From b232b84093993571da6efa97c25e1724370d6a6d Mon Sep 17 00:00:00 2001 From: Thomas Lenz Date: Wed, 12 Jun 2019 13:47:10 +0200 Subject: update handbook --- id/server/doc/proxy/handbook/moa.htm | 259 ----------------------------------- 1 file changed, 259 deletions(-) delete mode 100644 id/server/doc/proxy/handbook/moa.htm (limited to 'id/server/doc/proxy/handbook/moa.htm') diff --git a/id/server/doc/proxy/handbook/moa.htm b/id/server/doc/proxy/handbook/moa.htm deleted file mode 100644 index 1d3aabc1d..000000000 --- a/id/server/doc/proxy/handbook/moa.htm +++ /dev/null @@ -1,259 +0,0 @@ - - - MOA Module fuer Online Applikationen - - - - - - - - - -
- - - - -
- Module für Online-Applikationen -
-
-  -
-
-Projekt moa  -
-
- - - - - - - - -
-
MOA-ID

-
- Allgemein
- - - - - -
- -
-
-
-
- -
Allgemein v.2.0.0
-

-Dieses Dokument enthält die Dokumentation für das Modul
-

    -
  • MOA-ID-Proxy
  • -
-

- Die in diesem Dokument beschriebene Konfiguration für das Modul MOA-ID-Auth bezieht sich auf die MOA-ID-Auth Version 1.5.1. Ein Betrieb von MOA-ID-Proxy in Kombination mit MOA-ID-Auth 2.0.0 ist jedoch weiterhin möglich. -

Hinweis: Bei der Version 2.0.0 handelt es sich um das letzten Release dass von MOA-ID-Proxy veröffentlich wird.

- -
- - - -
-

 

-
-
-
-
-Das Modul Identifikation stellt Online-Applikationen Funktionalität zur Verfügung zu stellen, damit diese -eine Benutzer-Identifikation und -Authentisierung mit Hilfe der Bürgerkarte und deren Signaturfunktion -realisieren können. -

-Das Modul besteht aus zwei Komponenten: -
    -
  • Die Authentisierungskomponente (MOA-ID-AUTH) führt die eigentliche Authentisierung des Benutzers durch und übergibt der -Proxykomponente die Anmeldedaten.
  • -
  • Die Proxykomponente (MOA-ID-PROXY) übernimmt die Anmeldedaten von der Authentisierungskomponente, -führt die Anmeldung an der Online Applikation durch und schleust in der Folge Daten an die Online-Applikation -und Daten an den Benutzer durch.
  • -
-Diese beiden Komponenten können auf unterschiedlichen Rechnern -oder auf dem gleichen Rechner eingesetzt werden. -

-Die Funktionalität und der Aufbau der Schnittstelle zu MOA-ID ist in der -Spezifikation bzw. im Anhang zur Spezifikation detailliert beschrieben. -
-
-Für den Betrieb von MOA-ID ist der Einsatz von MOA-Signaturprüfung (MOA-SP) erforderlich. -
- -

-
Ablauf einer Anmeldung
-
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1Der Benutzer verbindet sich zu einem Web-Portal, über das die verfügbaren Online-Applikationen (OA) erreichbar sind. Jeder Link zu einer OA verweist auf die Authentisierungs-komponente. -
2Der Benutzer verbindet sich mit MOA-ID-AUTH, die die Authentisierung des -Benutzers durchführt:
2.1MOA-ID-AUTH bietet dem Benutzer optional eine Auswahl von verfügbaren Bürgerkartenumgebungen (engl. Bezeichnung: Security-Layer) an.
2.2MOA-ID-AUTH erzeugt eine HTML-Seite mit einem <InfoboxReadRequest> - zum Auslesen der Personenbindung. Diese HTML-Seite wird an den Browser geschickt.
2.3Der Browser schickt den <InfoboxReadRequest> an den ausgewählten Security-Layer. Der Security-Layer liest die -Personenbindung von der Bürgerkarte und sendet diese an MOA-ID-AUTH, die die Signatur der Personenbindung durch -einen Aufruf von MOA-SP überprüft. -
2.4MOA-ID-AUTH erstellt den AUTH-Block. Der AUTH-Block enthält -
    -
  • Vor- und Nachname aus der Personenbindung,
  • -
  • URL von MOA-ID-AUTH,
  • -
  • URL und Geschäftsbereich der Online-Applikation,
  • -
  • die aktuelle Zeit.
  • -
-Anschließend wird -eine XML Antwortseite, die das Kommando zum Signieren (<CreateXMLSignatureRequest>) des generierten -AUTH-Blocks enthält, an den ausgewählten Security-Layer gesendet.
2.5Der Request wird vom Security-Layer verarbeitet. Die signierten Daten werden an -MOA-ID-AUTH zurückgesendet.
2.6MOA-ID-AUTH überprüft den signierten AUTH-Block und legt für den Benutzer die Anmeldedaten -an. Die Anmeldedaten enthalten -
    -
  • die bereichsspezifische Personenkennzeichen (bPK),
  • -
  • den signierten AUTH-Block (optional),
  • -
  • die Personenbindung (optional),
  • -
  • die PersonData-Struktur aus der Personenbindung (optional),
  • -
  • die Information, ob die Signatur des AUTH-Blocks mit einem qualifiziertem Zertifikat erfolgte,
  • -
  • Informationen zur Behörde, falls die Signatur mit einem Behördenzertifikat erzeugt wurde.
  • -
-
2.7Ist der obige Authentisierungsvorgang erfolgreich, dann wird eine Redirect-Seite -zum Browser gesendet.
3Der Browser führt das Redirect zur Proxykomponente durch. Als Parameter wird das von MOA-ID-AUTH -erzeugte SAML-Artifact übergeben.
4Die Proxykomponente verwendet dieses eindeutige SAML-Artifact, um die Anmeldedaten -von MOA-ID-AUTH zu erhal-ten. Danach werden die Anmeldedaten in MOA-ID-AUTH gelöscht.
5MOA-ID-PROXY liest die Konfigurationsdatei der zugehörigen Online-Applikation, die beschreibt, wie die Anmeldedaten -an die nachfolgende Applikation übergeben werden müssen, und meldet den Benutzer bei der Applikation an.
6Ist die betreffende OA als stateless konfiguriert, so werden in weiterer Folge die Antworten der OA -an den Benutzer weitergeleitet und die Anfragen des Benutzers an die OA weitergeleitet.
-
Ergänzung für ausländische Bürger
-
-

Ab der MOA Release 1.4.7 ist es möglich, dass sich auch ausländische Bürger mittels MOA-ID einloggen können. Hierzu wird eine Verbindung zu einem sogenannten Stammzahlenregister-Gateway aufgebaut, dass basierend auf den Zertifikatsdaten des ausländischen Bürgers eine Eintragung im Ergänzungsregister für natürliche Personen gemäß E-Government Gesetz §6(5) vornimmt. Somit ist es möglich, dass eine Personenbindung ausgestellt werden kann, die in weitere Folge an MOA-ID weitergeleitet wird.

-

Der Zugang zu diesem Stammzahlenregister-Gateway ist über eine Client-Server Authentifizierung abgesichert. Als Client-Zertifikate werden Zertifikate der Firmen A-Trust bzw. A-CERT, die mit der Verwaltungs- oder Dienstleistereigenschaft versehen sind, akzeptiert.

-
- -
Online-Vollmachten
-
-

Ab der MOA Release 1.5.0 werden Online-Vollmachten (für Anwendungen aus dem öffentlichen Bereich) unterstützt. Hierzu werden diese Vollmachten über eine Online-Vollmachten-Service ausgewählt. Der Zugang zu diesem Online-Vollmachten Service ist über eine Client-Server Authentifizierung abgesichert. Als Client-Zertifikate werden Zertifikate der Firmen A-Trust bzw. A-CERT, die mit der Verwaltungs- oder Dienstleistereigenschaft versehen sind, akzeptiert.

-
- -
- -

- - - - - -

-
-
© 2012
-
-
- - -
- - -- cgit v1.2.3