From 43e57a42832ea8b4ceb0317f3c9028a4174ffa7b Mon Sep 17 00:00:00 2001 From: mcentner Date: Wed, 8 Aug 2007 07:25:32 +0000 Subject: Adapted project directory structure to suit the new maven based build process. git-svn-id: https://joinup.ec.europa.eu/svn/moa-idspss/trunk@909 d688527b-c9ab-4aba-bd8d-4036d912da1d --- id/server/doc/moa_id/id-admin_2.htm | 1417 +++++++++++++++++++++++++++++++++++ 1 file changed, 1417 insertions(+) create mode 100644 id/server/doc/moa_id/id-admin_2.htm (limited to 'id/server/doc/moa_id/id-admin_2.htm') diff --git a/id/server/doc/moa_id/id-admin_2.htm b/id/server/doc/moa_id/id-admin_2.htm new file mode 100644 index 000000000..aa7809425 --- /dev/null +++ b/id/server/doc/moa_id/id-admin_2.htm @@ -0,0 +1,1417 @@ + + + MOA ID-Administration + + + + + + + + + +

+ + +

+ Module für Online-Applikationen +

+ +

+Projekt moa +

+
+ + + + + + + +

MOA-ID

+ übersicht

+ Basis-Installation

+ Konfiguration

+ Optionale
Komponenten

+
+

+ Zurück

+

+

+Konfiguration
von MOA-ID +

+Konfigurationsdatei +

+Parameter-übersicht
+ConnectionParameter
+AuthComponent
+  BKUSelection
+  SecurityLayer
+  MOA-SP
+  IdentityLinkSigners
+  VerifyInfoboxes
+ProxyComponent
+OnlineApplication
+  AuthComponent
+  ProxyComponent
+ChainingModes
+TrustedCACertificates
+GenericConfiguration
+
+Konfiguration
der Online-Applikation
+
+Parameter-übersicht
+LoginType
+ParamAuth
+  ParamAuth/Parameter
+BasicAuth
+HeaderAuth
+  HeaderAuth/Header
+
+Konfiguration
von MOA-SP
+
+VerifyTransformsInfoProfile
+TrustProfile
+Certstore
+
+änderung der Konfig.
während des Betriebs
+ +
+

+ +

Konfiguration von MOA ID v.1.4

Die Konfiguration von MOA ID wird mittels einer XML-basierten + Konfigurationsdatei, die dem Schema + MOA-ID-Configuration-1.4.xsd + entspricht, durchgeführt. +

Der Ort der Konfigurationsdatei wird im Abschnitt Deployment + der Web-Applikation in Tomcat beschrieben. +

Die folgenden Abschnitte erläutern das Format der Konfigurationsdatei. + MOA-ID-Configuration.xml + zeigt ein Beispiel für eine umfassende Konfigurationsdatei.

Enthält die Konfigurationsdatei relative Pfadangaben, werden + diese relativ zum Verzeichnis, in dem sich die MOA-ID Konfigurationsdatei + befindet, interpretiert.
+

ConnectionParameter
+ Das Element ConnectionParameter enthält Parameter, + die MOA-ID für den Aufbau von Verbindungen zu anderen Komponenten + benötigt. Dieses Element tritt mehrfach in der Konfigurationsdatei + auf und wird daher vorab detailliert beschrieben.
+
+ Das Attribut URL enthält die URL der Komponente zu + der die Verbindung aufgebaut werden soll. Wird das Schema https + verwendet, können die Kind-Elemente AcceptedServerCertificates + und ClientKeyStore angegeben werden. Wird das Schema http + verwendet müssen keine Kind-Elemente angegeben werden bzw. + werden diese nicht ausgewertet. Andere Schemas werden nicht unterstützt. +
+
+ Wird die Verbindung über TLS aufgebaut und erfordert der TLS-Server + eine Client-Authentisierung mittels Zertifikate, dann muss das Kind-Element + ClientKeyStore spezifiziert werden. Im Element ClientKeyStore + wird der Filename des PKCS#12-Keys (relativ zur MOA-ID Konfigurationsdatei) + angegeben. Diesem Keystore wird der private Schlüssel für + die TLS-Client-Authentisierung entnommen. Das Passwort zum Lesen + des privaten Schlüssels wird im Attribut ClientKeyStore/@password + konfiguriert.
+ Aufgrund der Tatsache, dass starke Verschlüsselung eine Voraussetzung + für MOA-ID darstellt, werden clientseitig nur die folgenden + Cipher Suites unterstützt:
+

SSL_RSA_WITH_RC4_128_SHA
SSL_RSA_WITH_RC4_128_MD5
SSL_RSA_WITH_3DES_EDE_CBC_SHA

+ Im Kind-Element AcceptedServerCertificates kann ein Verzeichnisname + (relativ zur MOA-ID Konfigurationsdatei) angegeben werden, in dem + die akzeptierten Zertifikate der TLS-Verbindung hinterlegt sind. In + diesem Verzeichnis werden nur Serverzertifikate abgelegt. Fehlt dieser + Parameter wird lediglich überprüft ob ein Zertifikatspfad + zu den im Element <TrustedCACertificates> angegebenen + Zertifikaten erstellt werden kann. Falls dies nicht möglich ist, + kommt es zu einem Fehlerfall. +

AuthComponent
+ AuthComponent enthält Parameter, die nur die MOA-ID + Authentisierungskomponente betreffen. Das Element ist optional + und muss nicht verwendet werden, wenn auf dem Server keine MOA-ID + Authentisierungskomponente installiert wird.
+
+ Das Element AuthComponent hat fünf Kind-Elemente: +

BKUSelection (optional)
SecurityLayer
MOA-SP
IdentityLinkSigners
VerifyInfoboxes (optional ab Version 1.4)

AuthComponent/BKUSelection
+ Das optionale Element BKUSelection enthält Parameter + zur Nutzung eines Auswahldienstes für eine Bürgerkartenumgebung + (BKU). Wird das Element nicht angegeben, dann wird die lokale + Bürgerkartenumgebung auf http://localhost:3495/http-security-layer-request + verwendet.
+
+ Das Attribut BKUSelectionAlternative gibt an welche + Alternative zur BKU-Auswahl verwendet werden soll. MOA-ID unterstützt + die Werte HTMLComplete (vollständige HTML-Auswahl) + und HTMLSelect (HTML-Code für Auswahl) ["Auswahl + von Bürgerkartenumge-bungen", Arno Hollosi].
+
+ Das Kind-Element ConnectionParameter spezifiziert die + Verbindung zum Auswahldienst (siehe ConnectionParameter), + jedoch kann das Kind-Element ClientKeyStore nicht angegeben + werden.

AuthComponent/Templates
+ Das optionale Element Templates kann genau einmal vorkommen, um + das Aussehen der Seiten "Auswahl der Bürgerkartenumgebung" sowie + "Anmeldung mit Bürgerkarte" anzupassen. Die hier + spezifizierten (globalen) Templates haben Priorität gegenüber Templates, + die in der aufrufenden URL (vgl. Aufruf von MOA-ID-AUTH) + übergeben werden, haben jedoch Nachrang gegenüber in + der Konfigurationsdatei für eine Online-Applikation individuell definierte (lokale) + Templates (siehe + OnlineApplication/AuthComponent/Templates). + Das heißt, sind in der Konfigurationsddatei für eine Online-Applikation lokale + Templates definiert (Element OnlineApplication/AuthComponent/Templates), so werden + die als global spezifizierten Templates (AuthComponent/Templates) für diese + OnlineApplikation ignoriert, jedoch für alle anderen Online-Applikationen + verwendet. Templates in der aufrufenden URL werden demnach nur mehr dann + herangezogen, wenn in der Konfigurationsdatei weder globale (für alle + Online-Applikationen gültig) noch lokale (Templates je Online-Applikation) + spezifiziert sind.
+ Das Templates-Element hat die zwei Kindelemente + BKUSelectionTemplate und Template. Jedes dieser + beiden Elemente kann genau einmal vorkommen oder fehlen. + Das Kindelement BKUSelectionTemplate spezifiziert ein Template + zur Gestaltung der Seite "Auswahl der Bürgerkartenumgebung", + während das Kindelement Template die Seite + "Anmeldung mit Bürgerkarte" referenziert. + Beide Elemente haben genau ein Attribut namens URL, + das die Lage des Templates im Form einer URL beschreibt. + Relative Pfadangaben werden dabei relativ zum Verzeichnis, in dem sich die + MOA-ID Konfigurationsdatei befindet, interpretiert.
+ Im folgenden Beispiel werden zwei Templates im Verzeichnis + CATALINA_HOME/conf/moa-id/templates referenziert: +
+

+<Templates>
+  <BKUSelectionTemplate URL="templates/SampleBKUSelectionTemplate.html"/>
+  <Template URL="templates/SampleTemplate.html"/>
+</Templates>

+ +
+ Richtlinien zur Struktur der beiden Templates können der + MOA-ID-Spezifikation bzw. dem Abschnitt + Aufruf von MOA-ID-AUTH + dieses Handbuches entnommen werden. + +

AuthComponent/SecurityLayer
+ Das Element SecurityLayer enthält Parameter + zur Nutzung des Security-Layers.
+
+ Das Kind-Element TransformsInfo spezifiziert eine + Transformation, die für die Erstellung der Signatur des + AUTH-Blocks als Parameter in den CreateXMLSignatureRequest + des Security-Layers integriert werden muss. Mehrere unterschiedliche + Implementierungen des Security-Layer können durch die + Angabe mehrerer TransformsInfo-Elemente unterstützt + werden.
+
+ Das Attribut TransformsInfo/@filename verweist auf + eine Datei, die das globale Element TransformsInfo + vom Typ TransformsInfo enthält. Die Angabe erfolgt + relativ zur MOA-ID Konfigurationsdatei. Das Encoding dieser + Datei muss UTF-8 sein.
+
+ Beispiel für + eine TransformsInfo-Datei

AuthComponent/MOA-SP
+ Das Element MOA-SP enthält Parameter zur Nutzung + von MOA-SP. MOA-SP wird für die überprüfung + der Signatur der Personenbindung und des AUTH-Blocks verwendet. +
+
+ Wird das Kind-Element ConnectionParameter angegeben, + dann wird MOA-SP über das Webservice angesprochen.

Wird das Kind-Element ConnectionParameter + nicht angegeben so wird eine MOA-ID beiligende Version von + MOA-SP direkt über das Java-API angesprochen. In diesem + Fall muss das System-Property auf die verwendete Konfigurationsdatei + von MOA-SP gesetzt werden. Eine beispielhafte MOA-SP Konfigurationsdatei + ist in $MOA_ID_INST_AUTH/conf/moa-spss/SampleMOASPSSConfiguration.xml + enthalten.

Hinweis: MOA-SP muss entsprechend konfiguriert + werden - siehe hierzu Abschnitt Konfiguration + von MOA-SP. Alle Details zur Konfiguration von MOA-SP + finden sie in der Distribution von MOA-SP/SS beiligenden + Dokumentation im Abschnitt 'Konfiguration'.
+
+ Das Kind-Element VerifyIdentityLink/TrustProfileID + spezifiziert eine TrustProfileID, die für den VerifyXMLSignatureRequest + zur Überprüfung der Signatur der Personenbindung + verwendet werden muss. Diese TrustProfileID muss beim + verwendeten MOA-SP Modul konfiguriert sein.
+
+ Die Kind-Elemente VerifyAuthBlock/TrustProfileID + und VerifyAuthBlock/VerifyTransformsInfoProfileID + spezifizieren eine TrustProfileID und eine ID für + ein Transformationsprofil, die für den VerifyXMLSignatureRequest + zur überprüfung der Signatur des Auth-Blocks + verwendet werden müssen. Diese TrustProfileID muss + beim verwendeten MOA-SP Modul konfiguriert sein.

AuthComponent/IdentityLinkSigners +
+ Dieses Element gibt an von welchen Signatoren die Signatur + des IdentityLink erstellt werden musste damit der IdentityLink + akzeptiert wird. Für jeden Signator muss der X509SubjectName + nach RFC 2253 spezifiziert werden.
+
+ Beispiel +

+ Anmerkung: Ab Version 1.4 ist dieses Element nicht mehr verpflichtend notwendig, da die + Berechtigung von Zertifikaten zum Signieren von Personenbindungen ab Februar + 2007 über die Zertifikatseigenschaft "Eigenschaft zur Ausstellung von Personenbindungen" + (OID: 1.2.40.0.10.1.7.1) geprüft wird. + Der Namens-Check des alten Zertifikats wird fix in MOA-ID integriert, sodass das + IdentityLinkSigners-Element in der Konfiguration überflüssig wird. + +
+

AuthComponent/VerifyInfoboxes +
+ Ab Version 1.4 bietet MOA-ID die Möglichkeit einer erweiterten Infobox-Validierung, + das heißt, es können neben der Personenbindung auch weitere ausgelesene Infoboxen + validiert werden. Die für die Validierung der Infoboxen notwendigen Parameter + können über die Konfigurationsdatei durch das VerifyInfoboxes + Element sowohl global als auch + lokal + je Online-Applikation gesetzt werden. MOA-ID übergibt diese Parameter der + Applikation, die für die Verifikation des Inhaltes der jeweilgen von der BKU + übermittelten Infobox verantwortlich ist. Im Folgenden wird eine derartige + Applikation als Prüfapplikation bezeichnet. +
+ Das Verifyinfoboxes Element ist optional und kann fehlen, + wenn keine Infoboxen außer der der Personenbindung validiert werden müssen. +
+ Das VerifyInfoboxes-Element hat folgende Kind-Elemente: +

DefaultTrustProfile: Dieses optionale + Element kann nur einmal vorkommen und spezifiziert ein Trust-Profil, das + von einer Prüfapplikation zur Validierung einer Infobox + herangezogen werden kann, wenn für diese Infobox kein eigenes + Trust-Profil gesetzt wurde. Es hat genau ein + Kindelement namens TrustProfileID, das die ID eines in MOA-SP + konfigurierten Trust-Profiles enthält. +
+ Anmerkung: Das Trust-Profil für die + Personenbindung darf nicht + zur Validierung anderer Infoboxen verwendet werden. Das Trust-Profil für + die Bürgerkarte soll nur dann zur Validierung + anderer Infoboxen verwendet werden, wenn die zur Verifikation der Zertifikate benötigten + Wurzelzertifikate bereits im entsprechenden Trust-Store enthalten sind. (vgl. + MOA-ID Spezifikation, Abschnitt 4.6). +
Infobox: Dieses Element kann beliebig oft vorkommen + und kapselt die Parameter, die für die Validierung einer Infobox an die + jeweilige Prüfapplikation übergeben werden. +
+ Das Infobox-Element hat folgende Attribute: +
- Identifier: Dieses Attribut muss vorhanden sein und gibt + den Namen der Infobox an. Er muss dabei exakt dem Bezeichner + der jeweiligen zu validierenden Infobox aus der BKU entsprechen, also + zum Beispiel Mandates für die Vollmachten-Infobox oder + EHSPToken für die GDAToken-Infobox. +
  +
- required: Dieses Attribut vom Typ + boolean bestimmt, ob MOA-ID den Inhalt der entsprechenden Infobox + für die Anmeldung zwingend benötigt. Ist es auf true + gesetzt, und wird der entsprechende Infobox-Inhalt nicht von der BKU + übermittelt, so bricht MOA-ID den Anmeldevorgang mit einer Fehlermeldung + ab. +
  + Fehlt dieses Attribut, so wird als Defaultwert false gesetzt. +
  +
- provideStammzahl: Dieses Attribut vom Typ + boolean bestimmt, ob die Prüfapplikation die Stammzahl aus der + Personenbindung erhalten darf. Fehlt dieses Attribut, so wird als Defaultwert + false gesetzt. +
  + Anmerkung: Das Attribut steht in keinem Zusammenhang zum gleichnamigen + Attribut OnlineApplication/AuthComponent/@provideStammzahl, + das angibt ob die Stammzahl an die Online-Applikation weitergegeben werden darf. +
- provideIdentityLink: Dieses Attribut vom Typ + boolean bestimmt, ob die Prüfapplikation die Personenbindung erhalten + soll. Hat es den Wert true, so wird ein Klone des Wurzel-Elements der Personenbindung + an die Prüfapplikation übergeben, wobei zu beachten ist, dass die + darin enthaltene Stammzahl auf einen leeren String gesetzt wird, falls das + Attribut provideStammzahl auf false + gesetzt ist. + Fehlt das provideIdentityLink-Attribut, so wird als Defaultwert false gesetzt. +
  + Anmerkung 1: Das Attribut steht in keinem Zusammenhang zum gleichnamigen + Attribut OnlineApplication/AuthComponent/@provideIdentityLink, + das angibt ob die Online-Applikation die Personenbindung erhalten + soll. +
  + Anmerkung 2: Der Prüfapplikation werden defaultmäßig der Vorname, + der Familienname, das Geburtsdatum, der Typ der Stammzahl, die Stammzahl + (konfigurierbar) und die öffentlichen Schlüssel aus der Personenbindung + übergeben. Das Attribut provideIdentityLink sollte deshalb + wirklich nur dann auf true gesetzt werden, wenn von der + Prüfapplikation noch andere Daten aus der Personenbindung benötigt + werden. +
+ Das Infobox-Element hat folgende Kind-Elemente: +
- FriendlyName: Das Element ist optional und + enthält einen Namen, der von MOA-ID zur Anzeige von, die jeweilige Infobox + betreffende, Fehlermeldungen im Browser verwendet wird. Im Regelfall wird man + hier den deutschen Namen der Infobox setzen, also z.B. Vollmachten + oder Stellvertretungen für die Mandates-Infobox oder + GDAToken für die EHSPToken-Infobox. +
  + Fehlt dieses Element, so wird für Fehlermeldungen der Wert des + Identifier-Attributes verwendet. +
- TrustProfileID: Das Element ist optional und + bezeichnet ein in MOA-SP konfiguriertes Trust-Profil, das von MOA-ID + für die Validierung der Infobox verwendet wird. + Dabei ist wieder zu beachten, dass das Trust-Profil für die + Personenbindung nicht + zur Validierung anderer Infoboxen verwendet werden darf, und das Trust-Profil für + die Bürgerkarte nur dann zur Validierung + anderer Infoboxen verwendet werden soll, wenn die zur Verifikation der + Zertifikate benötigten Wurzelzertifikate bereits im entsprechenden + Trust-Store enthalten sind. (vgl. MOA-ID Spezifikation, Abschnitt 4.6). +
  Fehlt dieses Element, so wird das + Default-Trust-Profil + verwendet. Ist dieses auch nicht konfiguriert, so wird für die + Validierung der entsprechenden Infobox keine Zertifikatsprüfung + notwendig sein. +
- ValidatorClass: Das Element ist optional + und bezeichnet den Namen der Klasse (voller Package-Name), die von MOA-ID + zur Validierung der Infobox geladen werden soll. Fehlt dieses Element, + so wird MOA-ID versuchen, eine Default-Klasse zu laden, deren Namen aus + dem Identifier-Attribut der Infobox abgeleitet + wird (vgl. MOA-ID-Spezifikation, Abschnitt 4.7.2.3, + Zuordnung eines InfoboxReadResponse zu einer implementierenden Klasse). +
  + Anmerkung: Im Regelfall wird dieses Element fehlen, da bei der + Entwicklung einer Infobox-Prüfapplikation der Default-Klassennamen + verwendet werden sollte. Nur wenn es verschiedene Prüfapplikationen + für eine Infobox gibt, wird man das ValidatorClass + verwenden, um eine andere als die Default-Applikation zu laden. +
- SchemaLocations: Das Element ist optional + und referenziert XML-Schemas, die von der Prüfapplikation zum + validierenden Parsen von Infoboxen verwendet werden können. Das + Element hat beliebig viele Schema-Kindelemente, dessen Attribute + namespace und schemaLocation jeweils die Namespace-URI + und den Ort (URI) des entsprechenden Schemas bezeichnen. Relative URIs im + schemaLocation-Attribut sind dabei relativ zum Verzeichnis der + MOA-ID-Konfigurationsdatei zu interpretieren. +
  + Beispiel: +
  +
```
+    <SchemaLocations>
+      <Schema namespace="http://ns1.ns1" schemaLocation="schemas/ns1.xsd"/>
+      <Schema namespace="http://ns2.ns2" schemaLocation="schemas/ns2.xsd"/>
+    </SchemaLocations>
+                              
```
  + Weitere Möglichkeiten zur Übergabe von XML-Schemas an die + Prüfapplikation können in der MOA-ID-Spezifikation im + Abschnitt 4.7.2, Erweiterte Infoboxüberprüfung, nachgelesen werden. +
- ApplicationSpecificParameters: + Das Element ist optional und nimmt Infobox-kontext-spezifische Parameter + auf. +
  + Da MOA-ID die zusätzlichen zur Personenbindung abgefragten Infoboxen + (bzw. deren Inhalte) nicht a priori kennt, ist es unmöglich vorherzusehen, + welche Parameter eine Prüfapplikation zum Validieren einer Infobox + benötigt. Die Konfiguration sieht daher das Element + ApplicationSpecificParameters vor, um einer bestimmten + Prüfapplikation kontext spezifische Parameter zu übermitteln. + Dieses Element wird vollständig an die Prüfapplikation + weitergegeben, und es obliegt der Prüfapplikation die Kindelemente + des ApplicationSpecificParameters-Element zu extrahieren und zu + interpretieren. +
  + Beispiel: +
  +
```
+    <ApplicationSpecificParameters>
+      <Parameter1>content1</Parameter1>
+      <Parameter2>content2</Parameter2>
+      <Parameter3>
+        <Parameter3a>content3a</Parameter3a>
+        <Parameter3b>content3b</Parameter3b>
+      </Parameter3>
+    </ApplicationSpecificParameters>
+                              
```
  +
+

+
+ Eine Beispielkonfiguration finden sie am Ende das Abschnitts + OnlineApplication/AuthComponent/VerifyInfoboxes. +
+
+

+ +

ProxyComponent
+ ProxyComponent enthält Parameter, die + nur die MOA-ID Proxykomponente betreffen. Das Element + ist optional und muss nicht verwendet werden, wenn auf + dem Server keine MOA-ID Proxykomponente installiert + wird.
+
+ Das Element ProxyComponent hat nur das Kind-Element + AuthComponent, das die Verbindung zur Authentisierungs-komponente + beschreibt.
+
+ Baut die Proxykomponente die Verbindung zur Authentisierungs-komponente + über ein Webservice auf, dann muss das Element + ConnectionParameter spezifiziert werden.
+
+ Baut die Proxykomponente die Verbindung zur Authentisierungs-komponente + über das API auf, dann wird das Element ConnectionParameter + nicht spezifiziert.

OnlineApplication
+ Für jede Online-Applikation, die über MOA-ID + authentisiert wird, gibt es ein Element OnlineApplication. + Die Parameter betreffen teils die MOA-ID Authentisierungskomponente, + teils die MOA-ID Proxykomponente, teils beide.
+
+ Das ab Version 1.3 optionale Attribut OnlineApplication/@type + spezifiziert den Typ der OnlineApplikation und kann + die Werte publicService für eine Applikation + aus dem öffentlichen Bereich und businessService + für eine Anwendung aus dem privatwirtschaftlichen Bereich annehmen. + Ab Version 1.4 kann im Modus businessService ein zusätzliches + logisches Attribut OnlineApplication/@calculateHPI angegeben werden. + Dadurch wird im Falle von calculateHPI="true" im privatwirtschaftlichen + Bereich zur Identifikation der Health Professional Identifier HPI anstatt des wbPKs (siehe + + OnlineApplication/AuthComponent/IdentificationNumber) berechnet + und zur Anmeldung weiterverwendet. + Ist dieses Attribut nicht gesetzt, so wird der Typ publicService + vorausgesetzt.
+
+ Das Attribut OnlineApplication/@publicURLPrefix + entspricht dem URL-Präfix der nach außen + sichtbaren Domäne der Online-Applikation, welcher + von der MOA-ID Proxykomponente durch den URL-Präfix + der wirklichen Domäne (Attribut OnlineApplication/ProxyComponent/ConnectionParameter/@URL) + ersetzt wird. Es dient als Schlüssel zum Auffinden + der Konfigurationsparameter zur Online-Applikation. +

Das Attribut OnlineApplication/@keyBoxIdentifier + gibt das Schlüsselpaar an, welches von der Bürgerkartenumgebung + zum Signieren des Auth Blocks verwendet wird. Mögliche + Werte: CertifiedKeypair sowieSecureSignatureKeypair. +
+ Das Element OnlineApplication hat optional + zwei Kind-Elemente: AuthComponent und ProxyComponent. +

OnlineApplication/AuthComponent +
+ Das Element OnlineApplication/AuthComponent + muss verwendet werden wenn auf dem Server die Authentisierungskomponente + installiert wird. Es enthält Parameter, die + das Verhalten der Authentisierungskomponente bezüglich + der Online-Applikation konfiguriert.
+
+ Das optionale Attribut slVersion definiert die Version des + verwendeten SecurityLayer und damit den Namespace aller + Requests, die von MOA-ID an die Bürgerkartenumgebung + geschickt werden. Dieses Attribut kann entweder den Wert 1.1 + oder 1.2 annehmen. Fehlt das Attribut, so wird als + Defaultwert 1.1 gesetzt. +
Wurde als Typ der Online-Applikation + der Wert businessService (vgl. Attribut OnlineApplication/@type) + spezifiziert, so wird das Attribut slVersion ignoriert + und immer der Wert 1.2 verwendet, da die für + Applikationen aus dem privatwirtschaftlichen Bereich notwendige + Berechnung des wirtschaftsbereichsspezifischen Personenkennzeichens + (wbPK) erst ab SecurityLayer Version 1.2 möglich ist. +

+ Das Attribut provideStammzahl bestimmt, + ob die Stammzahl in den Anmeldedaten aufscheint + oder ob der Wert ausgeblendet (d.h. auf den Leerstring gesetzt) + wird. Die Attribute provideAUTHBlock und + provideIdentityLink steuern, ob die + Anmeldedaten den Auth-Block bzw. die Personenbindung enthalten. + Ab Version 1.3 kann das Attribut provideCertificate + verwendet werden, um das Signatorzertifikat in die + Anmeldedaten aufzunehmen. + Alle Attribute sind optional und haben den Default-Wert + false. +
+ Anmerkung: Das Attribut provideStammzahl steht in keinem + Zusammenhang zum gleichnamigen Attribut + VerifyInfoboxes/@provideStammzahl, + das angibt ob die Stammzahl an eine Prüfapplikation weitergegeben + werden darf. + Anmerkung: Das Attribut provideIdentityLink steht in keinem + Zusammenhang zum gleichnamigen Attribut + VerifyInfoboxes/@provideIdentityLink, + das angibt ob die Personenbindung an eine Prüfapplikation + weitergegeben werden soll. +
+
+

OnlineApplication/AuthComponent/IdentificationNumber +
+ Das wirtschaftsbereichsspezifische Personenkennzeichen (wbPK) + wird aus der auf der Bürgerkarte gespeicherten Stammzahl des Bürgers + und der Stammzahl des Wirtschaftsunternehmens berechnet. + Laut E-Governmentgesetz + darf die Errechnung eines wbPK aus der Stammzahl nicht beim Auftraggeber eines + privaten Bereichs durchgeführt werden (vgl. E-GovGesetz §12(1).4), und muss deshalb + an die Bürgerkartenumgebung ausgelagert werden. + Das OnlineApplication/AuthComponent/IdentificationNumber Element + wird nun verwendet, um die Stammzahl des Wirtschaftsunternehmens zu spezifizieren, + welche in weiterer Folge von MOA-ID an die Bürgerkartenumgebung übergeben + wird.
Dieses Element muss bei privatwirtschaftlichen Applikationen + vorhanden sein und wird ignoriert, falls es im Kontext von Anwendungen aus + dem öffentlichen Bereich verwendet wird.
+ Das Element hat genau eines der folgenden möglichen Kindelemente + aus dem PersonData + Namespace, die als einzigen Inhalt die jeweilige Stammzahl des Unternehmens enthalten: +

+ Das Element pr:Firmenbuchnummer enthält als einzigen Inhalt + die Firmenbuchnummer des Unternehmens. +
+ Das Element pr:Vereinsnummer enthält als einzigen Inhalt + die Vereinsregisternummer des Unternehmens. +
+ Das Element pr:ERJPZahl enthält als einzigen Inhalt eine + Zahl aus dem Ergänzungsregister für nicht-natürliche Personen (CorporateBody). +
+ Das Element pr:ZMRzahl enthält als einzigen Inhalt eine + Stammzahl einer natürlichen in Österreich meldepflichtigen Person. +

+ + Die Stammzahl ist jeweils ohne Präfix anzugeben, also wird zum Beispiel + die Firmenbuchnummer FN468924i folgendermaßen definiert: +

+ <pr:Firmenbuchnummer>468924i</pr:Firmenbuchnummer> +

+ Leerzeichen werden ignoriert und im Falle einer Firmenbuchnummer werden + führende Nullen gelöscht und Bindestriche aus der Nummer entfernt. +

+ Beispiele:
+

+ 468924 i wird zu 468924i
+ 00468924 wird zu 468924i
+ 468924-i wird zu 468924i
+

+ Alternativ zu den oben angeführten Elementen aus dem + PersonData + Namespace kann auch das Element AnyNumber verwendet werden, um + Stammzahlen zu spezifizieren, die nicht einer der vier oben aufgelisteten + Kategorien zugeordnet werden können. +

+ Das Element AnyNumber hat genau ein Attribut namens Identifier, + das das Präfix der jeweiligen Stammzahl entält. Der Inhalt des + Elements AnyNumber ist die Stammzahl selbst, wobei die selben Regeln + wie oben gelten. +

+ Die Firmenbuchnummer aus obigem Beispiel könnte man nun beispielsweise mit Hilfe das Elements + AnyNumber auch folgendermaßen definieren: +

+ <AnyNumber Identifier="FN">468924i</AnyNumber> +

+ Es sei aber nochmals daraufhingewiesen, dass für Stammzahlen der + Kategorien Firmenbuchnummer, Vereinsnummer, + ERJPZahl und ZMRzahl die vordefinierten Elemente aus + dem PersonData + Namespace verwendet werden sollen. Das Element AnyNumber wurde hauptsächlich in + das Schema aufgenommen, um offen für mögliche Erweiterungen zu sein. +

OnlineApplication/AuthComponent/Templates +
+ Dieses Kindelement kann genau einmal vorkommen und entspricht in seiner Struktur dem + Element AuthComponent/Templates. + Es kann verwendet werden, um Templates zur Gestaltung der Seiten + "Auswahl der Bürgerkartenumgebung" sowie + "Anmeldung mit Bürgerkarte" individuell für + eine Online-Applikation zu definieren. Die hier definierten Templates haben + Priorität gegenüber globalen Templates und Templates, die + in der aufrufenden URL übergeben werden. +

+ +

OnlineApplication/AuthComponent/TransformsInfo +
+ Dieses Kindelement kann mehrfach vorkommen und entspricht in seiner Struktur + dem Element AuthComponent/SecurityLayer/TransformsInfo. + Das Element kann verwendet werden, um für unterschiedliche + Online-Applikationen unterschiedliche Transformationen zu spezifizieren. + Alle über dieses Element definierten Transformationen haben + Vorrang gegenüber die durch AuthComponent/SecurityLayer/TransformsInfo + angegebenen Transformationen. Das heißt, ist für eine + Online-Applikation das Kindelement AuthComponent/TransformsInfo + vorhanden, so wird für diese Applikation die durch dieses Element + spezifizierte Transformation verwendet (das Element kann natürlich + mehrfach vorkommen, wodurch mehrere Transformationen bezeichnet werden). + Für alle Applkikationen, die kein Kindelement vom Typ + AuthComponent/TransformsInfo enthalten, werden die unter + AuthComponent/SecurityLayer/TransformsInfo spezifizierten + "Default-Transformationen" verwendet.
+ Dabei ist zu beachten, dass für jede definierte Transformation + ein entsprechendes MOA-SP/VerifyAuthBlock/VerifyTransformsInfoProfileID + Element vorhanden sein muss.

OnlineApplication/AuthComponent/VerifyInfoboxes +
+ Dieses optionale Element entspricht dem VerifyInfoboxes-Element + aus der globalen AUTH-Komponente und überschreibt teilweise die + dort gesetzten Werte für die jeweilige Infobox pro Online-Applikation. + Dabei gelten die folgenden Regeln: +
+ Ist nur das globale VerifyInfoboxes-Element + vorhanden, so gelten die dort definierten Parameter für alle + Online-Applikationen. Ist kein globales Element vorhanden, so kann + MOA-ID für alle Online-Applikation, in deren AUTH-Komponente + ein VerifyInfoboxes-Element enthalten ist, die darin + definierten Infoboxen überprüfen. Für + Online-Applikationen, in deren AUTH-Komponente kein + VerifyInfoboxes-Element gesetzt ist, kann demnach keine + andere Infobox als die der Personenbindung validiert werden. +
+ Sind sowohl global (MOA-IDConfiguration/AuthComponent/VerifyInfoboxes) + als auch lokal (OnlineApplication/AuthComponent/VerifyInfoboxes) + in den Online-Applikationen Infobox-Validatoren konfiguriert, so verarbeitet + MOA-ID die darin enthaltenen Parameter wie folgt: +

DefaultTrustProfile: Ein lokal + definiertes Default-Trust-Profil hat sowohl Vorrang gegenüber einem + global gesetzten Default-Trust-Profil + als auch gegenüber einem global gesetzen + infobox-spezifischen Trustprofil. Ist + beispielsweise im globalen VerifyInfoboxes-Element zwar kein + Default-Trust-Profil, aber für die Infobox A ein eigenes Trust-Profil + definiert, so wird ein lokal definiertes Default-Trust-Profil dem global + für die Infobox A gesetzten Trust-Profil vorgezogen. +
Infobox: MOA-ID kann die Vereinigung aus den + global und lokal konfigurierten Infoboxen für eine Online-Applikation + validieren. Sind beispielsweise global Prüfapplikationen + für die Infoboxen mit den Bezeichnern + (Infobox/@Identifier-Attribut) A + und B konfiguriert, und lokal für die Online-Applikation + OA1 die Infoboxen B, C und D, so + kann MOA-ID für die Online-Applikation OA1 die + Infoboxen A, B, C und D validieren. + Für die Infobox A werden dabei die Parameter aus der + globalen Konfiguration verwendet und für die Infoboxen + C und D die lokalen Parameter. Für die Infobox + B sind sowohl globale als auch lokale Parameter vorhanden, + die von MOA-ID wie folgt interpretiert werden: +
- Attribute: + Die Attribute required, + provideStammzahl und + provideIdentityLink überschreiben + die global gesetzten Werte. Dabei ist zu beachten, das ein Fehlen dieser + Attribute bedeutet, dass ihnen über das Schema der Defaultwert + false zugewiesen wird. Ist also beispielsweise für die + Infobox mit dem Bezeichner B das required-Attribut + global auf true gesetzt (<Infobox Identifier="B" required="true">) + und fehlt dieses Attribut lokal in der Online-Applikation OA1 + (<Infobox Identifier="B">), so hat das required-Attribut + für die Infobox B den Wert false. +
  + Die Attribute required, + provideStammzahl und + provideIdentityLink müssen also + für Infoboxen, die sowohl global als auch lokal konfiguriert sind, + in jeder lokalen Konfiguration neu gesetzt werden, wenn ihnen der Wert + true zugwiesen werden sollen. +
- Kind-Elemente: +
  - FriendlyName: + Ein lokal gesetzter FriendlyName wird einem global + gesetzten vorgezogen. Ist sowohl lokal als auch global kein + FriendlyName definiert, so wird das + Identifier-Attribut als FriendlyName + verwendet. +
    +
  - TrustProfileID: + Ein lokal definiertes Trust-Profil wird einem lokal definierten + Default-Trust-Profil vorgezogen. Sind lokal sowohl kein + Default-Trust-Profil als auch kein infobox-spezifisches Trust-Profil + definiert, so wird das global gesetzte infobox-spezifisches Trust-Profil + verwendet. Fehlt auch dieses, so wird das globale Default-Trust-Profil + selektiert. Ist weder lokal als auch lokal ein Trust-Profil + definiert, so wird für für die Validierung dieser + Infobox kein Trust-Profil benötigt. +
  - ValidatorClass: + Eine lokal gesetzte Validator-Klasse wird einer global gesetzten + vorgezogen. Ist sowohl lokal als auch global für eine Infobox + keine Validator-Klasse konfiguriert, so wird die Default-Klasse + geladen (siehe ValidatorClass). +
  - SchemaLocations: + Lokal definierte Schemas werden global definierten vorgezogen. + Sind lokal keine Schemas konfiguriert, so werden die globalen verwendet, + so sie vorhanden sind. +
  - + ApplicationSpecificParameters: + Lokal definierte applikationsspezifische Paramter werden global + definierten vorgezogen. Sind lokal keine derartigen Paramter + konfiguriert, so werden die globalen verwendet, so sie vorhanden + sind. +
  +
+

+
+ Beispiel: In der Konfigurationsdatei + + SampleMOAIDVerifyInfoboxesConfiguration.xml sind global + (MOA-IDConfiguration/AuthComponent/VerifyInfoboxes) + Prüfapplikationen für die beiden Infoboxen mit den Bezeichnern + InfoboxA und InfoboxB konfiguriert. + InfoboxA demonstriert in diesem Beispiel die minimale Konfiguration + einer Prüfapplikation - es ist nur der Identifier angegeben. MOA-ID + wird in diesem Fall versuchen, die Default-Validatorklasse + at.gv.egovernment.moa.id.auth.validator.infoboxa.InfoboxAValidator + zu laden (siehe dazu auch MOA-ID-Spezifikation, Abschnitt 4.7.2.3, + Zuordnung eines InfoboxReadResponse zu einer implementierenden Klasse). + Da ein Default-Trust-Profil (GlobalVIDefaultTrust) konfiguriert ist, + wird MOA-ID dieses Profil zur Verifikation von Zertifikaten heranziehen. + Da kein FriendlyName gesetzt ist, wird das Identifier Attibut + (InfoboxA) als FriendlyName verwendet. Weitere Parameter + sind für die Verifikation dieser Infobox nicht erforderlich. +
+ Die Prüfapplikation für die InfoboxB setzt nahezu alle + möglichen Paramter mit Ausnahme der Validator-Klasse. MOA-ID wird + zur Verifikation dieser Infobox also auch die dafür zustädige Default-Klasse + (at.gv.egovernment.moa.id.auth.validator.infoboxb.InfoboxBValidator) + laden, und alle konfigurierten Parameter an diese Klasse übergeben. +
+ In die Konfigurationsdatei sind drei Online-Applikationen mit den + public URL-Prefixen https://OA1/, https://OA2/ und + https://OA3/ eingetragen. + Online-Applikation OA1 konfiguriert Prüfapplikationen für + die drei Infoboxen InfoboxB, InfoboxC und + InfoboxD. Das heißt, MOA-ID kann für die Online-Applikation + OA1 insgesamt vier Infoboxen überprüfen: die + Paramter für die Infobox InfoboxA werden + von der entsprechenden global konfigurierten Prüapplikation + übernommen. Die Infoboxen InfoboxC und + InfoboxD sind nur lokal gesetzt. Für InfoboxB + übernimmt MOA-ID die applikationsspezifischen Parameter aus der + entsprechenden global konfigurierten Infobox und überschreibt + alle weiteren Parameter mit den lokalen Werten. Als Trust-Profil wird + das lokale Deafult-Trust-Profil (LocalOA1DefaultTrust) genommen - + dieses hat Vorrang gegenüber den global gesetzten Profilen. Weiters + ist zu beachten, dass die Attribute provideStammzahl und + provideIdentityLink lokal nicht gesetzt sind, und daher den + Deafult-Wert false einnehmen. +
+ Das VerifyInfoboxes-Element in der AUTH-Komponente der zweiten + Online-Applikation (OA2) spezifiziert keine anderen Prüfapplikationen + als die global definierten, überschreibt aber für beide Infoboxen + teilweise die global gesetzten Parameter. InfoboxA verwendet + ein lokal definiertes Trust-Profil (LocalInfoboxOA2ATrust), + InfoboxB übernimmt + alle globalen Parameter, setzt aber für die Attribute required, + provideStammzahl und provideIdentityLink jeweils den + Defaultwert false. +
+ Die dritte Online-Applikation OA3 enthält in Ihrer AUTH-Komponente + kein VerifyInfoboxes-Element. MOA-ID übernimmt daher für + diese Online-Applikation die global konfigurierten Infobox-Prüapplikationen + (InfoboxA und InfoboxB) mit allen Paramertern genauso wie + sie dort gesetzt sind. Zu beachten ist hier, dass das in der AUTH-Komponente + auf true gesetzte Attribut proviedStammzahl die + Online-Applikation und nicht die Prüapplikation + betrifft. +
+

OnlineApplication/ProxyComponent +
+ Das Element OnlineApplication/ProxyComponent + muss verwendet werden wenn auf dem Server die + Proxykomponente installiert wird.
+
+ Das optionale Attribut configFileURL + verweist auf eine Konfigurationsdatei die dem Schema + MOA-ID-Configuration-1.4.xsd + entspricht mit Dokument-Element Configuration. + Die Angabe erfolgt relativ zur verwendeten MOA-ID + Konfigurationsdatei. Beispiel für das Element + configFileURL: "oa/SampleOAConfiguration.xml".
+ Defaultmäßig wird versucht die Datei + von der betreffenden OnlineApplikation unter dem + Wert: http://<realURLPrefix>/MOAConfig.xml + zu laden.
+ (<realURLPrefix> entspricht dem + Wert von OnlineApplication/ProxyComponent/ConnectionParameter/@URL) +
+
+ Das optionale Attribut sessionTimeOut + legt das Timeout einer Benutzersession in der + Proxykomponente in Sekunden fest.
+ Default-Wert: 3600
+
+ Im optionalen Attribut loginParameterResolverImpl + kann der Klassenname eines zu verwendenden LoginParameterResolver + angegeben werden, welcher die Defaultimplementierung + ersetzt.
+

Im optionalen Attribut loginParameterResolverConfiguration +kann ein Configurationsstring für die + Initialisierung der betreffenden loginParameterResolverImpl + angegeben werden.
+
+ Im optionalen Attribut connectionBuilderImpl + kann der Klassenname eines zu verwendenden ConnectionBuilder + angegeben werden, welcher die Defaultimplementierung + ersetzt.
+
+ Im Kind-Element ConnectionParameter ist + konfiguriert, wie MOA-ID-PROXY zur Online-Applikation + verbindet.

ChainingModes
+ Das Element ChainingModes definiert, + ob bei der Zertifikatspfad-überprüfung + das Kettenmodell ("chaining") oder + das Modell nach PKIX RFC 3280 ("pkix") + verwendet werden soll.
+
+ Das Attribut systemDefaultMode spezifiziert + das Modell, das im Standardfall verwendet werden + soll.
+
+ Mit dem Kind-Element TrustAnchor kann + für jeden Trust Anchor ein abweichendes + Modell spezifiziert werden. Ein Trust Anchor + ist ein Zertifikat, das in TrustedCACertificates + spezifiziert ist. Ein Trust Anchor wird durch + den Typ <dsig:X509IssuerSerialType> + spezifiziert. Das für diesen Trust Anchor + gültige Modell wird durch das Attribut + mode spezifiziert.
+
+ Gültige Werte für die Attribute systemDefaultMode + und mode sind "chaining" und + "pkix".
+
+ Beispiel +

TrustedCACertificates
+ Das Element TrustedCACertificates + enthält das Verzeichnis (relativ zur + MOA-ID Konfigurationsdatei), das jene Zertifikate + enthält, die als vertrauenswürdig + betrachtet werden. Im Zuge der Überprüfung + der TLS-Serverzertifikate wird die Zertifikatspfaderstellung + an einem dieser Zertifikate beendet.

GenericConfiguration
+ Das Element GenericConfiguration + ermöglicht das Setzen von Namen-Werte + Paaren mittels der Attribute name + und value. Die folgende Liste spezifiziert +

gültige Werte für das name-Attribut, +
eine Beschreibung
gültige Werte für das value-Attribut + und (falls vorhanden)
den Default-Wert für das value-Attribut. +

+ + + + + + + +

name: DirectoryCertStoreParameters.RootDir
Gibt den Pfadnamen zu einem + Verzeichnis an, das als Zertifikatsspeicher + im Zuge der TLS-Server-Zertifikatsüberprüfung + verwendet wird. + + value: + Gültige Werte: Name eines gültigen + Verzeichnisses (relativ zur MOA-ID Konfigurationsdatei) + Dieser Parameter muss angegeben werden. +

+ + + + + + + +

name: AuthenticationSession.TimeOut
Gibt die Zeitspanne in + Sekunden vom Beginn der Authentisierung + bis zum Anlegen der Anmeldedaten an. + Wird die Angegebene Zeitspanne überschritten + wird der Anmeldevorgang abgebrochen. + + + value: + Gültige Werte: positive Ganzzahlen + + Default-Wert: 120

+ + + + + + + +

name: AuthenticationData.TimeOut
Gibt die Zeitspanne in + Sekunden an, für die die Anmeldedaten + in der Authentisierungskomponente zum + Abholen durch die Proxykomponente oder + eine nachfolgende Applikation bereitstehen. + Nach Ablauf dieser Zeitspanne werden + die Anmeldedaten gelöscht. + + value: + Gültige Werte: positive Ganzzahlen + Default-Wert: 600

+ + + + + + + +

name: TrustManager.RevocationChecking
Für die TLS-Server-Authentisierung + dürfen nur Server-Zertifikate verwendet + werden, die eine CRLDP-Extension enthalten + (andernfalls kann von MOA-ID keine CRL-überprüfung + durchgeführt werden). + Soll das RevocationChecking generell + ausgeschaltet werden, ist dieses Attribut + anzugeben und auf "false" zu setzen. + + + value: + Gültige Werte: true, false + Default-Wert: true

+ + + + + + + +

name: FrontendServlets.EnableHTTPConnection

Standardmäßig können + die beiden Servlets "StartAuthentication" + und "SelectBKU" welche das + User-Frontend darstellen, aus Sicherheitsgründen, + nur über das Schema HTTPS aufgerufen + werden.

Wenn die beiden Servlets jedoch auch + Verbindungen nach dem Schema HTTP + entgegennehmen sollen, so kann mittels + dem Attribut "EnableHTTPServletConnection" + erlaubt werden.

Hinweis: Sicher und sinnvoll ist + das Erlauben der HTTP Verbindung nur + dann, wenn ein Vorgeschalteter Webserver + das HTTPS handling übernimmt, + und eine Verbindung zu den Servlets + nur über diesen Webserver möglich + ist.

+ value:
+ Gültige Werte: true, false
+ Default-Wert: false

+ + + + + + + +

name: + FrontendServlets.DataURLPrefix

Standardmäßig wird als + DataURL Prefix das URL Präfix + unter dem die MOA-ID Servlets erreichbar + sind verwendet. Im Falle das sich + der MOA-ID Server hinter einer Firewall + befindet und die Requests von einem + vorgelagertem Webserver weitergereicht + werden, kann mit FrontendServlets.DataURLPrefix + ein alternatives URL Präfix angegeben + werden. In diesem Fall muss der Webserver + so konfiguriert sein, dass er Request + auf diese URLs an den MOA-ID Server + weiterleitet.

+ value:
+ Gültige Werte: URLs nach dem Schema + 'http://' und 'https://'
+ Default-Wert: kein Default-Wert
+ Beispiel: <GenericConfiguration name="FrontendServlets.DataURLPrefix" + value="https://<your_webserver>/moa-id-auth/"/>

+ + + + +

+ + +

+

+ + + +

+

+

Konfiguration der Online-Applikation

+Die Konfiguration der OA beschreibt die Art und Weise, wie die Proxykomponente die Anmeldung an der Online-Applikation +durchführt. +

+Der Name der Konfigurationsdatei wird in der Konfiguration von MOA-ID als Wert des Attributs +configFileURL des Elements MOA-IDConfiguration/OnlineApplication/ProxyComponent hinterlegt. +
Ist dieses Attribut nicht gesetzt, dann wird die Datei von http://<realURLPrefix>/MOAConfig.xml geladen, +wobei <realURLPrefix> dem Konfigurationswert OnlineApplication/ProxyComponent/ConnectionParameter/@URL entspricht. +

+Die Konfigurationsdatei ist eine XML-Datei, die dem Schema +MOA-ID-Configuration-1.4.xsd mit dem Wurzelelement +Configuration entspricht. +

+ +

+LoginType
+Das Element LoginType gibt an, ob die Online-Applikation ein einmaliges Login erwartet (stateful), +oder ob die Login-Parameter bei jedem Request mitgegeben werden müssen (stateless). Im Fall einer stateful +Online-Applikation werden die in der HTTP-Session der Proxykomponente gespeicherten Anmeldedaten nur für den Aufruf +des Login-Scripts verwendet. Unmittelbar nach dem Aufruf werden sie gelöscht. +
+Default-Wert: stateful +

+ +

+ParamAuth
+Konfiguriert die übergabe der Authentisierungs-Parameter an die Online-Applikation mittels URL-Parametern. Das Element +kann ein oder mehrere Kind-Elemente <Parameter> beinhalten. +

+ +

+ParamAuth/Parameter
+Das Element <Paramter> enthält die Attribute Name und Value. +

+Das Attribut Name beschreibt den Namen des Parameters und ist ein frei zu wählender String. +

+Das Attribut Value beschreibt den Inhalt des Parameters und kann einen der durch MOAAuthDataType beschriebenen +Werte annehmen. Gültige Werte von MOAAuthDataType sind: +

MOAGivenName - der Vorname des Benutzers, wie in der Personenbindung enthalten +
MOAFamilyName - der Nachname des Benutzers, wie in der Personenbindung enthalten +
MOADateOfBirth - das Geburtsdatum des Benutzers, wie in der Personenbindung enthalten +
MOABPK - die bereichsspezifische Personenkennzeichnung des Benutzers, wie von der +Authentisierungskomponente berechnet +
MOAWBPK - das wirtschaftsbereichsspezifische Personenkennzeichen des Benutzers, wie von der +Bügerkartenumgebung berechnet +
MOAPublicAuthority - wird durch true ersetzt, falls der Benutzer mit einem Zertifikat signierte, +welches eine Behördenerweiterung beinhaltet. Andernfalls wird false gesetzt +
MOABKZ - das Behördenkennzeichen (nur sinnvoll, wenn MOAPublicAuthority den Wert true +ergibt) +
MOAQualifiedCertificate - wird durch true ersetzt, falls das Zertifikat des Benutzers +qualifiziert ist, andernfalls wird false gesetzt +
MOAStammzahl - die Stammzahl des Benutzers; diese ist nur dann verfügbar, wenn die Online-Applikation +die Stammzahl bekommen darf (und daher in der Personenbindung enthalten ist) +
MOAIPAddress - IP-Adresse des Client des Benutzers. +

+ +Anhand der <Parameter>-Elemente wird der Request für den Login-Vorgang (für stateful Online-Applikationen) +folgendermaßen zusammenge-stellt:
+

+GET https://<login-url>? + <p1.name=p1.resolvedValue>& + <p2.name=p2.resolvedValue>... +

+Die <login-url> ergibt sich aus dem Parameter OA des Aufrufs von MOA-ID-AUTH, +zusammen mit der Konfiguration von OnlineApplication/@publicURLPrefix und von OnlineApplication/ProxyComponent/ConnectionParameter/@URL. +
Der Wert resolvedValue wird in MOA-ID-PROXY je nach Wert des Platzhalters eingesetzt. +

+BasicAuth
+Das Element BasicAuth konfiguriert die übergabe der Authentisierungs-Parameter an die Online-Appliktion +mittels HTTP Basic Authentication. Es enthält zwei Kind-Elemente. +

+Das Element UserID gibt die UserId des zu authentisierenden Benutzers an und kann einen der durch +MOAAuthDataType beschriebenen Werte annehmen. +

+Das Element Password gibt das Passwort des zu authentisierenden Benutzers an und kann einen der durch +MOAAuthDataType beschriebenen Werte annehmen. +

+ +

+HeaderAuth
+Das Element HeaderAuth konfiguriert die übergabe der Authentisierungs-Parameter an die Online-Applikation +in HTTP Request Headern. Das Element kann ein oder mehrere Kind-Elemente <Header> beinhalten. +

+ +

+HeaderAuth/Header
+Das Element <Header> enthält die Attribute Name und Value. +

+Das Attribut Name beschreibt den Namen des Header und ist ein frei zu wählender String. +

+Das Attribut Value beschreibt den Inhalt des Header und kann einen der durch MOAAuthDataType +beschriebenen Werte annehmen. +

+Die Header werden folgendermaßen in den Request an die Online-Applikation eingefügt: +

+<h1.name>:<h1.resolvedValue>
+<h2.name>:<h2.resolvedValue>
+...
+

+Der Wert resolvedValue wird in der Proxykomponente je nach Wert des Platzhalters eingesetzt. +Etwaige Header aus dem ursprünglichen Request an die Proxykomponente, die denselben Namen haben, müssen +überschrieben werden. +

+ + +

+ + + +

+

+

Konfiguration von MOA-SP

+ +

MOA-ID überprüft die Signaturen der Personenbindung und + des AUTH-Blocks mit dem VerifyXMLSignatureRequest von + MOA-SP. Dazu muss MOA-SP wie unten beschreiben konfiguriert werden. +
+
+ VerifyTransformsInfoProfile
+ Der Request zum überprüfen der Signatur des AUTH-Blocks + verwendet ein vordefiniertes VerifyTransformsInfoProfile. Die + im Request verwendete Profil-ID wird in der MOA-ID Konfigurationsdatei + im Element /MOA-IDConfiguration/ AuthComponent/MOA-SP/VerifyAuthBlock/ + VerifyTransformsInfoProfileID definiert. Entsprechend muss + am MOA-SP Server ein VerifyTransformsInfoProfile mit gleichlautender + ID definiert werden. Die Profiledefinition selbst ist in der Auslieferung + von MOA-ID in $MOA_ID_INST_AUTH/conf/moa-spss/profiles/MOAIDTransformAuthBlock.xml + enthalten. Diese Profildefinition muss unverändert übernommen + werden.

+ +

+TrustProfile
+Die Requests zur überprüfung der Signatur verwenden vordefinierte TrustProfile. +Die im Request verwendete Profil-IDs werden in der MOA-ID Konfigurationsdatei +in den Elementen /MOA-IDConfiguration/AuthComponent/MOA-SP/VerifyIdentityLink/ TrustProfileID und +/MOA-IDConfiguration/AuthComponent/MOA-SP/VerifyAuthBlock/TrustProfileID definiert. Diese beiden Elemente +können unterschiedliche oder identische TrustProfileIDs enthalten. +Am MOA-SP Server müssen TrustProfile mit gleichlautender ID definiert werden. +Die Auslieferung von MOA-ID enthält das Verzeichnis $MOA_ID_INST_AUTH/conf/moa-spss/trustprofiles/MOAIDBuergerkarteRoot, +das als TrustProfile verwendet werden kann. Weitere Zertifikate können als vertrauenswürdig hinzugefügt werden. +

+ +

+Certstore
+Zum Aufbau eines Zertifikatspfades können benötigte Zertifikate aus einem Zertifikatsspeicher verwendet werden. +Die Auslieferung von MOA-ID enthält das Verzeichnis $MOA_ID_INST_AUTH/conf/moa-spss/certstore, das als initialer +Zertifikatsspeicher verwendet werden kann. +

+ +

+Hinweis: Mit dem Wechsel auf Version 1.3 verwendet MOA SP/SS ein neues Format für die XML-Konfigurationsdatei. +Für die Konvertierung einer älteren Konfigurationsdatei auf das neue Format steht Ihnen ein Tool +zur Verfügung. Details dazu finden sie in der der Distribution von MOA-SP/SS beiligenden +Dokumentation im Kapitel 'Konfiguration', Abschnitt 1.2.1.
+ +

+ + +

+ + + +

+

+

Änderung der Konfiguration während des Betriebs

+Der Inhalt dieser Konfiguration, bzw. jene Teile, auf die indirekt verwiesen wird, können während des laufenden +Betriebes des MOA-Servers geändert werden. Der Server selbst wird durch den Aufruf einer URL +(im Applikationskontext von MOA ID) dazu veranlasst, die geänderte Konfiguration neu einzulesen. +Im Falle einer fehlerhaften neuen Konfiguration wird die ursprüngliche Konfiguration beibehalten. +

+ + +

+

+ + + + + + +

+
+ + +

+ -- cgit v1.2.3 From b224828995fe623ae488799bb55443d9979658c5 Mon Sep 17 00:00:00 2001 From: pdanner Date: Wed, 21 Nov 2007 08:55:33 +0000 Subject: remarked template configuration for https urls git-svn-id: https://joinup.ec.europa.eu/svn/moa-idspss/trunk@1044 d688527b-c9ab-4aba-bd8d-4036d912da1d --- id/server/doc/moa_id/id-admin_2.htm | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) (limited to 'id/server/doc/moa_id/id-admin_2.htm') diff --git a/id/server/doc/moa_id/id-admin_2.htm b/id/server/doc/moa_id/id-admin_2.htm index aa7809425..eecf228f7 100644 --- a/id/server/doc/moa_id/id-admin_2.htm +++ b/id/server/doc/moa_id/id-admin_2.htm @@ -231,7 +231,7 @@ Projekt moa Beide Elemente haben genau ein Attribut namens URL, das die Lage des Templates im Form einer URL beschreibt. Relative Pfadangaben werden dabei relativ zum Verzeichnis, in dem sich die - MOA-ID Konfigurationsdatei befindet, interpretiert.
+ MOA-ID Konfigurationsdatei befindet, interpretiert. Bei Templates die über das Protokoll https referenziert werden, muss vor dem Start des Tomcat ein Truststore angegeben werden, das die notwendigen vertrauenswürdigen Zertifikate enthält. Siehe dazu die Parameter in den vorbereiteten Startdateien startTomcat.bat und tomcat-start.sh.
Im folgenden Beispiel werden zwei Templates im Verzeichnis CATALINA_HOME/conf/moa-id/templates referenziert:
-- cgit v1.2.3 From 6444b6fcb355e4f7599a6cd1f5e9e4e79e6927a8 Mon Sep 17 00:00:00 2001 From: pdanner Date: Wed, 21 Nov 2007 10:10:52 +0000 Subject: changed documentation and codings of Umlaute git-svn-id: https://joinup.ec.europa.eu/svn/moa-idspss/trunk@1046 d688527b-c9ab-4aba-bd8d-4036d912da1d --- id/assembly-auth.xml | 2 +- id/assembly-proxy.xml | 2 +- id/server/doc/moa_id/faqs.htm | 180 +++++++++---------- id/server/doc/moa_id/id-admin.htm | 6 +- id/server/doc/moa_id/id-admin_1.htm | 296 ++++++++++++++++---------------- id/server/doc/moa_id/id-admin_2.htm | 286 +++++++++++++++--------------- id/server/doc/moa_id/id-admin_3.htm | 56 +++--- id/server/doc/moa_id/id-anwendung.htm | 30 ++-- id/server/doc/moa_id/id-anwendung_1.htm | 26 +-- id/server/doc/moa_id/id-anwendung_2.htm | 78 ++++----- id/server/doc/moa_id/links.htm | 22 +-- pom.xml | 2 +- 12 files changed, 493 insertions(+), 493 deletions(-) (limited to 'id/server/doc/moa_id/id-admin_2.htm') diff --git a/id/assembly-auth.xml b/id/assembly-auth.xml index e3cd12bfd..98c02cc1a 100644 --- a/id/assembly-auth.xml +++ b/id/assembly-auth.xml @@ -92,7 +92,7 @@ javadoc false api-doc - /doc/moa_id + /doc true diff --git a/id/assembly-proxy.xml b/id/assembly-proxy.xml index a76f8a168..deed772eb 100644 --- a/id/assembly-proxy.xml +++ b/id/assembly-proxy.xml @@ -78,7 +78,7 @@ javadoc false api-doc - /doc/moa_id + /doc true diff --git a/id/server/doc/moa_id/faqs.htm b/id/server/doc/moa_id/faqs.htm index effc21637..0b9ef0415 100644 --- a/id/server/doc/moa_id/faqs.htm +++ b/id/server/doc/moa_id/faqs.htm @@ -1,6 +1,6 @@ - FAQs - Häufig gestellte Fragen + FAQs - Häufig gestellte Fragen @@ -22,7 +22,7 @@ Bitte warten... + + - - - + +

diff --git a/id/server/auth/src/main/webapp/iframeOnlineBKU.html b/id/server/auth/src/main/webapp/iframeOnlineBKU.html index e92420e7a..b0f6b8bb0 100644 --- a/id/server/auth/src/main/webapp/iframeOnlineBKU.html +++ b/id/server/auth/src/main/webapp/iframeOnlineBKU.html @@ -7,23 +7,49 @@ Bitte warten... - - - -

diff --git a/id/server/auth/src/main/webapp/index.html b/id/server/auth/src/main/webapp/index.html index a49d8c6bc..0e12035e9 100644 --- a/id/server/auth/src/main/webapp/index.html +++ b/id/server/auth/src/main/webapp/index.html @@ -9,22 +9,64 @@ " + nl + + "" + nl + + "" + nl + + "" + nl + + "" + nl + + "" + nl + + ""; /** * Constructor for GetIdentityLinkFormBuilder. @@ -119,6 +163,29 @@ public class GetIdentityLinkFormBuilder extends Builder { htmlForm = replaceTag(htmlForm, CERTINFO_DATAURL_TAG, certInfoDataURL, true, ALL); return htmlForm; } + + /** + * Builds the HTML form, including XML Request and data URL as parameters. + * + * @param htmlTemplate template to be used for the HTML form; + * may be null, in this case a default layout will be produced + * @param xmlRequest XML Request to be sent as a parameter in the form + * @param bkuURL URL of the "Bürgerkartenumgebung" the form will be submitted to; + * may be null, in this case the default URL will be used + * @param dataURL DataURL to be sent as a parameter in the form + */ + public String buildCreateSignature( + String bkuURL, + String xmlRequest, + String dataURL) + throws BuildException + { + String htmlForm = DEFAULT_HTML_TEMPLATE_FOR_MANDATES; + htmlForm = replaceTag(htmlForm, BKU_TAG, bkuURL, true, ALL); + htmlForm = replaceTag(htmlForm, XMLREQUEST_TAG, encodeParameter(xmlRequest), true, ALL); + htmlForm = replaceTag(htmlForm, DATAURL_TAG, dataURL, true, ALL); + return htmlForm; + } /** * Encodes a string for inclusion as a parameter in the form. * Double quotes are substituted by """. diff --git a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/builder/VerifyXMLSignatureRequestBuilder.java b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/builder/VerifyXMLSignatureRequestBuilder.java index 2c97f01ae..a6b61e747 100644 --- a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/builder/VerifyXMLSignatureRequestBuilder.java +++ b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/builder/VerifyXMLSignatureRequestBuilder.java @@ -152,6 +152,85 @@ public class VerifyXMLSignatureRequestBuilder { return requestElem_; } + /** + * Builds a <VerifyXMLSignatureRequest> + * from an IdentityLink with a known trustProfileID which + * has to exist in MOA-SP + * @param identityLink - The IdentityLink + * @param trustProfileID - a preconfigured TrustProfile at MOA-SP + * + * @return Element - The complete request as Dom-Element + * + * @throws ParseException + */ + public Element build(byte[]mandate, String trustProfileID) + throws ParseException + { + try { + // build the request +// Element dateTimeElem = requestDoc_.createElementNS(MOA_NS_URI, "DateTime"); +// requestElem_.appendChild(dateTimeElem); +// Node dateTime = requestDoc_.createTextNode(identityLink.getIssueInstant()); +// dateTimeElem.appendChild(dateTime); + Element verifiySignatureInfoElem = + requestDoc_.createElementNS(MOA_NS_URI, "VerifySignatureInfo"); + requestElem_.appendChild(verifiySignatureInfoElem); + Element verifySignatureEnvironmentElem = + requestDoc_.createElementNS(MOA_NS_URI, "VerifySignatureEnvironment"); + verifiySignatureInfoElem.appendChild(verifySignatureEnvironmentElem); + Element base64ContentElem = requestDoc_.createElementNS(MOA_NS_URI, "Base64Content"); + verifySignatureEnvironmentElem.appendChild(base64ContentElem); + // insert the base64 encoded identity link SAML assertion + //String serializedAssertion = identityLink.getSerializedSamlAssertion(); + //String base64EncodedAssertion = Base64Utils.encode(mandate.getBytes("UTF-8")); + String base64EncodedAssertion = Base64Utils.encode(mandate); + //replace all '\r' characters by no char. + StringBuffer replaced = new StringBuffer(); + for (int i = 0; i < base64EncodedAssertion.length(); i ++) { + char c = base64EncodedAssertion.charAt(i); + if (c != '\r') { + replaced.append(c); + } + } + base64EncodedAssertion = replaced.toString(); + Node base64Content = requestDoc_.createTextNode(base64EncodedAssertion); + base64ContentElem.appendChild(base64Content); + // specify the signature location + Element verifySignatureLocationElem = + requestDoc_.createElementNS(MOA_NS_URI, "VerifySignatureLocation"); + verifiySignatureInfoElem.appendChild(verifySignatureLocationElem); + Node signatureLocation = requestDoc_.createTextNode(DSIG + "Signature"); + verifySignatureLocationElem.appendChild(signatureLocation); + // signature manifest params + Element signatureManifestCheckParamsElem = + requestDoc_.createElementNS(MOA_NS_URI, "SignatureManifestCheckParams"); + requestElem_.appendChild(signatureManifestCheckParamsElem); + signatureManifestCheckParamsElem.setAttribute("ReturnReferenceInputData", "false"); +// // add the transforms +// Element referenceInfoElem = requestDoc_.createElementNS(MOA_NS_URI, "ReferenceInfo"); +// signatureManifestCheckParamsElem.appendChild(referenceInfoElem); +// Element[] dsigTransforms = identityLink.getDsigReferenceTransforms(); +// +// for (int i = 0; i < dsigTransforms.length; i++) { +// Element verifyTransformsInfoProfileElem = +// requestDoc_.createElementNS(MOA_NS_URI, "VerifyTransformsInfoProfile"); +// referenceInfoElem.appendChild(verifyTransformsInfoProfileElem); +// verifyTransformsInfoProfileElem.appendChild(requestDoc_.importNode(dsigTransforms[i], true)); +// } + Element returnHashInputDataElem = + requestDoc_.createElementNS(MOA_NS_URI, "ReturnHashInputData"); + requestElem_.appendChild(returnHashInputDataElem); + Element trustProfileIDElem = requestDoc_.createElementNS(MOA_NS_URI, "TrustProfileID"); + trustProfileIDElem.appendChild(requestDoc_.createTextNode(trustProfileID)); + requestElem_.appendChild(trustProfileIDElem); + } catch (Throwable t) { + throw new ParseException("builder.00", + new Object[] { "VerifyXMLSignatureRequest (IdentityLink)" }, t); + } + + return requestElem_; + } + /** * Builds a <VerifyXMLSignatureRequest> diff --git a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/data/AuthenticationSession.java b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/data/AuthenticationSession.java index eca02a77b..554b5012e 100644 --- a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/data/AuthenticationSession.java +++ b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/data/AuthenticationSession.java @@ -68,6 +68,16 @@ public class AuthenticationSession { * URL of the BKU */ private String bkuURL; + + /** + * Use mandate + */ + private boolean useMandate; + + /** + * SessionID for MIS + */ + private String misSessionID; /** * identity link read from smartcard */ @@ -582,4 +592,39 @@ public class AuthenticationSession { this.pushInfobox = pushInfobox; } + /** + * + * @param useMandate indicates if mandate is used or not + */ + public void setUseMandate(String useMandate) { + if (useMandate.compareToIgnoreCase("true") == 0) + this.useMandate = true; + else + this.useMandate = false; + + } + + /** + * Returns if mandate is used or not + * @return + */ + public boolean getUseMandate() { + return this.useMandate; + } + + /** + * + * @param misSessionID indicates the MIS session ID + */ + public void setMISSessionID(String misSessionID) { + this.misSessionID = misSessionID; + } + + /** + * Returns the MIS session ID + * @return + */ + public String getMISSessionID() { + return this.misSessionID; + } } diff --git a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/servlet/GetForeignIDServlet.java b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/servlet/GetForeignIDServlet.java index c83650587..9a6670617 100644 --- a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/servlet/GetForeignIDServlet.java +++ b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/servlet/GetForeignIDServlet.java @@ -219,11 +219,14 @@ public class GetForeignIDServlet extends AuthServlet { try { client.setSSLSocketFactory(SSLUtils.getSSLSocketFactory(AuthConfigurationProvider.getInstance(), connectionParameters)); } catch (IOException e) { - throw new SZRGWClientException(e); + Logger.error("Could not initialize SSL Factory", e); + throw new SZRGWClientException("Could not initialize SSL Factory"); } catch (GeneralSecurityException e) { - throw new SZRGWClientException(e); + Logger.error("Could not initialize SSL Factory", e); + throw new SZRGWClientException("Could not initialize SSL Factory"); } catch (PKIException e) { - throw new SZRGWClientException(e); + Logger.error("Could not initialize SSL Factory", e); + throw new SZRGWClientException("Could not initialize SSL Factory"); } } Logger.info("Starte Kommunikation mit dem Stammzahlenregister Gateway(" + connectionParameters.getUrl() + ")..."); diff --git a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/servlet/GetMISSessionIDServlet.java b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/servlet/GetMISSessionIDServlet.java new file mode 100644 index 000000000..4c0abdb0f --- /dev/null +++ b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/servlet/GetMISSessionIDServlet.java @@ -0,0 +1,174 @@ +package at.gv.egovernment.moa.id.auth.servlet; + +import iaik.pki.PKIException; + +import java.io.IOException; +import java.io.PrintWriter; +import java.security.GeneralSecurityException; +import java.util.List; +import java.util.Map; + +import javax.net.ssl.SSLSocketFactory; +import javax.servlet.ServletException; +import javax.servlet.http.HttpServletRequest; +import javax.servlet.http.HttpServletResponse; + +import org.apache.commons.fileupload.FileUploadException; +import org.apache.commons.lang.StringEscapeUtils; + +import at.gv.egovernment.moa.id.BuildException; +import at.gv.egovernment.moa.id.MOAIDException; +import at.gv.egovernment.moa.id.auth.AuthenticationServer; +import at.gv.egovernment.moa.id.auth.MOAIDAuthConstants; +import at.gv.egovernment.moa.id.auth.WrongParametersException; +import at.gv.egovernment.moa.id.auth.builder.DataURLBuilder; +import at.gv.egovernment.moa.id.auth.builder.GetIdentityLinkFormBuilder; +import at.gv.egovernment.moa.id.auth.data.AuthenticationSession; +import at.gv.egovernment.moa.id.config.ConnectionParameter; +import at.gv.egovernment.moa.id.config.auth.AuthConfigurationProvider; +import at.gv.egovernment.moa.id.util.ParamValidatorUtils; +import at.gv.egovernment.moa.id.util.SSLUtils; +import at.gv.egovernment.moa.id.util.client.mis.simple.MISMandate; +import at.gv.egovernment.moa.id.util.client.mis.simple.MISSimpleClient; +import at.gv.egovernment.moa.id.util.client.mis.simple.MISSimpleClientException; +import at.gv.egovernment.moa.logging.Logger; + +/** + * Servlet requested for getting the foreign eID + * provided by the security layer implementation. + * Utilizes the {@link AuthenticationServer}. + * + */ +public class GetMISSessionIDServlet extends AuthServlet { + + /** + * Constructor for GetMISSessionIDServlet. + */ + public GetMISSessionIDServlet() { + super(); + } + + /** + * GET requested by security layer implementation to verify + * that data URL resource is available. + * @see javax.servlet.http.HttpServlet#doGet(HttpServletRequest, HttpServletResponse) + */ + protected void doGet(HttpServletRequest req, HttpServletResponse resp) + throws ServletException, IOException { + + doPost(req, resp); + +// Logger.debug("GET GetMISSessionIDServlet"); +// +// resp.setHeader(MOAIDAuthConstants.HEADER_EXPIRES,MOAIDAuthConstants.HEADER_VALUE_EXPIRES); +// resp.setHeader(MOAIDAuthConstants.HEADER_PRAGMA,MOAIDAuthConstants.HEADER_VALUE_PRAGMA); +// resp.setHeader(MOAIDAuthConstants.HEADER_CACHE_CONTROL,MOAIDAuthConstants.HEADER_VALUE_CACHE_CONTROL); +// resp.addHeader(MOAIDAuthConstants.HEADER_CACHE_CONTROL,MOAIDAuthConstants.HEADER_VALUE_CACHE_CONTROL_IE); + } + + /** + * Gets the signer certificate from the InfoboxReadRequest and + * responds with a new + * CreateXMLSignatureRequest. + *
+ * Request parameters: + *

MOASessionID: ID of associated authentication session
XMLResponse: <InfoboxReadResponse>

+ * @see javax.servlet.http.HttpServlet#doPost(HttpServletRequest, HttpServletResponse) + */ + protected void doPost(HttpServletRequest req, HttpServletResponse resp) + throws ServletException, IOException { + + Logger.debug("POST GetMISSessionIDServlet"); + + resp.setHeader(MOAIDAuthConstants.HEADER_EXPIRES,MOAIDAuthConstants.HEADER_VALUE_EXPIRES); + resp.setHeader(MOAIDAuthConstants.HEADER_PRAGMA,MOAIDAuthConstants.HEADER_VALUE_PRAGMA); + resp.setHeader(MOAIDAuthConstants.HEADER_CACHE_CONTROL,MOAIDAuthConstants.HEADER_VALUE_CACHE_CONTROL); + resp.addHeader(MOAIDAuthConstants.HEADER_CACHE_CONTROL,MOAIDAuthConstants.HEADER_VALUE_CACHE_CONTROL_IE); + +// Map parameters; +// try +// { +// parameters = getParameters(req); +// } catch (FileUploadException e) +// { +// Logger.error("Parsing mulitpart/form-data request parameters failed: " + e.getMessage()); +// throw new IOException(e.getMessage()); +// } + + String sessionID = req.getParameter(PARAM_SESSIONID); + + // escape parameter strings + sessionID = StringEscapeUtils.escapeHtml(sessionID); + + AuthenticationSession session = null; + try { + // check parameter + if (!ParamValidatorUtils.isValidSessionID(sessionID)) + throw new WrongParametersException("VerifyCertificate", PARAM_SESSIONID, "auth.12"); + + session = AuthenticationServer.getSession(sessionID); + + String misSessionID = session.getMISSessionID(); + + //System.out.println("MIS Session ID (GetMISServlet): " + misSessionID); + + AuthConfigurationProvider authConf= AuthConfigurationProvider.getInstance(); + ConnectionParameter connectionParameters = authConf.getOnlineMandatesConnectionParameter(); + SSLSocketFactory sslFactory = SSLUtils.getSSLSocketFactory(AuthConfigurationProvider.getInstance(), connectionParameters); + + List list = MISSimpleClient.sendGetMandatesRequest(connectionParameters.getUrl(), misSessionID, sslFactory); + + if (list == null) { + Logger.error("Keine Vollmacht gefunden."); + throw new MISSimpleClientException("Keine Vollmacht gefunden"); + } + if (list.size() == 0) { + Logger.error("Keine Vollmacht gefunden."); + throw new MISSimpleClientException("Keine Vollmacht gefunden"); + } + + // for now: list contains only one element + MISMandate mandate = (MISMandate)list.get(0); + + // verify mandate signature + String createXMLSignatureRequestOrRedirect = AuthenticationServer.getInstance().verifyMandate(sessionID, mandate); + + String dataurl = + new DataURLBuilder().buildDataURL( + session.getAuthURL(), + REQ_VERIFY_AUTH_BLOCK, + session.getSessionID()); + + Logger.debug(createXMLSignatureRequestOrRedirect); + + String request = getHTMLForm(createXMLSignatureRequestOrRedirect, session.getBkuURL(), dataurl); + + resp.setContentType("text/html;charset=UTF-8"); + PrintWriter out = new PrintWriter(resp.getOutputStream()); + out.print(request); + out.flush(); + + + } + catch (MOAIDException ex) { + handleError(null, ex, req, resp); + } catch (GeneralSecurityException ex) { + handleError(null, ex, req, resp); + } catch (PKIException e) { + handleError(null, e, req, resp); + } catch (MISSimpleClientException e) { + handleError(null, e, req, resp); + } + } + + private static String getHTMLForm(String request, String bkuURI, String dataURL) throws BuildException { + return new GetIdentityLinkFormBuilder().buildCreateSignature(bkuURI, request, dataURL); + + } + + + + } diff --git a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/servlet/ProcessValidatorInputServlet.java b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/servlet/ProcessValidatorInputServlet.java index 54d08c59e..b50a1edde 100644 --- a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/servlet/ProcessValidatorInputServlet.java +++ b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/servlet/ProcessValidatorInputServlet.java @@ -68,8 +68,8 @@ public class ProcessValidatorInputServlet extends AuthServlet { * @see javax.servlet.http.HttpServlet#doGet(HttpServletRequest, HttpServletResponse) */ protected void doGet(HttpServletRequest req, HttpServletResponse resp) - throws ServletException, IOException { - + throws ServletException, IOException { + Logger.debug("GET ProcessInput"); resp.setHeader(MOAIDAuthConstants.HEADER_EXPIRES,MOAIDAuthConstants.HEADER_VALUE_EXPIRES); resp.setHeader(MOAIDAuthConstants.HEADER_PRAGMA,MOAIDAuthConstants.HEADER_VALUE_PRAGMA); diff --git a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/servlet/StartAuthenticationServlet.java b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/servlet/StartAuthenticationServlet.java index 10b4041df..2e7d59fde 100644 --- a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/servlet/StartAuthenticationServlet.java +++ b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/servlet/StartAuthenticationServlet.java @@ -15,11 +15,14 @@ */ package at.gv.egovernment.moa.id.auth.servlet; +import iaik.pki.PKIException; + import java.io.IOException; import java.io.PrintWriter; -import java.io.Reader; -import java.io.StringReader; +import java.security.GeneralSecurityException; +import java.util.List; +import javax.net.ssl.SSLSocketFactory; import javax.servlet.ServletConfig; import javax.servlet.ServletException; import javax.servlet.http.HttpServletRequest; @@ -31,8 +34,14 @@ import at.gv.egovernment.moa.id.MOAIDException; import at.gv.egovernment.moa.id.auth.AuthenticationServer; import at.gv.egovernment.moa.id.auth.MOAIDAuthInitializer; import at.gv.egovernment.moa.id.auth.WrongParametersException; +import at.gv.egovernment.moa.id.config.ConfigurationException; +import at.gv.egovernment.moa.id.config.ConnectionParameter; +import at.gv.egovernment.moa.id.config.auth.AuthConfigurationProvider; import at.gv.egovernment.moa.id.util.MOAIDMessageProvider; import at.gv.egovernment.moa.id.util.ParamValidatorUtils; +import at.gv.egovernment.moa.id.util.SSLUtils; +import at.gv.egovernment.moa.id.util.client.mis.simple.MISSimpleClient; +import at.gv.egovernment.moa.id.util.client.mis.simple.MISSimpleClientException; import at.gv.egovernment.moa.logging.Logger; /** @@ -88,8 +97,7 @@ public class StartAuthenticationServlet extends AuthServlet { resp.setHeader(HEADER_CACHE_CONTROL,HEADER_VALUE_CACHE_CONTROL); resp.addHeader(HEADER_CACHE_CONTROL,HEADER_VALUE_CACHE_CONTROL_IE); - //System.out.println("useMandate: " + useMandate); - + try { // check parameter if (!ParamValidatorUtils.isValidTarget(target)) @@ -109,7 +117,7 @@ public class StartAuthenticationServlet extends AuthServlet { String getIdentityLinkForm = - AuthenticationServer.getInstance().startAuthentication(authURL, target, oaURL, templateURL, bkuURL, sessionID, req.getScheme()); + AuthenticationServer.getInstance().startAuthentication(authURL, target, oaURL, templateURL, bkuURL, useMandate, sessionID, req.getScheme()); resp.setContentType("text/html;charset=UTF-8"); PrintWriter out = new PrintWriter(resp.getOutputStream()); diff --git a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/servlet/VerifyAuthenticationBlockServlet.java b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/servlet/VerifyAuthenticationBlockServlet.java index ad01de6c8..f1fb15be0 100644 --- a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/servlet/VerifyAuthenticationBlockServlet.java +++ b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/servlet/VerifyAuthenticationBlockServlet.java @@ -61,6 +61,8 @@ public class VerifyAuthenticationBlockServlet extends AuthServlet { protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { + //doPost(req, resp); + Logger.debug("GET VerifyAuthenticationBlock"); resp.setHeader(MOAIDAuthConstants.HEADER_EXPIRES,MOAIDAuthConstants.HEADER_VALUE_EXPIRES); diff --git a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/servlet/VerifyCertificateServlet.java b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/servlet/VerifyCertificateServlet.java index 76c5476ae..d101df1fa 100644 --- a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/servlet/VerifyCertificateServlet.java +++ b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/servlet/VerifyCertificateServlet.java @@ -8,12 +8,14 @@ import java.security.GeneralSecurityException; import java.security.cert.CertificateEncodingException; import java.util.Map; +import javax.net.ssl.SSLSocketFactory; import javax.servlet.ServletException; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import javax.xml.parsers.DocumentBuilder; import javax.xml.parsers.DocumentBuilderFactory; import javax.xml.parsers.ParserConfigurationException; +import javax.xml.transform.TransformerException; import org.apache.axis.encoding.Base64; import org.apache.commons.fileupload.FileUploadException; @@ -22,24 +24,25 @@ import org.w3c.dom.Document; import org.w3c.dom.Element; import org.w3c.dom.Text; +import at.gv.egovernment.moa.id.AuthenticationException; import at.gv.egovernment.moa.id.MOAIDException; import at.gv.egovernment.moa.id.auth.AuthenticationServer; import at.gv.egovernment.moa.id.auth.MOAIDAuthConstants; import at.gv.egovernment.moa.id.auth.WrongParametersException; import at.gv.egovernment.moa.id.auth.builder.DataURLBuilder; import at.gv.egovernment.moa.id.auth.data.AuthenticationSession; -import at.gv.egovernment.moa.id.auth.validator.parep.client.szrgw.CreateIdentityLinkResponse; -import at.gv.egovernment.moa.id.auth.validator.parep.client.szrgw.SZRGWClient; -import at.gv.egovernment.moa.id.auth.validator.parep.client.szrgw.SZRGWClientException; import at.gv.egovernment.moa.id.auth.validator.parep.client.szrgw.SZRGWConstants; -import at.gv.egovernment.moa.id.config.ConfigurationException; import at.gv.egovernment.moa.id.config.ConnectionParameter; import at.gv.egovernment.moa.id.config.auth.AuthConfigurationProvider; -import at.gv.egovernment.moa.id.util.MOAIDMessageProvider; +import at.gv.egovernment.moa.id.config.auth.OAAuthParameter; import at.gv.egovernment.moa.id.util.ParamValidatorUtils; import at.gv.egovernment.moa.id.util.SSLUtils; import at.gv.egovernment.moa.id.util.ServletUtils; +import at.gv.egovernment.moa.id.util.client.mis.simple.MISSessionId; +import at.gv.egovernment.moa.id.util.client.mis.simple.MISSimpleClient; +import at.gv.egovernment.moa.id.util.client.mis.simple.MISSimpleClientException; import at.gv.egovernment.moa.logging.Logger; +import at.gv.egovernment.moa.util.DOMUtils; /** * Servlet requested for getting the foreign eID @@ -116,25 +119,96 @@ public class VerifyCertificateServlet extends AuthServlet { session = AuthenticationServer.getSession(sessionID); - X509Certificate cert = AuthenticationServer.getInstance().getCertificate(sessionID, parameters); - - String createXMLSignatureRequest = AuthenticationServer.getInstance().createXMLSignatureRequestForeignID(sessionID, cert); - // build dataurl (to the GetForeignIDSerlvet) - String dataurl = - new DataURLBuilder().buildDataURL( - session.getAuthURL(), - REQ_GET_FOREIGN_ID, - session.getSessionID()); - - ServletUtils.writeCreateXMLSignatureRequest(resp, session, createXMLSignatureRequest, AuthenticationServer.REQ_PROCESS_VALIDATOR_INPUT, "GetForeignID", dataurl); + X509Certificate cert = AuthenticationServer.getInstance().getCertificate(sessionID, parameters); + if (cert == null) { + Logger.error("Certificate could not be read."); + throw new AuthenticationException("auth.14", null); + } + + boolean useMandate = session.getUseMandate(); + if (useMandate) { + // Mandate Modus + // make request to MIS + + AuthConfigurationProvider authConf= AuthConfigurationProvider.getInstance(); + ConnectionParameter connectionParameters = authConf.getOnlineMandatesConnectionParameter(); + SSLSocketFactory sslFactory = SSLUtils.getSSLSocketFactory(AuthConfigurationProvider.getInstance(), connectionParameters); + + // get identitity link as byte[] + Element elem = session.getIdentityLink().getSamlAssertion(); + String s = DOMUtils.serializeNode(elem); +// byte[] idl = DOMUtils.nodeToByteArray(elem); +// String s = new String(idl); + byte[] idl = s.getBytes(); + + // redirect url + // build redirect(to the GetMISSessionIdSerlvet) + String redirectURL = + new DataURLBuilder().buildDataURL( + session.getAuthURL(), + GET_MIS_SESSIONID, + session.getSessionID()); + + String oaURL = session.getOAURLRequested(); + OAAuthParameter oaParam = authConf.getOnlineApplicationParameter(oaURL); + String profiles = oaParam.getMandateProfiles(); + + if (profiles == null) { + Logger.error("No Mandate/Profile for OA configured."); + throw new AuthenticationException("auth.16", new Object[] { GET_MIS_SESSIONID}); + } + + String profilesArray[] = profiles.split(","); + for(int i = 0; i < profilesArray.length; i++) { + profilesArray[i] = profilesArray[i].trim(); + } + + MISSessionId misSessionID = MISSimpleClient.sendSessionIdRequest(connectionParameters.getUrl(), idl, cert.getEncoded(), redirectURL, profilesArray, sslFactory); + String redirectMISGUI = misSessionID.getRedirectURL(); + + if (misSessionID == null) { + Logger.error("Fehler bei Anfrage an Vollmachten Service. MIS Session ID ist null."); + throw new MISSimpleClientException("Fehler bei Anfrage an Vollmachten Service."); + } + + session.setMISSessionID(misSessionID.getSessiondId()); + + resp.setStatus(302); + resp.addHeader("Location", redirectMISGUI); + Logger.debug("REDIRECT TO: " + redirectURL); + + } + else { + // Foreign Identities Modus + + String createXMLSignatureRequest = AuthenticationServer.getInstance().createXMLSignatureRequestForeignID(sessionID, cert); + // build dataurl (to the GetForeignIDSerlvet) + String dataurl = + new DataURLBuilder().buildDataURL( + session.getAuthURL(), + REQ_GET_FOREIGN_ID, + session.getSessionID()); + + ServletUtils.writeCreateXMLSignatureRequest(resp, session, createXMLSignatureRequest, AuthenticationServer.REQ_PROCESS_VALIDATOR_INPUT, "GetForeignID", dataurl); + + + Logger.debug("Send CreateXMLSignatureRequest to BKU"); + } - Logger.debug("Send CreateXMLSignatureRequest to BKU"); } catch (MOAIDException ex) { handleError(null, ex, req, resp); - } + } catch (GeneralSecurityException ex) { + handleError(null, ex, req, resp); + } catch (PKIException e) { + handleError(null, e, req, resp); + } catch (MISSimpleClientException e) { + handleError(null, e, req, resp); + } catch (TransformerException e) { + handleError(null, e, req, resp); + } } /** @@ -161,58 +235,58 @@ public class VerifyCertificateServlet extends AuthServlet { * @throws SZRGWClientException */ /*private Element getIdentityLink(Element signature) throws SZRGWClientException {*/ - private Element getIdentityLink(X509Certificate cert) throws SZRGWClientException { - - SZRGWClient client = new SZRGWClient(); - - try { - AuthConfigurationProvider authConf = AuthConfigurationProvider.getInstance(); - ConnectionParameter connectionParameters = authConf.getForeignIDConnectionParameter(); - //url = "http://localhost:8081/szr-gateway/services/IdentityLinkCreation"; - Logger.debug("Connection Parameters: " + connectionParameters); - client.setAddress(connectionParameters.getUrl()); - if (connectionParameters.getUrl().toLowerCase().startsWith("https:")) { - Logger.debug("Initialisiere SSL Verbindung"); - try { - client.setSSLSocketFactory(SSLUtils.getSSLSocketFactory(AuthConfigurationProvider.getInstance(), connectionParameters)); - } catch (IOException e) { - // TODO Auto-generated catch block - e.printStackTrace(); - } catch (GeneralSecurityException e) { - // TODO Auto-generated catch block - e.printStackTrace(); - } catch (PKIException e) { - // TODO Auto-generated catch block - e.printStackTrace(); - } - } - - Logger.info("Starte Kommunikation mit dem Stammzahlenregister Gateway(" + connectionParameters.getUrl() + ")..."); - - - } - catch (ConfigurationException e) { - Logger.warn(e); - Logger.warn(MOAIDMessageProvider.getInstance().getMessage("config.12", null )); - - } - // create request - Document doc = buildGetIdentityLinkRequest(cert); - Element request = doc.getDocumentElement(); - CreateIdentityLinkResponse response = null; - - //try { - response = client.createIdentityLinkResponse(request); - //} catch (SZRGWClientException e) { - // give him a second try - Nach dem Starten des Tomcat wird beim ersten Mal das Client-Zertifikat offenbar vom HTTPClient nicht mitgeschickt. - // client = new SZRGWClient(url); - // response = client.createIdentityLinkResponse(request); - // } - - - return response.getAssertion(); - - } +// private Element getIdentityLink(X509Certificate cert) throws SZRGWClientException { +// +// SZRGWClient client = new SZRGWClient(); +// +// try { +// AuthConfigurationProvider authConf = AuthConfigurationProvider.getInstance(); +// ConnectionParameter connectionParameters = authConf.getForeignIDConnectionParameter(); +// //url = "http://localhost:8081/szr-gateway/services/IdentityLinkCreation"; +// Logger.debug("Connection Parameters: " + connectionParameters); +// client.setAddress(connectionParameters.getUrl()); +// if (connectionParameters.getUrl().toLowerCase().startsWith("https:")) { +// Logger.debug("Initialisiere SSL Verbindung"); +// try { +// client.setSSLSocketFactory(SSLUtils.getSSLSocketFactory(AuthConfigurationProvider.getInstance(), connectionParameters)); +// } catch (IOException e) { +// // TODO Auto-generated catch block +// e.printStackTrace(); +// } catch (GeneralSecurityException e) { +// // TODO Auto-generated catch block +// e.printStackTrace(); +// } catch (PKIException e) { +// // TODO Auto-generated catch block +// e.printStackTrace(); +// } +// } +// +// Logger.info("Starte Kommunikation mit dem Stammzahlenregister Gateway(" + connectionParameters.getUrl() + ")..."); +// +// +// } +// catch (ConfigurationException e) { +// Logger.warn(e); +// Logger.warn(MOAIDMessageProvider.getInstance().getMessage("config.12", null )); +// +// } +// // create request +// Document doc = buildGetIdentityLinkRequest(cert); +// Element request = doc.getDocumentElement(); +// CreateIdentityLinkResponse response = null; +// +// //try { +// response = client.createIdentityLinkResponse(request); +// //} catch (SZRGWClientException e) { +// // give him a second try - Nach dem Starten des Tomcat wird beim ersten Mal das Client-Zertifikat offenbar vom HTTPClient nicht mitgeschickt. +// // client = new SZRGWClient(url); +// // response = client.createIdentityLinkResponse(request); +// // } +// +// +// return response.getAssertion(); +// +// } /** * Builds the szrgw:GetIdentityLinkRequest für the SZR-GW diff --git a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/servlet/VerifyIdentityLinkServlet.java b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/servlet/VerifyIdentityLinkServlet.java index dff366829..23861d290 100644 --- a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/servlet/VerifyIdentityLinkServlet.java +++ b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/servlet/VerifyIdentityLinkServlet.java @@ -18,6 +18,7 @@ package at.gv.egovernment.moa.id.auth.servlet; import java.io.IOException; import java.util.Map; +import javax.net.ssl.SSLSocketFactory; import javax.servlet.ServletException; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; @@ -25,6 +26,7 @@ import javax.servlet.http.HttpServletResponse; import org.apache.commons.fileupload.FileUploadException; import org.apache.commons.lang.StringEscapeUtils; +import at.gv.egovernment.moa.id.AuthenticationException; import at.gv.egovernment.moa.id.MOAIDException; import at.gv.egovernment.moa.id.ParseException; import at.gv.egovernment.moa.id.auth.AuthenticationServer; @@ -33,7 +35,10 @@ import at.gv.egovernment.moa.id.auth.WrongParametersException; import at.gv.egovernment.moa.id.auth.builder.DataURLBuilder; import at.gv.egovernment.moa.id.auth.builder.InfoboxReadRequestBuilderCertificate; import at.gv.egovernment.moa.id.auth.data.AuthenticationSession; +import at.gv.egovernment.moa.id.config.ConnectionParameter; +import at.gv.egovernment.moa.id.config.auth.AuthConfigurationProvider; import at.gv.egovernment.moa.id.util.ParamValidatorUtils; +import at.gv.egovernment.moa.id.util.SSLUtils; import at.gv.egovernment.moa.id.util.ServletUtils; import at.gv.egovernment.moa.logging.Logger; @@ -126,11 +131,17 @@ public class VerifyIdentityLinkServlet extends AuthServlet { if (createXMLSignatureRequestOrRedirect == null) { // no identity link found + boolean useMandate = session.getUseMandate(); + if (useMandate) { + Logger.error("Online-Mandate Mode for foreign citizencs not supported."); + throw new AuthenticationException("auth.13", null); + } + try { Logger.debug("Send InfoboxReadRequest to BKU to get signer certificate."); - // create the InfoboxReadRequest to get the certificate + // create the InfoboxReadRequest to get the certificate String infoboxReadRequest = new InfoboxReadRequestBuilderCertificate().build(true); // build dataurl (to the GetForeignIDSerlvet) @@ -142,6 +153,7 @@ public class VerifyIdentityLinkServlet extends AuthServlet { ServletUtils.writeCreateXMLSignatureRequest(resp, session, infoboxReadRequest, AuthenticationServer.REQ_PROCESS_VALIDATOR_INPUT, "VerifyIdentityLink", dataurl); + } catch(Exception e) { @@ -150,7 +162,28 @@ public class VerifyIdentityLinkServlet extends AuthServlet { } else { - ServletUtils.writeCreateXMLSignatureRequestOrRedirect(resp, session, createXMLSignatureRequestOrRedirect, AuthenticationServer.REQ_PROCESS_VALIDATOR_INPUT, "VerifyIdentityLink"); + boolean useMandate = session.getUseMandate(); + if (useMandate) { // Mandate modus + // read certificate and set dataurl to VerifyCertificateForMandatesServlet + + Logger.debug("Send InfoboxReadRequest to BKU to get signer certificate."); + + String infoboxReadRequest = new InfoboxReadRequestBuilderCertificate().build(true); + + // build dataurl (to the GetForeignIDSerlvet) + String dataurl = + new DataURLBuilder().buildDataURL( + session.getAuthURL(), + REQ_VERIFY_CERTIFICATE, + session.getSessionID()); + + + ServletUtils.writeCreateXMLSignatureRequest(resp, session, infoboxReadRequest, AuthenticationServer.REQ_PROCESS_VALIDATOR_INPUT, "VerifyIdentityLink", dataurl); + + } + else { + ServletUtils.writeCreateXMLSignatureRequestOrRedirect(resp, session, createXMLSignatureRequestOrRedirect, AuthenticationServer.REQ_PROCESS_VALIDATOR_INPUT, "VerifyIdentityLink"); + } } } diff --git a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/validator/parep/ParepUtils.java b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/validator/parep/ParepUtils.java index a8e22562a..51551834e 100644 --- a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/validator/parep/ParepUtils.java +++ b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/validator/parep/ParepUtils.java @@ -43,6 +43,7 @@ import at.gv.egovernment.moa.id.config.ConfigurationException; import at.gv.egovernment.moa.logging.Logger; import at.gv.egovernment.moa.util.BoolUtils; import at.gv.egovernment.moa.util.Constants; +import at.gv.egovernment.moa.util.DOMUtils; import at.gv.egovernment.moa.util.StringUtils; /** @@ -245,9 +246,13 @@ public class ParepUtils { try { Element nameSpaceNode = mandator.getOwnerDocument().createElement("NameSpaceNode"); nameSpaceNode.setAttribute("xmlns" + SZRGWConstants.PD_POSTFIX, Constants.PD_NS_URI); - + + String s = DOMUtils.serializeNode(mandator); + // check if physical person - Element physicalPerson = (Element) XPathAPI.selectSingleNode(mandator, "descendant-or-self::pr:PhysicalPerson", nameSpaceNode); + Element physicalPerson = (Element) XPathAPI.selectSingleNode(mandator, "descendant-or-self::pr:PhysicalPerson", nameSpaceNode); + + // Element physicalPerson = (Element)XPathAPI.selectSingleNode(mandator, // "descendant-or-self::pr:CorporateBody", nameSpaceNode); return physicalPerson != null; diff --git a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/validator/parep/ParepValidator.java b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/validator/parep/ParepValidator.java index 2a0126b82..9d5c0f7cf 100644 --- a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/validator/parep/ParepValidator.java +++ b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/validator/parep/ParepValidator.java @@ -95,7 +95,11 @@ public class ParepValidator implements InfoboxValidator { public final static String EXT_SAML_MANDATE_NAME = "MandatorName"; public final static String EXT_SAML_MANDATE_DOB = "MandatorDateOfBirth"; public final static String EXT_SAML_MANDATE_WBPK = "MandatorWbpk"; - public final static String EXT_SAML_MANDATE_REPRESENTATIONTYPE = "RepresentationType"; + public final static String EXT_SAML_MANDATE_REPRESENTATIONTYPE = "RepresentationType"; + public final static String EXT_SAML_MANDATE_OIDTEXTUALDESCRIPTION = "OIDTextualDescription"; + + /** */ + public final static String EXT_SAML_MANDATE_REPRESENTATIONTEXT = "Vollmachtsvertreter"; /** register and register number for non physical persons - the domain identifier for business applications*/ public final static String EXT_SAML_MANDATE_CB_BASE_ID = "MandatorDomainIdentifier"; diff --git a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/config/ConfigurationBuilder.java b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/config/ConfigurationBuilder.java index dbfbda535..b5275cdd5 100644 --- a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/config/ConfigurationBuilder.java +++ b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/config/ConfigurationBuilder.java @@ -125,6 +125,10 @@ public class ConfigurationBuilder { public static final String AUTH_FOREIGN_IDENTITIES_XPATH = ROOT + CONF + "AuthComponent/" + CONF + "ForeignIdentities"; + /** an XPATH-Expression */ + public static final String AUTH_ONLINEMANDATES_XPATH = + ROOT + CONF + "AuthComponent/" + CONF + "OnlineMandates"; + /** an XPATH-Expression */ @@ -146,6 +150,8 @@ public class ConfigurationBuilder { /** an XPATH-Expression */ protected static final String OA_AUTH_COMPONENT_VERIFY_INFOBOXES_XPATH = CONF + "VerifyInfoboxes"; /** an XPATH-Expression */ + protected static final String OA_AUTH_COMPONENT_MANDATES_PROFILES_XPATH = CONF + "Mandates" + "/" + CONF + "Profiles"; + /** an XPATH-Expression */ protected static final String CONNECTION_PARAMETER_URL_XPATH = CONF + "ConnectionParameter/@URL"; /** an XPATH-Expression */ @@ -242,6 +248,18 @@ public class ConfigurationBuilder { return buildConnectionParameter(foreignid); } + + /** + * Build a ConnectionParameter containing all information + * of the OnlineMandates element in the authentication component + * @return ConnectionParameter of the authentication component OnlineMandates element + */ + public ConnectionParameter buildOnlineMandatesConnectionParameter() { + Element onlinemandates = (Element)XPathUtils.selectSingleNode(configElem_, AUTH_ONLINEMANDATES_XPATH); + if (onlinemandates==null) return null; + return buildConnectionParameter(onlinemandates); + + } /** * Method buildAuthBKUSelectionType. @@ -529,7 +547,19 @@ public class ConfigurationBuilder { } Node verifyInfoboxParamtersNode = XPathUtils.selectSingleNode(authComponent, OA_AUTH_COMPONENT_VERIFY_INFOBOXES_XPATH); oap.setVerifyInfoboxParameters(buildVerifyInfoboxParameters( - verifyInfoboxParamtersNode, defaultVerifyInfoboxParameters, moaSpIdentityLinkTrustProfileID)); + verifyInfoboxParamtersNode, defaultVerifyInfoboxParameters, moaSpIdentityLinkTrustProfileID)); + + Node mandateProfilesNode = XPathUtils.selectSingleNode(authComponent, OA_AUTH_COMPONENT_MANDATES_PROFILES_XPATH); + if (mandateProfilesNode != null) { + if ("businessService".equalsIgnoreCase(oaType)) { + Logger.error("No Online Mandate Modus for OA of type \"businessService\" allowed."); + throw new ConfigurationException("config.02", null); + } + else { + String profiles = DOMUtils.getText(mandateProfilesNode); + oap.setMandateProfiles(profiles); + } + } } OA_set.add(oap); } diff --git a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/config/auth/AuthConfigurationProvider.java b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/config/auth/AuthConfigurationProvider.java index 6e296b4f4..ceb047280 100644 --- a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/config/auth/AuthConfigurationProvider.java +++ b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/config/auth/AuthConfigurationProvider.java @@ -164,6 +164,11 @@ public class AuthConfigurationProvider extends ConfigurationProvider { */ private ConnectionParameter foreignIDConnectionParameter; + /** + * parameter for connection to OnlineMandates Service + */ + private ConnectionParameter onlineMandatesConnectionParameter; + /** * Parameter for trusted BKUs */ @@ -271,6 +276,7 @@ public class AuthConfigurationProvider extends ConfigurationProvider { foreignIDConnectionParameter = builder.buildForeignIDConnectionParameter(); + onlineMandatesConnectionParameter = builder.buildOnlineMandatesConnectionParameter(); onlineApplicationAuthParameters = builder.buildOnlineApplicationAuthParameters(defaultVerifyInfoboxParameters, moaSpIdentityLinkTrustProfileID); identityLinkX509SubjectNames = builder.getIdentityLink_X509SubjectNames(); defaultChainingMode = builder.getDefaultChainingMode(); @@ -393,6 +399,15 @@ public class AuthConfigurationProvider extends ConfigurationProvider { public ConnectionParameter getForeignIDConnectionParameter() { return foreignIDConnectionParameter; } + + /** + * Return a ConnectionParameter bean containing all information + * of the authentication component OnlineMandates element + * @return ConnectionParameter of the authentication component OnlineMandates element + */ + public ConnectionParameter getOnlineMandatesConnectionParameter() { + return onlineMandatesConnectionParameter; + } /** * Return a string with a url-reference to the VerifyIdentityLink trust diff --git a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/config/auth/OAAuthParameter.java b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/config/auth/OAAuthParameter.java index c352fae6c..aa5aa21a3 100644 --- a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/config/auth/OAAuthParameter.java +++ b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/config/auth/OAAuthParameter.java @@ -88,6 +88,11 @@ public class OAAuthParameter extends OAParameter { */ private VerifyInfoboxParameters verifyInfoboxParameters; + /** + * Parameter for Mandate profiles + */ + private String mandateProfiles; + /** * BZ * Type for authentication number (e.g. Firmenbuchnummer) @@ -325,5 +330,21 @@ public class OAAuthParameter extends OAParameter { public void setIdentityLinkDomainIdentifierType(String identityLinkDomainIdentifierType) { this.identityLinkDomainIdentifierType = identityLinkDomainIdentifierType; } + + /** + * Sets the Mandate/Profiles + * @param profiles + */ + public void setMandateProfiles(String profiles) { + this.mandateProfiles = profiles; + } + + /** + * Returns the Mandates/Profiles + * @return + */ + public String getMandateProfiles() { + return this.mandateProfiles; + } } diff --git a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/proxy/servlet/ProxyServlet.java b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/proxy/servlet/ProxyServlet.java index ce15b75bd..6802005f1 100644 --- a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/proxy/servlet/ProxyServlet.java +++ b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/proxy/servlet/ProxyServlet.java @@ -41,6 +41,8 @@ import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import javax.servlet.http.HttpSession; +import org.apache.commons.lang.StringEscapeUtils; + import at.gv.egovernment.moa.id.AuthenticationException; import at.gv.egovernment.moa.id.BuildException; import at.gv.egovernment.moa.id.MOAIDException; @@ -117,12 +119,15 @@ public class ProxyServlet extends HttpServlet { protected void service(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { Logger.debug("getRequestURL:" + req.getRequestURL().toString()); - //@TODO Parameter + + String artifact = req.getParameter(PARAM_SAMLARTIFACT); + artifact = StringEscapeUtils.escapeHtml(artifact); + try { - if (req.getParameter(PARAM_SAMLARTIFACT) != null) { + if (artifact != null) { // check if SAML Artifact was already used in this session (in case of page reload) HttpSession session = req.getSession(); - if (null != session && req.getParameter(PARAM_SAMLARTIFACT).equals(session.getAttribute(ATT_SAML_ARTIFACT))) { + if (null != session && artifact.equals(session.getAttribute(ATT_SAML_ARTIFACT))) { if (session.getAttribute(ATT_BROWSERREQU)==null) { tunnelRequest(req, resp); }else{ @@ -498,7 +503,6 @@ private int tunnelRequest(HttpServletRequest req, HttpServletResponse resp, Map Vector parameters = new Vector(); -//@TODO Parameter for (Enumeration enu = req.getParameterNames(); enu.hasMoreElements();) { String paramName = (String) enu.nextElement(); if (!(paramName.equals(PARAM_SAMLARTIFACT) || paramName.equals(PARAM_TARGET))) { diff --git a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/util/ParamValidatorUtils.java b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/util/ParamValidatorUtils.java index 79db9907b..d35fc875d 100644 --- a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/util/ParamValidatorUtils.java +++ b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/util/ParamValidatorUtils.java @@ -446,6 +446,9 @@ public class ParamValidatorUtils { public static boolean isValidXMLDocument(String document) { + if (document == null) + return false; + Logger.debug("Überprüfe Parameter XMLDocument"); try { DocumentBuilderFactory factory = DocumentBuilderFactory.newInstance(); diff --git a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/util/ServletUtils.java b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/util/ServletUtils.java index 1915ce40a..24e5ff3d0 100644 --- a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/util/ServletUtils.java +++ b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/util/ServletUtils.java @@ -64,7 +64,8 @@ public class ServletUtils { out.write(createXMLSignatureRequestOrRedirect.getBytes("UTF-8")); out.flush(); out.close(); - Logger.debug("Finished POST " + servletName); + Logger.debug("Finished POST " + servletName); + } else { String redirectURL = new DataURLBuilder().buildDataURL(session.getAuthURL(), servletGoal, session.getSessionID()); resp.setContentType("text/html"); diff --git a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/util/client/mis/simple/MISMandate.java b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/util/client/mis/simple/MISMandate.java new file mode 100644 index 000000000..59ca0d5ca --- /dev/null +++ b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/util/client/mis/simple/MISMandate.java @@ -0,0 +1,48 @@ +package at.gv.egovernment.moa.id.util.client.mis.simple; + +public class MISMandate { + + final static private String OID_NOTAR = "1.2.40.0.10.3.1"; + final static private String TEXT_NOTAR = "berufsmäßige(r) Parteienvertreter(in) mit Notariatseigenschaft"; + + final static private String OID_RECHTSANWALT = "1.2.40.0.10.3.2"; + final static private String TEXT_RECHTSANWALT = "berufsmäßige(r) Parteienvertreter(in) mit Rechtsanwaltseigenschaft"; + + final static private String OID_ZIVILTECHNIKER = "1.2.40.0.10.3.3"; + final static private String TEXT_ZIVILTECHNIKER = "berufsmäßige(r) Parteienvertreter(in) mit Ziviltechnikerinneneigenschaft"; + + final static private String OID_ORGANWALTER = "1.2.40.0.10.3.4"; + final static private String TEXT_ORGANWALTER = "Organwalter"; + + + private String oid = null; + private byte[] mandate = null; + + public String getProfRep() { + return oid; + } + public void setProfRep(String oid) { + this.oid = oid; + } + public byte[] getMandate() { + return mandate; + } + public void setMandate(byte[] mandate) { + this.mandate = mandate; + } + + public String getTextualDescriptionOfOID() { + if (this.oid.equalsIgnoreCase(OID_NOTAR)) + return TEXT_NOTAR; + if (this.oid.equalsIgnoreCase(OID_RECHTSANWALT)) + return TEXT_RECHTSANWALT; + if (this.oid.equalsIgnoreCase(OID_ZIVILTECHNIKER)) + return TEXT_ZIVILTECHNIKER; + if (this.oid.equalsIgnoreCase(OID_ORGANWALTER)) + return TEXT_ORGANWALTER; + + return "Keine textuelle Beschreibung für OID " + oid; + + } + +} diff --git a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/util/client/mis/simple/MISSessionId.java b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/util/client/mis/simple/MISSessionId.java new file mode 100644 index 000000000..d8bec4900 --- /dev/null +++ b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/util/client/mis/simple/MISSessionId.java @@ -0,0 +1,22 @@ +package at.gv.egovernment.moa.id.util.client.mis.simple; + +public class MISSessionId { + + private String sessiondId = null; + private String redirectURL = null; + + public String getSessiondId() { + return sessiondId; + } + public void setSessiondId(String sessiondId) { + this.sessiondId = sessiondId; + } + public String getRedirectURL() { + return redirectURL; + } + public void setRedirectURL(String redirectURL) { + this.redirectURL = redirectURL; + } + + +} diff --git a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/util/client/mis/simple/MISSimpleClient.java b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/util/client/mis/simple/MISSimpleClient.java new file mode 100644 index 000000000..25c341584 --- /dev/null +++ b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/util/client/mis/simple/MISSimpleClient.java @@ -0,0 +1,261 @@ +package at.gv.egovernment.moa.id.util.client.mis.simple; + +import java.io.BufferedReader; +import java.io.IOException; +import java.io.InputStream; +import java.io.InputStreamReader; +import java.util.ArrayList; +import java.util.List; + +import javax.net.ssl.SSLSocketFactory; +import javax.xml.parsers.DocumentBuilderFactory; +import javax.xml.parsers.ParserConfigurationException; +import javax.xml.transform.TransformerException; + +import org.apache.commons.codec.binary.Base64; +import org.apache.commons.httpclient.HttpClient; +import org.apache.commons.httpclient.methods.PostMethod; +import org.apache.commons.httpclient.methods.StringRequestEntity; +import org.apache.commons.httpclient.protocol.Protocol; +import org.apache.xerces.parsers.DOMParser; +import org.apache.xpath.XPathAPI; +import org.w3c.dom.DOMException; +import org.w3c.dom.Document; +import org.w3c.dom.Element; +import org.w3c.dom.Node; +import org.w3c.dom.NodeList; +import org.xml.sax.InputSource; +import org.xml.sax.SAXException; +import org.xml.sax.SAXNotRecognizedException; +import org.xml.sax.SAXNotSupportedException; + +import at.gv.egovernment.moa.id.auth.validator.parep.client.szrgw.SZRGWSecureSocketFactory; +import at.gv.egovernment.moa.logging.Logger; +import at.gv.egovernment.moa.util.DOMUtils; + + +public class MISSimpleClient { + + + private final static String SOAP_NS = "http://schemas.xmlsoap.org/soap/envelope/"; + private final static String MIS_NS = "http://reference.e-government.gv.at/namespace/mandates/mis/1.0/xsd"; + + private static Element NS_NODE = null; + + + static { + try { + NS_NODE = DocumentBuilderFactory.newInstance().newDocumentBuilder().newDocument().createElement("test"); + NS_NODE.setAttribute("xmlns:soap", SOAP_NS); + NS_NODE.setAttribute("xmlns:mis", MIS_NS); + } catch (Exception e) { + Logger.warn("Error initializing namespace node.", e); + } + } + + public static List sendGetMandatesRequest(String webServiceURL, String sessionId, SSLSocketFactory sSLSocketFactory) throws MISSimpleClientException { + if (webServiceURL == null) { + throw new NullPointerException("Argument webServiceURL must not be null."); + } + if (sessionId == null) { + throw new NullPointerException("Argument sessionId must not be null."); + } + + // ssl settings + if (sSLSocketFactory != null) { + SZRGWSecureSocketFactory fac = new SZRGWSecureSocketFactory(sSLSocketFactory); + Protocol.registerProtocol("https", new Protocol("https", fac, 443)); + } + + + try { + Document doc = DocumentBuilderFactory.newInstance().newDocumentBuilder().newDocument(); + Element mirElement = doc.createElementNS(MIS_NS, "MandateIssueRequest"); + Element sessionIdElement = doc.createElementNS(MIS_NS, "SessionID"); + sessionIdElement.appendChild(doc.createTextNode(sessionId)); + mirElement.appendChild(sessionIdElement); + + // send soap request + Element mandateIssueResponseElement = sendSOAPRequest(webServiceURL, mirElement); + + // check for error + checkForError(mandateIssueResponseElement); + + // check for session id + NodeList mandateElements = XPathAPI.selectNodeList(mandateIssueResponseElement, "//mis:MandateIssueResponse/mis:Mandates/mis:Mandate", NS_NODE); + + if (mandateElements == null || mandateElements.getLength() == 0) { + throw new MISSimpleClientException("No mandates found in response."); + } + + ArrayList foundMandates = new ArrayList(); + for (int i=0; i 0) { + Element certElement = doc.createElementNS(MIS_NS, "X509SignatureCertificate"); + certElement.appendChild(doc.createTextNode(new String(Base64.encodeBase64(cert)))); + //certElement.appendChild(doc.createTextNode(Base64.encodeBase64(cert))); + // certElement.appendChild(doc.createTextNode(new String(Base64.encodeBase64(cert)))); + mirElement.appendChild(certElement); + } + Element redirectElement = doc.createElementNS(MIS_NS, "RedirectURL"); + redirectElement.appendChild(doc.createTextNode(redirectURL)); + mirElement.appendChild(redirectElement); + if (mandateIdentifier != null && mandateIdentifier.length > 0) { + Element filtersElement = doc.createElementNS(MIS_NS, "Filters"); + Element mandateIdentifiersElement = doc.createElementNS(MIS_NS, "MandateIdentifiers"); + for (int i=0; iURL "{0}" Interne Fehlermeldung: {1} auth.12=Fehlerhafter Parameter "{1}" beim Aufruf von "{0}" +auth.13=Vollmachtenmodus für ausländische Bürger wird nicht unterstützt. +auth.14=Zertifikat konnte nicht ausgelesen werden. +auth.15=Fehler bei Anfrage an Vollmachten Service. +auth.16=Fehler bei Abarbeitung der Vollmacht in "{0}" init.00=MOA ID Authentisierung wurde erfolgreich gestartet init.01=Fehler beim Aktivieren des IAIK-JCE/JSSE/JDK1.3 Workaround: SSL ist möglicherweise nicht verfügbar diff --git a/id/server/idserverlib/src/test/java/test/abnahme/A/Test100StartAuthentication.java b/id/server/idserverlib/src/test/java/test/abnahme/A/Test100StartAuthentication.java index 6ab9c9679..4293fc477 100644 --- a/id/server/idserverlib/src/test/java/test/abnahme/A/Test100StartAuthentication.java +++ b/id/server/idserverlib/src/test/java/test/abnahme/A/Test100StartAuthentication.java @@ -37,7 +37,7 @@ public class Test100StartAuthentication extends AbnahmeTestCase { "http://localhost:9080/", //oaURL "file:" + findXmldata("AuthTemplate.html"), "http://localhost:3495/http-security-layer-request", - null, null); + null, null, null); htmlForm = killExclusive(htmlForm, "MOASessionID=","\"","DELETED"); //writeXmldata("htmlForm_out.html",htmlForm.getBytes("UTF-8")); assertEquals(readXmldata("htmlForm.html"),htmlForm); @@ -55,7 +55,7 @@ public class Test100StartAuthentication extends AbnahmeTestCase { "gb", //target "http://localhost:9080/", //oaURL null, - "http://localhost:3495/http-security-layer-request", null, null); + "http://localhost:3495/http-security-layer-request", null, null, null); htmlForm = killExclusive(htmlForm, "MOASessionID=","\"","DELETED"); //writeXmldata("htmlForm_out.html",htmlForm.getBytes("UTF-8")); assertEquals(readXmldata("htmlForm.html"),htmlForm); @@ -75,7 +75,7 @@ public class Test100StartAuthentication extends AbnahmeTestCase { "file:" + findXmldata("AuthTemplate.html"), null, null, - null); + null, null); htmlForm = killExclusive(htmlForm, "MOASessionID=","\"","DELETED"); //writeXmldata("htmlForm_out.html",htmlForm.getBytes("UTF-8")); assertEquals(readXmldata("htmlForm.html"),htmlForm); @@ -93,7 +93,7 @@ public class Test100StartAuthentication extends AbnahmeTestCase { server.startAuthentication(null, //authURL "gb", //target "http://localhost:9080/", //oaURL - null, null, null, null); + null, null, null, null, null); //assertEquals("",htmlForm); System.err.println(this.getName() + " hat KEINE FEHLER geworfen"); fail(this.getName() + " hat KEINE FEHLER geworfen"); @@ -113,7 +113,7 @@ public class Test100StartAuthentication extends AbnahmeTestCase { try { server.startAuthentication("http://localhost:8080/auth", //authURL "gb", "http://localhost:9080/", //oaURL - null, null, null, null); + null, null, null, null, null); System.err.println(this.getName() + " hat KEINE FEHLER geworfen"); fail(this.getName() + " hat KEINE FEHLER geworfen"); } @@ -131,7 +131,7 @@ public class Test100StartAuthentication extends AbnahmeTestCase { try { server.startAuthentication("https://localhost:8443/auth", //authURL "gb", "http://host_not_in_config/", //oaURL - null, null, null, null); + null, null, null, null, null); System.err.println(this.getName() + " hat KEINE FEHLER geworfen"); fail(this.getName() + " hat KEINE FEHLER geworfen"); } @@ -150,7 +150,7 @@ public class Test100StartAuthentication extends AbnahmeTestCase { try { server.startAuthentication("https://localhost:8443/auth", //authURL "gb", null, //oaURL - null, null, null, null); + null, null, null, null, null); System.err.println(this.getName() + " hat KEINE FEHLER geworfen"); fail(this.getName() + " hat KEINE FEHLER geworfen"); } @@ -169,7 +169,7 @@ public class Test100StartAuthentication extends AbnahmeTestCase { try { server.startAuthentication("https://localhost:8443/auth", //authURL null, "http://localhost:9080/", //oaURL - null, null, null, null); + null, null, null, null, null); System.err.println(this.getName() + " hat KEINE FEHLER geworfen"); fail(this.getName() + " hat KEINE FEHLER geworfen"); } diff --git a/id/server/idserverlib/src/test/java/test/abnahme/AbnahmeTestCase.java b/id/server/idserverlib/src/test/java/test/abnahme/AbnahmeTestCase.java index 23130f4c8..4ef3ad92f 100644 --- a/id/server/idserverlib/src/test/java/test/abnahme/AbnahmeTestCase.java +++ b/id/server/idserverlib/src/test/java/test/abnahme/AbnahmeTestCase.java @@ -131,6 +131,7 @@ public class AbnahmeTestCase extends MOAIDTestCase { null, null, null, + null, null); String sessionID = parseSessionIDFromForm(htmlForm); return sessionID; diff --git a/id/server/idserverlib/src/test/java/test/abnahme/P/Test100LoginParameterResolver.java b/id/server/idserverlib/src/test/java/test/abnahme/P/Test100LoginParameterResolver.java index ab2781590..248e5cc33 100644 --- a/id/server/idserverlib/src/test/java/test/abnahme/P/Test100LoginParameterResolver.java +++ b/id/server/idserverlib/src/test/java/test/abnahme/P/Test100LoginParameterResolver.java @@ -14,19 +14,8 @@ * limitations under the License. */ package test.abnahme.P; -import java.util.Map; - -import sun.misc.BASE64Decoder; import test.abnahme.AbnahmeTestCase; -import at.gv.egovernment.moa.id.config.proxy.OAConfiguration; -import at.gv.egovernment.moa.id.config.proxy.OAProxyParameter; -import at.gv.egovernment.moa.id.config.proxy.ProxyConfigurationProvider; -import at.gv.egovernment.moa.id.data.AuthenticationData; -import at.gv.egovernment.moa.id.proxy.LoginParameterResolver; -import at.gv.egovernment.moa.id.proxy.LoginParameterResolverFactory; -import at.gv.egovernment.moa.util.Base64Utils; - /** * @author Stefan Knirsch * @version $Id$ @@ -35,127 +24,127 @@ import at.gv.egovernment.moa.util.Base64Utils; public class Test100LoginParameterResolver extends AbnahmeTestCase { - private static final String CLIENT_IP_ADDRESS = "56.246.75.11"; - private OAConfiguration oaConf; - private LoginParameterResolver lpr; - +// private static final String CLIENT_IP_ADDRESS = "56.246.75.11"; +// private OAConfiguration oaConf; +// private LoginParameterResolver lpr; +// public Test100LoginParameterResolver(String name) { super(name); } - - private void setUp(String publicURLPrefix) - throws Exception { - - // get configuration data - ProxyConfigurationProvider proxyConf = ProxyConfigurationProvider.getInstance(); - OAProxyParameter oaParam = proxyConf.getOnlineApplicationParameter(publicURLPrefix); - oaConf = oaParam.getOaConfiguration(); - System.out.println("Parameterübergabe: " + oaConf.getAuthType()); - - // get login parameter resolver - LoginParameterResolverFactory.initialize(); - lpr = LoginParameterResolverFactory.getLoginParameterResolver(publicURLPrefix); - } - public void testP101() throws Exception { - try { - // read configuration and set up LoginParameterResolver - setUp("https://testP101:9443/"); - if (! oaConf.getAuthType().equals(OAConfiguration.BASIC_AUTH)) - fail(); - - // assemble authentication data - AuthenticationData authData = new AuthenticationData(); - authData.setFamilyName("Huber"); - authData.setGivenName("Hugo"); - - // resolve login headers - Map loginHeaders = lpr.getAuthenticationHeaders(oaConf, authData, CLIENT_IP_ADDRESS, false, ""); - - // validate login headers - assertEquals(1, loginHeaders.keySet().size()); - System.out.println("Header Authorization: " + loginHeaders.get("Authorization")); - System.out.println("Decoded UserID:Password " + - new String(new BASE64Decoder().decodeBuffer(((String)loginHeaders.get("Authorization")).substring(6)))); - String userIDPassword = "Hugo:Huber"; - String credentials = Base64Utils.encode(userIDPassword.getBytes()); - assertEquals("Basic " + credentials, loginHeaders.get("Authorization")); - System.out.println("-----------------------Testfall " + this.getName() + " erfolgreich abgearbeitet! -----------------------"); - } - catch (Exception e) { - System.err.println("------ FEHLER IN " + this.getName() + ":" + e.getLocalizedMessage()); - throw e; - } - - } - public void testP102() throws Exception { - try { - // read configuration and set up LoginParameterResolver - setUp("https://testP102:9443/"); - if (! oaConf.getAuthType().equals(OAConfiguration.PARAM_AUTH)) - fail(); - - // assemble authentication data - AuthenticationData authData = new AuthenticationData(); - String DATE_OF_BIRTH = "1963-12-29"; - String VPK = "kp6hOq6LRAkLtrqm6EvDm6bMwJw="; - authData.setDateOfBirth(DATE_OF_BIRTH); - authData.setBPK(VPK); - - // resolve login parameters - Map loginParameters = lpr.getAuthenticationParameters(oaConf, authData, CLIENT_IP_ADDRESS, false, ""); - - // validate login headers - assertEquals(2, loginParameters.keySet().size()); - System.out.println("Param1: " + loginParameters.get("Param1")); - System.out.println("Param2: " + loginParameters.get("Param2")); - assertEquals(DATE_OF_BIRTH, loginParameters.get("Param1")); - assertEquals(VPK, loginParameters.get("Param2")); - System.out.println("-----------------------Testfall " + this.getName() + " erfolgreich abgearbeitet! -----------------------"); - } - catch (Exception e) { - System.err.println("------ FEHLER IN " + this.getName() + ":" + e.getLocalizedMessage()); - throw e; - } - } - - public void testP103() throws Exception { - try { - // read configuration and set up LoginParameterResolver - setUp("https://localhost:9443/"); - if (! oaConf.getAuthType().equals(OAConfiguration.HEADER_AUTH)) - fail(); - - // assemble authentication data - AuthenticationData authData = new AuthenticationData(); - boolean PUBLIC_AUTH = true; - String BKZ = "FinanzamtWien23Leitstelle"; - boolean QUAL_CERT = false; - String STAMMZAHL = "3456789012"; - authData.setPublicAuthority(PUBLIC_AUTH); - authData.setPublicAuthorityCode(BKZ); - authData.setQualifiedCertificate(QUAL_CERT); - authData.setIdentificationValue(STAMMZAHL); - - // resolve login headers - Map loginHeaders = lpr.getAuthenticationHeaders(oaConf, authData, CLIENT_IP_ADDRESS, false, ""); - - // validate login headers - assertEquals(5, loginHeaders.keySet().size()); - System.out.println("Header Param1: " + loginHeaders.get("Param1")); - System.out.println("Header Param2: " + loginHeaders.get("Param2")); - System.out.println("Header Param3: " + loginHeaders.get("Param3")); - System.out.println("Header Param4: " + loginHeaders.get("Param4")); - System.out.println("Header Param5: " + loginHeaders.get("Param5")); - assertEquals(String.valueOf(PUBLIC_AUTH), loginHeaders.get("Param1")); - assertEquals(BKZ, loginHeaders.get("Param2")); - assertEquals(String.valueOf(QUAL_CERT), loginHeaders.get("Param3")); - assertEquals(STAMMZAHL, loginHeaders.get("Param4")); - assertEquals(CLIENT_IP_ADDRESS, loginHeaders.get("Param5")); - System.out.println("-----------------------Testfall " + this.getName() + " erfolgreich abgearbeitet! -----------------------"); - } - catch (Exception e) { - System.err.println("------ FEHLER IN " + this.getName() + ":" + e.getLocalizedMessage()); - throw e; - } - } +// +// private void setUp(String publicURLPrefix) +// throws Exception { +// +// // get configuration data +// ProxyConfigurationProvider proxyConf = ProxyConfigurationProvider.getInstance(); +// OAProxyParameter oaParam = proxyConf.getOnlineApplicationParameter(publicURLPrefix); +// oaConf = oaParam.getOaConfiguration(); +// System.out.println("Parameterübergabe: " + oaConf.getAuthType()); +// +// // get login parameter resolver +// LoginParameterResolverFactory.initialize(); +// lpr = LoginParameterResolverFactory.getLoginParameterResolver(publicURLPrefix); +// } +// public void testP101() throws Exception { +// try { +// // read configuration and set up LoginParameterResolver +// setUp("https://testP101:9443/"); +// if (! oaConf.getAuthType().equals(OAConfiguration.BASIC_AUTH)) +// fail(); +// +// // assemble authentication data +// AuthenticationData authData = new AuthenticationData(); +// authData.setFamilyName("Huber"); +// authData.setGivenName("Hugo"); +// +// // resolve login headers +// Map loginHeaders = lpr.getAuthenticationHeaders(oaConf, authData, CLIENT_IP_ADDRESS, false, ""); +// +// // validate login headers +// assertEquals(1, loginHeaders.keySet().size()); +// System.out.println("Header Authorization: " + loginHeaders.get("Authorization")); +// System.out.println("Decoded UserID:Password " + +// new String(new BASE64Decoder().decodeBuffer(((String)loginHeaders.get("Authorization")).substring(6)))); +// String userIDPassword = "Hugo:Huber"; +// String credentials = Base64Utils.encode(userIDPassword.getBytes()); +// assertEquals("Basic " + credentials, loginHeaders.get("Authorization")); +// System.out.println("-----------------------Testfall " + this.getName() + " erfolgreich abgearbeitet! -----------------------"); +// } +// catch (Exception e) { +// System.err.println("------ FEHLER IN " + this.getName() + ":" + e.getLocalizedMessage()); +// throw e; +// } +// +// } +// public void testP102() throws Exception { +// try { +// // read configuration and set up LoginParameterResolver +// setUp("https://testP102:9443/"); +// if (! oaConf.getAuthType().equals(OAConfiguration.PARAM_AUTH)) +// fail(); +// +// // assemble authentication data +// AuthenticationData authData = new AuthenticationData(); +// String DATE_OF_BIRTH = "1963-12-29"; +// String VPK = "kp6hOq6LRAkLtrqm6EvDm6bMwJw="; +// authData.setDateOfBirth(DATE_OF_BIRTH); +// authData.setBPK(VPK); +// +// // resolve login parameters +// Map loginParameters = lpr.getAuthenticationParameters(oaConf, authData, CLIENT_IP_ADDRESS, false, ""); +// +// // validate login headers +// assertEquals(2, loginParameters.keySet().size()); +// System.out.println("Param1: " + loginParameters.get("Param1")); +// System.out.println("Param2: " + loginParameters.get("Param2")); +// assertEquals(DATE_OF_BIRTH, loginParameters.get("Param1")); +// assertEquals(VPK, loginParameters.get("Param2")); +// System.out.println("-----------------------Testfall " + this.getName() + " erfolgreich abgearbeitet! -----------------------"); +// } +// catch (Exception e) { +// System.err.println("------ FEHLER IN " + this.getName() + ":" + e.getLocalizedMessage()); +// throw e; +// } +// } +// +// public void testP103() throws Exception { +// try { +// // read configuration and set up LoginParameterResolver +// setUp("https://localhost:9443/"); +// if (! oaConf.getAuthType().equals(OAConfiguration.HEADER_AUTH)) +// fail(); +// +// // assemble authentication data +// AuthenticationData authData = new AuthenticationData(); +// boolean PUBLIC_AUTH = true; +// String BKZ = "FinanzamtWien23Leitstelle"; +// boolean QUAL_CERT = false; +// String STAMMZAHL = "3456789012"; +// authData.setPublicAuthority(PUBLIC_AUTH); +// authData.setPublicAuthorityCode(BKZ); +// authData.setQualifiedCertificate(QUAL_CERT); +// authData.setIdentificationValue(STAMMZAHL); +// +// // resolve login headers +// Map loginHeaders = lpr.getAuthenticationHeaders(oaConf, authData, CLIENT_IP_ADDRESS, false, ""); +// +// // validate login headers +// assertEquals(5, loginHeaders.keySet().size()); +// System.out.println("Header Param1: " + loginHeaders.get("Param1")); +// System.out.println("Header Param2: " + loginHeaders.get("Param2")); +// System.out.println("Header Param3: " + loginHeaders.get("Param3")); +// System.out.println("Header Param4: " + loginHeaders.get("Param4")); +// System.out.println("Header Param5: " + loginHeaders.get("Param5")); +// assertEquals(String.valueOf(PUBLIC_AUTH), loginHeaders.get("Param1")); +// assertEquals(BKZ, loginHeaders.get("Param2")); +// assertEquals(String.valueOf(QUAL_CERT), loginHeaders.get("Param3")); +// assertEquals(STAMMZAHL, loginHeaders.get("Param4")); +// assertEquals(CLIENT_IP_ADDRESS, loginHeaders.get("Param5")); +// System.out.println("-----------------------Testfall " + this.getName() + " erfolgreich abgearbeitet! -----------------------"); +// } +// catch (Exception e) { +// System.err.println("------ FEHLER IN " + this.getName() + ":" + e.getLocalizedMessage()); +// throw e; +// } +// } } diff --git a/id/server/idserverlib/src/test/java/test/at/gv/egovernment/moa/id/auth/AuthenticationServerTest.java b/id/server/idserverlib/src/test/java/test/at/gv/egovernment/moa/id/auth/AuthenticationServerTest.java index f873f2c3f..db7aa9719 100644 --- a/id/server/idserverlib/src/test/java/test/at/gv/egovernment/moa/id/auth/AuthenticationServerTest.java +++ b/id/server/idserverlib/src/test/java/test/at/gv/egovernment/moa/id/auth/AuthenticationServerTest.java @@ -45,7 +45,7 @@ public class AuthenticationServerTest extends UnitTestCase { public void doTest(String testdataDirectory, String authURL, String target, String oaURL, String bkuURL, String templateURL) throws Exception { String testdataRoot = TESTDATA_ROOT + "xmldata/" + testdataDirectory + "/"; AuthenticationServer server = AuthenticationServer.getInstance(); - String htmlForm = server.startAuthentication(authURL, target, oaURL, templateURL, bkuURL, null, null); + String htmlForm = server.startAuthentication(authURL, target, oaURL, templateURL, bkuURL, null, null, null); String sessionID = parseSessionIDFromForm(htmlForm); String infoboxReadResponse = readFile(TESTDATA_ROOT + "xmldata/testperson1/" + "InfoboxReadResponse.xml"); HashMap parameters = new HashMap(1); diff --git a/pom.xml b/pom.xml index e60eeb382..c0df961d2 100644 --- a/pom.xml +++ b/pom.xml @@ -242,19 +242,19 @@ iaik.prod iaik_jce_full - 3.18_MOA + 4.0_MOA compile iaik.prod iaik_moa - 1.28 + 1.29 compile iaik.prod iaik_cms - 4.01_MOA + 4.1_MOA compile diff --git a/repository/iaik/prod/iaik_cms/4.1_MOA/iaik_cms-4.1_MOA.jar b/repository/iaik/prod/iaik_cms/4.1_MOA/iaik_cms-4.1_MOA.jar new file mode 100644 index 000000000..8d41ba860 Binary files /dev/null and b/repository/iaik/prod/iaik_cms/4.1_MOA/iaik_cms-4.1_MOA.jar differ diff --git a/repository/iaik/prod/iaik_cms/4.1_MOA/iaik_cms-4.1_MOA.pom b/repository/iaik/prod/iaik_cms/4.1_MOA/iaik_cms-4.1_MOA.pom new file mode 100644 index 000000000..19c21e912 --- /dev/null +++ b/repository/iaik/prod/iaik_cms/4.1_MOA/iaik_cms-4.1_MOA.pom @@ -0,0 +1,6 @@ + + 4.0.0 + iaik.prod + iaik_cms + 4.1_MOA + \ No newline at end of file diff --git a/repository/iaik/prod/iaik_cms/maven-metadata.xml b/repository/iaik/prod/iaik_cms/maven-metadata.xml index 8e46e3d1f..4a224aeab 100644 --- a/repository/iaik/prod/iaik_cms/maven-metadata.xml +++ b/repository/iaik/prod/iaik_cms/maven-metadata.xml @@ -1,13 +1,14 @@ iaik.prod iaik_cms - 4.0_MOA + 4.1_MOA - 4.0_MOA - 4.0_MOA + 4.1_MOA + 4.1_MOA 4.0_MOA 4.01_MOA + 4.1_MOA 20080423102941 diff --git a/repository/iaik/prod/iaik_jce_full/4.0_MOA/iaik_jce_full-4.0_MOA.jar b/repository/iaik/prod/iaik_jce_full/4.0_MOA/iaik_jce_full-4.0_MOA.jar new file mode 100644 index 000000000..bacb70edc Binary files /dev/null and b/repository/iaik/prod/iaik_jce_full/4.0_MOA/iaik_jce_full-4.0_MOA.jar differ diff --git a/repository/iaik/prod/iaik_jce_full/4.0_MOA/iaik_jce_full-4.0_MOA.pom b/repository/iaik/prod/iaik_jce_full/4.0_MOA/iaik_jce_full-4.0_MOA.pom new file mode 100644 index 000000000..9610b3951 --- /dev/null +++ b/repository/iaik/prod/iaik_jce_full/4.0_MOA/iaik_jce_full-4.0_MOA.pom @@ -0,0 +1,6 @@ + + 4.0.0 + iaik.prod + iaik_jce_full + 4.0_MOA + \ No newline at end of file diff --git a/repository/iaik/prod/iaik_jce_full/maven-metadata-central.xml b/repository/iaik/prod/iaik_jce_full/maven-metadata-central.xml index c277a0cab..2726eb212 100644 --- a/repository/iaik/prod/iaik_jce_full/maven-metadata-central.xml +++ b/repository/iaik/prod/iaik_jce_full/maven-metadata-central.xml @@ -1,13 +1,14 @@ iaik.prod iaik_jce_full - 3.18_MOA + 4.0_MOA - 3.18_MOA + 4.0_MOA 3.18_MOA 3.16_MOA 3.18_MOA + 4.0_MOA 20090810170702 diff --git a/repository/iaik/prod/iaik_jce_full/maven-metadata.xml b/repository/iaik/prod/iaik_jce_full/maven-metadata.xml index c277a0cab..f3091eb4f 100644 --- a/repository/iaik/prod/iaik_jce_full/maven-metadata.xml +++ b/repository/iaik/prod/iaik_jce_full/maven-metadata.xml @@ -1,13 +1,14 @@ iaik.prod iaik_jce_full - 3.18_MOA + 4.0_MOA - 3.18_MOA - 3.18_MOA + 4.0_MOA + 4.0_MOA 3.16_MOA 3.18_MOA + 4.0_MOA 20090810170702 diff --git a/repository/iaik/prod/iaik_moa/1.29/iaik_moa-1.29.jar b/repository/iaik/prod/iaik_moa/1.29/iaik_moa-1.29.jar new file mode 100644 index 000000000..95a6773a6 Binary files /dev/null and b/repository/iaik/prod/iaik_moa/1.29/iaik_moa-1.29.jar differ diff --git a/repository/iaik/prod/iaik_moa/1.29/iaik_moa-1.29.pom b/repository/iaik/prod/iaik_moa/1.29/iaik_moa-1.29.pom new file mode 100644 index 000000000..e94fe3f49 --- /dev/null +++ b/repository/iaik/prod/iaik_moa/1.29/iaik_moa-1.29.pom @@ -0,0 +1,6 @@ + + 4.0.0 + iaik.prod + iaik_moa + 1.29 + \ No newline at end of file diff --git a/repository/iaik/prod/iaik_moa/maven-metadata-MOA.xml b/repository/iaik/prod/iaik_moa/maven-metadata-MOA.xml index 1126afd0e..32e4aad37 100644 --- a/repository/iaik/prod/iaik_moa/maven-metadata-MOA.xml +++ b/repository/iaik/prod/iaik_moa/maven-metadata-MOA.xml @@ -9,6 +9,7 @@ 1.26 1.27 1.28 + 1.29 20090810074128 diff --git a/repository/iaik/prod/iaik_moa/maven-metadata-local.xml b/repository/iaik/prod/iaik_moa/maven-metadata-local.xml index ba853331b..ced753edc 100644 --- a/repository/iaik/prod/iaik_moa/maven-metadata-local.xml +++ b/repository/iaik/prod/iaik_moa/maven-metadata-local.xml @@ -2,10 +2,10 @@ iaik.prod iaik_moa - 1.28 + 1.29 - 1.28 + 1.29 20100618102247 diff --git a/spss/pom.xml b/spss/pom.xml index ce76a939d..c5ecda04d 100644 --- a/spss/pom.xml +++ b/spss/pom.xml @@ -10,7 +10,7 @@ MOA spss pom - 1.5.x + 1.5.0 MOA SP/SS diff --git a/spss/server/history.txt b/spss/server/history.txt index 8230358e9..52790e1d1 100644 --- a/spss/server/history.txt +++ b/spss/server/history.txt @@ -4,7 +4,9 @@ - Fixed Bug #548 (http://egovlabs.gv.at/tracker/index.php?func=detail&aid=548&group_id=6&atid=105) - IAIK Libraries aktualisiert: - iaik-moa: @TODO + iaik-moa: Version 1.29 + iaik_jce_full: Version 4.0_MOA + iaik_cms: Version 4.1_MOA ############## diff --git a/spss/server/readme.update.txt b/spss/server/readme.update.txt index 56015c35d..703de0dc0 100644 --- a/spss/server/readme.update.txt +++ b/spss/server/readme.update.txt @@ -1,11 +1,11 @@ ====================================================================== - Update einer bestehenden MOA-SPSS-Installation auf Version 1.4.8 + Update einer bestehenden MOA-SPSS-Installation auf Version 1.5.0 ====================================================================== Es gibt zwei Möglichkeiten (im Folgenden als "Update Variante A" und "Update Variante B" bezeichnet), das Update von MOA-SPSS auf Version -1.4.8 durchzuführen. Update Variante A geht dabei den Weg über eine +1.5.0 durchzuführen. Update Variante A geht dabei den Weg über eine vorangestellte Neuinstallation, während Variante B direkt eine bestehende Installation aktualisiert. @@ -16,7 +16,7 @@ JAVA_HOME bezeichnet das Wurzelverzeichnis der JDK-Installation CATALINA_HOME bezeichnet das Wurzelverzeichnis der Tomcat-Installation MOA_SPSS_INST bezeichnet das Verzeichnis, in das Sie die Datei -moa-spss-1.4.8.zip entpackt haben. +moa-spss-1.5.0.zip entpackt haben. ================= Update Variante A @@ -53,7 +53,7 @@ Update Variante B 1.) Erstellen Sie eine Sicherungskopie des kompletten Tomcat-Verzeichnisses Ihrer MOA-SPSS-Installation. -2.) Entpacken Sie die Datei "moa-spss-1.4.8.zip" in das Verzeichnis MOA_SPSS_INST. +2.) Entpacken Sie die Datei "moa-spss-1.5.0.zip" in das Verzeichnis MOA_SPSS_INST. 3.) Erstellen Sie eine Sicherungskopie aller "iaik*.jar"-Dateien im Verzeichnis JAVA_HOME\jre\lib\ext und löschen Sie diese Dateien danach. diff --git a/spss/server/serverlib/src/main/java/at/gv/egovernment/moa/spss/server/invoke/DataObjectFactory.java b/spss/server/serverlib/src/main/java/at/gv/egovernment/moa/spss/server/invoke/DataObjectFactory.java index 566784796..f6b8b4392 100644 --- a/spss/server/serverlib/src/main/java/at/gv/egovernment/moa/spss/server/invoke/DataObjectFactory.java +++ b/spss/server/serverlib/src/main/java/at/gv/egovernment/moa/spss/server/invoke/DataObjectFactory.java @@ -27,10 +27,11 @@ import java.util.HashMap; import java.util.Iterator; import java.util.List; import java.util.Map; -import java.util.Vector; import javax.xml.parsers.ParserConfigurationException; +import org.apache.xerces.dom.CoreDocumentImpl; +import org.w3c.dom.Attr; import org.w3c.dom.Document; import org.w3c.dom.Element; import org.w3c.dom.Node; @@ -70,19 +71,30 @@ import at.gv.egovernment.moa.util.XPathUtils; /** * A class to create DataObjects contained in different * locations of the MOA XML request format. - * + * * @author Patrick Peck * @author Gregor Karlinger * @version $Id$ */ public class DataObjectFactory { + /** + * XPATH for registering ID attributes of known schemas if + * validating parsing fails. + */ + private static final String XPATH = + "descendant-or-self::node()[" + + "namespace-uri()='http://www.w3.org/2000/09/xmldsig#' " + + "or namespace-uri()='http://reference.e-government.gv.at/namespace/persondata/20020228#' " + + "or starts-with(namespace-uri(), 'http://uri.etsi.org/01903/')" + + "]/attribute::Id"; + /** The single instance of this class. */ private static DataObjectFactory instance = null; /** * Return the only instance of this class. - * + * * @return The only instance of this class. */ public static synchronized DataObjectFactory getInstance() { @@ -94,7 +106,7 @@ public class DataObjectFactory { /** * Create a new DataObjectFactory. - * + * * Protected to disallow multiple instances. */ protected DataObjectFactory() { @@ -104,8 +116,8 @@ public class DataObjectFactory { * Return the signature environment, i.e., the root element of the * document, into which the signature will be inserted (if created) or which * contains the signature (if verified). - * - * @param content The Content object containing the signature + * + * @param content The Content object containing the signature * environment. * @param supplements Additional schema or DTD information. * @return The signature environment or null, if no @@ -128,7 +140,7 @@ public class DataObjectFactory { checkAllowContentAndReference(content, false); // build the EntityResolver for validating parsing - if (supplements == null || supplements.isEmpty()) { + if ((supplements == null) || supplements.isEmpty()) { entityResolver = new MOAEntityResolver(); } else { EntityResolverChain chain = new EntityResolverChain(); @@ -195,7 +207,7 @@ public class DataObjectFactory { Element element = checkForSingleElement(((ContentXML) content).getXMLContent()); contentBytes = DOMUtils.serializeNode(element, "UTF-8"); - + break; } default : { @@ -208,25 +220,27 @@ public class DataObjectFactory { throw new MOAApplicationException("2219", null); } - // For logging in Debug-Mode: Mask baseid with xxx - String logString = new String(contentBytes); - // TODO use RegExp - String startS = ""; - String endS = "urn:publicid:gv.at:baseid"; - String logWithMaskedBaseid = logString; - int start = logString.indexOf(startS); - if (start > -1) { - int end = logString.indexOf(endS); - if (end > -1) { + if (Logger.isTraceEnabled()) { + // For logging in Debug-Mode: Mask baseid with xxx + String logString = new String(contentBytes); + // TODO use RegExp + String startS = ""; + String endS = "urn:publicid:gv.at:baseid"; + String logWithMaskedBaseid = logString; + int start = logString.indexOf(startS); + if (start > -1) { + int end = logString.indexOf(endS); + if (end > -1) { logWithMaskedBaseid = logString.substring(0, start); logWithMaskedBaseid += startS; logWithMaskedBaseid += "xxxxxxxxxxxxxxxxxxxxxxxx"; logWithMaskedBaseid += logString.substring(end, logString.length()); - } + } + } + + // try to parse validating + Logger.trace(">>> parsing the following content: \n" + logWithMaskedBaseid); } - - // try to parse validating - Logger.trace(">>> parsing the following content: \n" + logWithMaskedBaseid); try { ByteArrayInputStream is = new ByteArrayInputStream(contentBytes); Document doc = @@ -250,6 +264,21 @@ public class DataObjectFactory { try { ByteArrayInputStream is = new ByteArrayInputStream(contentBytes); Document doc = DOMUtils.parseDocument(is, false, null, null); + // Since the parse tree will not contain any post schema validation information, + // we need to register any attributes known to be of type xsd:Id manually. + NodeList idAttributes = XPathUtils.selectNodeList(doc.getDocumentElement(), XPATH); + for (int i = 0; i < idAttributes.getLength(); i++) { + Node item = idAttributes.item(i); + if (item instanceof Attr) { + Attr attr = (Attr) item; + Element owner = attr.getOwnerElement(); + // Only available in DOM-Level 3 (Java 1.5): + // owner.setIdAttributeNode(attr, true); + if (doc instanceof CoreDocumentImpl) { + ((CoreDocumentImpl) doc).putIdentifier(attr.getValue(), owner); + } + } + } return new XMLDataObjectImpl(doc.getDocumentElement()); } catch (Exception e) { throw new MOAApplicationException("2218", null); @@ -258,11 +287,11 @@ public class DataObjectFactory { /** * Create an XMLDataObject from the given signature environment. - * + * * @param signatureEnvironment The signature environment contained in the * result. * @param uri The URI identifying the data. This must be either the empty - * URI, an URI starting with "#xpointer", "#xmlns" + * URI, an URI starting with "#xpointer", "#xmlns" * or "#element"; or an URI starting with "#" and * followed by an element ID. * @param referenceID The reference ID to set for the data object. @@ -312,16 +341,16 @@ public class DataObjectFactory { } /** - * Build a StreamEntityResolver from a List of + * Build a StreamEntityResolver from a List of * supplements. - * - * @param supplements The supplements, given as + * + * @param supplements The supplements, given as * XMLDataObjectAssociations. * @return A StreamEntityResolver mapping the supplements by * their reference URI to an InputStream of their respective - * content. + * content. */ - private static StreamEntityResolver buildSupplementEntityResolver(List supplements) + private static StreamEntityResolver buildSupplementEntityResolver(List supplements) throws MOAApplicationException { Map entities = new HashMap(); @@ -342,10 +371,10 @@ public class DataObjectFactory { case Content.LOCREF_CONTENT: { String locRefURI = ((ContentLocRef) content).getLocationReferenceURI(); - + TransactionContext context = TransactionContextManager.getInstance().getTransactionContext(); if (context.FindResolvedEntity(locRefURI)==null) { - + ExternalURIResolver uriResolver = new ExternalURIResolver(); InputStream uriStream = null; byte[] contentBytes; @@ -378,17 +407,18 @@ public class DataObjectFactory { int i = 0; // find the first element node - while (i < nodes.getLength() - && nodes.item(i).getNodeType() != Node.ELEMENT_NODE) + while ((i < nodes.getLength()) + && (nodes.item(i).getNodeType() != Node.ELEMENT_NODE)) { i++; + } // serialize the node if (i < nodes.getLength()) { - try + try { byte[] serialized = DOMUtils.serializeNode(nodes.item(i), "UTF-8"); entities.put(reference, new ByteArrayInputStream(serialized)); - } + } catch (Exception e) { throw new MOAApplicationException("2281", new Object[]{reference}, e); @@ -404,7 +434,7 @@ public class DataObjectFactory { /** * Create a DataObject from a Content object. - * + * * @param content The Content object containing the data. * @param finalDataMetaInfo The meta information corresponding with content. * @param referenceID The reference ID to set in the resulting @@ -452,10 +482,10 @@ public class DataObjectFactory { checkAllowContentAndReference(content, allowContentAndReference); // ok, build the data object; use content first, if available - switch (content.getContentType()) + switch (content.getContentType()) { case Content.XML_CONTENT : - { + { ContentXML contentXml = (ContentXML) content; dataObject = createFromXmlContent(contentXml, xmlAsNodeList); break; @@ -499,7 +529,7 @@ public class DataObjectFactory { /** * Check, if content and reference URIs are allowed in the content an throw * an exception if an illegal combination of the two occurs. - * + * * @param content The Content to check. * @param allowContentAndReference Whether explicit content and a reference * are allowed at the same time. @@ -514,13 +544,13 @@ public class DataObjectFactory { String reference = content.getReference(); // check for content and reference not being set - if (content.getContentType() == Content.REFERENCE_CONTENT - && reference == null) { + if ((content.getContentType() == Content.REFERENCE_CONTENT) + && (reference == null)) { String errorCode = allowContentAndReference ? "1111" : "1110"; throw new MOAApplicationException(errorCode, null); } - // if we only allow either content or reference being set at once, check + // if we only allow either content or reference being set at once, check if (!allowContentAndReference && (content.getContentType() != Content.REFERENCE_CONTENT) && (reference != null)) { @@ -531,10 +561,10 @@ public class DataObjectFactory { /** * Create a DataObject from a * XMLDataObjectAssociation object. - * + * * @param xmlDataObjAssoc The XMLDataObjectAssociation object. * @param xmlContentAllowed Whether the content contained in the - * xmlDataObjAssoc is allowed to be of type + * xmlDataObjAssoc is allowed to be of type * XML_CONTENT. * @param binaryContentRepeatable If binary content must be provided as a * DataObject that can be read multiple times. @@ -559,11 +589,11 @@ public class DataObjectFactory { switch (content.getContentType()) { case Content.XML_CONTENT : - { + { if (xmlContentAllowed) { dataObject = createFromXmlContent((ContentXML) content, true); - } + } else { throw new MOAApplicationException("2280", null); @@ -601,8 +631,8 @@ public class DataObjectFactory { /** * Create a DataObject from a TransformParameter * object. - * - * @param transformParameter The TransformParameter object + * + * @param transformParameter The TransformParameter object * containing the data. * @return A DataObject representing the data in * root. @@ -662,7 +692,7 @@ public class DataObjectFactory { /** * Create a DataObject from data located at the given URI. - * + * * @param uri The URI where the data is located. This method uses * an ExternalURIResolver to resolve URIs. * @param asXml If true, a DataObject is only @@ -682,7 +712,7 @@ public class DataObjectFactory { /** * Create a DataObject from data located at the given URI. - * + * * @param uri The URI where the data is located. This method uses * an ExternalURIResolver to resolve URIs. * @param asXml If true, a DataObject is only @@ -701,7 +731,7 @@ public class DataObjectFactory { Logger.trace(">>> resolving uri \"" + uri + "\""); ExternalURIResolver resolver = new ExternalURIResolver(); - + TransactionContext context = TransactionContextManager.getInstance().getTransactionContext(); InputStream is = context.ResolveURI(uri); String contentType = null; @@ -718,12 +748,12 @@ public class DataObjectFactory { DataObjectImpl dataObject; // read the content - if (contentType != null && contentTypeIsXml(contentType)) { + if ((contentType != null) && contentTypeIsXml(contentType)) { Document doc; if (asXml) { try { - // try parsing non-validating: this has to succeed or we + // try parsing non-validating: this has to succeed or we // bail out by throwing an exception is = resolver.resolve(uri); doc = DOMUtils.parseDocument(is, false, null, null); @@ -767,14 +797,14 @@ public class DataObjectFactory { Logger.trace(">>> read stream for \"" + uri + "\""); } } - } - - else if (asXml) + } + + else if (asXml) { // if we need XML data, we're in the wrong place here closeInputStream(is); throw new MOAApplicationException("2211", new Object[] { uri }); - } + } else { // content is binary: make it available as a binary input stream @@ -805,20 +835,22 @@ public class DataObjectFactory { dataObject.setURI(uri); Logger.trace("<<< resolved uri \"" + uri + "\""); - + return dataObject; } /** * Savely closes the specified input stream. - * + * * @param is The input stream to be closed. */ private static void closeInputStream(InputStream is) { try { - if (is != null) is.close(); + if (is != null) { + is.close(); + } } catch (Throwable t) { @@ -828,10 +860,10 @@ public class DataObjectFactory { /** * Determine whether the content type is XML. - * + * * Content types recognized as XML start with text/xml and * application/xml. - * + * * @param contentType The content MIME type. * @return boolean If true, the content type is XML, otherwise * not. @@ -842,8 +874,8 @@ public class DataObjectFactory { } /** - * Create a DataObject from a ContentXML object. - * + * Create a DataObject from a ContentXML object. + * * @param xmlContent The ContentXML object from * which the DataObject is to be built. * @param xmlAsNodeList If true, the children of @@ -879,7 +911,7 @@ public class DataObjectFactory { /** * Check, that the given NodeList contains a single DOM element * node and return it, otherwise throw an exception. - * + * * @param nodes The NodeList to check for a single element. * @return The single element contained in nodes. * @throws MOAApplicationException Thrown, if nodes does not @@ -912,11 +944,11 @@ public class DataObjectFactory { /** * Create a DataObject from a ContentBinary object. - * + * * @param binaryContent The ContentBinary object containing the * data. * @param asXml If true, binaryContent must - * contain XML data. Otherwise, a BinaryDataObject will be + * contain XML data. Otherwise, a BinaryDataObject will be * returned containing a byte stream to the decoded Base64 data. * @param repeatable If multiple calls to getInputStream() must * repeatedly return the content of the data object. -- cgit v1.2.3 From 48241a89651341097fcc77aac4cc0333820f330d Mon Sep 17 00:00:00 2001 From: tkellner Date: Thu, 7 Apr 2011 15:34:45 +0000 Subject: Typos fixed git-svn-id: https://joinup.ec.europa.eu/svn/moa-idspss/trunk@1201 d688527b-c9ab-4aba-bd8d-4036d912da1d --- id/server/doc/moa_id/id-admin_2.htm | 32 ++++++++++++++++---------------- id/server/doc/moa_id/moa.htm | 2 +- 2 files changed, 17 insertions(+), 17 deletions(-) (limited to 'id/server/doc/moa_id/id-admin_2.htm') diff --git a/id/server/doc/moa_id/id-admin_2.htm b/id/server/doc/moa_id/id-admin_2.htm index bc4709f02..6e5dec828 100644 --- a/id/server/doc/moa_id/id-admin_2.htm +++ b/id/server/doc/moa_id/id-admin_2.htm @@ -128,8 +128,8 @@ Projekt moa

Der Ort der Konfigurationsdatei wird im Abschnitt Deployment der Web-Applikation in Tomcat beschrieben.

Enthält die Konfigurationsdatei relative Pfadangaben, werden - diese relativ zum Verzeichnis, in dem sich die MOA-ID Konfigurationsdatei - befindet, interpretiert.
+ diese relativ zum Verzeichnis in dem sich die MOA-ID Konfigurationsdatei + befindet interpretiert.

ConnectionParameter
@@ -531,7 +531,7 @@ Projekt moa

AuthComponent/ForeignIdentities
-Ab Version 1.4.7 bietet MOA-ID die Möglichkeit der Nutzung von ausländischen Karten. Hierfür ist ein Stammzahlenregister-Gateway nötig, dass einen entsprechenden Zugang zum Stammzahlenregister bereitstellt. Es ist hierzu ein ensprechender ConnectionParameter zu definieren, der die Zugangsdaten zum Gateway bereithält (siehe ConnectionParameter). In der Default-Konfiguration ist der Zugang zum Stammzahlenregister-Gateway bereits aktiviert. Es muss nur noch das Client-Zertifikat für die SSL-Verbinung zum Gateway angegeben werden. Voraussetzung dafür ist ein Zertifikat von A-Trust bzw. A-CERT mit Verwaltungseigenschaft oder Dienstleistereigenschaft. Wenn ihr MOA-ID Zertifikat diese Voraussetzung erfüllt, können Sie dieses hier angeben.
+Ab Version 1.4.7 bietet MOA-ID die Möglichkeit der Nutzung von ausländischen Karten. Hierfür ist ein Stammzahlenregister-Gateway nötig, das einen entsprechenden Zugang zum Stammzahlenregister bereitstellt. Es ist hierzu ein entsprechender ConnectionParameter zu definieren, der die Zugangsdaten zum Gateway bereithält (siehe ConnectionParameter). In der Default-Konfiguration ist der Zugang zum Stammzahlenregister-Gateway bereits aktiviert. Es muss nur noch das Client-Zertifikat für die SSL-Verbinung zum Gateway angegeben werden. Voraussetzung dafür ist ein Zertifikat von A-Trust bzw. A-CERT mit Verwaltungseigenschaft oder Dienstleistereigenschaft. Wenn ihr MOA-ID Zertifikat diese Voraussetzung erfüllt, können Sie dieses hier angeben.

AuthComponent/OnlineMandates

Ab Version 1.5.0 bietet MOA-ID die Möglichkeit der Nutzung von Online-Vollmachten für Anwendungen aus dem öffentlichen Bereich. Hierfür ist ein Online-Vollmachten-Service nötig. Es ist hierzu ein ensprechender ConnectionParameter zu definieren, der die Zugangsdaten zum Online-Vollmachten-Service bereithält (siehe ConnectionParameter). In der Default-Konfiguration ist der Zugang zum Online-Vollmachten-Service bereits aktiviert. Es muss nur noch das Client-Zertifikat für die SSL-Verbinung zum Service angegeben werden. Voraussetzung dafür ist ein Zertifikat von A-Trust bzw. A-CERT mit Verwaltungseigenschaft oder Dienstleistereigenschaft. Wenn ihr MOA-ID Zertifikat diese Voraussetzung erfüllt, können Sie dieses hier angeben.
@@ -853,8 +853,8 @@ Hinweis: Um den Online-Vollmachten Modus für eine Online Applikation zu akt

ApplicationSpecificParameters: - Lokal definierte applikationsspezifische Paramter werden global - definierten vorgezogen. Sind lokal keine derartigen Paramter + Lokal definierte applikationsspezifische Parameter werden global + definierten vorgezogen. Sind lokal keine derartigen Parameter konfiguriert, so werden die globalen verwendet, so sie vorhanden sind.

@@ -883,7 +883,7 @@ Hinweis: Um den Online-Vollmachten Modus für eine Online Applikation zu akt sind für die Verifikation dieser Infobox nicht erforderlich.
Die Prüfapplikation für die InfoboxB setzt nahezu alle - möglichen Paramter mit Ausnahme der Validator-Klasse. MOA-ID wird + möglichen Parameter mit Ausnahme der Validator-Klasse. MOA-ID wird zur Verifikation dieser Infobox also auch die dafür zustädige Default-Klasse (at.gv.egovernment.moa.id.auth.validator.infoboxb.InfoboxBValidator) laden, und alle konfigurierten Parameter an diese Klasse übergeben. @@ -895,7 +895,7 @@ Hinweis: Um den Online-Vollmachten Modus für eine Online Applikation zu akt die drei Infoboxen InfoboxB, InfoboxC und InfoboxD. Das heißt, MOA-ID kann für die Online-Applikation OA1 insgesamt vier Infoboxen überprüfen: die - Paramter für die Infobox InfoboxA werden + Parameter für die Infobox InfoboxA werden von der entsprechenden global konfigurierten Prüapplikation übernommen. Die Infoboxen InfoboxC und InfoboxD sind nur lokal gesetzt. Für InfoboxB @@ -933,10 +933,10 @@ Hinweis: Um den Online-Vollmachten Modus für eine Online Applikation zu akt

OnlineApplication/AuthComponent/Mandates
- Mit Hilfe diese Elements werden die Online-Vollmachten für die Online-Applikation aktiviert. - Als Kindelement muss Profiles angegeben werden. Diese Element beinhaltet eine (Komma-separierte) - Liste von Vollmachten-Identifikatoren, die festlegen mit welchen Vollmachtstyp man sich bei der Online-Applikation anmelden kann.
- Hinweis: Hierzu muss auch die Verbindung zum Online-Vollmachten Service konfigurieren - siehe hier + Mit Hilfe dieses Elements werden die Online-Vollmachten für die Online-Applikation aktiviert. + Als Kindelement muss Profiles angegeben werden. Dieses Element beinhaltet eine (Komma-separierte) + Liste von Vollmachten-Identifikatoren, die festlegen mit welchen Vollmachtstypen man sich bei der Online-Applikation anmelden kann.
+ Hinweis: Hierzu muss auch die Verbindung zum Online-Vollmachten Service konfiguriert werden - siehe hier

@@ -1170,13 +1170,13 @@ Hinweis: Um den Online-Vollmachten Modus für eine Online Applikation zu akt

TrustedBKUs
Das Element TrustedBKUs ermöglicht das Setzen von vertrauenswürdigen Bürgerkartenumgebungen. - In BKUURL Unterelementen werden die vertrauenswürdigen URLs eingetragen. Diese Liste an URL wird mit dem Parameter bkuURI abgeglichen. Lokale Bürgerkartenumgebungn müssen nicht eingetragen werden - diesen wird automatisch vertraut. -

+ In BKUURL Unterelementen werden die vertrauenswürdigen URLs eingetragen. Diese Liste von URLs wird mit dem Parameter bkuURI abgeglichen. Lokale Bürgerkartenumgebungen müssen nicht eingetragen werden - diesen wird automatisch vertraut. +

@@ -1243,7 +1243,7 @@ kann ein oder mehrere Kind-Elemente <Parameter> beinhalten.

ParamAuth/Parameter
-Das Element <Paramter> enthält die Attribute Name und Value. +Das Element <Parameter> enthält die Attribute Name und Value.

Das Attribut Name beschreibt den Namen des Parameters und ist ein frei zu wählender String.

diff --git a/id/server/doc/moa_id/moa.htm b/id/server/doc/moa_id/moa.htm index e0da90e98..b3633736e 100644 --- a/id/server/doc/moa_id/moa.htm +++ b/id/server/doc/moa_id/moa.htm @@ -230,7 +230,7 @@ an den Benutzer weitergeleitet und die Anfragen des Benutzers an die OA weiterge

Ergänzung für ausländische Bürger

Ab der MOA Release 1.4.7 ist es möglich, dass sich auch ausländische Bürger mittels MOA-ID einloggen können. Hierzu wird eine Verbindung zu einem sogenannten Stammzahlenregister-Gateway aufgebaut, dass basierend auf den Zertifikatsdaten des ausländischen Bürgers eine Eintragung im Ergänzungsregister für natürliche Personen gemäß E-Government Gesetz §6(5) vornimmt. Somit ist es möglich, dass eine Personenbindung ausgestellt werden kann, die in weitere Folge an MOA-ID weitergeleitet wird.

Der Zugang zu diesem Stammzahlenregister-Gateways ist über eine Client-Server Authentifizierung abgesichert. Als Client-Zertifikate werden Zertifikate der Firmen A-Trust bzw. A-CERT, die mit der Verwaltungs- oder Dienstleistereigenschaft versehen sind, akzeptiert.

Der Zugang zu diesem Stammzahlenregister-Gateway ist über eine Client-Server Authentifizierung abgesichert. Als Client-Zertifikate werden Zertifikate der Firmen A-Trust bzw. A-CERT, die mit der Verwaltungs- oder Dienstleistereigenschaft versehen sind, akzeptiert.

Online-Vollmachten

-- cgit v1.2.3 From 9bbe4aa713e2c38dcfba02880c9b2cb63e82a859 Mon Sep 17 00:00:00 2001 From: kstranacher Date: Tue, 21 Jun 2011 15:40:44 +0000 Subject: * Update MOA-ID (Template Mechanismus fÃ¼r Online-Vollmachten inkl. MOA-ID Config) * Update BK-Auswahl Howto * Update Default-Konfigurationen * LÃ¶schen von A1-Signatur Texten * Entfernung von tempates.war MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit git-svn-id: https://joinup.ec.europa.eu/svn/moa-idspss/trunk@1206 d688527b-c9ab-4aba-bd8d-4036d912da1d --- .../schemas/MOA-ID-Configuration-1.5.0.xsd | 15 ++ id/assembly-auth.xml | 4 +- id/assembly-proxy.xml | 4 +- id/readme_1.5.0.txt | 1 + .../main/webapp/BKAuswahl-MOA-Template-Howto.pdf | Bin 191806 -> 191887 bytes id/server/auth/src/main/webapp/css/index.css | 19 +- id/server/auth/src/main/webapp/img/infobutton.gif | Bin 0 -> 868 bytes id/server/auth/src/main/webapp/index.html | 5 +- id/server/auth/src/main/webapp/info_bk.html | 2 +- id/server/auth/src/main/webapp/info_mandates.html | 58 +++++ .../conf/moa-id/SampleMOAIDConfiguration.xml | 14 ++ .../conf/moa-id/SampleMOAIDConfigurationProxy.xml | 14 ++ .../SampleMOAIDConfiguration_withTestBKs.xml | 14 ++ .../SampleMOAIDConfiguration_withTestBKsProxy.xml | 14 ++ .../conf/moa-id/SampleMOAWIDConfiguration.xml | 14 ++ .../conf/moa-id/SampleMOAWIDConfigurationProxy.xml | 14 ++ .../SampleMOAWIDConfiguration_withTestBKs.xml | 14 ++ .../SampleMOAWIDConfiguration_withTestBKsProxy.xml | 14 ++ .../SampleBKUSelectionTemplate.html | 8 +- .../sampleTemplates/handy_mandate_template.html | 26 +++ .../sampleTemplates/handy_moa-id_template.html | 41 ++++ .../sampleTemplates/local_mandate_template.html | 26 +++ .../sampleTemplates/local_moa-id_template.html | 31 +++ .../sampleTemplates/online_mandate_template.html | 26 +++ .../sampleTemplates/online_moa-id_template.html | 38 ++++ .../transforms/TransformsInfoAuthBlockTable_DE.xml | 8 +- .../profiles/MOAIDTransformAuthBlockTable_DE.xml | 8 +- .../data/deploy/templates/LIESMICH_TEMPLATES.txt | 39 ---- id/server/doc/MOA-ID-Configuration-1.5.0.xsd | 23 ++ .../doc/moa_id/examples/BKUSelectionTemplate.html | 13 +- .../SampleMOAIDVerifyInfoboxesConfiguration.xml | 1 - .../moa_id/examples/conf/MOA-ID-Configuration.xml | 2 - id/server/doc/moa_id/id-admin_2.htm | 39 ++-- id/server/doc/moa_id/id-anwendung_1.htm | 19 ++ .../moa/id/auth/AuthenticationServer.java | 6 + .../AuthenticationBlockAssertionBuilder.java | 7 +- .../builder/CreateXMLSignatureRequestBuilder.java | 54 +++-- .../auth/builder/GetIdentityLinkFormBuilder.java | 235 ++++++++++++++++----- .../moa/id/auth/builder/SAMLArtifactBuilder.java | 9 + .../moa/id/auth/data/AuthenticationSession.java | 7 +- .../id/auth/servlet/GetMISSessionIDServlet.java | 10 +- .../servlet/VerifyAuthenticationBlockServlet.java | 5 +- .../moa/id/config/ConfigurationBuilder.java | 91 +++++++- .../moa/id/config/OnlineMandatesTemplates.java | 54 +++++ .../moa/id/config/auth/OAAuthParameter.java | 24 ++- .../resources/properties/id_messages_de.properties | 1 + .../main/webapp/SampleBKUSelectionTemplate.html | 13 +- 47 files changed, 893 insertions(+), 191 deletions(-) create mode 100644 id/server/auth/src/main/webapp/img/infobutton.gif create mode 100644 id/server/auth/src/main/webapp/info_mandates.html create mode 100644 id/server/data/deploy/conf/moa-id/sampleTemplates/handy_mandate_template.html create mode 100644 id/server/data/deploy/conf/moa-id/sampleTemplates/handy_moa-id_template.html create mode 100644 id/server/data/deploy/conf/moa-id/sampleTemplates/local_mandate_template.html create mode 100644 id/server/data/deploy/conf/moa-id/sampleTemplates/local_moa-id_template.html create mode 100644 id/server/data/deploy/conf/moa-id/sampleTemplates/online_mandate_template.html create mode 100644 id/server/data/deploy/conf/moa-id/sampleTemplates/online_moa-id_template.html delete mode 100644 id/server/data/deploy/templates/LIESMICH_TEMPLATES.txt create mode 100644 id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/config/OnlineMandatesTemplates.java (limited to 'id/server/doc/moa_id/id-admin_2.htm') diff --git a/common/src/main/resources/resources/schemas/MOA-ID-Configuration-1.5.0.xsd b/common/src/main/resources/resources/schemas/MOA-ID-Configuration-1.5.0.xsd index 2e4c33c03..19b793fdb 100644 --- a/common/src/main/resources/resources/schemas/MOA-ID-Configuration-1.5.0.xsd +++ b/common/src/main/resources/resources/schemas/MOA-ID-Configuration-1.5.0.xsd @@ -308,6 +308,21 @@ + + + + + + + + + + + + + + + diff --git a/id/assembly-auth.xml b/id/assembly-auth.xml index e971d701a..0f676552b 100644 --- a/id/assembly-auth.xml +++ b/id/assembly-auth.xml @@ -101,7 +101,7 @@ true - + diff --git a/id/assembly-proxy.xml b/id/assembly-proxy.xml index 0f7af5491..4e22222e5 100644 --- a/id/assembly-proxy.xml +++ b/id/assembly-proxy.xml @@ -98,7 +98,7 @@ true - + diff --git a/id/readme_1.5.0.txt b/id/readme_1.5.0.txt index 56a08cc0c..533589e16 100644 --- a/id/readme_1.5.0.txt +++ b/id/readme_1.5.0.txt @@ -19,6 +19,7 @@ gleichen Verzeichnis): iaik_cms: Version 4.1_MOA - Update Parameterüberprüfung - Einbindung von Online-Vollmachten +- Möglichkeit der Einbindung eines Templates für die Online-Vollmachten Anmeldung - Update MOA-Template zur Bürgerkartenauswahl - Update Transformationen (für Online-Vollmachten) - Änderung der Konfiguration für: diff --git a/id/server/auth/src/main/webapp/BKAuswahl-MOA-Template-Howto.pdf b/id/server/auth/src/main/webapp/BKAuswahl-MOA-Template-Howto.pdf index dcf38c218..77c32e35e 100644 Binary files a/id/server/auth/src/main/webapp/BKAuswahl-MOA-Template-Howto.pdf and b/id/server/auth/src/main/webapp/BKAuswahl-MOA-Template-Howto.pdf differ diff --git a/id/server/auth/src/main/webapp/css/index.css b/id/server/auth/src/main/webapp/css/index.css index 28fea78e3..2d46c4227 100644 --- a/id/server/auth/src/main/webapp/css/index.css +++ b/id/server/auth/src/main/webapp/css/index.css @@ -118,7 +118,6 @@ h2#tabheader, h2#contentheader { padding : 5px 5px 5px 5px; } - button { background: #efefef; border:1px solid #000; @@ -142,9 +141,9 @@ button { } #leftcontent a { - text-decoration:none; + text-decoration:none; color: #000; - display:block; +/* display:block;*/ padding:4px; } @@ -212,6 +211,20 @@ p { vertical-align: middle; } + +.infobutton { + background-color: #005a00; + color: white; + font-family: serif; + text-decoration: none; + padding-top: 2px; + padding-right: 4px; + padding-bottom: 2px; + padding-left: 4px; + font-weight: bold; +} + + /* [OPTIONAL] Geben Sie hier die Farbe fuer den hellen Hintergrund an */ .hell { background-color : #DDDDDD; diff --git a/id/server/auth/src/main/webapp/img/infobutton.gif b/id/server/auth/src/main/webapp/img/infobutton.gif new file mode 100644 index 000000000..31e236e34 Binary files /dev/null and b/id/server/auth/src/main/webapp/img/infobutton.gif differ diff --git a/id/server/auth/src/main/webapp/index.html b/id/server/auth/src/main/webapp/index.html index 62576b15e..b40ea89f5 100644 --- a/id/server/auth/src/main/webapp/index.html +++ b/id/server/auth/src/main/webapp/index.html @@ -124,9 +124,12 @@

- in Vertretung anmelden + + in Vertretung anmelden + i

+ diff --git a/id/server/auth/src/main/webapp/info_bk.html b/id/server/auth/src/main/webapp/info_bk.html index 8bfee57f2..f15501a80 100644 --- a/id/server/auth/src/main/webapp/info_bk.html +++ b/id/server/auth/src/main/webapp/info_bk.html @@ -14,7 +14,7 @@ +

+ Information zur Anmeldung mittels elektronischer Vollmacht +

Aktivieren Sie das Kästchen "in Vertretung anmelden", + wenn Sie sich als Vertreter für eine andere Person anmelden möchten. Das Vollmachtenservice + der Stammzahlenregisterbehörde bietet Ihnen Ihre verfügbaren Vollmachten zur Auswahl an.

+ + +

Das Service zum Eintragen einer Vollmacht zwischen zwei natürlichen Personen können Sie + unter dem Hyperlink Bilaterale Vollmacht + eintragen.

+ +

Als Organwalter (gemäß § 5 Abs. 3 E-GovG) und berufsmäßige Parteinvertreter, + aktivieren Sie bitte ebenfalls das Kästchen "in Vertretung anmelden".

+ + +

Hinweis: Welche Vollmachten Ihnen bei der jeweiligen + Bürgerkartenapplikation zur Verfügung stehen, hängt vom Anwendungsbetreiber ab.

+ + + \ No newline at end of file diff --git a/id/server/data/deploy/conf/moa-id/SampleMOAIDConfiguration.xml b/id/server/data/deploy/conf/moa-id/SampleMOAIDConfiguration.xml index b74956473..0494502f7 100644 --- a/id/server/data/deploy/conf/moa-id/SampleMOAIDConfiguration.xml +++ b/id/server/data/deploy/conf/moa-id/SampleMOAIDConfiguration.xml @@ -15,6 +15,20 @@ + diff --git a/id/server/data/deploy/conf/moa-id/SampleMOAIDConfigurationProxy.xml b/id/server/data/deploy/conf/moa-id/SampleMOAIDConfigurationProxy.xml index b2a1a3453..31bcdf512 100644 --- a/id/server/data/deploy/conf/moa-id/SampleMOAIDConfigurationProxy.xml +++ b/id/server/data/deploy/conf/moa-id/SampleMOAIDConfigurationProxy.xml @@ -15,6 +15,20 @@ + diff --git a/id/server/data/deploy/conf/moa-id/SampleMOAIDConfiguration_withTestBKs.xml b/id/server/data/deploy/conf/moa-id/SampleMOAIDConfiguration_withTestBKs.xml index 35b8e19d1..9989b5927 100644 --- a/id/server/data/deploy/conf/moa-id/SampleMOAIDConfiguration_withTestBKs.xml +++ b/id/server/data/deploy/conf/moa-id/SampleMOAIDConfiguration_withTestBKs.xml @@ -15,6 +15,20 @@ + diff --git a/id/server/data/deploy/conf/moa-id/SampleMOAIDConfiguration_withTestBKsProxy.xml b/id/server/data/deploy/conf/moa-id/SampleMOAIDConfiguration_withTestBKsProxy.xml index 4aa6d773b..2b03faf5d 100644 --- a/id/server/data/deploy/conf/moa-id/SampleMOAIDConfiguration_withTestBKsProxy.xml +++ b/id/server/data/deploy/conf/moa-id/SampleMOAIDConfiguration_withTestBKsProxy.xml @@ -15,6 +15,20 @@ + diff --git a/id/server/data/deploy/conf/moa-id/SampleMOAWIDConfiguration.xml b/id/server/data/deploy/conf/moa-id/SampleMOAWIDConfiguration.xml index 3d062900d..58ed8bce7 100644 --- a/id/server/data/deploy/conf/moa-id/SampleMOAWIDConfiguration.xml +++ b/id/server/data/deploy/conf/moa-id/SampleMOAWIDConfiguration.xml @@ -15,6 +15,20 @@ + diff --git a/id/server/data/deploy/conf/moa-id/SampleMOAWIDConfigurationProxy.xml b/id/server/data/deploy/conf/moa-id/SampleMOAWIDConfigurationProxy.xml index c8c88c22d..497508363 100644 --- a/id/server/data/deploy/conf/moa-id/SampleMOAWIDConfigurationProxy.xml +++ b/id/server/data/deploy/conf/moa-id/SampleMOAWIDConfigurationProxy.xml @@ -15,6 +15,20 @@ + diff --git a/id/server/data/deploy/conf/moa-id/SampleMOAWIDConfiguration_withTestBKs.xml b/id/server/data/deploy/conf/moa-id/SampleMOAWIDConfiguration_withTestBKs.xml index 225270f5b..82462ec2c 100644 --- a/id/server/data/deploy/conf/moa-id/SampleMOAWIDConfiguration_withTestBKs.xml +++ b/id/server/data/deploy/conf/moa-id/SampleMOAWIDConfiguration_withTestBKs.xml @@ -15,6 +15,20 @@ + diff --git a/id/server/data/deploy/conf/moa-id/SampleMOAWIDConfiguration_withTestBKsProxy.xml b/id/server/data/deploy/conf/moa-id/SampleMOAWIDConfiguration_withTestBKsProxy.xml index 4f2a5977c..692db9ff3 100644 --- a/id/server/data/deploy/conf/moa-id/SampleMOAWIDConfiguration_withTestBKsProxy.xml +++ b/id/server/data/deploy/conf/moa-id/SampleMOAWIDConfiguration_withTestBKsProxy.xml @@ -15,6 +15,20 @@ + diff --git a/id/server/data/deploy/conf/moa-id/sampleTemplates/SampleBKUSelectionTemplate.html b/id/server/data/deploy/conf/moa-id/sampleTemplates/SampleBKUSelectionTemplate.html index 2f2ea6552..983de7c70 100644 --- a/id/server/data/deploy/conf/moa-id/sampleTemplates/SampleBKUSelectionTemplate.html +++ b/id/server/data/deploy/conf/moa-id/sampleTemplates/SampleBKUSelectionTemplate.html @@ -27,18 +27,16 @@

Hinweise:

-
Bei der Anmeldung mit einer A-Trust Bürgerkarte oder Ihrer - E-CARD benötigen Sie +
Bei der Anmeldung mit einer A-Trust Bürgerkarte oder Ihrer + E-CARD benötigen Sie eine funktionsfähige Bürgerkartensoftware sowie einen passenden Kartenleser.
-
Bei der Anmeldung mit der A1-Signatur über Ihr Handy wird keine Bürgerkartensoftware und +
Bei der Anmeldung mit der A-Trust Handysignatur über Ihr Handy wird keine Bürgerkartensoftware und kein Kartenleser benötigt.

- diff --git a/id/server/data/deploy/conf/moa-id/sampleTemplates/handy_mandate_template.html b/id/server/data/deploy/conf/moa-id/sampleTemplates/handy_mandate_template.html new file mode 100644 index 000000000..8fda2a880 --- /dev/null +++ b/id/server/data/deploy/conf/moa-id/sampleTemplates/handy_mandate_template.html @@ -0,0 +1,26 @@ + + + + + Vollmachten-Anmeldung + + + + + +

Vollmachten-Anmeldung (Handysignatur)

+ + + + \ No newline at end of file diff --git a/id/server/data/deploy/conf/moa-id/sampleTemplates/handy_moa-id_template.html b/id/server/data/deploy/conf/moa-id/sampleTemplates/handy_moa-id_template.html new file mode 100644 index 000000000..28d84fea2 --- /dev/null +++ b/id/server/data/deploy/conf/moa-id/sampleTemplates/handy_moa-id_template.html @@ -0,0 +1,41 @@ + + + + + + +Vollmachten-Anmeldung + + + + + + + + diff --git a/id/server/data/deploy/conf/moa-id/sampleTemplates/local_mandate_template.html b/id/server/data/deploy/conf/moa-id/sampleTemplates/local_mandate_template.html new file mode 100644 index 000000000..6b84dfd8e --- /dev/null +++ b/id/server/data/deploy/conf/moa-id/sampleTemplates/local_mandate_template.html @@ -0,0 +1,26 @@ + + + + + Vollmachten-Anmeldung + + + + + +

Vollmachten-Anmeldung (Lokale-BKU)

+ + + + \ No newline at end of file diff --git a/id/server/data/deploy/conf/moa-id/sampleTemplates/local_moa-id_template.html b/id/server/data/deploy/conf/moa-id/sampleTemplates/local_moa-id_template.html new file mode 100644 index 000000000..b9506ca0e --- /dev/null +++ b/id/server/data/deploy/conf/moa-id/sampleTemplates/local_moa-id_template.html @@ -0,0 +1,31 @@ + + + + + + +Vollmachten-Anmeldung + + + + + + + \ No newline at end of file diff --git a/id/server/data/deploy/conf/moa-id/sampleTemplates/online_mandate_template.html b/id/server/data/deploy/conf/moa-id/sampleTemplates/online_mandate_template.html new file mode 100644 index 000000000..ac7c17c8f --- /dev/null +++ b/id/server/data/deploy/conf/moa-id/sampleTemplates/online_mandate_template.html @@ -0,0 +1,26 @@ + + + + + Vollmachten-Anmeldung + + + + + +

Vollmachten-Anmeldung (Online-BKU)

+ + + + \ No newline at end of file diff --git a/id/server/data/deploy/conf/moa-id/sampleTemplates/online_moa-id_template.html b/id/server/data/deploy/conf/moa-id/sampleTemplates/online_moa-id_template.html new file mode 100644 index 000000000..33c7f39c6 --- /dev/null +++ b/id/server/data/deploy/conf/moa-id/sampleTemplates/online_moa-id_template.html @@ -0,0 +1,38 @@ + + + + +Vollmachten-Anmeldung + + + + + + + + + diff --git a/id/server/data/deploy/conf/moa-id/transforms/TransformsInfoAuthBlockTable_DE.xml b/id/server/data/deploy/conf/moa-id/transforms/TransformsInfoAuthBlockTable_DE.xml index 7fae15b7c..bfcb95be9 100644 --- a/id/server/data/deploy/conf/moa-id/transforms/TransformsInfoAuthBlockTable_DE.xml +++ b/id/server/data/deploy/conf/moa-id/transforms/TransformsInfoAuthBlockTable_DE.xml @@ -50,9 +50,7 @@ Vollmacht: - Ich bin weiters ermÃ¤chtigt als - - von + Ich bin ermÃ¤chtigt, fÃ¼r

, geboren am @@ -66,7 +64,7 @@ ,

- , in deren Auftrag zu handeln. + , zu handeln. @@ -173,4 +171,4 @@ application/xhtml+xml - + \ No newline at end of file diff --git a/id/server/data/deploy/conf/moa-spss/profiles/MOAIDTransformAuthBlockTable_DE.xml b/id/server/data/deploy/conf/moa-spss/profiles/MOAIDTransformAuthBlockTable_DE.xml index 24b0bfc38..3387aa462 100644 --- a/id/server/data/deploy/conf/moa-spss/profiles/MOAIDTransformAuthBlockTable_DE.xml +++ b/id/server/data/deploy/conf/moa-spss/profiles/MOAIDTransformAuthBlockTable_DE.xml @@ -1,6 +1,6 @@ - + @@ -51,9 +51,7 @@ Vollmacht: - Ich bin weiters ermÃ¤chtigt als - - von + Ich bin ermÃ¤chtigt, fÃ¼r

, geboren am @@ -67,7 +65,7 @@ ,

- , in deren Auftrag zu handeln. + , zu handeln. diff --git a/id/server/data/deploy/templates/LIESMICH_TEMPLATES.txt b/id/server/data/deploy/templates/LIESMICH_TEMPLATES.txt deleted file mode 100644 index e23ebad6e..000000000 --- a/id/server/data/deploy/templates/LIESMICH_TEMPLATES.txt +++ /dev/null @@ -1,39 +0,0 @@ -TEMPLATES: -========== -Zweck: ------- -Mithilfe von Templates können Sie das Aussehen der Seiten -"Auswahl der Bürgerkartenumgebung" sowie "Anmeldung mit Bürgerkarte" -anpassen. Damit können Sie zusätzliche Hintergrundinformationen (Wozu -dient die Anmeldung, etc.) zu diesen Seiten hinzufügen und das Layout an -Ihre sonstigen Anwendungen anpassen. - -Wird kein Template mit den Parametern Template und BKUSelectionTemplate -angegeben, so wird defaultmäßig jew. eine schlichte "neutrale" Variante -angezeigt. - -Bei der Erstellung von Template muss die Form gemäß MOA-ID Dokumentation -Abschnitt: "Aufruf von MOA-ID" (id-anwendung_1.htm) eingehalten werden. - -Templates können Grundsätzlich von jeder HTTP Adresse abgerufen -werden, d.h. sie können auf einen belibigen Webserver abgelegt werden. - - -Anwendung des Beispiels: ------------------------- -Wenn Sie keinen anderen Webserver zum Ablegen der Templates verwenden möchten, -so kann die Webcontainer Fähigkeit von Tomcat für die Ablage der HTML-Templates -genutzt werden. Ein einfaches Beispiel mit den beiden Templates -"SampleBKUSelectionTemplate.html" sowie "SampleTemplate.html" findet sich im -WAR Archiv moaid-templates.war - - -Wenn dieses WAR Archiv in das webapps Verzeichnis von Tomcat gestellt wird, so -wird diese automatisch entpackt und deployed. In Folge können Sie die Template -Dateien per Parameter beim Aufruf von MOA-ID angeben. - -Beispiel Link mit Einsatz von Template: -https://localhost:8443/moa-id-auth/SelectBKU?Target=Test-Bereich&OA=https://localhost:8443/&BKUSelectionTemplate=http://localhost:8080/moaid-templates/SampleBKUSelectionTemplate.html&Template=http://localhost:8080/moaid-templates/SampleTemplate.html - - -Sie können diese beiden Templates als Vorlage für eigene Designs verwenden. \ No newline at end of file diff --git a/id/server/doc/MOA-ID-Configuration-1.5.0.xsd b/id/server/doc/MOA-ID-Configuration-1.5.0.xsd index c5d6f0b07..19b793fdb 100644 --- a/id/server/doc/MOA-ID-Configuration-1.5.0.xsd +++ b/id/server/doc/MOA-ID-Configuration-1.5.0.xsd @@ -1,4 +1,5 @@ + @@ -307,6 +308,21 @@ + + + + + + + + + + + + + + + @@ -444,6 +460,13 @@ + + + + + + + diff --git a/id/server/doc/moa_id/examples/BKUSelectionTemplate.html b/id/server/doc/moa_id/examples/BKUSelectionTemplate.html index 5536226a8..731cc36fd 100644 --- a/id/server/doc/moa_id/examples/BKUSelectionTemplate.html +++ b/id/server/doc/moa_id/examples/BKUSelectionTemplate.html @@ -29,23 +29,12 @@

Wollen Sie eine A-Trust Bürgerkarte erwerben? Hier finden Sie Informationen - dazu: A-Trust + dazu: A-Trust Bürgerkarte. Bei der Anmeldung mit der A-Trust Bürgerkarte benötigen Sie eine funktionsfähige Bürgerkartensoftware sowie einen passenden Kartenleser.
-
Wollen Sie ein A1-Signatur erwerben? Wenden Sie sich an 0800-664 680 um - Informationen zur A1-Signatur zu erhalten. - Hier finden Sie ebenfalls Informationen dazu: A1-Signatur. - Bei der Anmeldung mit der A1-Signatur wird keine Bürgerkartensoftware und - kein Kartenleser benötigt.
-

diff --git a/id/server/doc/moa_id/examples/SampleMOAIDVerifyInfoboxesConfiguration.xml b/id/server/doc/moa_id/examples/SampleMOAIDVerifyInfoboxesConfiguration.xml index 09e60c6f1..5c814b834 100644 --- a/id/server/doc/moa_id/examples/SampleMOAIDVerifyInfoboxesConfiguration.xml +++ b/id/server/doc/moa_id/examples/SampleMOAIDVerifyInfoboxesConfiguration.xml @@ -1,5 +1,4 @@ -

diff --git a/id/server/doc/moa_id/examples/conf/MOA-ID-Configuration.xml b/id/server/doc/moa_id/examples/conf/MOA-ID-Configuration.xml index d0ea9cf6c..ae106f24a 100644 --- a/id/server/doc/moa_id/examples/conf/MOA-ID-Configuration.xml +++ b/id/server/doc/moa_id/examples/conf/MOA-ID-Configuration.xml @@ -1,6 +1,4 @@ -

diff --git a/id/server/doc/moa_id/id-admin_2.htm b/id/server/doc/moa_id/id-admin_2.htm index 6e5dec828..647bd616e 100644 --- a/id/server/doc/moa_id/id-admin_2.htm +++ b/id/server/doc/moa_id/id-admin_2.htm @@ -181,6 +181,7 @@ Projekt moa Das Element AuthComponent hat sechs Kind-Elemente:

BKUSelection (optional)
Templates (optional)
SecurityLayer
MOA-SP
IdentityLinkSigners

moa

AuthComponent/Templates
Das optionale Element Templates kann genau einmal vorkommen, um das Aussehen der Seiten "Auswahl der Bürgerkartenumgebung" sowie - "Anmeldung mit Bürgerkarte" anzupassen. Die hier + "Anmeldung mit Bürgerkarte" anzupassen. Des Weiteren können die Templates zur Anmeldung mit Online-Vollmachten angepasst werden. Die hier spezifizierten (globalen) Templates haben Priorität gegenüber Templates, die in der aufrufenden URL (vgl. Aufruf von MOA-ID-AUTH) übergeben werden, haben jedoch Nachrang gegenüber in @@ -225,36 +226,34 @@ Projekt moa verwendet. Templates in der aufrufenden URL werden demnach nur mehr dann herangezogen, wenn in der Konfigurationsdatei weder globale (für alle Online-Applikationen gültig) noch lokale (Templates je Online-Applikation) - spezifiziert sind.
- Das Templates-Element hat die zwei Kindelemente - BKUSelectionTemplate und Template. Jedes dieser - beiden Elemente kann genau einmal vorkommen oder fehlen. + spezifiziert sind. Hinweis: Die Template zur Anmeldung mit Online-Vollmachten können nicht über die URL angegeben werden.
+ Das Templates-Element hat die drei Kindelemente + BKUSelectionTemplate, Templateund OnlineMandates. Jedes dieser + drei Elemente kann genau einmal vorkommen oder fehlen. Das Kindelement BKUSelectionTemplate spezifiziert ein Template zur Gestaltung der Seite "Auswahl der Bürgerkartenumgebung", während das Kindelement Template die Seite - "Anmeldung mit Bürgerkarte" referenziert. - Beide Elemente haben genau ein Attribut namens URL, + "Anmeldung mit Bürgerkarte" referenziert. Dies beiden Elemente haben genau ein Attribut namens URL, das die Lage des Templates im Form einer URL beschreibt. Relative Pfadangaben werden dabei relativ zum Verzeichnis, in dem sich die - MOA-ID Konfigurationsdatei befindet, interpretiert. Bei Templates die über das Protokoll https referenziert werden, muss vor dem Start des Tomcat ein Truststore angegeben werden, das die notwendigen vertrauenswürdigen Zertifikate enthält. Siehe dazu die Parameter in den vorbereiteten Startdateien startTomcat.bat und tomcat-start.sh.
- Im folgenden Beispiel werden zwei Templates im Verzeichnis - CATALINA_HOME/conf/moa-id/templates referenziert: -
-

+      MOA-ID Konfigurationsdatei befindet, interpretiert. Bei Templates die über das Protokoll https referenziert werden, muss vor dem Start des Tomcat ein Truststore angegeben werden, das die notwendigen vertrauenswürdigen Zertifikate enthält. Siehe dazu die Parameter in den vorbereiteten Startdateien startTomcat.bat und tomcat-start.sh.Das Kindeelement OnlineMandates referenziert Templates zur Gestaltung der Seite Online-Vollmachten Anmeldung. Hier kann BKU spezifisch ein MOA-ID Template (das beispielsweise Größenparameter für die verwendete BKU enthält) und ein Template zur Gestaltung der Seite für die Anmeldung mit Online-Vollmacht angegeben werden. Innerhalb dieses Templates wird in einem iFrame das angegebene MOA-ID Template aufgerufen. Für BKU URLs, die nicht konfiguriert sind wird dein Standard-Template verwendet. Im folgenden Beispiel werden drei Templates im Verzeichnis
+                CATALINA_HOME/conf/moa-id/templates referenziert: 

+       <Templates>
   <BKUSelectionTemplate URL="templates/SampleBKUSelectionTemplate.html"/>
   <Template URL="templates/SampleTemplate.html"/>
+  <OnlineMandates>
    <BKU URL="https://www.handy-signatur.at/mobile/https-security-layer-request/default.aspx">
	   <MOA-ID-Template URL="sampleTemplates/handy_moa-id_template.html"/>
	   <MandateTemplate URL="sampleTemplates/handy_mandate_template.html"/>
	 </BKU>
	 <BKU URL="https://localhost:3496/https-security-layer-request">
	   <MOA-ID-Template URL="sampleTemplates/local_moa-id_template.html"/>
	   <MandateTemplate URL="sampleTemplates/local_mandate_template.html"/>
	 </BKU>
	 <BKU URL="https://[yourserver]/bkuonline/https-security-layer-request">
	   <MOA-ID-Template URL="sampleTemplates/online_moa-id_template.html"/>
	   <MandateTemplate URL="sampleTemplates/online_mandate_template.html"/>					
	 </BKU>
 </OnlineMandates>
 </Templates>
 
-                

-                Richtlinien zur Struktur der beiden Templates können der
+

+                Richtlinien zur Struktur der Templates können der
                 MOA-ID-Spezifikation bzw. dem Abschnitt
                 Aufruf von MOA-ID-AUTH
                 dieses Handbuches entnommen werden.
 
                   
     
-                    
+
                    AuthComponent/SecurityLayer 

                     Das Element SecurityLayer enthält Parameter
                     zur Nutzung des Security-Layers. 

@@ -384,8 +383,7 @@ Projekt moa 
                           
Identifier: Dieses Attribut muss vorhanden sein und gibt
                             den Namen der Infobox an. Er muss dabei exakt dem Bezeichner
                             der jeweiligen zu validierenden Infobox aus der BKU entsprechen, also
-                            zum Beispiel Mandates für die Vollmachten-Infobox oder
-                            EHSPToken für die GDAToken-Infobox.
+                            zum Beispiel EHSPToken für die GDAToken-Infobox.
                             

                           
                           required: Dieses Attribut vom Typ
@@ -435,9 +433,7 @@ Projekt moa 
                           
FriendlyName: Das Element ist optional und
                             enthält einen Namen, der von MOA-ID zur Anzeige von, die jeweilige Infobox
                             betreffende, Fehlermeldungen im Browser verwendet wird. Im Regelfall wird man
-                            hier den deutschen Namen der Infobox setzen, also z.B. Vollmachten
-                            oder Stellvertretungen für die Mandates-Infobox oder
-                            GDAToken für die EHSPToken-Infobox.
+                            hier den deutschen Namen der Infobox setzen, also z.B. GDAToken für die EHSPToken-Infobox.
                             

                             Fehlt dieses Element, so wird für Fehlermeldungen der Wert des
                             Identifier-Attributes verwendet.
@@ -721,8 +717,7 @@ Hinweis: Um den Online-Vollmachten Modus für eine Online Applikation zu akt
                             Dieses Kindelement kann genau einmal vorkommen und entspricht in seiner Struktur dem
                             Element AuthComponent/Templates.
                             Es kann verwendet werden, um Templates zur Gestaltung der Seiten
-                            "Auswahl der Bürgerkartenumgebung" sowie
-                			"Anmeldung mit Bürgerkarte" individuell für
+                            "Auswahl der Bürgerkartenumgebung", "Anmeldung mit Bürgerkarte" sowie "Anmeldung mit Online-Vollmacht" individuell für
                             eine Online-Applikation zu definieren. Die hier definierten Templates haben
                             Priorität gegenüber globalen Templates und Templates, die
                             in der aufrufenden URL übergeben werden.
diff --git a/id/server/doc/moa_id/id-anwendung_1.htm b/id/server/doc/moa_id/id-anwendung_1.htm
index 041cd437a..b8d0d79e5 100644
--- a/id/server/doc/moa_id/id-anwendung_1.htm
+++ b/id/server/doc/moa_id/id-anwendung_1.htm
@@ -175,6 +175,25 @@ Innerhalb dieser <form>-Elemente können Texte, Beschriftunge
 und es können zusätzliche Elemente darin aufgenommen werden. 

 

 Auch dabei ist die vorgegebene Grundstruktur einzuhalten, die speziellen Tags <StartAuth> und <BKUSelect> sind verpflichtend.
+
+
+  Templates für Online-Vollmachten


+    Die Gestaltung der Seite für die Anmeldung mit Online-Vollmachten kann über zwei Templates angespasst werden. 
+  Das Template für die Seite "Anmeldung mit Online-Vollmacht" von MOA-ID-AUTH kann aus folgender Grundstruktur aufgebaut werden: 
+
++<html>
  <head>
    <meta http-equiv="content-type" content="text/html; charset=UTF-8">    
    <title>Vollmachten-Anmeldung</title>
    <script language="javascript">
      function fillFrame() {    
        var f = top.frames['mandate'];
        with (f.document) {
          open();
          <Mandate>
     	    close();
        }
      }
    </script>
  </head>
  <body onLoad="fillFrame(); return false;">
    <h2>Vollmachten-Anmeldung Template</h2>
    <iframe name="mandate" src="" frameborder="0" width="250" height="400"></iframe>    
  </body>
</html>
+
+Innerhalb des Dokuments können Texte, Beschriftungen und Styles modifiziert werden,
+  und es können zusätzliche Elemente darin aufgenommen werden. 

+  

+  Auch dabei ist die vorgegebene Grundstruktur einzuhalten, das spezielle Tags <Mandate> ist verpflichtend.
+

fillFrame

name

iframe

Weiters muss ein MOA-ID Template angegeben werden, das den Anforderungen des Templatefür die Anmeldeseite von MOA-ID-AUTH genügen muss (siehe oben). Zusätzlich zu beachten ist, dass im Header dieser MOA-ID Templates für die lokale BKU und die Handysignatur der Codeteil

<base target="_parent">

+ vorkommt. Fehlt dieser Teil so wird die Online-Applikation im iFrame des Template für die Seite "Anmeldung mit Online-Vollmacht" geöffnet (was im Allgemeinen nicht erwünscht ist).

Beispiele für diese MOA-ID Templates und die Templates für die Seite "Anmeldung mit Online-Vollmacht" sind in den Default-Konfigurationen vorhanden.

Wichtiger Hinweis: wenn die Templates über HTTPS geladen werden sollten, so muss das SSL/TLS Zertifikat des Servers in einem Java Truststore gespeichert werden und dieser beim Start von Tomcat angegeben werden.

Vorgeschlagene Vorgehensweise:

null

Authentication Data:

Personal Data

Anmeldedaten für (Requesting Application Access for):

Persönliche Daten (Personal Data)

Name:

Application Data

Daten zur Anwendung (Application Data)

Name:	Dienst (Service):	"; // friendlyname from OA request += StringUtils.isEmpty(oaParam.getFriendlyName()) ? "" : oaParam.getFriendlyName(); request += "
Country:	Austria	Land (Country):	Österreich (Austria)

Technical Parameters

Technische Parameter (Technical Parameters)

URL:
"; - request += "Sector:	"; request += target + " (" + sectorName + ")"; request += "
Date:	Datum (Date):	"; request += date; request += "
Time:	Zeit (Time):	"; request += time; request += "

I hereby request to access this e-government application by using my " + - "domestic electronic identity.
" + - "I further affirm that I am not yet registered with the Austrian Central " + - "Residents Registry and that I am not obliged to register with the Austrian " + - "Central Residents Registry according to Austrian law.
" + - "In the event I am not yet registered with the Supplementary Register, I " + - "explicitly grant to do so according to §6 (5) E-Government Act (EGovG, idF: " + - "BGBl. I Nr. 7/2008 und BGBl. I Nr. 59/2008).

Mit der Anmeldung erfolgt eine Abfrage des Ergänzungsregister für " + + "natürliche Personen (ERnP), damit ich meinen elektronischen " + + "Identitätsnachweis (meine elektronische Identitätskarte) unmittelbar " + + "als Österreichische Bürgerkarte verwenden kann. Ich bin nicht im " + + "Zentralen Melderegister eingetragen und stimme, sofern ich nicht im " + + "ERnP eingetragen bin, einer Eintragung ins ERnP zu. Ich nehme zur " + + "Kenntnis, dass die Eintragung ins ERnP ausschließlich der Aufzeichnung " + + "jener Daten, die für die eindeutige Identität notwendig sind, dient.

I affirm that I am not registered with the Austrian Central " + + "Register of Residents or the Supplementary Register for Natural Persons. I therefore " + + "apply for registration in the Supplementary Register for Natural Persons in order to use " + + "my electronic identity (my electronic ID card) as an Austrian citizen card. I take note " + + "that registration in the Supplementary Register for Natural Persons solely serves keeping " + + "records of those data that are used for validation of unique identity and that those data " + + "is only used for e-government purposes.

I hereby request to access this e-government application by using my " + +// "domestic electronic identity.
" + +// "I further affirm that I am not yet registered with the Austrian Central " + +// "Residents Registry and that I am not obliged to register with the Austrian " + +// "Central Residents Registry according to Austrian law.
" + +// "In the event I am not yet registered with the Supplementary Register, I " + +// "explicitly grant to do so according to §6 (5) E-Government Act (EGovG, idF: " + +// "BGBl. I Nr. 7/2008 und BGBl. I Nr. 59/2008).

"; /** special tag in the HTML template to be substituted for the infoboxes to be pushed from the BKU */ private static final String PUSHINFOBOX_TAG = ""; + /** special tag in the HTML template to be substituted for the BKU URL */ + private static final String MANDATE_TAG = ""; /** private static int all contains the representation to replace all tags*/ private static final int ALL = -1; @@ -83,48 +93,101 @@ public class GetIdentityLinkFormBuilder extends Builder { "" + nl + ""; - /** default HTML template */ - private static final String DEFAULT_HTML_TEMPLATE_FOR_MANDATES = + /** default HTML template for mandates */ + private static final String DEFAULT_HTML_TEMPLATE_FOR_MANDATES_OLD = "" + nl + "" + nl + - "" + nl + + "" + nl + "Vollmachten-Anmeldung" + nl + - "" + nl + - "" + nl + - "" + nl + - "" + nl + - "" + nl + - "" + nl + + "" + nl + + "" + nl + + "" + nl + + "

Vollmachten-Anmeldung

" + nl + + "" + nl + + "" + nl + + ""; + + + /** default HTML template - iFrame */ + private static final String DEFAULT_HTML_TEMPLATE_IFRAME_FOR_MANDATES_OLD = + "" + + "" + + //"" + + "" + + "Vollmachten-Anmeldung" + + "" + + "" + + "" + + "" + + "" + + ""; + + /** default HTML template for Online mandates */ + private static final String DEFAULT_HTML_TEMPLATE_IFRAME_FOR_MANDATES = + "" + + "" + + "" + + "Vollmachten-Anmeldung" + + "" + + "" + + "" + + "" + + "" + ""; /** @@ -167,25 +230,101 @@ public class GetIdentityLinkFormBuilder extends Builder { /** * Builds the HTML form, including XML Request and data URL as parameters. * - * @param htmlTemplate template to be used for the HTML form; - * may be null, in this case a default layout will be produced * @param xmlRequest XML Request to be sent as a parameter in the form * @param bkuURL URL of the "Bürgerkartenumgebung" the form will be submitted to; * may be null, in this case the default URL will be used * @param dataURL DataURL to be sent as a parameter in the form */ public String buildCreateSignature( - String bkuURL, + String bkuURL, String xmlRequest, - String dataURL) + String dataURL, + String oaUrl) throws BuildException { - String htmlForm = DEFAULT_HTML_TEMPLATE_FOR_MANDATES; - htmlForm = replaceTag(htmlForm, BKU_TAG, bkuURL, true, ALL); - htmlForm = replaceTag(htmlForm, XMLREQUEST_TAG, encodeParameter(xmlRequest), true, ALL); - htmlForm = replaceTag(htmlForm, DATAURL_TAG, dataURL, true, ALL); - return htmlForm; + String htmlForm = ""; + OAAuthParameter oaParam; + try { + oaParam = AuthConfigurationProvider.getInstance().getOnlineApplicationParameter(oaUrl); + } catch (ConfigurationException e) { + Logger.error("Error on building HTMl form for online mandates: " + e.getMessage()); + throw new BuildException("builder.03", null); + } + + OnlineMandatesTemplates[] templatesOnlineMandates = oaParam.getTemplateOnlineMandates(); + if (templatesOnlineMandates == null) { + // no templates given + htmlForm = DEFAULT_HTML_TEMPLATE_IFRAME_FOR_MANDATES; + htmlForm = replaceTag(htmlForm, BKU_TAG, bkuURL, true, ALL); + htmlForm = replaceTag(htmlForm, XMLREQUEST_TAG, encodeParameter(xmlRequest), true, ALL); + htmlForm = replaceTag(htmlForm, DATAURL_TAG, dataURL, true, ALL); + } else { + String moaidTemplateUrl = null; + String mandateTemplateUrl = null; + // check for configured bku URL + for (int i = 0; i < templatesOnlineMandates.length; i++) { + if (templatesOnlineMandates[i].getBkuURL().compareToIgnoreCase(bkuURL) == 0) { + moaidTemplateUrl = templatesOnlineMandates[i].getMoaIdTemplateURL(); + mandateTemplateUrl = templatesOnlineMandates[i].getMandatesTemplateURL(); + } + } + if (moaidTemplateUrl == null || mandateTemplateUrl == null) { + Logger.debug("Configured and used BKU URL are not equal. So standard template is used."); + htmlForm = DEFAULT_HTML_TEMPLATE_IFRAME_FOR_MANDATES; + htmlForm = replaceTag(htmlForm, BKU_TAG, bkuURL, true, ALL); + htmlForm = replaceTag(htmlForm, XMLREQUEST_TAG, encodeParameter(xmlRequest), true, ALL); + htmlForm = replaceTag(htmlForm, DATAURL_TAG, dataURL, true, ALL); + } else { + // use configured templates + String moaidTemplate; + String mandateTemplate; + try { + moaidTemplate = new String(FileUtils.readURL(moaidTemplateUrl)); + } catch (IOException ex) { + throw new BuildException("auth.03", new Object[] { moaidTemplateUrl, ex.toString()},ex); + } + try { + mandateTemplate = new String(FileUtils.readURL(mandateTemplateUrl)); + } catch (IOException ex) { + throw new BuildException("auth.03", new Object[] { mandateTemplateUrl, ex.toString()},ex); + } + + + // Mandatem template with iFrame + htmlForm = mandateTemplate; + + + // HTML form with XML signature request, which is filled into the iFrame + String htmlFormiFrame = moaidTemplate; + htmlFormiFrame = replaceTag(htmlFormiFrame, BKU_TAG, bkuURL, true, ALL); + htmlFormiFrame = replaceTag(htmlFormiFrame, XMLREQUEST_TAG, encodeParameter(xmlRequest), true, ALL); + htmlFormiFrame = replaceTag(htmlFormiFrame, DATAURL_TAG, dataURL, true, ALL); + htmlFormiFrame = htmlFormiFrame.replaceAll("\"", "\\\""); + htmlFormiFrame = htmlFormiFrame.replaceAll("'", "\\\\'"); + + // add writeln('[data]') for each line in the iframe + BufferedReader reader = new BufferedReader(new StringReader(htmlFormiFrame)); + String str; + String htmlFormiFrameWriteLn = ""; + try { + while ((str = reader.readLine()) != null) { + if (str.length() > 0) + htmlFormiFrameWriteLn += "writeln('" + str + "');"; + } + } catch(IOException e) { + throw new BuildException("builder.03", null); + } + + htmlForm = replaceTag(htmlForm, MANDATE_TAG, htmlFormiFrameWriteLn, true, ALL); + + } + + } + + return htmlForm; + } + /** * Encodes a string for inclusion as a parameter in the form. * Double quotes are substituted by """. diff --git a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/builder/SAMLArtifactBuilder.java b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/builder/SAMLArtifactBuilder.java index f0e9c7484..c94eb0b25 100644 --- a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/builder/SAMLArtifactBuilder.java +++ b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/builder/SAMLArtifactBuilder.java @@ -64,6 +64,10 @@ public class SAMLArtifactBuilder { byte[] sourceID; // alternative sourceId String alternativeSourceID = AuthConfigurationProvider.getInstance().getGenericConfigurationParameter(GENERIC_CONFIG_PARAM_SOURCEID); + + System.out.println("alternativeSourceID: " + alternativeSourceID); + System.out.println("authURL: " + authURL); + if (!ParepUtils.isEmpty(alternativeSourceID)) { // if generic config parameter "AuthenticationServer.SourceID" is given, use that sourceID instead of authURL; sourceID = md.digest(alternativeSourceID.getBytes()); @@ -71,6 +75,9 @@ public class SAMLArtifactBuilder { } else { sourceID = md.digest(authURL.getBytes()); } + + System.out.println("sourceID: " + new String(sourceID)); + byte[] assertionHandle = md.digest(sessionID.getBytes()); ByteArrayOutputStream out = new ByteArrayOutputStream(42); out.write(0); @@ -78,7 +85,9 @@ public class SAMLArtifactBuilder { out.write(sourceID, 0, 20); out.write(assertionHandle, 0, 20); byte[] samlArtifact = out.toByteArray(); + System.out.println("samlArtifact: " + new String(samlArtifact)); String samlArtifactBase64 = Base64Utils.encode(samlArtifact); + System.out.println("samlArtifact Base64: " + samlArtifactBase64); return samlArtifactBase64; } catch (Throwable ex) { diff --git a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/data/AuthenticationSession.java b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/data/AuthenticationSession.java index 554b5012e..3d040d476 100644 --- a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/data/AuthenticationSession.java +++ b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/data/AuthenticationSession.java @@ -64,6 +64,7 @@ public class AuthenticationSession { * HTML template URL */ private String templateURL; + /** * URL of the BKU */ @@ -363,14 +364,16 @@ public class AuthenticationSession { public String getTemplateURL() { return templateURL; } - + + /** * @param string the template URL */ public void setTemplateURL(String string) { templateURL = string; } - + + /** * Returns the SAML Attributes to be appended to the AUTHBlock. Maybe null. * diff --git a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/servlet/GetMISSessionIDServlet.java b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/servlet/GetMISSessionIDServlet.java index 4c0abdb0f..0270eb3cb 100644 --- a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/servlet/GetMISSessionIDServlet.java +++ b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/servlet/GetMISSessionIDServlet.java @@ -16,6 +16,7 @@ import javax.servlet.http.HttpServletResponse; import org.apache.commons.fileupload.FileUploadException; import org.apache.commons.lang.StringEscapeUtils; +import at.gv.egovernment.moa.id.AuthenticationException; import at.gv.egovernment.moa.id.BuildException; import at.gv.egovernment.moa.id.MOAIDException; import at.gv.egovernment.moa.id.auth.AuthenticationServer; @@ -32,6 +33,7 @@ import at.gv.egovernment.moa.id.util.client.mis.simple.MISMandate; import at.gv.egovernment.moa.id.util.client.mis.simple.MISSimpleClient; import at.gv.egovernment.moa.id.util.client.mis.simple.MISSimpleClientException; import at.gv.egovernment.moa.logging.Logger; +import at.gv.egovernment.moa.util.FileUtils; /** * Servlet requested for getting the foreign eID @@ -143,8 +145,8 @@ public class GetMISSessionIDServlet extends AuthServlet { session.getSessionID()); Logger.debug(createXMLSignatureRequestOrRedirect); - - String request = getHTMLForm(createXMLSignatureRequestOrRedirect, session.getBkuURL(), dataurl); + + String request = getHTMLForm(createXMLSignatureRequestOrRedirect, session.getBkuURL(), dataurl, session.getPublicOAURLPrefix()); resp.setContentType("text/html;charset=UTF-8"); PrintWriter out = new PrintWriter(resp.getOutputStream()); @@ -164,8 +166,8 @@ public class GetMISSessionIDServlet extends AuthServlet { } } - private static String getHTMLForm(String request, String bkuURI, String dataURL) throws BuildException { - return new GetIdentityLinkFormBuilder().buildCreateSignature(bkuURI, request, dataURL); + private static String getHTMLForm(String request, String bkuURI, String dataURL, String oaUrl) throws BuildException { + return new GetIdentityLinkFormBuilder().buildCreateSignature(bkuURI, request, dataURL, oaUrl); } diff --git a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/servlet/VerifyAuthenticationBlockServlet.java b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/servlet/VerifyAuthenticationBlockServlet.java index f1fb15be0..44a1f3098 100644 --- a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/servlet/VerifyAuthenticationBlockServlet.java +++ b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/servlet/VerifyAuthenticationBlockServlet.java @@ -102,6 +102,7 @@ public class VerifyAuthenticationBlockServlet extends AuthServlet { resp.setHeader(MOAIDAuthConstants.HEADER_PRAGMA,MOAIDAuthConstants.HEADER_VALUE_PRAGMA); resp.setHeader(MOAIDAuthConstants.HEADER_CACHE_CONTROL,MOAIDAuthConstants.HEADER_VALUE_CACHE_CONTROL); resp.addHeader(MOAIDAuthConstants.HEADER_CACHE_CONTROL,MOAIDAuthConstants.HEADER_VALUE_CACHE_CONTROL_IE); + Map parameters; try @@ -142,8 +143,10 @@ public class VerifyAuthenticationBlockServlet extends AuthServlet { } resp.setContentType("text/html"); resp.setStatus(302); - resp.addHeader("Location", redirectURL); + + resp.addHeader("Location", redirectURL); Logger.debug("REDIRECT TO: " + redirectURL); + } catch (MOAIDException ex) { diff --git a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/config/ConfigurationBuilder.java b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/config/ConfigurationBuilder.java index b5275cdd5..5a598b03d 100644 --- a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/config/ConfigurationBuilder.java +++ b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/config/ConfigurationBuilder.java @@ -94,6 +94,13 @@ public class ConfigurationBuilder { /** an XPATH-Expression */ protected static final String AUTH_TEMPLATE_XPATH = ROOT + CONF + "AuthComponent/" + CONF + "Templates/" + CONF + "Template/@URL"; + /** an XPATH-Expression */ + public static final String AUTH_TEMPLATE_ONLINEMANDATES_BKU_XPATH = + ROOT + CONF + "AuthComponent/" + CONF + "Templates/" + CONF + "OnlineMandates/" + CONF + "BKU"; + + + //protected static final String AUTH_MANDATE_TEMPLATE_XPATH = +// ROOT + CONF + "AuthComponent/" + CONF + "Templates/" + CONF + "MandateTemplate/@URL"; /** an XPATH-Expression */ protected static final String INPUT_PROCESSOR_TEMPLATE_XPATH = ROOT + CONF + "AuthComponent/" + CONF + "Templates/" + CONF + "InputProcessorSignTemplate/@URL"; @@ -145,6 +152,11 @@ public class ConfigurationBuilder { /** an XPATH-Expression */ protected static final String OA_AUTH_COMPONENT_TEMPLATE_XPATH = CONF + "Templates/" + CONF + "Template/@URL"; + /** an XPATH-Expression */ + public static final String OA_AUTH_COMPONENT_TEMPLATE_ONLINEMANDATES_BKU_XPATH = + CONF + "Templates/" + CONF + "OnlineMandates/" + CONF + "BKU"; + //protected static final String OA_AUTH_COMPONENT_MANDATE_TEMPLATE_XPATH = + //CONF + "Templates/" + CONF + "MandateTemplate/@URL"; /** an XPATH-Expression */ protected static final String OA_AUTH_COMPONENT_TRANSFORMS_INFO_FILENAME_XPATH = CONF + "TransformsInfo/@filename"; /** an XPATH-Expression */ @@ -465,10 +477,12 @@ public class ConfigurationBuilder { String bkuSelectionTemplateURL = XPathUtils.getAttributeValue(configElem_, AUTH_BKUSELECT_TEMPLATE_XPATH, null); String templateURL = - XPathUtils.getAttributeValue(configElem_, AUTH_TEMPLATE_XPATH, null); + XPathUtils.getAttributeValue(configElem_, AUTH_TEMPLATE_XPATH, null); String inputProcessorSignTemplateURL = XPathUtils.getAttributeValue(configElem_, INPUT_PROCESSOR_TEMPLATE_XPATH, null); + OnlineMandatesTemplates[] templatesOnlineMandates = buildTemplateOnlineMandates(configElem_); + List OA_set = new ArrayList(); NodeList OAIter = XPathUtils.selectNodeList(configElem_, OA_XPATH); @@ -536,7 +550,9 @@ public class ConfigurationBuilder { oap.setProvideIdentityLink(BoolUtils.valueOf(authComponent.getAttribute("provideIdentityLink"))); oap.setProvideCertificate(BoolUtils.valueOf(authComponent.getAttribute("provideCertificate"))); oap.setBkuSelectionTemplateURL(buildTemplateURL(authComponent, OA_AUTH_COMPONENT_BKUSELECT_TEMPLATE_XPATH, bkuSelectionTemplateURL)); - oap.setTemplateURL(buildTemplateURL(authComponent, OA_AUTH_COMPONENT_TEMPLATE_XPATH, templateURL)); + oap.setTemplateURL(buildTemplateURL(authComponent, OA_AUTH_COMPONENT_TEMPLATE_XPATH, templateURL)); + oap.setTemplateOnlineMandates(buildTemplateOnlineMandatesOA(authComponent, templatesOnlineMandates)); + oap.setInputProcessorSignTemplateURL(buildTemplateURL(authComponent, INPUT_PROCESSOR_TEMPLATE_XPATH, inputProcessorSignTemplateURL)); // load OA specific transforms if present String[] transformsInfoFileNames = buildTransformsInfoFileNames(authComponent, OA_AUTH_COMPONENT_TRANSFORMS_INFO_FILENAME_XPATH); @@ -590,6 +606,77 @@ public class ConfigurationBuilder { } return templateURL; } + + + + protected OnlineMandatesTemplates[] buildTemplateOnlineMandates(Node contextNode) { + String xpathExpr = AUTH_TEMPLATE_ONLINEMANDATES_BKU_XPATH; + List onlineMandatesTemplatesList = new ArrayList(); + + NodeIterator bkuIter = XPathUtils.selectNodeIterator(contextNode, xpathExpr); + + Element bkuElem; + while ((bkuElem = (Element) bkuIter.nextNode()) != null) { + String bkuUrl = XPathUtils.getAttributeValue(bkuElem, "@URL", null); + String moaidTemplateUrl = XPathUtils.getAttributeValue(bkuElem, CONF + "MOA-ID-Template/@URL", null); + String mandateTemplateUrl = XPathUtils.getAttributeValue(bkuElem, CONF + "MandateTemplate/@URL", null); + + OnlineMandatesTemplates template = new OnlineMandatesTemplates(); + template.setBkuURL(bkuUrl); + if (moaidTemplateUrl != null) { + moaidTemplateUrl = FileUtils.makeAbsoluteURL(moaidTemplateUrl, rootConfigFileDir_); + } + if (moaidTemplateUrl != null) { + mandateTemplateUrl = FileUtils.makeAbsoluteURL(mandateTemplateUrl, rootConfigFileDir_); + } + template.setMoaIdTemplateURL(moaidTemplateUrl); + template.setMandatesTemplateURL(mandateTemplateUrl); + + onlineMandatesTemplatesList.add(template); + + } + + if (onlineMandatesTemplatesList.isEmpty()) + return null; + + OnlineMandatesTemplates[] onlinemandatesTemplates = new OnlineMandatesTemplates[onlineMandatesTemplatesList.size()]; + onlineMandatesTemplatesList.toArray(onlinemandatesTemplates); + + return onlinemandatesTemplates; + + } + + protected OnlineMandatesTemplates[] buildTemplateOnlineMandatesOA(Node contextNode, OnlineMandatesTemplates[] defaultTemplatesOnlineMandates) { + + String xpathExpr = OA_AUTH_COMPONENT_TEMPLATE_ONLINEMANDATES_BKU_XPATH; + List onlineMandatesTemplatesList = new ArrayList(); + + NodeIterator bkuIter = XPathUtils.selectNodeIterator(contextNode, xpathExpr); + + Element bkuElem; + while ((bkuElem = (Element) bkuIter.nextNode()) != null) { + String bkuUrl = XPathUtils.getAttributeValue(bkuElem, "@URL", null); + String moaidTemplateUrl = XPathUtils.getAttributeValue(bkuElem, CONF + "MOA-ID-Template/@URL", null); + String mandateTemplateUrl = XPathUtils.getAttributeValue(bkuElem, CONF + "MandateTemplate/@URL", null); + + OnlineMandatesTemplates template = new OnlineMandatesTemplates(); + template.setBkuURL(bkuUrl); + template.setMoaIdTemplateURL(moaidTemplateUrl); + template.setMandatesTemplateURL(mandateTemplateUrl); + + onlineMandatesTemplatesList.add(template); + + } + + if (onlineMandatesTemplatesList.isEmpty()) + return defaultTemplatesOnlineMandates; + + OnlineMandatesTemplates[] onlinemandatesTemplates = new OnlineMandatesTemplates[onlineMandatesTemplatesList.size()]; + onlineMandatesTemplatesList.toArray(onlinemandatesTemplates); + + return onlinemandatesTemplates; + + } /** diff --git a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/config/OnlineMandatesTemplates.java b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/config/OnlineMandatesTemplates.java new file mode 100644 index 000000000..9ff2467a0 --- /dev/null +++ b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/config/OnlineMandatesTemplates.java @@ -0,0 +1,54 @@ +package at.gv.egovernment.moa.id.config; + +public class OnlineMandatesTemplates { + + private String bkuURL; + + private String moaIdTemplateURL; + + private String mandatesTemplateURL; + + /** + * @return the bkuURL + */ + public String getBkuURL() { + return bkuURL; + } + + /** + * @param bkuURL the bkuURL to set + */ + public void setBkuURL(String bkuURL) { + this.bkuURL = bkuURL; + } + + /** + * @return the moaIdTemplateURL + */ + public String getMoaIdTemplateURL() { + return moaIdTemplateURL; + } + + /** + * @param moaIdTemplateURL the moaIdTemplateURL to set + */ + public void setMoaIdTemplateURL(String moaIdTemplateURL) { + this.moaIdTemplateURL = moaIdTemplateURL; + } + + /** + * @return the mandatesTemplateURL + */ + public String getMandatesTemplateURL() { + return mandatesTemplateURL; + } + + /** + * @param mandatesTemplateURL the mandatesTemplateURL to set + */ + public void setMandatesTemplateURL(String mandatesTemplateURL) { + this.mandatesTemplateURL = mandatesTemplateURL; + } + + +} diff --git a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/config/auth/OAAuthParameter.java b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/config/auth/OAAuthParameter.java index aa5aa21a3..fbaf32c1c 100644 --- a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/config/auth/OAAuthParameter.java +++ b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/config/auth/OAAuthParameter.java @@ -16,6 +16,7 @@ package at.gv.egovernment.moa.id.config.auth; import at.gv.egovernment.moa.id.config.OAParameter; +import at.gv.egovernment.moa.id.config.OnlineMandatesTemplates; /** * Configuration parameters belonging to an online application, @@ -79,6 +80,8 @@ public class OAAuthParameter extends OAParameter { * template for web page "Anmeldung mit Bürgerkarte" */ private String templateURL; + + private OnlineMandatesTemplates[] templateOnlineMandates; /** * template for web page "Signatur der Anmeldedaten" */ @@ -167,7 +170,8 @@ public class OAAuthParameter extends OAParameter { return provideCertificate; } - /** + +/** * Returns the key box identifier. * @return String */ @@ -193,6 +197,7 @@ public class OAAuthParameter extends OAParameter { return templateURL; } + /** * Returns the inputProcessorSignTemplateURL url. * @return The inputProcessorSignTemplateURL url or null if no url for @@ -239,6 +244,21 @@ public class OAAuthParameter extends OAParameter { this.transformsInfos = transformsInfos; } /** + * @return the templateOnlineMandates + */ +public OnlineMandatesTemplates[] getTemplateOnlineMandates() { + return templateOnlineMandates; +} + +/** + * @param templateOnlineMandates the templateOnlineMandates to set + */ +public void setTemplateOnlineMandates( + OnlineMandatesTemplates[] templateOnlineMandates) { + this.templateOnlineMandates = templateOnlineMandates; +} + +/** * Sets the provideAuthBlock. * @param provideAuthBlock The provideAuthBlock to set */ @@ -295,7 +315,7 @@ public class OAAuthParameter extends OAParameter { public void setTemplateURL(String templateURL) { this.templateURL = templateURL; } - + /** * Sets the input processor sign form template url. * diff --git a/id/server/idserverlib/src/main/resources/resources/properties/id_messages_de.properties b/id/server/idserverlib/src/main/resources/resources/properties/id_messages_de.properties index f206f6bbb..b8ee6ac68 100644 --- a/id/server/idserverlib/src/main/resources/resources/properties/id_messages_de.properties +++ b/id/server/idserverlib/src/main/resources/resources/properties/id_messages_de.properties @@ -70,6 +70,7 @@ parser.07=Fehler beim Parsen: Assoziatives Array im {0}-InfoboxResponse enth builder.00=Fehler beim Aufbau der Struktur "{0}": {1} builder.01=Fehlerhaftes Template: Kennung "{0}" fehlt builder.02=Fehler beim Ausblenden von Stammzahlen +builder.03=Fehler beim Aufbau des HTML Codes für Vollmachten service.00=Fehler beim Aufruf des Web Service: {0} service.01=Fehler beim Aufruf des Web Service: kein Endpoint diff --git a/id/templates/src/main/webapp/SampleBKUSelectionTemplate.html b/id/templates/src/main/webapp/SampleBKUSelectionTemplate.html index 5536226a8..251793a93 100644 --- a/id/templates/src/main/webapp/SampleBKUSelectionTemplate.html +++ b/id/templates/src/main/webapp/SampleBKUSelectionTemplate.html @@ -33,19 +33,8 @@ Bürgerkarte. Bei der Anmeldung mit der A-Trust Bürgerkarte benötigen Sie eine funktionsfähige Bürgerkartensoftware sowie einen passenden Kartenleser.

- -

Wollen Sie ein A1-Signatur erwerben? Wenden Sie sich an 0800-664 680 um - Informationen zur A1-Signatur zu erhalten. - Hier finden Sie ebenfalls Informationen dazu: A1-Signatur. - Bei der Anmeldung mit der A1-Signatur wird keine Bürgerkartensoftware und - kein Kartenleser benötigt.

-- cgit v1.2.3 From e80bee764aa587ceff3db421c7f68c8fd4e2f406 Mon Sep 17 00:00:00 2001 From: kstranacher Date: Fri, 7 Oct 2011 08:41:08 +0000 Subject: MOA-ID: Update Dokumentation git-svn-id: https://joinup.ec.europa.eu/svn/moa-idspss/trunk@1218 d688527b-c9ab-4aba-bd8d-4036d912da1d --- id/server/doc/MOA-ID-Configuration-1.5.0.xsd | 665 --------------------- id/server/doc/MOA-ID-Configuration-1.5.1.xsd | 651 ++++++++++++++++++++ .../SampleMOAIDVerifyInfoboxesConfiguration.xml | 176 +++--- .../moa_id/examples/TransformsInfoAuthBlock.txt | 35 -- .../examples/TransformsInfoAuthBlockTable_DE.xml | 161 +++++ .../moa_id/examples/conf/MOA-ID-Configuration.xml | 65 +- id/server/doc/moa_id/examples/moa-id-env.sh.txt | 2 +- id/server/doc/moa_id/id-admin_1.htm | 2 +- id/server/doc/moa_id/id-admin_2.htm | 44 +- id/server/doc/moa_id/id-anwendung_1.htm | 19 +- 10 files changed, 962 insertions(+), 858 deletions(-) delete mode 100644 id/server/doc/MOA-ID-Configuration-1.5.0.xsd create mode 100644 id/server/doc/MOA-ID-Configuration-1.5.1.xsd delete mode 100644 id/server/doc/moa_id/examples/TransformsInfoAuthBlock.txt create mode 100644 id/server/doc/moa_id/examples/TransformsInfoAuthBlockTable_DE.xml (limited to 'id/server/doc/moa_id/id-admin_2.htm') diff --git a/id/server/doc/MOA-ID-Configuration-1.5.0.xsd b/id/server/doc/MOA-ID-Configuration-1.5.0.xsd deleted file mode 100644 index 19b793fdb..000000000 --- a/id/server/doc/MOA-ID-Configuration-1.5.0.xsd +++ /dev/null @@ -1,665 +0,0 @@ - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - enthÃ¤lt Parameter der Authentisierungs-Komponente - - - - - enthÃ¤lt Konfigurationsparameter der Proxy-Komponente - - - - - - enthÃ¤lt Parameter fÃ¼r die Kommunikation zw. Proxykomponente und Authenttisierungskomponente - - - - - - enthÃ¤lt Parameter fÃ¼r die SOAP-Verbindung von der Proxy-Komponente zur Auth-Komponente (vgl. AuthComponent/MOA-SP/ConnectionParameter) - - - - - - - - - - - enthÃ¤lt Parameter fÃ¼r die OA - - - - - - - - - - - - - - - - - - - - - - - spezifiziert den Algorithmus ("pkix" oder "chaining") fÃ¼r die Zertifikatspfadvalidierung - - - - - - ein vom SystemDefaultMode abweichender ChiningMode kann fÃ¼r jeden TrustAnchor gesetzt werden - - - - - - - - - - - - - - - - verweist auf ein Verzeichnis, das vertrauenswÃ¼rdige CA (Zwischen-CA, Wurzel-CA) Zertifikate enthÃ¤lt. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - enthÃ¤lt Parameter fÃ¼r die Kommunikation mit dem Security-Layer - - - - - - - - - - enthÃ¤lt Konfiguratiosnparameter fÃ¼r die Kommunikation mit dem MOA SP Modul - - - - - - enthÃ¤lt Parameter fÃ¼r die SOAP-Verbindung von der AUTH-Komponente zu MOA-SP; das Attribut URL enthÃ¤lt den Endpunkt des Server; wird das Schema "https" verwendet mÃ¼ssen die Kind-Elemente angegeben werden; wird das Schema "http" verwendet dÃ¼rfen keine Kind-Elemente angegeben werden; wird das Element nicht verwendet dann wird MOA-SP Ã¼ber das API aufgerufen - - - - - enthÃ¤lt Parameter fÃ¼r die ÃœberprÃ¼fung der Personenbindung - - - - - - - - - - enthÃ¤lt Parameter fÃ¼r die ÃœberprÃ¼fung des AUTH-Blocks - - - - - - - - - - - - - - enthÃ¤lt Informationen Ã¼ber akzeptierte Signers des IdentityLinks - - - - - - akzeptierte Signer des IdentityLinks werden per X509SubjectName (Kodierung nach RFC 2253) identifiziert - - - - - - - - enthÃ¤lt Defaultparameter fÃ¼r die ÃœberprÃ¼fung weiterer Infoboxen - - - - - - - - Verbindungsparameter zum SZR-Gateway (GetIdentityLink) - - - - - - - - - - - Verbindungsparameter zum Online-Vollmachten-Service - - - - - - - - - - das Attribut filename verweist auf eine Datei mit globalem Element TransformsInfo vom Typ sl10:TransformsInfo; diese TransformsInfo werden in den CreateXMLSignatureRequest fÃ¼r die Signatur des AUTH-Blocks inkludiert - - - - - - - - - - - - - - - - - - - - - - - - - - - - das Attribut URL spezifiziert die Lage des Templates - - - - - - Verifikation zusÃ¤tzlicher Infoboxen - - - - - Optionales DefaultTrustprofil fÃ¼r die ÃœberprÃ¼fung aller weiteren Infoboxen - - - - - - - - - - Parameter fÃ¼r ÃœberprÃ¼fung weiterer Infoboxen - - - - - - - Parameter zur ÃœberprÃ¼fung einzelner Infoboxen - - - - - optionalervName, der fÃ¼r Fehlermeldungen verwendet werden soll; z.B.: "Stellvertretungen" fÃ¼r "Mandates"; fehlt dieser Parameter, dann wird das Identifier-Attribut verwendet - - - - - TrustProfil, das fÃ¼r die ÃœberprÃ¼fung der Infobox verwendet werden soll - - - - - Validatorklasse, die fÃ¼r die PrÃ¼fung der Infobox verwendet werden soll; muss gesetzt werden, wenn Package- und Klassenname vom Default Package- und Klassennamen abweichen - - - - - - Infobox spezifische Parameter, die der jeweiligen PrÃ¼fapplikation Ã¼bergeben werden - - - - - - - - - - Infobox spezifische Parameter, die der PrÃ¼fapplikation fÃ¼r berufliche Parteienvertretung Ã¼bergeben werden. Dies ist logisch Teil der ApplicationSpecificParameters, kann jedoch aufgrund der Strukturierung validierend geparst werden und dadurch wird eine funktionierende Konfiguration bei Programmstart garantiert. - - - - - - Falls Infoboxinhalte fÃ¼r die berufliche Parteienvertretung in der Vollmachten Infobox "mandates" abgelegt werden und Vertretung fÃ¼r berufliche Parteienvertreter aktiviert ist, so kann mit diesem Schalter die VollmachtsprÃ¼fung fÃ¼r normale Vollmachten deaktiviert werden. Damit wird erreicht, dass mittels der Vollmachten Infobox ausschlieÃŸlich berufliche Parteienvertretung aktiviert ist. Dieser Schalter ist nur fÃ¼r die Vollmachten Infobox "mandates" relevant. - - - - - Eigentlicher Konfigurationsteil fÃ¼r berufliche Parteienvertretung - - - - - - - - - - - - - - Spezifiziert die Lage von XML Schemas - - - - - - - - - - - - - - - - enthÃ¤lt Parameter Ã¼ber die OA, die die Authentisierungs-Komponente betreffen - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - enthÃ¤lt Parameter Ã¼ber die OA, die die Proxy-Komponente betreffen - - - - - - enthÃ¤lt Parameter Ã¼ber die OA, die die Proxy-Komponente betreffen - - - - - - - - - - - - - - - - - - URL zu einem Verzeichnis, das akzeptierte Server-Zertifikate der TLS-Verbindung enthÃ¤lt (keine CA-Zertifikate) - - - - - - - - - - - - URL zu einem KeyStore, der den privaten SchlÃ¼ssel, der fÃ¼r die TLS-Client-Authentisierung verwendet wird, enthÃ¤lt - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Soll nicht nur bei leerer oder standardisierter Vollmacht mit unvollstÃ¤ndigen Daten, sondern beispielsweise zu Kontrollzwecken das Eingabeformular immer angezeigt werden, wenn ein Einschreiten durch berufliche Parteienvertretung geschieht so kann dies mittels dieses Schalters veranlasst werden - - - - - - - - - - - Das Attribut spezifiziert die Lage des Templates, welches der InputProcessor zur Darstellung des Eingabeformulars nutzen soll - - - - - - - - - - Default InputProcessor. Konfiguration eines vom Standardprozess abweichenden Verarbeitungsvorgangs bei der beruflichen Parteienvertretung. Der Wert dieses Elements ist der vollstÃ¤ndige Klassenname des InputProzessors - - - - - Default Wert fÃ¼r Formularanzeige. Soll nicht nur bei leerer oder standardisierter Vollmacht mit unvollstÃ¤ndigen Daten, sondern beispielsweise zu Kontrollzwecken das Eingabeformular zur vervollstÃ¤ndigung der Vertretenendaten immer angezeigt werden, wenn ein Einschreiten durch berufliche Parteienvertretung geschieht so kann dies mittels dieses Schalters veranlasst werden - - - - - Default Verbindungsparameter zum SZR-Gateway (fÃ¼r den EGIZ-Demonstrator im internen Netzwerk: https://129.27.142.5:8443/szr-gateway/services/MandateCreation) - - - - - Falls keine speziellen beruflichen ParteienvertreterInnen definiert sind (Element kommt nicht vor), werden ausschlieÃŸlich standardisierte Vollmachten mit einer MandateID="*" akzeptiert - - - - - - - - - Konfiguration eines vom Standardprozess abweichenden Verarbeitungsvorgangs bei der beruflichen Parteienvertretung. Der Wert dieses Elements ist der vollstÃ¤ndige Klassenname des InputProzessors - - - - - - Optionale Verbindungsparameter zu speziellem (SZR-)Gateway - - - - - - OID der Parteienvertretung lt. "Object Identifier der Ã¶ffentlichen Verwaltung" - Konvention, Empfehlung. Diese ID muss mit der MandateID der Ã¼bermittelten standardisierten Vollmacht Ã¼bereinstimmen. Eine Parteienvertretung fÃ¼r standardisierte Vollmachten mit der MandateID "*" muss nicht definiert werden und erlaubt eine allgemeine berufliche Parteienvertretung mit Standardtexten. In anderen FÃ¤llen ist eine erlaubte OID mitttels dieses Attributs zu definieren - - - - - - Legt fest, ob berufliche Parteienvertretung fÃ¼r natÃ¼rliche Personen erlaubt ist - - - - - - - - Legt fest, ob berufliche Parteienvertretung fÃ¼r juristische Personen erlaubt ist (welche z.B. ein Organwalter nicht vertreten darf und dieser Wert aus diesem Grund dort false sein muss) - - - - - - - - Beschreibender Text, der an Stelle des Standardtexts bei der Signatur der Anmeldedaten im Falle einer vorliegenden beruflichen Parteienvertretung zur Signatur vorgelegt wird - - - - - diff --git a/id/server/doc/MOA-ID-Configuration-1.5.1.xsd b/id/server/doc/MOA-ID-Configuration-1.5.1.xsd new file mode 100644 index 000000000..f8c38bdd3 --- /dev/null +++ b/id/server/doc/MOA-ID-Configuration-1.5.1.xsd @@ -0,0 +1,651 @@ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + enthÃ¤lt Parameter der Authentisierungs-Komponente + + + + + enthÃ¤lt Konfigurationsparameter der Proxy-Komponente + + + + + + enthÃ¤lt Parameter fÃ¼r die Kommunikation zw. Proxykomponente und Authenttisierungskomponente + + + + + + enthÃ¤lt Parameter fÃ¼r die SOAP-Verbindung von der Proxy-Komponente zur Auth-Komponente (vgl. AuthComponent/MOA-SP/ConnectionParameter) + + + + + + + + + + + enthÃ¤lt Parameter fÃ¼r die OA + + + + + + + + + + + + + + + + + + + + + + + spezifiziert den Algorithmus ("pkix" oder "chaining") fÃ¼r die Zertifikatspfadvalidierung + + + + + + ein vom SystemDefaultMode abweichender ChiningMode kann fÃ¼r jeden TrustAnchor gesetzt werden + + + + + + + + + + + + + + + + verweist auf ein Verzeichnis, das vertrauenswÃ¼rdige CA (Zwischen-CA, Wurzel-CA) Zertifikate enthÃ¤lt. + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + enthÃ¤lt Parameter fÃ¼r die Kommunikation mit dem Security-Layer + + + + + + + + + + enthÃ¤lt Konfiguratiosnparameter fÃ¼r die Kommunikation mit dem MOA SP Modul + + + + + + enthÃ¤lt Parameter fÃ¼r die SOAP-Verbindung von der AUTH-Komponente zu MOA-SP; das Attribut URL enthÃ¤lt den Endpunkt des Server; wird das Schema "https" verwendet mÃ¼ssen die Kind-Elemente angegeben werden; wird das Schema "http" verwendet dÃ¼rfen keine Kind-Elemente angegeben werden; wird das Element nicht verwendet dann wird MOA-SP Ã¼ber das API aufgerufen + + + + + enthÃ¤lt Parameter fÃ¼r die ÃœberprÃ¼fung der Personenbindung + + + + + + + + + + enthÃ¤lt Parameter fÃ¼r die ÃœberprÃ¼fung des AUTH-Blocks + + + + + + + + + + + + + + enthÃ¤lt Informationen Ã¼ber akzeptierte Signers des IdentityLinks + + + + + + akzeptierte Signer des IdentityLinks werden per X509SubjectName (Kodierung nach RFC 2253) identifiziert + + + + + + + + enthÃ¤lt Defaultparameter fÃ¼r die ÃœberprÃ¼fung weiterer Infoboxen + + + + + + + + Verbindungsparameter zum SZR-Gateway (GetIdentityLink) + + + + + + + + + + + Verbindungsparameter zum Online-Vollmachten-Service + + + + + + + + + + das Attribut filename verweist auf eine Datei mit globalem Element TransformsInfo vom Typ sl10:TransformsInfo; diese TransformsInfo werden in den CreateXMLSignatureRequest fÃ¼r die Signatur des AUTH-Blocks inkludiert + + + + + + + + + + + + + das Attribut URL spezifiziert die Lage des Templates + + + + + + Verifikation zusÃ¤tzlicher Infoboxen + + + + + Optionales DefaultTrustprofil fÃ¼r die ÃœberprÃ¼fung aller weiteren Infoboxen + + + + + + + + + + Parameter fÃ¼r ÃœberprÃ¼fung weiterer Infoboxen + + + + + + + Parameter zur ÃœberprÃ¼fung einzelner Infoboxen + + + + + optionalervName, der fÃ¼r Fehlermeldungen verwendet werden soll; z.B.: "Stellvertretungen" fÃ¼r "Mandates"; fehlt dieser Parameter, dann wird das Identifier-Attribut verwendet + + + + + TrustProfil, das fÃ¼r die ÃœberprÃ¼fung der Infobox verwendet werden soll + + + + + Validatorklasse, die fÃ¼r die PrÃ¼fung der Infobox verwendet werden soll; muss gesetzt werden, wenn Package- und Klassenname vom Default Package- und Klassennamen abweichen + + + + + + Infobox spezifische Parameter, die der jeweiligen PrÃ¼fapplikation Ã¼bergeben werden + + + + + + + + + + Infobox spezifische Parameter, die der PrÃ¼fapplikation fÃ¼r berufliche Parteienvertretung Ã¼bergeben werden. Dies ist logisch Teil der ApplicationSpecificParameters, kann jedoch aufgrund der Strukturierung validierend geparst werden und dadurch wird eine funktionierende Konfiguration bei Programmstart garantiert. + + + + + + Falls Infoboxinhalte fÃ¼r die berufliche Parteienvertretung in der Vollmachten Infobox "mandates" abgelegt werden und Vertretung fÃ¼r berufliche Parteienvertreter aktiviert ist, so kann mit diesem Schalter die VollmachtsprÃ¼fung fÃ¼r normale Vollmachten deaktiviert werden. Damit wird erreicht, dass mittels der Vollmachten Infobox ausschlieÃŸlich berufliche Parteienvertretung aktiviert ist. Dieser Schalter ist nur fÃ¼r die Vollmachten Infobox "mandates" relevant. + + + + + Eigentlicher Konfigurationsteil fÃ¼r berufliche Parteienvertretung + + + + + + + + + + + + + + Spezifiziert die Lage von XML Schemas + + + + + + + + + + + + + + + + enthÃ¤lt Parameter Ã¼ber die OA, die die Authentisierungs-Komponente betreffen + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + enthÃ¤lt Parameter Ã¼ber die OA, die die Proxy-Komponente betreffen + + + + + + enthÃ¤lt Parameter Ã¼ber die OA, die die Proxy-Komponente betreffen + + + + + + + + + + + + + + + + + + URL zu einem Verzeichnis, das akzeptierte Server-Zertifikate der TLS-Verbindung enthÃ¤lt (keine CA-Zertifikate) + + + + + + + + + + + + URL zu einem KeyStore, der den privaten SchlÃ¼ssel, der fÃ¼r die TLS-Client-Authentisierung verwendet wird, enthÃ¤lt + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + Soll nicht nur bei leerer oder standardisierter Vollmacht mit unvollstÃ¤ndigen Daten, sondern beispielsweise zu Kontrollzwecken das Eingabeformular immer angezeigt werden, wenn ein Einschreiten durch berufliche Parteienvertretung geschieht so kann dies mittels dieses Schalters veranlasst werden + + + + + + + + + + + Das Attribut spezifiziert die Lage des Templates, welches der InputProcessor zur Darstellung des Eingabeformulars nutzen soll + + + + + + + + + + Default InputProcessor. Konfiguration eines vom Standardprozess abweichenden Verarbeitungsvorgangs bei der beruflichen Parteienvertretung. Der Wert dieses Elements ist der vollstÃ¤ndige Klassenname des InputProzessors + + + + + Default Wert fÃ¼r Formularanzeige. Soll nicht nur bei leerer oder standardisierter Vollmacht mit unvollstÃ¤ndigen Daten, sondern beispielsweise zu Kontrollzwecken das Eingabeformular zur vervollstÃ¤ndigung der Vertretenendaten immer angezeigt werden, wenn ein Einschreiten durch berufliche Parteienvertretung geschieht so kann dies mittels dieses Schalters veranlasst werden + + + + + Default Verbindungsparameter zum SZR-Gateway (fÃ¼r den EGIZ-Demonstrator im internen Netzwerk: https://129.27.142.5:8443/szr-gateway/services/MandateCreation) + + + + + Falls keine speziellen beruflichen ParteienvertreterInnen definiert sind (Element kommt nicht vor), werden ausschlieÃŸlich standardisierte Vollmachten mit einer MandateID="*" akzeptiert + + + + + + + + + Konfiguration eines vom Standardprozess abweichenden Verarbeitungsvorgangs bei der beruflichen Parteienvertretung. Der Wert dieses Elements ist der vollstÃ¤ndige Klassenname des InputProzessors + + + + + + Optionale Verbindungsparameter zu speziellem (SZR-)Gateway + + + + + + OID der Parteienvertretung lt. "Object Identifier der Ã¶ffentlichen Verwaltung" - Konvention, Empfehlung. Diese ID muss mit der MandateID der Ã¼bermittelten standardisierten Vollmacht Ã¼bereinstimmen. Eine Parteienvertretung fÃ¼r standardisierte Vollmachten mit der MandateID "*" muss nicht definiert werden und erlaubt eine allgemeine berufliche Parteienvertretung mit Standardtexten. In anderen FÃ¤llen ist eine erlaubte OID mitttels dieses Attributs zu definieren + + + + + + Legt fest, ob berufliche Parteienvertretung fÃ¼r natÃ¼rliche Personen erlaubt ist + + + + + + + + Legt fest, ob berufliche Parteienvertretung fÃ¼r juristische Personen erlaubt ist (welche z.B. ein Organwalter nicht vertreten darf und dieser Wert aus diesem Grund dort false sein muss) + + + + + + + + Beschreibender Text, der an Stelle des Standardtexts bei der Signatur der Anmeldedaten im Falle einer vorliegenden beruflichen Parteienvertretung zur Signatur vorgelegt wird + + + + + diff --git a/id/server/doc/moa_id/examples/SampleMOAIDVerifyInfoboxesConfiguration.xml b/id/server/doc/moa_id/examples/SampleMOAIDVerifyInfoboxesConfiguration.xml index 5c814b834..f31730a06 100644 --- a/id/server/doc/moa_id/examples/SampleMOAIDVerifyInfoboxesConfiguration.xml +++ b/id/server/doc/moa_id/examples/SampleMOAIDVerifyInfoboxesConfiguration.xml @@ -2,80 +2,81 @@ - - - - - - - Globale Templates zum Anpassen der Seiten "Auswahl der Bürgerkartenumgebung" und - "Anmeldung mit Bürgerkarte"<--> - - - - + + + - + Wenn MOA-SP direkt ueber API aufgerufen werden soll, so wird das Element auskommentiert --> - MOAIDBuergerkartePersonenbindung - + MOAIDBuergerkarteAuthentisierungsDaten - MOAIDTransformAuthBlockText - Auskommentieren, falls die in der Beispiel-Onlineapplikation definierte Transformationverwendet wird:<--> - + + MOAIDTransformAuthBlockTable_DE + - - - - - CN=zmr,OU=BMI-IV-2,O=BMI,C=AT - - T=Dr.,CN=Nikolaus Schwab,O=BM f. Inneres i.A. des gf. Mitgieds der Datenschutzkommission - - T=Dr.,CN=Nikolaus Schwab,O=BM f. Inneres i.A. des gf. Mitglieds der Datenschutzkommission - - - GlobalVIDefaultTrust - - - - Beispiel Infobox B - GlobalInfoboxBTrust - - - - - - content1 - content2 - - content3a - content3b - - - - + + GlobalVIDefaultTrust + + + + Beispiel Infobox B + GlobalInfoboxBTrust + + + + + + content1 + content2 + + content3a + content3b + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + - @@ -83,26 +84,26 @@ - - LocalOA1DefaultTrust - - - - Demo Infobox B - oa1.validate.InfoboxBValidator - - - - - - - - Demo Infobox C - LocalInfoboxOA1CTrust - - - - + + LocalOA1DefaultTrust + + + + Demo Infobox B + oa1.validate.InfoboxBValidator + + + + + + + + Demo Infobox C + LocalInfoboxOA1CTrust + + + + @@ -110,28 +111,25 @@ - - - LocalInfoboxOA2ATrust - - - - + + + LocalInfoboxOA2ATrust + + + + - + - - certs/ca-certs - @@ -139,9 +137,13 @@ - - + + + + https://www.handy-signatur.at/mobile/https-security-layer-request/default.aspx + https://www.a-trust.at/mobile/https-security-layer-request/default.aspx + diff --git a/id/server/doc/moa_id/examples/TransformsInfoAuthBlock.txt b/id/server/doc/moa_id/examples/TransformsInfoAuthBlock.txt deleted file mode 100644 index edbde0073..000000000 --- a/id/server/doc/moa_id/examples/TransformsInfoAuthBlock.txt +++ /dev/null @@ -1,35 +0,0 @@ - - - - - - - - - Signatur der Anmeldedaten - - -

Signatur der Anmeldedaten

Mit meiner elektronischen Signatur beantrage ich, , -geboren am -.., den Zugang zur gesicherten Anwendung.

Datum und Uhrzeit: .., ::

- -

wbPK(*):

- (*) wbPK: Das Wirtschaftsbereichsspezifische Personenkennzeichen wird aus den jeweiligen Stammzahlen des Buergers und des Wirtschaftsunternehmens berechnet und ermoeglicht eine eindeutige Zuordnung des Buergers zum Wirtschaftsunternehmen. - - - - - - - - - - text/html - - diff --git a/id/server/doc/moa_id/examples/TransformsInfoAuthBlockTable_DE.xml b/id/server/doc/moa_id/examples/TransformsInfoAuthBlockTable_DE.xml new file mode 100644 index 000000000..4ec0f94ae --- /dev/null +++ b/id/server/doc/moa_id/examples/TransformsInfoAuthBlockTable_DE.xml @@ -0,0 +1,161 @@ + + + + + + + + + Signatur der Anmeldedaten + + + +

Anmeldedaten:

Daten zur Person

+ + + + + + + + + + + + + + + + + + + + + + + + + +

Name:	+ +
Geburtsdatum:	+ + . + + . + +
Rolle:	+ +
Vollmacht:	+ Ich melde mich in Vertretung an. Im nÃ¤chsten Schritt wird mir eine Liste der fÃ¼r mich verfÃ¼gbaren VertretungsverhÃ¤ltnisse angezeigt, aus denen ich eines auswÃ¤hlen werde. +

Daten zur Anwendung

+ + + + + + + + + +

Name:	+ +
Staat:	Ã–sterreich

Technische Parameter

+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +

URL:	+ +
Bereich:	+ +
+ Vollmachten-Referenz:	+ +
+ :	+ +
Identifikator:	+ + +
OID:	+ +
HPI:	+ +
Datum:	+ + . + + . + +
Uhrzeit:	+ + : + + : + +

+ + + + + + + + + application/xhtml+xml + + diff --git a/id/server/doc/moa_id/examples/conf/MOA-ID-Configuration.xml b/id/server/doc/moa_id/examples/conf/MOA-ID-Configuration.xml index ae106f24a..2cdc61653 100644 --- a/id/server/doc/moa_id/examples/conf/MOA-ID-Configuration.xml +++ b/id/server/doc/moa_id/examples/conf/MOA-ID-Configuration.xml @@ -2,46 +2,58 @@ - - - - - - - + - - + + + - + Wenn MOA-SP direkt ueber API aufgerufen werden soll, so wird das Element auskommentiert --> + - MOAIDBuergerkartePersonenbindung - + MOAIDBuergerkarteAuthentisierungsDaten - MOAIDTransformAuthBlockText + + MOAIDTransformAuthBlockTable_DE + - - - - - CN=zmr,OU=BMI-IV-2,O=BMI,C=AT - - T=Dr.,CN=Nikolaus Schwab,O=BM f. Inneres i.A. des gf. Mitgieds der Datenschutzkommission - - T=Dr.,CN=Nikolaus Schwab,O=BM f. Inneres i.A. des gf. Mitglieds der Datenschutzkommission - + + + + + + + + + + + + + + + + + + + + + + + + + + @@ -98,4 +110,9 @@ + + + https://www.handy-signatur.at/mobile/https-security-layer-request/default.aspx + https://www.a-trust.at/mobile/https-security-layer-request/default.aspx + diff --git a/id/server/doc/moa_id/examples/moa-id-env.sh.txt b/id/server/doc/moa_id/examples/moa-id-env.sh.txt index 1ccca10c1..466b2762e 100644 --- a/id/server/doc/moa_id/examples/moa-id-env.sh.txt +++ b/id/server/doc/moa_id/examples/moa-id-env.sh.txt @@ -1,5 +1,5 @@ rem insert Tomcat 4.1.x home directory (no trailing path separator) -set CATALINA_HOME= +set CATALINA_HOME= CONFIG_OPT_SPSS=-Dmoa.spss.server.configuration=$CATALINA_HOME/conf/moa-spss/SampleMOASPSSConfiguration.xml CONFIG_OPT_ID=-Dmoa.id.configuration=$CATALINA_HOME/conf/moa-id/SampleMOAIDConfiguration.xml diff --git a/id/server/doc/moa_id/id-admin_1.htm b/id/server/doc/moa_id/id-admin_1.htm index 2b3ade1ed..9b18fcdbe 100644 --- a/id/server/doc/moa_id/id-admin_1.htm +++ b/id/server/doc/moa_id/id-admin_1.htm @@ -354,7 +354,7 @@ Um MOA-ID-PROXY in Tomcat für den Ablauf vorzubereiten, sind folgende Schri Diese Java System-Properties werden Tomcat über die Umgebungsvariable - CATALINA_OPTS mitgeteilt (siehe Deployment von MOA-ID-AUTH). + CATALINA_OPTS mitgeteilt (siehe Deployment von MOA-ID-AUTH moa-id-env.sh.txt).

Beispiel-Skripts zum Setzen von CATALINA_OPTS und zum Starten diff --git a/id/server/doc/moa_id/id-admin_2.htm b/id/server/doc/moa_id/id-admin_2.htm index 647bd616e..12f71808d 100644 --- a/id/server/doc/moa_id/id-admin_2.htm +++ b/id/server/doc/moa_id/id-admin_2.htm @@ -124,7 +124,7 @@ Projekt moa

Konfiguration von MOA ID v.1.5

Die Konfiguration von MOA ID wird mittels einer XML-basierten Konfigurationsdatei, die dem Schema - MOA-ID-Configuration-1.5.0.xsd entspricht, durchgeführt. + MOA-ID-Configuration-1.5.1.xsd entspricht, durchgeführt.

Der Ort der Konfigurationsdatei wird im Abschnitt Deployment der Web-Applikation in Tomcat beschrieben.

Enthält die Konfigurationsdatei relative Pfadangaben, werden @@ -227,32 +227,22 @@ Projekt moa herangezogen, wenn in der Konfigurationsdatei weder globale (für alle Online-Applikationen gültig) noch lokale (Templates je Online-Applikation) spezifiziert sind. Hinweis: Die Template zur Anmeldung mit Online-Vollmachten können nicht über die URL angegeben werden.
- Das Templates-Element hat die drei Kindelemente - BKUSelectionTemplate, Templateund OnlineMandates. Jedes dieser - drei Elemente kann genau einmal vorkommen oder fehlen. + Das Templates-Element hat die zwei Kindelemente + BKUSelectionTemplateund Template. Jedes dieser + zwei Elemente kann genau einmal vorkommen oder fehlen. Das Kindelement BKUSelectionTemplate spezifiziert ein Template zur Gestaltung der Seite "Auswahl der Bürgerkartenumgebung", während das Kindelement Template die Seite "Anmeldung mit Bürgerkarte" referenziert. Dies beiden Elemente haben genau ein Attribut namens URL, das die Lage des Templates im Form einer URL beschreibt. Relative Pfadangaben werden dabei relativ zum Verzeichnis, in dem sich die - MOA-ID Konfigurationsdatei befindet, interpretiert. Bei Templates die über das Protokoll https referenziert werden, muss vor dem Start des Tomcat ein Truststore angegeben werden, das die notwendigen vertrauenswürdigen Zertifikate enthält. Siehe dazu die Parameter in den vorbereiteten Startdateien startTomcat.bat und tomcat-start.sh.Das Kindeelement OnlineMandates referenziert Templates zur Gestaltung der Seite Online-Vollmachten Anmeldung. Hier kann BKU spezifisch ein MOA-ID Template (das beispielsweise Größenparameter für die verwendete BKU enthält) und ein Template zur Gestaltung der Seite für die Anmeldung mit Online-Vollmacht angegeben werden. Innerhalb dieses Templates wird in einem iFrame das angegebene MOA-ID Template aufgerufen. Für BKU URLs, die nicht konfiguriert sind wird dein Standard-Template verwendet. Im folgenden Beispiel werden drei Templates im Verzeichnis - CATALINA_HOME/conf/moa-id/templates referenziert:
-

-<Templates>
-  <BKUSelectionTemplate URL="templates/SampleBKUSelectionTemplate.html"/>
-  <Template URL="templates/SampleTemplate.html"/>
-  <OnlineMandates>
    <BKU URL="https://www.handy-signatur.at/mobile/https-security-layer-request/default.aspx">
	   <MOA-ID-Template URL="sampleTemplates/handy_moa-id_template.html"/>
	   <MandateTemplate URL="sampleTemplates/handy_mandate_template.html"/>
	 </BKU>
	 <BKU URL="https://localhost:3496/https-security-layer-request">
	   <MOA-ID-Template URL="sampleTemplates/local_moa-id_template.html"/>
	   <MandateTemplate URL="sampleTemplates/local_mandate_template.html"/>
	 </BKU>
	 <BKU URL="https://[yourserver]/bkuonline/https-security-layer-request">
	   <MOA-ID-Template URL="sampleTemplates/online_moa-id_template.html"/>
	   <MandateTemplate URL="sampleTemplates/online_mandate_template.html"/>					
	 </BKU>
 </OnlineMandates>
-</Templates>

- -
+ MOA-ID Konfigurationsdatei befindet, interpretiert. Bei Templates die über das Protokoll https referenziert werden, muss vor dem Start des Tomcat ein Truststore angegeben werden, das die notwendigen vertrauenswürdigen Zertifikate enthält. Siehe dazu die Parameter in den vorbereiteten Startdateien startTomcat.bat und tomcat-start.sh.
Richtlinien zur Struktur der Templates können der MOA-ID-Spezifikation bzw. dem Abschnitt Aufruf von MOA-ID-AUTH dieses Handbuches entnommen werden.

AuthComponent/SecurityLayer
Das Element SecurityLayer enthält Parameter @@ -272,7 +262,7 @@ Projekt moa relativ zur MOA-ID Konfigurationsdatei. Das Encoding dieser Datei muss UTF-8 sein.

- Beispiel für + Beispiel für eine TransformsInfo-Datei

AuthComponent/MOA-SP
@@ -621,9 +611,9 @@ Hinweis: Um den Online-Vollmachten Modus für eine Online Applikation zu akt verwendet werden, um das Signatorzertifikat in die Anmeldedaten aufzunehmen. Alle Attribute sind optional und haben den Default-Wert - false. -
- Anmerkung: Das Attribut provideStammzahl steht in keinem + false.
+ Das Attribut provideFullMandatorData bestimmt ob bei einer Vollmachten-Anmeldung die vollständigen Vollmacht in der SAML Assertion mitgegeben wird oder nur die Basisdaten wie Name, Geburtsdatum und bPK des Vertreters (bzw. Organwalter/PV) sowie Name, Geburtsdatum und bPK (bzw. Name und Stammzahl bei juristischen Personen) des Vertretenen in der Assertion übermittelt. Bei provideFullMandatorData=false werden nur die Basisdaten übermittelt (Defaulteinstellung). Bei provideFullMandatorData=true wird zusätzlich die gesamte Vollmacht übergeben.

Anmerkung: Das Attribut provideStammzahl steht in keinem Zusammenhang zum gleichnamigen Attribut VerifyInfoboxes/@provideStammzahl, das angibt ob die Stammzahl an eine Prüfapplikation weitergegeben @@ -632,11 +622,11 @@ Hinweis: Um den Online-Vollmachten Modus für eine Online Applikation zu akt Zusammenhang zum gleichnamigen Attribut VerifyInfoboxes/@provideIdentityLink, das angibt ob die Personenbindung an eine Prüfapplikation - weitergegeben werden soll. -
-
-

+ weitergegeben werden soll. +
+
+

OnlineApplication/AuthComponent/IdentificationNumber
Das wirtschaftsbereichsspezifische Personenkennzeichen (wbPK) @@ -717,7 +707,7 @@ Hinweis: Um den Online-Vollmachten Modus für eine Online Applikation zu akt Dieses Kindelement kann genau einmal vorkommen und entspricht in seiner Struktur dem Element AuthComponent/Templates. Es kann verwendet werden, um Templates zur Gestaltung der Seiten - "Auswahl der Bürgerkartenumgebung", "Anmeldung mit Bürgerkarte" sowie "Anmeldung mit Online-Vollmacht" individuell für + "Auswahl der Bürgerkartenumgebung" und "Anmeldung mit Bürgerkarte" individuell für eine Online-Applikation zu definieren. Die hier definierten Templates haben Priorität gegenüber globalen Templates und Templates, die in der aufrufenden URL übergeben werden. @@ -944,7 +934,7 @@ Hinweis: Um den Online-Vollmachten Modus für eine Online Applikation zu akt
Das optionale Attribut configFileURL verweist auf eine Konfigurationsdatei die dem Schema - MOA-ID-Configuration-1.4.xsd + MOA-ID-Configuration-1.5.1.xsd entspricht mit Dokument-Element Configuration. Die Angabe erfolgt relativ zur verwendeten MOA-ID Konfigurationsdatei. Beispiel für das Element @@ -1211,7 +1201,7 @@ Der Name der Konfigurationsdatei wird in der Konfiguration von MOA-ID als Wert d wobei <realURLPrefix> dem Konfigurationswert OnlineApplication/ProxyComponent/ConnectionParameter/@URL entspricht.

Die Konfigurationsdatei ist eine XML-Datei, die dem Schema -MOA-ID-Configuration-1.4.xsd mit dem Wurzelelement +MOA-ID-Configuration-1.5.1.xsd mit dem Wurzelelement Configuration entspricht.

diff --git a/id/server/doc/moa_id/id-anwendung_1.htm b/id/server/doc/moa_id/id-anwendung_1.htm index 25c1d8674..28f7a5979 100644 --- a/id/server/doc/moa_id/id-anwendung_1.htm +++ b/id/server/doc/moa_id/id-anwendung_1.htm @@ -177,25 +177,8 @@ und es können zusätzliche Elemente darin aufgenommen werden.
Auch dabei ist die vorgegebene Grundstruktur einzuhalten, die speziellen Tags <StartAuth> und <BKUSelect> sind verpflichtend.

Templates für Online-Vollmachten

- Die Gestaltung der Seite für die Anmeldung mit Online-Vollmachten kann über zwei Templates angespasst werden.

Das Template für die Seite "Anmeldung mit Online-Vollmacht" von MOA-ID-AUTH kann aus folgender Grundstruktur aufgebaut werden:

-<html>
  <head>
    <meta http-equiv="content-type" content="text/html; charset=UTF-8">    
    <title>Vollmachten-Anmeldung</title>
    <script language="javascript">
      function fillFrame() {    
        var f = top.frames['mandate'];
        with (f.document) {
          open();
          <Mandate>
     	    close();
        }
      }
    </script>
  </head>
  <body onLoad="fillFrame(); return false;">
    <h2>Vollmachten-Anmeldung Template</h2>
    <iframe name="mandate" src="" frameborder="0" width="250" height="400" scrolling="no"></iframe>    
  </body>
</html>

- -

Innerhalb des Dokuments können Texte, Beschriftungen und Styles modifiziert werden, - und es können zusätzliche Elemente darin aufgenommen werden.
-
- Auch dabei ist die vorgegebene Grundstruktur einzuhalten, das spezielle Tags <Mandate> ist verpflichtend. - - Weiters ist verpflichtend ist der JavaScript Code, der Aufruf der fillFrame Funktion im body und das name Attribut des iframes.

<base target="_parent">

- vorkommt. Fehlt dieser Teil so wird die Online-Applikation im iFrame des Template für die Seite "Anmeldung mit Online-Vollmacht" geöffnet (was im Allgemeinen nicht erwünscht ist).

Beispiele für diese MOA-ID Templates und die Templates für die Seite "Anmeldung mit Online-Vollmacht" sind in den Default-Konfigurationen vorhanden.

Vorgeschlagene Vorgehensweise:

-- 
cgit v1.2.3


From 6571af05b7574f6d752890301b9743b1243a05bd Mon Sep 17 00:00:00 2001
From: kstranacher 
Date: Tue, 11 Oct 2011 16:02:54 +0000
Subject: MOA-ID: * Fixed Bug #557 * Update Konfiguration: Target via Konfig
 fix konfigurierbar * Update Doku Common: * DOMUtils: Parser disabled external
 entities

git-svn-id: https://joinup.ec.europa.eu/svn/moa-idspss/trunk@1219 d688527b-c9ab-4aba-bd8d-4036d912da1d
---
 .../java/at/gv/egovernment/moa/util/DOMUtils.java  |  14 ++++++-
 .../schemas/MOA-ID-Configuration-1.5.1.xsd         |   3 +-
 id/history.txt                                     |   6 ++-
 id/server/auth/src/main/webapp/iframeHandyBKU.html |   6 +--
 .../auth/src/main/webapp/iframeOnlineBKU.html      |  11 ++---
 id/server/auth/src/main/webapp/index.html          |  14 ++-----
 id/server/doc/MOA-ID-Configuration-1.5.1.xsd       |   3 +-
 id/server/doc/MOA_ID_1.5_Anhang.pdf                | Bin 0 -> 70517 bytes
 id/server/doc/moa_id/id-admin_2.htm                |   5 ++-
 id/server/doc/moa_id/moa.htm                       |   5 +--
 .../moa/id/auth/AuthenticationServer.java          |  16 ++++++--
 .../AuthenticationBlockAssertionBuilder.java       |  11 ++++-
 .../moa/id/auth/data/AuthenticationSession.java    |  40 ++++++++++++++++++
 .../auth/parser/IdentityLinkAssertionParser.java   |  14 +++++--
 .../moa/id/auth/servlet/SelectBKUServlet.java      |  33 +++++++++++++--
 .../auth/servlet/StartAuthenticationServlet.java   |  45 ++++++++++++---------
 .../CreateXMLSignatureResponseValidator.java       |  18 +++++++--
 .../moa/id/config/ConfigurationBuilder.java        |  23 ++++++++++-
 .../gv/egovernment/moa/id/config/OAParameter.java  |  40 ++++++++++++++++++
 .../test/abnahme/A/Test100StartAuthentication.java |  12 ++++--
 .../test/java/test/abnahme/AbnahmeTestCase.java    |   1 +
 .../moa/id/auth/AuthenticationServerTest.java      |   2 +-
 .../AuthenticationBlockAssertionBuilderTest.java   |   2 +-
 pom.xml                                            |   2 +-
 24 files changed, 252 insertions(+), 74 deletions(-)
 create mode 100644 id/server/doc/MOA_ID_1.5_Anhang.pdf

(limited to 'id/server/doc/moa_id/id-admin_2.htm')

diff --git a/common/src/main/java/at/gv/egovernment/moa/util/DOMUtils.java b/common/src/main/java/at/gv/egovernment/moa/util/DOMUtils.java
index 5fa31336b..13c2809ac 100644
--- a/common/src/main/java/at/gv/egovernment/moa/util/DOMUtils.java
+++ b/common/src/main/java/at/gv/egovernment/moa/util/DOMUtils.java
@@ -110,6 +110,16 @@ public class DOMUtils {
    * without a namespace. */
   private static final String EXTERNAL_NO_NAMESPACE_SCHEMA_LOCATION_PROPERTY =
     "http://apache.org/xml/properties/schema/external-noNamespaceSchemaLocation";
+  
+  private static final String EXTERNAL_GENERAL_ENTITIES_FEATURE =
+  	"http://xml.org/sax/features/external-general-entities";
+  
+  private static final String EXTERNAL_PARAMETER_ENTITIES_FEATURE =
+	  "http://xml.org/sax/features/external-parameter-entities";
+  
+  
+  
+  
   /** Property URI for the Xerces grammar pool. */
   private static final String GRAMMAR_POOL =
     org.apache.xerces.impl.Constants.XERCES_PROPERTY_PREFIX
@@ -234,8 +244,8 @@ public class DOMUtils {
 	    parser.setFeature(NORMALIZED_VALUE_FEATURE, false);
 	    parser.setFeature(INCLUDE_IGNORABLE_WHITESPACE_FEATURE, true);
 	    parser.setFeature(CREATE_ENTITY_REF_NODES_FEATURE, false);
-	    //parser.setFeature("http://xml.org/sax/features/external-general-entities", false);
-	    //parser.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
+	    parser.setFeature(EXTERNAL_GENERAL_ENTITIES_FEATURE, false);
+	    parser.setFeature(EXTERNAL_PARAMETER_ENTITIES_FEATURE, false);
 	
 	    if (validating) {
 	      if (externalSchemaLocations != null) {
diff --git a/common/src/main/resources/resources/schemas/MOA-ID-Configuration-1.5.1.xsd b/common/src/main/resources/resources/schemas/MOA-ID-Configuration-1.5.1.xsd
index f8c38bdd3..cc562187a 100644
--- a/common/src/main/resources/resources/schemas/MOA-ID-Configuration-1.5.1.xsd
+++ b/common/src/main/resources/resources/schemas/MOA-ID-Configuration-1.5.1.xsd
@@ -1,5 +1,4 @@
 
-
 
 	
 	
@@ -137,6 +136,8 @@
 								
 								
 								
+								
+								
 							
 						
 					
diff --git a/id/history.txt b/id/history.txt
index 8d88f1bb1..6a5e363f7 100644
--- a/id/history.txt
+++ b/id/history.txt
@@ -8,10 +8,12 @@ History MOA-ID:
 Version MOA-ID 1.5.1: Änderungen seit Version MOA-ID 1.5.0:
 
 - Fixed Bug #556 (https://egovlabs.gv.at/tracker/index.php?func=detail&aid=556&group_id=6&atid=105) 
-- Fixed Bug @TODO Apostroph
+- Fixed Bug #557 (https://egovlabs.gv.at/tracker/index.php?func=detail&aid=557&group_id=6&atid=105)
 - Update Einbindung Online-Vollmachten (Vor Auswahl der Vollmacht werden die Signaturdaten signiert)
 - Update Transformationen (für Online-Vollmachten)
-- Änderung der Konfiguration für Online-Vollmachten
+- Änderung der Konfiguration 
+	- für Online-Vollmachten
+	- Fixer Target-Parameter für Online-Applikation konfigurierbar
 
 
 =====
diff --git a/id/server/auth/src/main/webapp/iframeHandyBKU.html b/id/server/auth/src/main/webapp/iframeHandyBKU.html
index a7e541b85..f07b73265 100644
--- a/id/server/auth/src/main/webapp/iframeHandyBKU.html
+++ b/id/server/auth/src/main/webapp/iframeHandyBKU.html
@@ -8,13 +8,11 @@

Musterseite

MOA-Template zur BÃ¼rgerkartenauswahl (Musterseite)

+ Information zur Anmeldung mittels elektronischer Vollmacht +

Hinweise:

Vollmachten-Anmeldung (Handysignatur)

Vollmachten-Anmeldung (Lokale-BKU)

Vollmachten-Anmeldung (Online-BKU)

Authentication Data:

Anmeldedaten für (Requesting Application Access for):

Vollmachten-Anmeldung

Signatur der Anmeldedaten

Mit meiner elektronischen Signatur beantrage ich, , -geboren am -.., den Zugang zur gesicherten Anwendung.

Datum und Uhrzeit: .., ::

wbPK(*):

Anmeldedaten: