From 1d918b4e05d06ed39f6215fd70ce375a38a300b8 Mon Sep 17 00:00:00 2001 From: Klaus Stranacher Date: Thu, 16 May 2013 09:35:16 +0200 Subject: New design MOA-ID and MOA-SPSS documentation --- id/server/doc/moa_id/intro.htm | 182 +++++++++++++++++++++++++++++++++++++++++ 1 file changed, 182 insertions(+) create mode 100644 id/server/doc/moa_id/intro.htm (limited to 'id/server/doc/moa_id/intro.htm') diff --git a/id/server/doc/moa_id/intro.htm b/id/server/doc/moa_id/intro.htm new file mode 100644 index 000000000..0c6dff359 --- /dev/null +++ b/id/server/doc/moa_id/intro.htm @@ -0,0 +1,182 @@ + + + MOA Module fuer Online Applikationen - Identifikation + + + + + + + + + + + + +

Dokumentation

MOA: Identifikation (ID)

Allgemeine Informationen

Inhalt

+
Übersicht
+
+
Ablauf einer Anmeldung
+
+
Ergänzung für ausländische Bürger
+
+
Online-Vollmachten
+

+ +

1 Übersicht

+ +Das Modul Identifikation stellt Online-Applikationen Funktionalität zur Verfügung zu stellen, damit diese +eine Benutzer-Identifikation und -Authentisierung mit Hilfe der Bürgerkarte und deren Signaturfunktion +realisieren können. +

+Das Modul besteht aus zwei Komponenten: +

Die Authentisierungskomponente (MOA-ID-AUTH) führt die eigentliche Authentisierung des Benutzers durch und übergibt der +Proxykomponente die Anmeldedaten.
Die Proxykomponente (MOA-ID-PROXY) übernimmt die Anmeldedaten von der Authentisierungskomponente, +führt die Anmeldung an der Online Applikation durch und schleust in der Folge Daten an die Online-Applikation +und Daten an den Benutzer durch.

+Diese beiden Komponenten können auf unterschiedlichen Rechnern +oder auf dem gleichen Rechner eingesetzt werden. +

+Die Funktionalität und der Aufbau der Schnittstelle zu MOA-ID ist in der +Spezifikation bzw. im Anhang zur Spezifikation detailliert beschrieben. +
+
+Für den Betrieb von MOA-ID ist der Einsatz von MOA-Signaturprüfung (MOA-SP) erforderlich. + + +

+

2 Ablauf einer Anmeldung

+ +

+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +

1	Der Benutzer verbindet sich zu einem Web-Portal, über das die verfügbaren Online-Applikationen (OA) erreichbar sind. Jeder Link zu einer OA verweist auf die Authentisierungs-komponente. +
2	Der Benutzer verbindet sich mit MOA-ID-AUTH, die die Authentisierung des +Benutzers durchführt:
2.1	MOA-ID-AUTH bietet dem Benutzer optional eine Auswahl von verfügbaren Bürgerkartenumgebungen (engl. Bezeichnung: Security-Layer) an.
2.2	MOA-ID-AUTH erzeugt eine HTML-Seite mit einem `<InfoboxReadRequest>` + zum Auslesen der Personenbindung. Diese HTML-Seite wird an den Browser geschickt.
2.3	Der Browser schickt den `<InfoboxReadRequest>` an den ausgewählten Security-Layer. Der Security-Layer liest die +Personenbindung von der Bürgerkarte und sendet diese an MOA-ID-AUTH, die die Signatur der Personenbindung durch +einen Aufruf von MOA-SP überprüft. +
2.4	MOA-ID-AUTH erstellt den AUTH-Block. Der AUTH-Block enthält + + Vor- und Nachname aus der Personenbindung, + URL von MOA-ID-AUTH, + URL und Geschäftsbereich der Online-Applikation, + die aktuelle Zeit. + +Anschließend wird +eine XML Antwortseite, die das Kommando zum Signieren (`<CreateXMLSignatureRequest>`) des generierten +AUTH-Blocks enthält, an den ausgewählten Security-Layer gesendet.
2.5	Der Request wird vom Security-Layer verarbeitet. Die signierten Daten werden an +MOA-ID-AUTH zurückgesendet.
2.6	MOA-ID-AUTH überprüft den signierten AUTH-Block und legt für den Benutzer die Anmeldedaten +an. Die Anmeldedaten enthalten + + die bereichsspezifische Personenkennzeichen (bPK), + den signierten AUTH-Block (optional), + die Personenbindung (optional), + die `PersonData`-Struktur aus der Personenbindung (optional), + die Information, ob die Signatur des AUTH-Blocks mit einem qualifiziertem Zertifikat erfolgte, + Informationen zur Behörde, falls die Signatur mit einem Behördenzertifikat erzeugt wurde. + +
2.7	Ist der obige Authentisierungsvorgang erfolgreich, dann wird eine Redirect-Seite +zum Browser gesendet.
3	Der Browser führt das Redirect zur Proxykomponente durch. Als Parameter wird das von MOA-ID-AUTH +erzeugte SAML-Artifact übergeben.
4	Die Proxykomponente verwendet dieses eindeutige SAML-Artifact, um die Anmeldedaten +von MOA-ID-AUTH zu erhal-ten. Danach werden die Anmeldedaten in MOA-ID-AUTH gelöscht.
5	MOA-ID-PROXY liest die Konfigurationsdatei der zugehörigen Online-Applikation, die beschreibt, wie die Anmeldedaten +an die nachfolgende Applikation übergeben werden müssen, und meldet den Benutzer bei der Applikation an.
6	Ist die betreffende OA als stateless konfiguriert, so werden in weiterer Folge die Antworten der OA +an den Benutzer weitergeleitet und die Anfragen des Benutzers an die OA weitergeleitet.

+ + +

3 Ergänzung für ausländische Bürger

+ +

Ab der MOA Release 1.4.7 ist es möglich, dass sich auch ausländische Bürger mittels MOA-ID einloggen können. Hierzu wird eine Verbindung zu einem sogenannten Stammzahlenregister-Gateway aufgebaut, dass basierend auf den Zertifikatsdaten des ausländischen Bürgers eine Eintragung im Ergänzungsregister für natürliche Personen gemäß E-Government Gesetz §6(5) vornimmt. Somit ist es möglich, dass eine Personenbindung ausgestellt werden kann, die in weitere Folge an MOA-ID weitergeleitet wird.

Der Zugang zu diesem Stammzahlenregister-Gateway ist über eine Client-Server Authentifizierung abgesichert. Als Client-Zertifikate werden Zertifikate der Firmen A-Trust bzw. A-CERT, die mit der Verwaltungs- oder Dienstleistereigenschaft versehen sind, akzeptiert.

Ab MOA Release 1.5.2 ist es auch möglich, ausländische Bürger über STORK zu authentifizieren. Da auch für diese Art der Authentifizierung eine Kommunikation mit dem Stammzahlenregister-Gateway notwendig ist, gelten die zuvor angeführten Ausführungen auch für STORK.

+ + +

4 Online-Vollmachten

+ +

Ab der MOA Release 1.5.0 werden Online-Vollmachten (für Anwendungen aus dem öffentlichen Bereich) unterstützt. Hierzu werden diese Vollmachten über eine Online-Vollmachten-Service ausgewählt. Der Zugang zu diesem Online-Vollmachten Service ist über eine Client-Server Authentifizierung abgesichert. Als Client-Zertifikate werden Zertifikate der Firmen A-Trust bzw. A-CERT, die mit der Verwaltungs- oder Dienstleistereigenschaft versehen sind, akzeptiert.

+ + + + -- cgit v1.2.3