From 1d918b4e05d06ed39f6215fd70ce375a38a300b8 Mon Sep 17 00:00:00 2001 From: Klaus Stranacher Date: Thu, 16 May 2013 09:35:16 +0200 Subject: New design MOA-ID and MOA-SPSS documentation --- id/server/doc/moa_id/moa.htm | 274 ++++--------------------------------------- 1 file changed, 25 insertions(+), 249 deletions(-) (limited to 'id/server/doc/moa_id/moa.htm') diff --git a/id/server/doc/moa_id/moa.htm b/id/server/doc/moa_id/moa.htm index 3284e19cc..5a756088b 100644 --- a/id/server/doc/moa_id/moa.htm +++ b/id/server/doc/moa_id/moa.htm @@ -2,257 +2,33 @@ MOA Module fuer Online Applikationen - - - - - + - -
- - - - -
- Module für Online-Applikationen -
-
-  -
-
-Projekt moa  -
-
- - - - - - - - -
-
MOA-ID

-
- Allgemein
- - - - - -
- -
-
-
-
- -
Allgemein v.1.5
-

-Dieses Dokument enthält die Dokumentation für das Modul
-

    -
  • MOA-ID (Identifikation)
  • -

-
- -
- - - -
-

 

-
-
-
-
-Das Modul Identifikation stellt Online-Applikationen Funktionalität zur Verfügung zu stellen, damit diese -eine Benutzer-Identifikation und -Authentisierung mit Hilfe der Bürgerkarte und deren Signaturfunktion -realisieren können. -

-Das Modul besteht aus zwei Komponenten: -
    -
  • Die Authentisierungskomponente (MOA-ID-AUTH) führt die eigentliche Authentisierung des Benutzers durch und übergibt der -Proxykomponente die Anmeldedaten.
  • -
  • Die Proxykomponente (MOA-ID-PROXY) übernimmt die Anmeldedaten von der Authentisierungskomponente, -führt die Anmeldung an der Online Applikation durch und schleust in der Folge Daten an die Online-Applikation -und Daten an den Benutzer durch.
  • -
-Diese beiden Komponenten können auf unterschiedlichen Rechnern -oder auf dem gleichen Rechner eingesetzt werden. -

-Die Funktionalität und der Aufbau der Schnittstelle zu MOA-ID ist in der -Spezifikation bzw. im Anhang zur Spezifikation detailliert beschrieben. -
-
-Für den Betrieb von MOA-ID ist der Einsatz von MOA-Signaturprüfung (MOA-SP) erforderlich. -
- -

-
Ablauf einer Anmeldung
-
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - + +
1Der Benutzer verbindet sich zu einem Web-Portal, über das die verfügbaren Online-Applikationen (OA) erreichbar sind. Jeder Link zu einer OA verweist auf die Authentisierungs-komponente. -
2Der Benutzer verbindet sich mit MOA-ID-AUTH, die die Authentisierung des -Benutzers durchführt:
2.1MOA-ID-AUTH bietet dem Benutzer optional eine Auswahl von verfügbaren Bürgerkartenumgebungen (engl. Bezeichnung: Security-Layer) an.
2.2MOA-ID-AUTH erzeugt eine HTML-Seite mit einem <InfoboxReadRequest> - zum Auslesen der Personenbindung. Diese HTML-Seite wird an den Browser geschickt.
2.3Der Browser schickt den <InfoboxReadRequest> an den ausgewählten Security-Layer. Der Security-Layer liest die -Personenbindung von der Bürgerkarte und sendet diese an MOA-ID-AUTH, die die Signatur der Personenbindung durch -einen Aufruf von MOA-SP überprüft. -
2.4MOA-ID-AUTH erstellt den AUTH-Block. Der AUTH-Block enthält -
    -
  • Vor- und Nachname aus der Personenbindung,
  • -
  • URL von MOA-ID-AUTH,
  • -
  • URL und Geschäftsbereich der Online-Applikation,
  • -
  • die aktuelle Zeit.
  • -
-Anschließend wird -eine XML Antwortseite, die das Kommando zum Signieren (<CreateXMLSignatureRequest>) des generierten -AUTH-Blocks enthält, an den ausgewählten Security-Layer gesendet.
2.5Der Request wird vom Security-Layer verarbeitet. Die signierten Daten werden an -MOA-ID-AUTH zurückgesendet.
2.6MOA-ID-AUTH überprüft den signierten AUTH-Block und legt für den Benutzer die Anmeldedaten -an. Die Anmeldedaten enthalten -
    -
  • die bereichsspezifische Personenkennzeichen (bPK),
  • -
  • den signierten AUTH-Block (optional),
  • -
  • die Personenbindung (optional),
  • -
  • die PersonData-Struktur aus der Personenbindung (optional),
  • -
  • die Information, ob die Signatur des AUTH-Blocks mit einem qualifiziertem Zertifikat erfolgte,
  • -
  • Informationen zur Behörde, falls die Signatur mit einem Behördenzertifikat erzeugt wurde.
  • -
-
2.7Ist der obige Authentisierungsvorgang erfolgreich, dann wird eine Redirect-Seite -zum Browser gesendet.
3Der Browser führt das Redirect zur Proxykomponente durch. Als Parameter wird das von MOA-ID-AUTH -erzeugte SAML-Artifact übergeben.
4Die Proxykomponente verwendet dieses eindeutige SAML-Artifact, um die Anmeldedaten -von MOA-ID-AUTH zu erhal-ten. Danach werden die Anmeldedaten in MOA-ID-AUTH gelöscht.
5MOA-ID-PROXY liest die Konfigurationsdatei der zugehörigen Online-Applikation, die beschreibt, wie die Anmeldedaten -an die nachfolgende Applikation übergeben werden müssen, und meldet den Benutzer bei der Applikation an.
6Ist die betreffende OA als stateless konfiguriert, so werden in weiterer Folge die Antworten der OA -an den Benutzer weitergeleitet und die Anfragen des Benutzers an die OA weitergeleitet.
+ + + + +
Logo BKADokumentationLogo EGIZ
-
Ergänzung für ausländische Bürger
-
-

Ab der MOA Release 1.4.7 ist es möglich, dass sich auch ausländische Bürger mittels MOA-ID einloggen können. Hierzu wird eine Verbindung zu einem sogenannten Stammzahlenregister-Gateway aufgebaut, dass basierend auf den Zertifikatsdaten des ausländischen Bürgers eine Eintragung im Ergänzungsregister für natürliche Personen gemäß E-Government Gesetz §6(5) vornimmt. Somit ist es möglich, dass eine Personenbindung ausgestellt werden kann, die in weitere Folge an MOA-ID weitergeleitet wird.

-

Der Zugang zu diesem Stammzahlenregister-Gateway ist über eine Client-Server Authentifizierung abgesichert. Als Client-Zertifikate werden Zertifikate der Firmen A-Trust bzw. A-CERT, die mit der Verwaltungs- oder Dienstleistereigenschaft versehen sind, akzeptiert.

-

Ab MOA Release 1.5.2 ist es auch möglich, ausländische Bürger über STORK zu authentifizieren. Da auch für diese Art der Authentifizierung eine Kommunikation mit dem Stammzahlenregister-Gateway notwendig ist, gelten die zuvor angeführten Ausführungen auch für STORK.

-
- -
Online-Vollmachten
-
-

Ab der MOA Release 1.5.0 werden Online-Vollmachten (für Anwendungen aus dem öffentlichen Bereich) unterstützt. Hierzu werden diese Vollmachten über eine Online-Vollmachten-Service ausgewählt. Der Zugang zu diesem Online-Vollmachten Service ist über eine Client-Server Authentifizierung abgesichert. Als Client-Zertifikate werden Zertifikate der Firmen A-Trust bzw. A-CERT, die mit der Verwaltungs- oder Dienstleistereigenschaft versehen sind, akzeptiert.

-
- -
- -

- - - - - -

-
-
© 2012
-
-
- - -
- +
+

MOA: Identifikation (ID)

+

Übersicht zur Dokumentation der Version 1.5

+
+
+
Allgemein
+
Allgemeine Informationen zu MOA-ID.
+
Administration
+
Detaillierte Anleitung für die Installation und Konfiguration.
+
Anwendung
+
Erläuterung der Anwendung von MOA-ID.
+
FAQ
+
Häufig gestellte Fragen zu Installation, Konfiguration und Anwendung.
+
Links
+
Häufig gestellte Fragen zu Installation, Konfiguration und Anwendung.
+
+ -- cgit v1.2.3