a href="#konfigurationsparameter_allgemein_services">Kapitel 3.1.7</a>)</p>
 <h6><a name="basisconfig_moa_id_auth_param_services_mandates" id="uebersicht_bekanntmachung7"></a>2.2.2.2.2 Online-Vollmachen</h6>
 <p>MOA-ID-Auth bietet die M&ouml;glichkeit der Nutzung von Online-Vollmachten f&uuml;r Anwendungen aus   dem &ouml;ffentlichen Bereich. Hierf&uuml;r ist ein Online-Vollmachten-Service   n&ouml;tig, wobei die Zugangsdaten zum Online-Vollmachten-Service konfiguriert werden m&uuml;ssen.   Der Zugang zum   Online-Vollmachten-Service ein   Client-Zertifikat f&uuml;r die SSL-Verbindung zum Service.   Voraussetzung daf&uuml;r ist ein Zertifikat von A-Trust bzw. A-CERT mit   Verwaltungseigenschaft oder Dienstleistereigenschaft. Wenn ihr MOA-ID-Auth   Zertifikat diese Voraussetzung erf&uuml;llt, k&ouml;nnen Sie dieses hier angeben. </p>
 <table class="configtable">
@@ -650,6 +628,21 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/MonitoringServlet</pre>
 <p>&nbsp;</p>
   <h5><a name="basisconfig_moa_id_auth_param_database" id="uebersicht_bekanntmachung3"></a>2.2.2.4 Datenbank  </h5>
 <p>Das Modul MOA-ID-Auth ben&ouml;tigt f&uuml;r den Betrieb zwei (optional drei) separate Datenbank Schema, welche in der Basiskonfiguration konfiguriert werden. F&uuml;r Beispielkonfiguration wurde mySQL als Datenbank verwendet wodurch sich die Konfigurationsparameter auf mySQL beziehen. Das Modul MOA-ID-Auth kann jedoch auch mit Datenbanken anderer Hersteller oder einer InMemory Datenbank betrieben werden. Hierf&uuml;r wird jedoch auf die <a href="http://docs.jboss.org/hibernate/core/4.2/manual/en-US/html/">Hibernate Dokumention</a> verwiesen. </p>
+<table class="configtable">
+  <tr>
+    <th width="21%">Name</th>
+    <th width="11%">Beispielwert</th>
+    <th width="68%">Beschreibung</th>
+  </tr>
+  <tr>
+    <td>configuration.database.byteBasedValues</td>
+    <td><p>true / false</p></td>
+    <td><p>Definiert ob Konfigurationswerte als Text oder als Bytes in der Datenbank abgelegt werden. <br>
+        <strong>Hinweis:</strong> Testbasierte Speicherung kann bei manchen Datenbanksystemen zur problemen f&uuml;hren (z.B. postgreSQL)</p>
+      <p><strong>Defaultwert:</strong> false</p></td>
+  </tr>
+</table>
+<p>&nbsp;</p>
 <h6><a name="basisconfig_moa_id_auth_param_database_conf" id="uebersicht_bekanntmachung12"></a>2.2.2.4.1 Konfiguration</h6>
 <p>Alle Parameter aus der Basiskonfiguration welche als Prefix <em>configuration.hibernate</em>. im Parameternamen aufweisen konfigurieren den Zugriff auf das Datenbank Schema welches die Konfiguration von MOA-ID-Auth beinhaltet. Eine Konfiguration dieser Parameter ist nicht optional.</p>
 <table class="configtable">
@@ -821,7 +814,97 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/MonitoringServlet</pre>
       <p><strong>Defaultwert:</strong> true</p></td>
     </tr>
   </table>
-  <h5><a name="basisconfig_moa_id_auth_szrclient" id="uebersicht_bekanntmachung16"></a>2.2.2.6 SZR Client f&uuml;r STORK &lt;-&gt; PVP Gateway Betrieb</h5>
+  <h5><a name="basisconfig_moa_id_auth_sl20" id="uebersicht_bekanntmachung17"></a>2.2.2.6 Security Layer f&uuml;r mobile Authententifizierung</h5>
+<p>Diese Parameter dienen zur Konfiguration der neuen Authentifizierungsschnittstelle via Security-Layer 2.0</p>
+  <table class="configtable">
+    <tr>
+      <th width="23%">Name</th>
+      <th width="15%">Beispielwert</th>
+      <th width="62%">Beschreibung</th>
+    </tr>
+    <tr>
+      <td>modules.sl20.vda.urls.qualeID.endpoint.default</td>
+      <td>https://www.handy-signatur.at/securitylayer2</td>
+      <td>Defaultendpunkt f&uuml;r die Anbindung an einen VDA mittels Security-Layer 2.0</td>
+    </tr>
+    <tr>
+      <td>modules.sl20.vda.urls.qualeID.endpoint.x</td>
+      <td>&nbsp;</td>
+      <td>&Uuml;ber diese Parameter k&ouml;nnen weitere Endpunkte konfiguriert werden, wobei das 'x' im Namen durch einen Identifier ersetzt werden muss (z.B.: modules.sl20.vda.urls.qualeID.endpoint.1=https://test1.a-trust.at/securitylayer2) Die Auwahl des Endpunkts erfolgt via http Header im Request an MOA-ID, wobei der Headername '<em>X-MOA-VDA</em>' lautet und der Headerwert dem Identifier (z.B. '<em>1</em>') entsprechen muss. <br>
+        <strong>Hinweis:</strong> Hiebei handelt es sich prim&auml;r um eine Funktion zu Testzwecken im aktuellen Beta-Status</td>
+    </tr>
+    <tr>
+      <td>modules.sl20.security.keystore.path</td>
+      <td>keys/sl20.jks</td>
+      <td>Dateiname des Java Keystore welcher die Schl&uuml;ssel zum Signieren und Verschl&uuml;sseln von Security-Layer 2.0 Nachrichten beinhaltet. Des weiteren dient dieser KeyStore als TrustStore zur Validierung von signierten Security-Layer 2.0 Nachrichten. Somit m&uuml;ssen Signaturzertifikate von SL2.0 Teilnehmern in diesem TrustStore hinterlegt sein.</td>
+    </tr>
+    <tr>
+      <td>modules.sl20.security.keystore.password</td>
+      <td>password</td>
+      <td>Passwort zum Keystore</td>
+    </tr>
+    <tr>
+      <td>modules.sl20.security.sign.alias</td>
+      <td>signing</td>
+      <td>Name des Schl&uuml;ssels der zur Signierung von SL2.0 Nachrichten</td>
+    </tr>
+    <tr>
+      <td>modules.sl20.security.sign.password</td>
+      <td>&nbsp;</td>
+      <td>Passwort des Schl&uuml;ssels zur Signierung von SL2.0 Nachrichten</td>
+    </tr>
+    <tr>
+      <td>modules.sl20.security.encryption.alias</td>
+      <td>encryption</td>
+      <td>Name des Schl&uuml;ssels zur Verschl&uuml;sselung von SL2.0 Nachrichten</td>
+    </tr>
+    <tr>
+      <td>modules.sl20.security.encryption.password</td>
+      <td>&nbsp;</td>
+      <td>Passwort des Schl&uuml;ssels zur Verschl&uuml;sselung von SL2.0 Nachrichten</td>
+    </tr>
+    <tr>
+      <td>modules.sl20.vda.authblock.id</td>
+      <td>default</td>
+      <td><p>Identifier f&uuml;r den AuthBlock, welcher der Benutzer im Authentifizierungsprozess unterschreiben muss</p>
+      <p><strong>Default:</strong> default</p></td>
+    </tr>
+    <tr>
+      <td>modules.sl20.vda.authblock.transformation.id</td>
+      <td>SL20Authblock_v1.0,<br>
+      SL20Authblock_v1.0_SIC</td>
+      <td><p>Identifier der erlaubten AuthBlock-Transformationen als CSV f&uuml;r die visuelle Darstellung des AuthBlocks</p>
+      <p><strong>Default:</strong> SL20Authblock_v1.0,SL20Authblock_v1.0_SIC</p></td>
+    </tr>
+    <tr>
+      <td>modules.sl20.security.eID.validation.disable</td>
+      <td>true / false</td>
+      <td><p>Deaktivierung der eID Daten validierung.</p>
+      <p><strong>Default:</strong> false</p></td>
+    </tr>
+    <tr>
+      <td>modules.sl20.security.eID.signed.result.required</td>
+      <td>true / false</td>
+      <td><p>Aktivierung von verpflichtend signierten Kommandos</p>
+      <p><strong>Default:</strong> true</p></td>
+    </tr>
+    <tr>
+      <td>modules.sl20.security.eID.encryption.enabled</td>
+      <td>true / false</td>
+      <td><p>Aktivierung von Verschl&uuml;sselung, wodurch signierte Kommandos Schl&uuml;sselmaterial zur Verschl&uuml;sselung beinhalten.</p>
+      <p><strong>Default:</strong>true</p></td>
+    </tr>
+    <tr>
+      <td>modules.sl20.security.eID.encryption.required</td>
+      <td>true / false</td>
+      <td><p>Aktivierung von verpflichtender Verschl&uuml;sselung. eID Daten m&uuml;ssen durch den VDA verschl&uuml;sselt &uuml;bertragen werden.</p>
+      <p><strong>Default:</strong>true</p></td>
+    </tr>
+  </table>
+  <p>&nbsp;</p>
+  <p>&nbsp;</p>
+  <p>&nbsp;</p>
+  <h5><a name="basisconfig_moa_id_auth_szrclient" id="uebersicht_bekanntmachung16"></a>2.2.2.7 SZR Client f&uuml;r STORK &lt;-&gt; PVP Gateway Betrieb</h5>
   <p>Die Konfiguration des Stammzahlenregister (SZR) Clients ist nur erforderlich wenn das Modul MOA-ID-Auth als STORK &lt;-&gt; PVP Gateway betrieben wird. Da in diesem Fall die Benutzerin oder der Benutzer &uuml;ber ein PVP Stammportal authentifiziert wird ist eine direkte Generierung der STORK eID w&auml;hrend des Anmeldevorgangs nicht m&ouml;glich. Somit erfolgt f&uuml;r diese Personen einen Stammzahlenregisterabfrage zur Bestimmung der STORK eID.</p>
   <p>F&uuml;r den in MOA-ID-Auth verwendeten SZR Client sind folgende Konfigurationsparameter erforderlich.</p>
   <table class="configtable">
@@ -945,7 +1028,47 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/MonitoringServlet</pre>
   </table>
   <p>&nbsp;</p>
   <p><strong>Hinweis:</strong> Detaillierte Informationen zu den einzelnen PVP spezifischen Konfigurationsparametern finden Sie in der entsprechenden PVP Spezifikation.</p>
-<h3><a name="uebersicht_logging" id="uebersicht_logging"></a>2.3 Konfiguration des Loggings</h3>
+  <h5><a name="basisconfig_moa_id_auth_others" id="uebersicht_bekanntmachung18"></a>2.2.2.8 Weitere optionale Konfigurationsparameter</h5>
+  <p>Hierbei handelt es sich um weitere optionale Parameter.</p>
+  <table class="configtable">
+    <tr>
+      <th width="26%">Name</th>
+      <th width="18%">Beispielwert</th>
+      <th width="56%">Beschreibung</th>
+    </tr>
+    <tr>
+      <td>configuration.restrictions.sp.entityIds</td>
+      <td><p>https://demo.egiz.gv.at/demologin/</p></td>
+      <td><p>Liste von eindeutigen Online-Applikationsidentifikatioren als  Comma Separatet Values (CSV) f&uuml;r welche die Einschr&auml;nkung auf bestimmte Benutzer aktiviert werden soll. F&uuml;r alle OAs in dieser Liste ist eine Anmeldung nur dann m&ouml;glich wenn die bPK des Benutzers in der Whitelist eingetragen ist.</p>
+        <p>&nbsp;</p></td>
+    </tr>
+    <tr>
+      <td>configuration.restrictions.sp.users.url</td>
+      <td>whitelist/users.csv</td>
+      <td><p>Whitelist von bPKs als  Comma Separatet Values (CSV) f&uuml;r welche eine Anmeldung erlaubt ist.</p>
+        <p>z.B.: ZP:xm1zT43arrfTRLnDsxYoFk3XwDU=,ZP:gr99V4hH5KLlarBCcCAbKJNMF18=</p></td>
+    </tr>
+    <tr>
+      <td>configuration.restrictions.sp.users.sector</td>
+      <td>urn:publicid:gv.at:cdid+ZP</td>
+      <td>bPK Berecih welcher in der Whitelist verwendet wird</td>
+    </tr>
+    <tr>
+      <td>configuration.foreignsectors.pubkey.xxxxTargetxxx</td>
+      <td>configuration.foreignsectors.pubkey.wbpk+FN+468924i=<br>
+        MIIDCzCCAfMCBFr9aB4wDQYJKoZI....</td>
+      <td><p>MOA-ID bietet die M&ouml;glichkeit verschl&uuml;sselte bPKs entsprechend der Berechnungsvorschrift f&uuml;r Fremd-bPKs zu generieren. Die hierf&uuml;r ben&ouml;tigen &ouml;ffentlichen Schl&uuml;ssel m&uuml;ssen als Base64 kodierte X509 Zertifikate je bPK / wbPK Bereich hinterlegt werden.<br>
+      Der bPK / wbPK Bereich muss als Teil des Konfigurationsschl&uuml;ssels (z.B. wbpk+FN+468924i, BMI+T1, ...) angegeben werden.</p>
+        <ul>
+          <li>F&uuml;r &ouml;ffentliche Bereiche: VKZ+Target (VKZ ... Verfahrenskennzeichen)</li>
+          <li>F&uuml;r private Bereiche: wbpk+Stammzahl der juristischen Person (z.B. FN+468924i)</li>
+        </ul>
+        <p>          <br>
+      </p></td>
+    </tr>
+  </table>
+  <p>&nbsp;</p>
+  <h3><a name="uebersicht_logging" id="uebersicht_logging"></a>2.3 Konfiguration des Loggings</h3>
   <p>Die Module MOA-ID-Auth und MOA-ID-Configuration verwendet als Framework f&uuml;r Logging-Information die Open Source Software <code>log4j</code>. Die Konfiguration der Logging-Information erfolgt  nicht direkt durch die einzelnen Module, sondern &uuml;ber eine eigene Konfigurationsdatei, die der <span class="term">Java Virtual Machine</span> durch eine <span class="term">System Property </span>  mitgeteilt wird. Der Name der <span class="term">System Property </span>  lautet <code>log4j.configuration</code>; als Wert der <span class="term">System Property </span>  ist eine URL anzugeben, die auf die <code>log4j</code>-Konfigurationsdatei verweist, z.B.  </p>
 <pre>log4j.configuration=file:/C:/Programme/apache/tomcat-8.x.x/conf/moa-id/log4j.properties</pre>
   <p>Zust&auml;tzlich wird f&uuml;r einige Basiskomponenten, welche &uuml;ber Drittherstellerbibliotheken inkludiert sind, LogBack als Logging Framework verwendet. Die LogBack Konfiguration wird ebenfalls &uuml;ber den System Property angegeben</p>
@@ -1484,7 +1607,37 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID  1.5.1 im Kontext der
     <td>&Uuml;ber diese Funktion k&ouml;nnen drei zus&auml;tzliche SecurtityLayer-Request Templates f&uuml;r diese Online-Applikation definiert werden. Diese hier definierten Templates dienen als zus&auml;tzliche WhiteList f&uuml;r Templates welche im &bdquo;StartAuthentication&ldquo; Request mit dem Parameter &bdquo;template&ldquo; &uuml;bergeben werden. Sollte im &bdquo;StartAuthentication&ldquo; Request der Parameter &bdquo;template&ldquo; fehlen, es wurde jedoch eine &bdquo;bkuURL&ldquo; &uuml;bergeben, dann wird f&uuml;r den Authentifizierungsvorgang das erste Template in dieser Liste verwendet. Detailinformationen zum <a href="./../protocol/protocol.html#allgemeines_legacy">Legacy Request</a> finden Sie im Kapitel Protokolle.</td>
   </tr>
 </table>
-<h4><a name="konfigurationsparameter_oa_testcredentials" id="uebersicht_zentraledatei_aktualisierung10"></a> 3.2.3 Test Identit&auml;ten</h4>
+<h4><a name="konfigurationsparameter_oa_sl20" id="uebersicht_zentraledatei_aktualisierung31"></a> 3.2.3 Security Layer f&uuml;r mobile Authententifizierung</h4>
+<p>Mit diesem Abschnitt kann der neue Security Layer f&uuml;r mobile Authentifzierung f&uuml;r diese Online Applikation aktiviert werden.<br>
+  Wird diese Schnittstelle aktiviert ist die Security-Layer 1.x Schnittstelle zur B&uuml;rgerkartenkommunikation deaktiviert und steht nicht mehr zur Verf&uuml;gung.</p>
+<table class="configtable">
+  <tr>
+    <th width="13%">Name</th>
+    <th width="27%">Beispielwert</th>
+    <th width="5%">Admin</th>
+    <th width="6%">Optional</th>
+    <th width="49%">Beschreibung</th>
+  </tr>
+  <tr>
+    <td><p><span id="wwlbl_loadOA_authOA_sl20Active">SL2.0 aktiviere</span>n</p></td>
+    <td>true / false</td>
+    <td align="center">X</td>
+    <td align="center">X</td>
+    <td>Aktiviert den neuen Security Layer f&uuml;r mobile Authentifizierung f&uuml;r diese Online Applikation</td>
+  </tr>
+  <tr>
+    <td><p><span id="wwlbl_loadOA_authOA_sl20EndPoints">VDA Endpunkt URLs:</span></p></td>
+    <td><p>default=https://www.handy-signatur.at/securitylayer2,</p>
+      <p>1=https://test1.a-trust.at/securitylayer2,</p>
+<p>2=https://hs-abnahme.a-trust.at/securitylayer2</p></td>
+    <td align="center">X</td>
+    <td align="center">X</td>
+    <td>Eine CSV Liste von VDA Endpunkten, welche f&uuml;r die Online Applikation verwendet werden k&ouml;nnen. Die Konfiguration erfolgt entsprechend den in <a href="#basisconfig_moa_id_auth_sl20">Kapitel 2.2.2.6</a> beschriebenen Regeln.<br>
+      Sind keine Parameter angegeben wird automatisch die Konfiguration aus <a href="#basisconfig_moa_id_auth_sl20">Kapitel 2.2.2.6</a> verwendet. </td>
+  </tr>
+</table>
+<p>&nbsp;</p>
+<h4><a name="konfigurationsparameter_oa_testcredentials" id="uebersicht_zentraledatei_aktualisierung10"></a> 3.2.4 Test Identit&auml;ten</h4>
 <p>In diesem Abschnitt k&ouml;nnen f&uuml;r diese Online-Applikation Testidentit&auml;ten erlaubt werden. Diese Testidentit&auml;ten k&ouml;nnen auch bei produktiven Instanzen freigeschalten werden, da die Unterschiedung zwischen Produkt- und Testidentit&auml;t anhand einer speziellen OID im Signaturzertifikat der Testidentit&auml;t getroffen wird. Folgende Konfigurationsparameter stehen hierf&uuml;r zur Verf&uuml;gung.</p>
 <table class="configtable">
   <tr>
@@ -1526,7 +1679,7 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID  1.5.1 im Kontext der
 </table>
 <p>&nbsp;</p>
 <p><strong>Hinweis:</strong> Diese Funktionalit&auml;t steht jedoch nur Testidentit&auml;ten welchen bereits mit einer Test OID im Signaturzertifikat ausgestattet sind zur Verf&uuml;gung.</p>
-<h4><a name="konfigurationsparameter_oa_mandates" id="uebersicht_zentraledatei_aktualisierung21"></a>3.2.4 Vollmachten</h4>
+<h4><a name="konfigurationsparameter_oa_mandates" id="uebersicht_zentraledatei_aktualisierung21"></a>3.2.5 Vollmachten</h4>
 <p>Dieser Abschnitt behandelt online-applikationsspezifische Einstellungen zur Anmeldung mittels Online-Vollmachen.</p>
 <table class="configtable">
   <tr>
@@ -1576,7 +1729,7 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID  1.5.1 im Kontext der
 </table>
 <p>&nbsp;</p>
 <p><strong>Hinweis:</strong> Werden f&uuml;r die Online-Applikation eigene Templates f&uuml;r die B&uuml;rgerkartenauswahl oder die zus&auml;tzliche Anmeldeabfrage im SSO Fall (siehe <a href="#konfigurationsparameter_oa_bku">Abschnitt 3.2.2</a>) verwendet, stehen alle Konfigurationsparameter die Einfluss auf die BKU-Auswahl haben nicht zur Verf&uuml;gung. Die Funktionalit&auml;t der entsprechenden Parameter hat jedoch weiterhin Einfluss auf den Anmeldevorgang.</p>
-<h4><a name="konfigurationsparameter_oa_szr-gw-service" id="uebersicht_zentraledatei_aktualisierung12"></a>3.2.5 Zentraler nationaler eIDAS Connector</h4>
+<h4><a name="konfigurationsparameter_oa_szr-gw-service" id="uebersicht_zentraledatei_aktualisierung12"></a>3.2.6 Zentraler nationaler eIDAS Connector</h4>
 <p>Dieser Abschnitt behandelt online-applikationsspezifische Einstellungen zum Ankn&uuml;pfung an den zentralen nationalen eIDAS Connector</p>
 <table class="configtable">
   <tr>
@@ -1596,7 +1749,7 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID  1.5.1 im Kontext der
   </tr>
 </table>
 <p>&nbsp;</p>
-<h4><a name="konfigurationsparameter_oa_sso" id="uebersicht_zentraledatei_aktualisierung22"></a>3.2.6 Single Sign-On (SSO)</h4>
+<h4><a name="konfigurationsparameter_oa_sso" id="uebersicht_zentraledatei_aktualisierung22"></a>3.2.7 Single Sign-On (SSO)</h4>
 <p>Dieser Abschnitt  behandelt online-applikationsspezifische Einstellungen zu Single Sign-On</p>
 <table class="configtable">
   <tr>
@@ -1623,7 +1776,7 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID  1.5.1 im Kontext der
     <p><strong>Hinweis:</strong> Diese Abfrage ist standardm&auml;&szlig;ig aktiviert und kann nur durch einen Benutzer mit der Role <em>admin</em> deaktiviert werden.</p></td>
   </tr>
 </table>
-<h4><a name="konfigurationsparameter_oa_stork" id="uebersicht_zentraledatei_aktualisierung23"></a>3.2.7 Authentifizierung mittels eIDAS</h4>
+<h4><a name="konfigurationsparameter_oa_stork" id="uebersicht_zentraledatei_aktualisierung23"></a>3.2.8 Authentifizierung mittels eIDAS</h4>
 <p>Dieser Abschnitt  behandelt Online-Applikationsspezifische Einstellungen zur Authentifizierung mittels eIDAS.</p>
 <table class="configtable">
   <tr>
@@ -1647,10 +1800,10 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID  1.5.1 im Kontext der
 </table>
 <p>&nbsp;</p>
 <p><strong>Hinweis:</strong> Werden f&uuml;r die Online-Applikation eigene Templates f&uuml;r die B&uuml;rgerkartenauswahl oder die zus&auml;tzliche Anmeldeabfrage im SSO Fall (siehe <a href="#konfigurationsparameter_oa_bku">Abschnitt 3.2.2</a>) verwendet, stehen alle Konfigurationsparameter die Einfluss auf die BKU-Auswahl haben nicht zur Verf&uuml;gung.</p>
-<h4><a name="konfigurationsparameter_oa_protocol" id="uebersicht_zentraledatei_aktualisierung24"></a>3.2.8 Authentifizierungsprotokolle</h4>
+<h4><a name="konfigurationsparameter_oa_protocol" id="uebersicht_zentraledatei_aktualisierung24"></a>3.2.9 Authentifizierungsprotokolle</h4>
 <p>Dieser Abschnitt  behandelt online-applikationsspezifische Einstellungen zu den von der Online-Applikation unterst&uuml;tzen Authentifizierungsprotokollen. Eine Verwendung aller zur Verf&uuml;gung stehender Authentifizierungsprotokolle durch die Online-Applikation ist ebenfalls m&ouml;glich. Hierf&uuml;r m&uuml;ssen nur alle ben&ouml;tigten Protokolle konfiguriert werden. N&auml;here Informationen zu den unterst&uuml;tzten Protokollen finden sie im Kapitel <a href="./../protocol/protocol.html">Protokolle</a>.</p>
 <p>Aus Gr&uuml;nden der &Uuml;bersichtlichkeit kann der Konfigurationsbereich f&uuml;r jeden Protokoll, in der Web-Oberfl&auml;che des Konfigurationstools, ein- oder ausgeblendet werden.</p>
-<h5><a name="konfigurationsparameter_oa_protocol_saml1" id="uebersicht_zentraledatei_aktualisierung25"></a>3.2.8.1 SAML1</h5>
+<h5><a name="konfigurationsparameter_oa_protocol_saml1" id="uebersicht_zentraledatei_aktualisierung25"></a>3.2.9.1 SAML1</h5>
 <p>F&uuml;r das Protokoll SAML1 stehen folgende Konfigurationsparameter zur Verf&uuml;gung.</p>
 <table class="configtable">
   <tr>
@@ -1705,7 +1858,7 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID  1.5.1 im Kontext der
 </table>
 <p>&nbsp;</p>
 <p><strong>Hinweis: </strong>Das Modul MOA-ID-Auth in der Version 2.0 unterst&uuml;tzt SAML1 nur mehr zur Abw&auml;rtskompatibilit&auml;t mit bereits bestehenden Online-Applikationen. Wir empfehlen den Umstieg auf ein anderes, von MOA-ID-Auth unterst&uuml;tztes, Authentifizierungsprotokoll. Aus diesem Grund steht die Konfiguration des SAML1 Protokolls nur mehr einer Benutzerin oder einem Benutzer mit der Role <em>admin</em> zur Verf&uuml;gung.</p>
-<h5><a name="konfigurationsparameter_oa_protocol_pvp21" id="uebersicht_zentraledatei_aktualisierung26"></a>3.2.8.2 PVP 2.1</h5>
+<h5><a name="konfigurationsparameter_oa_protocol_pvp21" id="uebersicht_zentraledatei_aktualisierung26"></a>3.2.9.2 PVP 2.1</h5>
 <p>In diesem Bereich erfolgt die applikationsspezifische Konfiguration f&uuml;r das Authentifizierungsprotokoll PVP 2.1.</p>
 <table class="configtable">
   <tr>
@@ -1746,7 +1899,7 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID  1.5.1 im Kontext der
     <td>Pfad zum online-applikationsspezifischen Template f&uuml;r SAML2 (PVP2 S-Profil) http POST-Binding. Relative Pfadangaben werden dabei relativ zum Verzeichnis, in dem sich die MOA-ID-Auth Basiskonfigurationsdatei befindet, interpretiert. Das Template kann ausschlie&szlig;lich aus dem Dateisystem geladen werden.</td>
   </tr>
 </table>
-<h5><a name="konfigurationsparameter_oa_protocol_openIDConnect" id="uebersicht_zentraledatei_aktualisierung27"></a>3.2.8.3 OpenID Connect</h5>
+<h5><a name="konfigurationsparameter_oa_protocol_openIDConnect" id="uebersicht_zentraledatei_aktualisierung27"></a>3.2.9.3 OpenID Connect</h5>
 <p>In diesem Bereich erfolgt die applikationsspezifische Konfiguration f&uuml;r OpenID Connect (OAuth 2.0). </p>
 <table class="configtable">
   <tr>
@@ -1778,7 +1931,7 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID  1.5.1 im Kontext der
     <td>OpenID Connect Redirect URL. Nach erfolgreicher  Authentifizierung wird die Benutzerin oder der Benutzer an diese URL zur&uuml;ckgeleitet.</td>
   </tr>
 </table>
-<h5><a name="konfigurationsparameter_oa_additional" id="uebersicht_zentraledatei_aktualisierung28"></a>3.2.9 Zus&auml;tzliche allgemeine Einstellungen</h5>
+<h5><a name="konfigurationsparameter_oa_additional" id="uebersicht_zentraledatei_aktualisierung28"></a>3.2.10 Zus&auml;tzliche allgemeine Einstellungen</h5>
 <p>In Abschnitt erm&ouml;glicht eine erweiterte online-applikationsspezifische Individualisierung des AuthBlocks und der B&uuml;rgerkartenauswahl. 
   Die Individualisierung des AuthBlocks steht jedoch dann zur Verf&uuml;gung wenn die dem Module MOA-ID-Auth beigelegte Security-Layer Transformation verwendet wird oder 
 wenn die individuelle Security-Layer Transformation den Formvorschriften  der Spezifikation entspricht.</p>
@@ -1836,7 +1989,7 @@ wenn die individuelle Security-Layer Transformation den Formvorschriften  der Sp
 </table>
 <h5>&nbsp;</h5>
 <h5>&nbsp;</h5>
-<h5><a name="konfigurationsparameter_oa_additional_formular" id="uebersicht_zentraledatei_aktualisierung29"></a>3.2.9.1 Login-Fenster Konfiguration</h5>
+<h5><a name="konfigurationsparameter_oa_additional_formular" id="uebersicht_zentraledatei_aktualisierung29"></a>3.2.10.1 Login-Fenster Konfiguration</h5>
 <p>Diese Konfigurationsparameter  bieten zus&auml;tzliche Einstellungen f&uuml;r eine Anpassung der B&uuml;rgerkartenauswahl welche von MOA-ID-Auth generiert wird.
 Zur besseren Handhabung werden die angegebenen Parameter direkt in einer Vorschau dargestellt.  
 Alle in diesem Abschnitt angegebenen Parameter sind Optional und werden bei Bedarf durch Standardwerte erg&auml;nzt. 
@@ -1925,7 +2078,7 @@ Alle in diesem Abschnitt angegebenen Parameter sind Optional und werden bei Beda
 <p>&nbsp;</p>
 <p><strong>Hinweis:</strong> Bei Verwendung einer online-applikationsspezifischen B&uuml;rgerkartenauswahl stehen alle Parameter die die B&uuml;rgerkartenauswahl betreffen nicht zur Verf&uuml;gung.</p>
 <p><strong>Hinweis:</strong> Bei Verwendung eines online-applikationsspezifischen Security-Layer-Request Templates stehen alle Parameter die das SL-Template betreffen nicht zur Verf&uuml;gung.</p>
-<h5><a name="service_revisionslogging" id="uebersicht_zentraledatei_aktualisierung11"></a>3.2.10 Revisionslogging</h5>
+<h5><a name="service_revisionslogging" id="uebersicht_zentraledatei_aktualisierung11"></a>3.2.11 Revisionslogging</h5>
 <p>Ab MOA-ID 3.x steht ein erweitertes speziell f&uuml;r Revisionsaufgaben abgestimmtest Logging zur Verf&uuml;gung. &Uuml;ber dieses Feld k&ouml;nnen die zu loggenden Events als CSV codierte Eventcodes konfiguriert werden. Werden keine Eventcodes konfiguriert wird eine in MOA-ID hinterlegte Defaultkonfiguration verwendet. Eine Liste aller m&ouml;glichen Eventcodes finden Sie <a href="../additional/additional.html#revisionslog">hier</a>.</p>
 <h3><a name="import_export" id="uebersicht_zentraledatei_aktualisierung4"></a>3.3 Import / Export</h3>
 <p>&Uuml;er diese Funktionalit&auml;t besteht die M&ouml;glichkeit eine bestehende MOA-ID 2.x.x
-- 
cgit v1.2.3


Name	Beispielwert	Beschreibung
service.moasp.clientKeyStore	keys/moa_sp.p12	Dateiname des PKCS#12 Keystores, relativ zur MOA-ID Konfigurationsdatei. Diesem Keystore wird der private Schlüssel für die TLS-Client-Authentisierung entnommen.
service.moasp.clientKeyStorePassword	pass1234	Passwort zum Keystore
service.moasp.acceptedServerCertificates	certs/moa-sp-server/	Hier kann ein Verzeichnisname (relativ zur MOA-ID Konfigurationsdatei) angegeben werden, in dem die akzeptierten Zertifikate der TLS-Verbindung hinterlegt sind. In diesem Verzeichnis werden nur Serverzertifikate abgelegt. Fehlt dieser Parameter wird lediglich überprüft ob ein Zertifikatspfad zu den im Element <TrustedCACertificates> (siehe Kapitel 3.1.4) angegebenen Zertifikaten erstellt werden kann.
Name	Beispielwert	Beschreibung
modules.sl20.vda.urls.qualeID.endpoint.default	https://www.handy-signatur.at/securitylayer2	Defaultendpunkt für die Anbindung an einen VDA mittels Security-Layer 2.0
modules.sl20.vda.urls.qualeID.endpoint.x		Über diese Parameter können weitere Endpunkte konfiguriert werden, wobei das 'x' im Namen durch einen Identifier ersetzt werden muss (z.B.: modules.sl20.vda.urls.qualeID.endpoint.1=https://test1.a-trust.at/securitylayer2) Die Auwahl des Endpunkts erfolgt via http Header im Request an MOA-ID, wobei der Headername 'X-MOA-VDA' lautet und der Headerwert dem Identifier (z.B. '1') entsprechen muss. + Hinweis: Hiebei handelt es sich primär um eine Funktion zu Testzwecken im aktuellen Beta-Status
modules.sl20.security.keystore.path	keys/sl20.jks	Dateiname des Java Keystore welcher die Schlüssel zum Signieren und Verschlüsseln von Security-Layer 2.0 Nachrichten beinhaltet. Des weiteren dient dieser KeyStore als TrustStore zur Validierung von signierten Security-Layer 2.0 Nachrichten. Somit müssen Signaturzertifikate von SL2.0 Teilnehmern in diesem TrustStore hinterlegt sein.
modules.sl20.security.keystore.password	password	Passwort zum Keystore
modules.sl20.security.sign.alias	signing	Name des Schlüssels der zur Signierung von SL2.0 Nachrichten
modules.sl20.security.sign.password		Passwort des Schlüssels zur Signierung von SL2.0 Nachrichten
modules.sl20.security.encryption.alias	encryption	Name des Schlüssels zur Verschlüsselung von SL2.0 Nachrichten
modules.sl20.security.encryption.password		Passwort des Schlüssels zur Verschlüsselung von SL2.0 Nachrichten
modules.sl20.vda.authblock.id	default	Identifier für den AuthBlock, welcher der Benutzer im Authentifizierungsprozess unterschreiben muss + Default: default
modules.sl20.vda.authblock.transformation.id	SL20Authblock_v1.0, + SL20Authblock_v1.0_SIC	Identifier der erlaubten AuthBlock-Transformationen als CSV für die visuelle Darstellung des AuthBlocks + Default: SL20Authblock_v1.0,SL20Authblock_v1.0_SIC
modules.sl20.security.eID.validation.disable	true / false	Deaktivierung der eID Daten validierung. + Default: false
modules.sl20.security.eID.signed.result.required	true / false	Aktivierung von verpflichtend signierten Kommandos + Default: true
modules.sl20.security.eID.encryption.enabled	true / false	Aktivierung von Verschlüsselung, wodurch signierte Kommandos Schlüsselmaterial zur Verschlüsselung beinhalten. + Default:true
modules.sl20.security.eID.encryption.required	true / false	Aktivierung von verpflichtender Verschlüsselung. eID Daten müssen durch den VDA verschlüsselt übertragen werden. + Default:true
Name	Beispielwert	Beschreibung
configuration.restrictions.sp.entityIds	https://demo.egiz.gv.at/demologin/	Liste von eindeutigen Online-Applikationsidentifikatioren als Comma Separatet Values (CSV) für welche die Einschränkung auf bestimmte Benutzer aktiviert werden soll. Für alle OAs in dieser Liste ist eine Anmeldung nur dann möglich wenn die bPK des Benutzers in der Whitelist eingetragen ist. +
configuration.restrictions.sp.users.url	whitelist/users.csv	Whitelist von bPKs als Comma Separatet Values (CSV) für welche eine Anmeldung erlaubt ist. + z.B.: ZP:xm1zT43arrfTRLnDsxYoFk3XwDU=,ZP:gr99V4hH5KLlarBCcCAbKJNMF18=
configuration.restrictions.sp.users.sector	urn:publicid:gv.at:cdid+ZP	bPK Berecih welcher in der Whitelist verwendet wird
configuration.foreignsectors.pubkey.xxxxTargetxxx	configuration.foreignsectors.pubkey.wbpk+FN+468924i= + MIIDCzCCAfMCBFr9aB4wDQYJKoZI....	MOA-ID bietet die Möglichkeit verschlüsselte bPKs entsprechend der Berechnungsvorschrift für Fremd-bPKs zu generieren. Die hierfür benötigen öffentlichen Schlüssel müssen als Base64 kodierte X509 Zertifikate je bPK / wbPK Bereich hinterlegt werden. + Der bPK / wbPK Bereich muss als Teil des Konfigurationsschlüssels (z.B. wbpk+FN+468924i, BMI+T1, ...) angegeben werden. + + Für öffentliche Bereiche: VKZ+Target (VKZ ... Verfahrenskennzeichen) + Für private Bereiche: wbpk+Stammzahl der juristischen Person (z.B. FN+468924i) + + +