From 77cf01db81c74ebbe0e0d2da58e22c5f7c861ab5 Mon Sep 17 00:00:00 2001
From: Thomas Lenz <tlenz@iaik.tugraz.at>
Date: Fri, 24 Oct 2014 13:48:32 +0200
Subject: add new classes for Role management

---
 id/server/doc/handbook/interfederation/interfederation.html | 12 ++++++++++++
 id/server/doc/handbook/protocol/protocol.html               |  8 ++++++++
 2 files changed, 20 insertions(+)

(limited to 'id/server/doc')
diff --git a/id/server/doc/handbook/interfederation/interfederation.html b/id/server/doc/handbook/interfederation/interfederation.html
index bd97061ab..f0aaf8776 100644
--- a/id/server/doc/handbook/interfederation/interfederation.html
+++ b/id/server/doc/handbook/interfederation/interfederation.html
@@ -152,6 +152,18 @@
     <td align="center">&nbsp;</td>
     <td>Wenn eingehende SSO Intefederation erlaubt ist besteht zus&auml;tzlich die M&ouml;glichkeit diesen einmal verwendeten IDP an die Benutzersession zu binden. In diesem Fall k&ouml;nnen weitere SSO Authentifizierungen &uuml;ber diesen interfederation IDP auch ohne Angabe des IDP Identifiers (siehe <a href="#sequenzediagramm">Sequenzdiagramm</a> oder <a href="#usage">Integration in bestehende Systeme</a>) durchgef&uuml;hrt werden.</td>
   </tr>
+  <tr>
+    <td>Verwende SAML2 <em>isPassive </em>Attribut</td>
+    <td>&nbsp;</td>
+    <td align="center">&nbsp;</td>
+    <td>Dieser Parameter kann das <em>isPassive</em> Attribut des SAML2 Authentifizierungsrequests an diesen IDP konfiguriert werden. Wird dieses Attribut gesetzt erfolgt an diesem IDP keine Authentifzierung wenn keine aktive SSO Session vorhanden ist.</td>
+  </tr>
+  <tr>
+    <td>Im Fehlerfall Authentifizierung lokal durchf&uuml;hren</td>
+    <td>&nbsp;</td>
+    <td align="center">&nbsp;</td>
+    <td>Dieser Parameter definert das Verhalten f&uuml;r den Fall dass an diesem IDP keine Authentifizierung m&ouml;glich war. Bei ausgew&auml;hltem Parameter wird im Fehlerfall die Authentifizerung an der lokalen IDP Instanz wiederholt.</td>
+  </tr>
   <tr>
     <td><span id="wwlbl_loadIDP_moaIDP_queryURL">AttributQuery Service URL</span></td>
     <td>https://demo.egiz.gv.at/moa-id-auth/pvp2/attributequery</td>
diff --git a/id/server/doc/handbook/protocol/protocol.html b/id/server/doc/handbook/protocol/protocol.html
index e7658875c..c2dcddd03 100644
--- a/id/server/doc/handbook/protocol/protocol.html
+++ b/id/server/doc/handbook/protocol/protocol.html
@@ -700,6 +700,10 @@ Redirect Binding</td>
     <td>4400</td>
     <td>Fehler beim Generieren der Anmeldedaten</td>
   </tr>
+  <tr>
+    <td>4401</td>
+    <td>Die Anmeldung am federierten IDP ist fehlgeschlagen.</td>
+  </tr>
 </table>
 <h3><a name="statuscodes_6xxxx" id="allgemeines_zugangspunkte9"></a>1.3.3 Statuscodes 6xxxx</h3>
 <p>Alles Statuscodes beginnend mit der Zahl sechs beschreiben protokollspezifische Fehler die nicht durch das jeweilige Authentifizierungsprotokoll abgebildet werden.</p>
@@ -811,6 +815,10 @@ Redirect Binding</td>
     <td>9007</td>
     <td>Der SZR-Gateway Client konnte nicht initialisiert werden.</td>
   </tr>
+  <tr>
+    <td>9008</td>
+    <td>Fehlerhafte Interfederation Konfiguration</td>
+  </tr>
 </table>
 <h4><a name="statuscodes_91xxx" id="allgemeines_zugangspunkte15"></a>1.3.4.2 Interne Fehler (91xxx)</h4>
 <table width="1237" border="1">
-- 
cgit v1.2.3


From 75a7fea5a1ff69020604765e9864f01247c5cdff Mon Sep 17 00:00:00 2001
From: Thomas Lenz <tlenz@iaik.tugraz.at>
Date: Fri, 24 Oct 2014 13:50:32 +0200
Subject: update handbook

---
 id/server/doc/handbook/interfederation/interfederation.html | 12 ------------
 id/server/doc/handbook/protocol/protocol.html               |  8 --------
 2 files changed, 20 deletions(-)

(limited to 'id/server/doc')

diff --git a/id/server/doc/handbook/interfederation/interfederation.html b/id/server/doc/handbook/interfederation/interfederation.html
index f0aaf8776..bd97061ab 100644
--- a/id/server/doc/handbook/interfederation/interfederation.html
+++ b/id/server/doc/handbook/interfederation/interfederation.html
@@ -152,18 +152,6 @@
     <td align="center">&nbsp;</td>
     <td>Wenn eingehende SSO Intefederation erlaubt ist besteht zus&auml;tzlich die M&ouml;glichkeit diesen einmal verwendeten IDP an die Benutzersession zu binden. In diesem Fall k&ouml;nnen weitere SSO Authentifizierungen &uuml;ber diesen interfederation IDP auch ohne Angabe des IDP Identifiers (siehe <a href="#sequenzediagramm">Sequenzdiagramm</a> oder <a href="#usage">Integration in bestehende Systeme</a>) durchgef&uuml;hrt werden.</td>
   </tr>
-  <tr>
-    <td>Verwende SAML2 <em>isPassive </em>Attribut</td>
-    <td>&nbsp;</td>
-    <td align="center">&nbsp;</td>
-    <td>Dieser Parameter kann das <em>isPassive</em> Attribut des SAML2 Authentifizierungsrequests an diesen IDP konfiguriert werden. Wird dieses Attribut gesetzt erfolgt an diesem IDP keine Authentifzierung wenn keine aktive SSO Session vorhanden ist.</td>
-  </tr>
-  <tr>
-    <td>Im Fehlerfall Authentifizierung lokal durchf&uuml;hren</td>
-    <td>&nbsp;</td>
-    <td align="center">&nbsp;</td>
-    <td>Dieser Parameter definert das Verhalten f&uuml;r den Fall dass an diesem IDP keine Authentifizierung m&ouml;glich war. Bei ausgew&auml;hltem Parameter wird im Fehlerfall die Authentifizerung an der lokalen IDP Instanz wiederholt.</td>
-  </tr>
   <tr>
     <td><span id="wwlbl_loadIDP_moaIDP_queryURL">AttributQuery Service URL</span></td>
     <td>https://demo.egiz.gv.at/moa-id-auth/pvp2/attributequery</td>
diff --git a/id/server/doc/handbook/protocol/protocol.html b/id/server/doc/handbook/protocol/protocol.html
index c2dcddd03..e7658875c 100644
--- a/id/server/doc/handbook/protocol/protocol.html
+++ b/id/server/doc/handbook/protocol/protocol.html
@@ -700,10 +700,6 @@ Redirect Binding</td>
     <td>4400</td>
     <td>Fehler beim Generieren der Anmeldedaten</td>
   </tr>
-  <tr>
-    <td>4401</td>
-    <td>Die Anmeldung am federierten IDP ist fehlgeschlagen.</td>
-  </tr>
 </table>
 <h3><a name="statuscodes_6xxxx" id="allgemeines_zugangspunkte9"></a>1.3.3 Statuscodes 6xxxx</h3>
 <p>Alles Statuscodes beginnend mit der Zahl sechs beschreiben protokollspezifische Fehler die nicht durch das jeweilige Authentifizierungsprotokoll abgebildet werden.</p>
@@ -815,10 +811,6 @@ Redirect Binding</td>
     <td>9007</td>
     <td>Der SZR-Gateway Client konnte nicht initialisiert werden.</td>
   </tr>
-  <tr>
-    <td>9008</td>
-    <td>Fehlerhafte Interfederation Konfiguration</td>
-  </tr>
 </table>
 <h4><a name="statuscodes_91xxx" id="allgemeines_zugangspunkte15"></a>1.3.4.2 Interne Fehler (91xxx)</h4>
 <table width="1237" border="1">
-- 
cgit v1.2.3


From fadcba7234e574d377a9201e183dff856453141c Mon Sep 17 00:00:00 2001
From: Thomas Lenz <tlenz@iaik.tugraz.at>
Date: Wed, 29 Oct 2014 14:02:03 +0100
Subject: update handbook

---
 .../blockdiagramm_storkpvpgateway.png              | Bin 0 -> 42979 bytes
 .../handbook/interfederation/interfederation.html  |  90 ++++++++++++++++++++-
 2 files changed, 89 insertions(+), 1 deletion(-)
 create mode 100644 id/server/doc/handbook/interfederation/blockdiagramm_storkpvpgateway.png

(limited to 'id/server/doc')

diff --git a/id/server/doc/handbook/interfederation/blockdiagramm_storkpvpgateway.png b/id/server/doc/handbook/interfederation/blockdiagramm_storkpvpgateway.png
new file mode 100644
index 000000000..dd5a52674
Binary files /dev/null and b/id/server/doc/handbook/interfederation/blockdiagramm_storkpvpgateway.png differ
diff --git a/id/server/doc/handbook/interfederation/interfederation.html b/id/server/doc/handbook/interfederation/interfederation.html
index bd97061ab..f52556e23 100644
--- a/id/server/doc/handbook/interfederation/interfederation.html
+++ b/id/server/doc/handbook/interfederation/interfederation.html
@@ -37,6 +37,7 @@
       </ol>
     </li>
     <li><a href="#vidp">STORK VIDP Konfiguration</a></li>
+    <li><a href="#storkpvpgateway">STORK &lt;-&gt; PVP Gateway</a></li>
 </ol>
 <p>&nbsp;</p>
   <h1><a name="general" id="konfigurationsparameter_allgemein_bku7"></a>1 Allgemeines</h1>
@@ -152,6 +153,18 @@
     <td align="center">&nbsp;</td>
     <td>Wenn eingehende SSO Intefederation erlaubt ist besteht zus&auml;tzlich die M&ouml;glichkeit diesen einmal verwendeten IDP an die Benutzersession zu binden. In diesem Fall k&ouml;nnen weitere SSO Authentifizierungen &uuml;ber diesen interfederation IDP auch ohne Angabe des IDP Identifiers (siehe <a href="#sequenzediagramm">Sequenzdiagramm</a> oder <a href="#usage">Integration in bestehende Systeme</a>) durchgef&uuml;hrt werden.</td>
   </tr>
+  <tr>
+    <td><span id="wwlbl_loadIDP_moaIDP_passiveRequest">Verwende SAML2 isPassive Attribut</span></td>
+    <td>&nbsp;</td>
+    <td align="center">&nbsp;</td>
+    <td>Wird dieser Parameter aktiviert erfolgt der Authentifizierungsrequest im Schritt 9 (siehe <a href="#sequenzediagramm">Sequenzdiagramm</a>) unter Verwendung des SAML 2 <em>isPassiv</em> Flags. Wenn die Benutzerin oder der Benutzer keine aktive SSO Session an diesem IDP besitzt wird ein Fehler returniert und KEINE Authentifizierung an diesem IDP durchgef&uuml;hrt. </td>
+  </tr>
+  <tr>
+    <td><span id="wwlbl_loadIDP_moaIDP_localAuthOnError">Im Fehlerfall Authentifizierung lokal durchf&uuml;hren</span></td>
+    <td>&nbsp;</td>
+    <td align="center">&nbsp;</td>
+    <td><p>Wird dieser Parameter aktiviert erfolgt im Falle eines returnierten Fehlers im Schritt 11 (siehe <a href="#sequenzediagramm">Sequenzdiagramm</a>) keine lokale Authentifizierung und dem Service Provider wird eine Fehlermeldung returniert. </p></td>
+  </tr>
   <tr>
     <td><span id="wwlbl_loadIDP_moaIDP_queryURL">AttributQuery Service URL</span></td>
     <td>https://demo.egiz.gv.at/moa-id-auth/pvp2/attributequery</td>
@@ -269,6 +282,14 @@
     <td>StorkAttributeRequestProvider</td>
     <td>Allgemeines Plugin, wird verwendet f&uuml;r die Restf&auml;lle.</td>
   </tr>
+  <tr>
+    <td>PVPAuthenticationProvider</td>
+    <td><p>Dieser Provider dient zur Authentifizierung des Benutzers &uuml;ber den Portalverbund der &ouml;sterreichischen Beh&ouml;rden. Wird ein zu diesem Provider konfiguriertes Attribut angefragt erfolgt die Authentifizerung des Benutzers NICHT am VIDP sondern in der nationalen Infrastruktur, wobei die Anmeldedaten &uuml;ber den VIDP an den Service Provider weitergereicht werden. Als URL ist der Link auf den nationalen <a href="#storkpvpgateway">STORK&lt;-&gt;PVP Gateway</a> zu hinterlegen.</p>
+    <p><strong>Hinweis:</strong> Aktuell fordert folgende Attribute eine nationale Authentifizierung: </p>
+    <ul>
+      <li><em>ECApplicationRole</em></li>
+    </ul></td>
+  </tr>
 </table>
 <p>&nbsp;</p>
 <p>Beispiel eines Eintrages f&uuml;r Attributprovider:</p>
@@ -283,8 +304,75 @@
     <td>http://mis.testvidp.at/moa-id-auth/stork2/MISProvider</td>
     <td>mandateContent,<span class="term">attribut1</span>,<span class="term">attribut2</span></td>
   </tr>
+</table></pre>
+<p>&nbsp;</p>
+<h1><a name="storkpvpgateway" id="konfigurationsparameter_allgemein_bku10"></a>5 STORK &lt;-&gt; PVP Gateway</h1>
+<p>Das Modul MOA-ID-Auth kann auch als Gateway zwischen dem Portalverbund der &ouml;sterreichischen Beh&ouml;rden und der STORK Infrastruktur betrieben werden. Diese Konfiguration konfiguriert einen Gateway welcher zur Authentifizierung &ouml;sterreichischer Benutzerinnen oder Benutzer im Falle einer STORK Anmeldung mit Hilfe der &ouml;sterreichischen PVP Infrastruktur dient. Der Einsprung zum Gateway erfolgt &uuml;ber den <em>PVPAuthenticationProvider</em> in der <a href="#vidp">VIDP Konfiguration</a>.</p>
+<p>Die nachstehende Grafik skizziert den Prozessfluss eines solchen Anmeldevorgangs.</p>
+<p><img src="blockdiagramm_storkpvpgateway.png" width="1000" height="734" alt="Blockdiagramm STORK-PVP Gateway"></p>
+<ol>
+  <li>Eine &ouml;sterreichische Benutzerin oder ein &ouml;sterreichischer Benutzer m&ouml;chte sich an einer europ&auml;ischen Online Applikation (Applikation 1) anmelden.</li>
+  <li>Die Benutzerin oder der Benutzer wird an den entsprechenden VIDP unter Verwendung des STORK Protokolls zur Authentifizierung weitergeleitet. F&uuml;r den Fall das spezielle Attribute durch die Applikation angefordert wurden (z.B. <em>ECApplicationRole</em>) kann die Authentifizierung nicht am VIDP vorgenommen werden. In diesem Fall erfolgt eine Weiterleitung an den nationalen STORK-PVP Gateway (siehe <a href="#vidp">VIDP Konfiguration</a>).</li>
+  <li>Die Benutzerin oder der Benutzer wird an den zentralen STORK-PVP Gateway weitergeleitet. Der STORK-PVP Gateway generiert einen PVP Authentifizierungsrequest und sendet diesen an das im Gateway konfigurierte Stamm- oder Anwendungsportal. Hierf&uuml;r muss das Stamm- oder Anwendungsportal als <a href="#config">MOA-ID IDP</a> konfiguriert sein.</li>
+  <li>Die Benutzerin oder der Benutzer wird an das jeweilige Stamm- oder Anwendungsportal weitergeleitet wo die eigentliche Authentifizierung erfolgt. Nach erfolgreicher Authentifizierung werden PVP spezifische Authentifizierungsdaten generiert.</li>
+  <li>Diese PVP spezifischen Authentifizierungsdaten werden an den STORK-PVP Gateway &uuml;bertragen (PVP Assertion). Der Gateway validiert die Assertion und generiert eine STORK protokollspezifsche Assertion inkl. Signatur aus den PVP Authentifizierungsdaten (Mapping aller Attribute und Benutzerrollen). Sollte eine direkte Generierung der STORK eID nicht m&ouml;glich sein wird diese an Stammzahlenregister (SZR) abgefragt.</li>
+  <li>Optional: Abfrage der STORK eID am Stammzahlenregister.</li>
+  <li>Die STORK Assertion wird vom Gateway an den VIDP &uuml;bertragen und am VIDP validiert. Anschlie&szlig;end wird STORK Assertion f&uuml;r die Applikation 1 generiert   und durch den VIDP signiert.</li>
+  <li>Die STORK Assertion wird an die Applikation 1 &uuml;bermittelt. Nach g&uuml;ltiger Validierung ist die Benutzerin oder der Benutzer an Applikation 1 authentifiziert.</li>
+</ol>
+<p>&nbsp;</p>
+<p>Die Konfiguration eines STORK-PVP Gateways besteht aus folgenden Elementen.</p>
+<table width="1199" border="1">
+  <tr>
+    <th width="153" scope="col">Name</th>
+    <th width="204" scope="col">Beispielwert</th>
+    <th width="57" scope="col">Optional</th>
+    <th width="757" scope="col">Beschreibung</th>
+  </tr>
+  <tr>
+    <td>Online-Applikation ist  aktiviert</td>
+    <td>&nbsp;</td>
+    <td align="center">&nbsp;</td>
+    <td>Aktiviert oder deaktiviert den Gatewy. Es k&ouml;nnen nur aktive Gatewaykonfigurationen verwendet werden.</td>
+  </tr>
+  <tr>
+    <td><p>Eindeutiger Identifikator</p></td>
+    <td>https://vidp.egiz.gv.at/moa-id-auth/</td>
+    <td align="center">&nbsp;</td>
+    <td><p>Dieser Parameter dient als Schl&uuml;ssel zum Auffinden der Gateway Konfigurationsparameter. Hierf&uuml;r ist ein eindeutiger Identifikator f&uuml;r die VIDP Instanz erforderlich, welcher diesen Gateway nutzen m&ouml;chte. Dieser eindeutige Identifikator                             muss mindestens dem URL-Pr&auml;fix der nach au&szlig;en                              sichtbaren Dom&auml;ne des VIDP entsprechen</p></td>
+  </tr>
+  <tr>
+    <td><p>Name der <br>
+      Online-Applikation</p></td>
+    <td>IT STORK-PVP Gateway</td>
+    <td align="center">&nbsp;</td>
+    <td>Hier muss ein   benutzerfreundlicher Name f&uuml;r den Gateway angegeben werden. </td>
+  </tr>
+  <tr>
+    <td>Privatwirtschaftliche  Applikation</td>
+    <td>&nbsp;</td>
+    <td align="center">&nbsp;</td>
+    <td><p>Definiert ob der VIDP, welcher den Gateway verwendet dem &ouml;ffentlichen Bereich oder dem privatwirtschaftlichen Bereich (Business Service) zugeordnet ist.</p>
+    <p><strong>Hinweis</strong>: im STORK Kontext immer privatwirtschaftlich. </p></td>
+  </tr>
 </table>
-</pre>
+<p>&nbsp;</p>
+<table width="1199" border="1">
+  <tr>
+    <th width="153" scope="col">Name</th>
+    <th width="204" scope="col">Beispielwert</th>
+    <th width="57" scope="col">Optional</th>
+    <th width="757" scope="col">Beschreibung</th>
+  </tr>
+  <tr>
+    <td><span id="wwlbl_loadIDP_pVPGateway_entityID">EntityID des PVP Portals:</span></td>
+    <td>&nbsp;</td>
+    <td align="center">&nbsp;</td>
+    <td><p>Dieser Parameter definiert die EntityID des Stamm- oder Anwendungsportals an welches die Benutzerin oder der Benutzer zur Authentifizierung weitergeleitet werden soll. </p>
+    <p><strong>Hinweis:</strong> In der Interfederation Konfiguration muss ein MOA-ID IDP mit der entsprechenden EntityID konfiguriert sein.</p></td>
+  </tr>
+</table>
+<p>&nbsp;</p>
 <p>&nbsp;</p>
 <h1><a name="referenzierte_spezifikation" id="uebersicht_zentraledatei_aktualisierung30"></a>A Referenzierte Spezifikation</h1>
 <table class="fixedWidth" border="1" cellpadding="2">
-- 
cgit v1.2.3


From e0d39d0b27baf321aa93fa6fbfc5a3f9a266e47c Mon Sep 17 00:00:00 2001
From: Thomas Lenz <tlenz@iaik.tugraz.at>
Date: Thu, 30 Oct 2014 16:48:38 +0100
Subject: change version in handbook and mainpage

---
 id/server/doc/handbook/index.html | 2 +-
 1 file changed, 1 insertion(+), 1 deletion(-)

(limited to 'id/server/doc')

diff --git a/id/server/doc/handbook/index.html b/id/server/doc/handbook/index.html
index 892a82484..c3b25b390 100644
--- a/id/server/doc/handbook/index.html
+++ b/id/server/doc/handbook/index.html
@@ -15,7 +15,7 @@
   </table>
   <hr/> 
   <p class="title">MOA-ID (Identifikation) </p> 
-  <p class="subtitle">&Uuml;bersicht zur Dokumentation der Version 2.1.1 </p> 
+  <p class="subtitle">&Uuml;bersicht zur Dokumentation der Version 2.1.2 </p> 
   <hr/>
   <dl>
     <dt><a href="./intro/intro.html">Einf&uuml;hrung</a></dt>
-- 
cgit v1.2.3


From bf13ac04e47f615ac0de207ee991c241d310419d Mon Sep 17 00:00:00 2001
From: Thomas Lenz <tlenz@iaik.tugraz.at>
Date: Fri, 31 Oct 2014 08:56:43 +0100
Subject: add SZR Client configuration to handbook and default config

---
 id/server/doc/handbook/config/config.html | 124 ++++++++++++++++++++++++++++++
 1 file changed, 124 insertions(+)

(limited to 'id/server/doc')

diff --git a/id/server/doc/handbook/config/config.html b/id/server/doc/handbook/config/config.html
index 2d2709bcc..9b4190035 100644
--- a/id/server/doc/handbook/config/config.html
+++ b/id/server/doc/handbook/config/config.html
@@ -74,6 +74,7 @@
   </ol>
     </li>
   <li>  <a href="#basisconfig_moa_id_auth_param_testing">Testing</a></li>
+  <li><a href="#basisconfig_moa_id_auth_szrclient">SZR Client f&uuml;r STORK &lt;-&gt; PVP Gateway Betrieb</a></li>
 </ol>
 </li>
           </ol>
@@ -904,7 +905,130 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/MonitoringServlet</pre>
       <p><strong>Defaultwert:</strong> true</p></td>
     </tr>
   </table>
+  <h4><a name="basisconfig_moa_id_auth_szrclient" id="uebersicht_bekanntmachung16"></a>2.2.2.6 SZR Client f&uuml;r STORK &lt;-&gt; PVP Gateway Betrieb</h4>
+  <p>Die Konfiguration des Stammzahlenregister (SZR) Clients ist nur erforderlich wenn das Modul MOA-ID-Auth als STORK &lt;-&gt; PVP Gateway betrieben wird. Da in diesem Fall die Benutzerin oder der Benutzer &uuml;ber ein PVP Stammportal authentifiziert wird ist eine direkte Generierung der STORK eID w&auml;hrend des Anmeldevorgangs nicht m&ouml;glich. Somit erfolgt f&uuml;r diese Personen einen Stammzahlenregisterabfrage zur Bestimmung der STORK eID.</p>
+  <p>F&uuml;r den in MOA-ID-Auth verwendeten SZR Client sind folgende Konfigurationsparameter erforderlich.</p>
+  <table width="1247" border="1">
+    <tr>
+      <th width="281" scope="col">Name</th>
+      <th width="261" scope="col">Beispielwert</th>
+      <th width="683" scope="col">Beschreibung</th>
+    </tr>
+    <tr>
+      <td>service.egovutil.szr.test</td>
+      <td>false</td>
+      <td>Definiert ob das Produktivsystem oder das Testsystem des SZR Webservice verwendet werden soll</td>
+    </tr>
+    <tr>
+      <td>service.egovutil.szr.test.url</td>
+      <td>&nbsp;</td>
+      <td>URL auf das Test SZR Webservice</td>
+    </tr>
+    <tr>
+      <td>service.egovutil.szr.prod.url</td>
+      <td>&nbsp;</td>
+      <td>URL auf das produktive SZR Webservice</td>
+    </tr>
+    <tr>
+      <td>service.egovutil.szr.token.version</td>
+      <td>1.8</td>
+      <td><p>Verwendete PVP Version</p>
+      <p><strong>Hinweis: </strong>der Client implementiert die PVP Version 1.8</p></td>
+    </tr>
+    <tr>
+      <td>service.egovutil.szr.token.participantid</td>
+      <td>&nbsp;</td>
+      <td>Org-ID des Portalverbund-Teilnehmers bei dem der Benutzer registriert ist.</td>
+    </tr>
+    <tr>
+      <td>service.egovutil.szr.token.gvoudomain</td>
+      <td>&nbsp;</td>
+      <td>Organisations-Dom&auml;ne des Benutzers</td>
+    </tr>
+    <tr>
+      <td>service.egovutil.szr.token.userid</td>
+      <td>&nbsp;</td>
+      <td>UserID, mit dem der Benutzer am Stammportal authentifiziert ist</td>
+    </tr>
+    <tr>
+      <td>service.egovutil.szr.token.cn</td>
+      <td>&nbsp;</td>
+      <td>Name des Benutzers oder des System-Principals in der Form Anwendung.Subsystem</td>
+    </tr>
+    <tr>
+      <td>service.egovutil.szr.token.gvouid</td>
+      <td>&nbsp;</td>
+      <td>Stammdienststelle: Eindeutige Kennung f&uuml;r die Organisation des Benutzers</td>
+    </tr>
+    <tr>
+      <td>service.egovutil.szr.token.ou</td>
+      <td>&nbsp;</td>
+      <td>Stammdienststelle: Verwaltungskennzeichen der mit gvouid bezeichneten Organisation</td>
+    </tr>
+    <tr>
+      <td>service.egovutil.szr.token.gvsecclass</td>
+      <td>&nbsp;</td>
+      <td>Sicherheitsklasse</td>
+    </tr>
+    <tr>
+      <td>service.egovutil.szr.token.gvfunction</td>
+      <td>&nbsp;</td>
+      <td>Entspricht Funktion in gvPersonenFunktion.</td>
+    </tr>
+    <tr>
+      <td>service.egovutil.szr.token.gvgid</td>
+      <td>&nbsp;</td>
+      <td>Globaler Identifier des Benutzers</td>
+    </tr>
+    <tr>
+      <td>service.egovutil.szr.roles</td>
+      <td>szr-bpk-abfrage,szr-stammzahl-abfrage</td>
+      <td><p>PVP Rolle f&uuml;r den Zugriff auf das SZR</p>
+      <p>Hinweis: mehrere Rollen werden mittels ',' getrennt. </p></td>
+    </tr>
+    <tr>
+      <td>service.egovutil.szr.ssl.keystore.file</td>
+      <td>keys/szr-key.p12</td>
+      <td>Dateiname des Java Keystore oder PKCS12 Keystore zur Authentifizierung mittels Client Zertifikat am SZR Webservice.</td>
+    </tr>
+    <tr>
+      <td>service.egovutil.szr.ssl.keystore.password</td>
+      <td>password</td>
+      <td>Passwort f&uuml;r den Keystore mit dem Client Zertifikat</td>
+    </tr>
+    <tr>
+      <td>service.egovutil.szr.ssl.keystore.type</td>
+      <td>PKCS12</td>
+      <td>Typ des Keystore mit dem Client Zertifikat (PKCS12 oder JKS)</td>
+    </tr>
+    <tr>
+      <td>service.egovutil.szr.ssl.truststore.file</td>
+      <td>keys/truststore.jks</td>
+      <td>Dateiname des Truststores zur Validierung von SSL Servicerzertifikaten</td>
+    </tr>
+    <tr>
+      <td>service.egovutil.szr.ssl.truststore.password</td>
+      <td>password</td>
+      <td>Passwort f&uuml;r den Truststore</td>
+    </tr>
+    <tr>
+      <td>service.egovutil.szr.ssl.truststore.type</td>
+      <td>JKS</td>
+      <td>Typ des TrustStore (PKCS12 oder JKS)</td>
+    </tr>
+    <tr>
+      <td>service.egovutil.szr.ssl.trustall</td>
+      <td>false</td>
+      <td>Deaktiviert die SSL Serverzertifikatsvalidierung</td>
+    </tr>
+    <tr>
+      <td>service.egovutil.szr.ssl.laxhostnameverification</td>
+      <td>false</td>
+      <td>Deaktiviert die Validierung des Hostname mit dem SSL Serverzertifikat</td>
+    </tr>
+  </table>
   <p>&nbsp;</p>
+  <p><strong>Hinweis:</strong> Detaillierte Informationen zu den einzelnen PVP spezifischen Konfigurationsparametern finden Sie in der entsprechenden PVP Spezifikation.</p>
 <h2><a name="uebersicht_logging" id="uebersicht_logging"></a>2.3 Konfiguration des Loggings</h2>
   <p>Die Module MOA-ID-Auth und MOA-ID-Configuration verwendet als Framework f&uuml;r Logging-Information die Open Source Software <code>log4j</code>. Die Konfiguration der Logging-Information erfolgt  nicht direkt durch die einzelnen Module, sondern &uuml;ber eine eigene Konfigurationsdatei, die der <span class="term">Java Virtual Machine</span> durch eine <span class="term">System Property </span>  mitgeteilt wird. Der Name der <span class="term">System Property </span>  lautet <code>log4j.configuration</code>; als Wert der <span class="term">System Property </span>  ist eine URL anzugeben, die auf die <code>log4j</code>-Konfigurationsdatei verweist, z.B.  </p>
 <pre>log4j.configuration=file:/C:/Programme/apache/tomcat-4.1.30/conf/moa-id/log4j.properties</pre>
-- 
cgit v1.2.3


From db040cc2832f845db0919d1c4e2b034b8737ef24 Mon Sep 17 00:00:00 2001
From: Thomas Lenz <tlenz@iaik.tugraz.at>
Date: Mon, 3 Nov 2014 09:37:02 +0100
Subject: add check if requested STORK-QAA level matches auth QAA level

---
 id/server/doc/handbook/protocol/protocol.html | 4 ++++
 1 file changed, 4 insertions(+)

(limited to 'id/server/doc')

diff --git a/id/server/doc/handbook/protocol/protocol.html b/id/server/doc/handbook/protocol/protocol.html
index e7658875c..1c6e51661 100644
--- a/id/server/doc/handbook/protocol/protocol.html
+++ b/id/server/doc/handbook/protocol/protocol.html
@@ -632,6 +632,10 @@ Redirect Binding</td>
     <td>1204</td>
     <td>Ein STORK Attribut wei&szlig;t ein fehlerhaftes Format auf.</td>
   </tr>
+  <tr>
+    <td>1205</td>
+    <td>Der geforderte QAA Level ist h&ouml;her als der QAA Level der gew&auml;hlten Authentifizierungsmethode</td>
+  </tr>
 </table>
 <h3><a name="statuscodes_4xxxx" id="allgemeines_zugangspunkte8"></a>1.3.2 Statuscodes 4xxxx</h3>
 <p>Alles Statuscodes beginnend mit der Zahl vier beschreiben Fehler die w&auml;hrend der Kommunikation mit externen Services aufgetreten sind.</p>
-- 
cgit v1.2.3


	Wenn eingehende SSO Intefederation erlaubt ist besteht zusätzlich die Möglichkeit diesen einmal verwendeten IDP an die Benutzersession zu binden. In diesem Fall können weitere SSO Authentifizierungen über diesen interfederation IDP auch ohne Angabe des IDP Identifiers (siehe Sequenzdiagramm oder Integration in bestehende Systeme) durchgeführt werden.
Verwende SAML2 isPassive Attribut			Dieser Parameter kann das isPassive Attribut des SAML2 Authentifizierungsrequests an diesen IDP konfiguriert werden. Wird dieses Attribut gesetzt erfolgt an diesem IDP keine Authentifzierung wenn keine aktive SSO Session vorhanden ist.
Im Fehlerfall Authentifizierung lokal durchführen			Dieser Parameter definert das Verhalten für den Fall dass an diesem IDP keine Authentifizierung möglich war. Bei ausgewähltem Parameter wird im Fehlerfall die Authentifizerung an der lokalen IDP Instanz wiederholt.
AttributQuery Service URL	https://demo.egiz.gv.at/moa-id-auth/pvp2/attributequery	4400	Fehler beim Generieren der Anmeldedaten
4401	Die Anmeldung am federierten IDP ist fehlgeschlagen.
	Wenn eingehende SSO Intefederation erlaubt ist besteht zusätzlich die Möglichkeit diesen einmal verwendeten IDP an die Benutzersession zu binden. In diesem Fall können weitere SSO Authentifizierungen über diesen interfederation IDP auch ohne Angabe des IDP Identifiers (siehe Sequenzdiagramm oder Integration in bestehende Systeme) durchgeführt werden.
Verwende SAML2 isPassive Attribut			Wird dieser Parameter aktiviert erfolgt der Authentifizierungsrequest im Schritt 9 (siehe Sequenzdiagramm) unter Verwendung des SAML 2 isPassiv Flags. Wenn die Benutzerin oder der Benutzer keine aktive SSO Session an diesem IDP besitzt wird ein Fehler returniert und KEINE Authentifizierung an diesem IDP durchgeführt.
Im Fehlerfall Authentifizierung lokal durchführen			Wird dieser Parameter aktiviert erfolgt im Falle eines returnierten Fehlers im Schritt 11 (siehe Sequenzdiagramm) keine lokale Authentifizierung und dem Service Provider wird eine Fehlermeldung returniert.
AttributQuery Service URL	https://demo.egiz.gv.at/moa-id-auth/pvp2/attributequery	StorkAttributeRequestProvider	Allgemeines Plugin, wird verwendet für die Restfälle.
PVPAuthenticationProvider	Dieser Provider dient zur Authentifizierung des Benutzers über den Portalverbund der österreichischen Behörden. Wird ein zu diesem Provider konfiguriertes Attribut angefragt erfolgt die Authentifizerung des Benutzers NICHT am VIDP sondern in der nationalen Infrastruktur, wobei die Anmeldedaten über den VIDP an den Service Provider weitergereicht werden. Als URL ist der Link auf den nationalen STORK<->PVP Gateway zu hinterlegen. + Hinweis: Aktuell fordert folgende Attribute eine nationale Authentifizierung: + + ECApplicationRole +
Name	Beispielwert	Beschreibung
Online-Applikation ist aktiviert		Aktiviert oder deaktiviert den Gatewy. Es können nur aktive Gatewaykonfigurationen verwendet werden.
Eindeutiger Identifikator	https://vidp.egiz.gv.at/moa-id-auth/	Dieser Parameter dient als Schlüssel zum Auffinden der Gateway Konfigurationsparameter. Hierfür ist ein eindeutiger Identifikator für die VIDP Instanz erforderlich, welcher diesen Gateway nutzen möchte. Dieser eindeutige Identifikator muss mindestens dem URL-Präfix der nach außen sichtbaren Domäne des VIDP entsprechen
Name der + Online-Applikation	IT STORK-PVP Gateway	Hier muss ein benutzerfreundlicher Name für den Gateway angegeben werden.
Privatwirtschaftliche Applikation		Definiert ob der VIDP, welcher den Gateway verwendet dem öffentlichen Bereich oder dem privatwirtschaftlichen Bereich (Business Service) zugeordnet ist. + Hinweis: im STORK Kontext immer privatwirtschaftlich.
Name	Beispielwert	Beschreibung
service.egovutil.szr.test	false	Definiert ob das Produktivsystem oder das Testsystem des SZR Webservice verwendet werden soll
service.egovutil.szr.test.url		URL auf das Test SZR Webservice
service.egovutil.szr.prod.url		URL auf das produktive SZR Webservice
service.egovutil.szr.token.version	1.8	Verwendete PVP Version + Hinweis: der Client implementiert die PVP Version 1.8
service.egovutil.szr.token.participantid		Org-ID des Portalverbund-Teilnehmers bei dem der Benutzer registriert ist.
service.egovutil.szr.token.gvoudomain		Organisations-Domäne des Benutzers
service.egovutil.szr.token.userid		UserID, mit dem der Benutzer am Stammportal authentifiziert ist
service.egovutil.szr.token.cn		Name des Benutzers oder des System-Principals in der Form Anwendung.Subsystem
service.egovutil.szr.token.gvouid		Stammdienststelle: Eindeutige Kennung für die Organisation des Benutzers
service.egovutil.szr.token.ou		Stammdienststelle: Verwaltungskennzeichen der mit gvouid bezeichneten Organisation
service.egovutil.szr.token.gvsecclass		Sicherheitsklasse
service.egovutil.szr.token.gvfunction		Entspricht Funktion in gvPersonenFunktion.
service.egovutil.szr.token.gvgid		Globaler Identifier des Benutzers
service.egovutil.szr.roles	szr-bpk-abfrage,szr-stammzahl-abfrage	PVP Rolle für den Zugriff auf das SZR + Hinweis: mehrere Rollen werden mittels ',' getrennt.
service.egovutil.szr.ssl.keystore.file	keys/szr-key.p12	Dateiname des Java Keystore oder PKCS12 Keystore zur Authentifizierung mittels Client Zertifikat am SZR Webservice.
service.egovutil.szr.ssl.keystore.password	password	Passwort für den Keystore mit dem Client Zertifikat
service.egovutil.szr.ssl.keystore.type	PKCS12	Typ des Keystore mit dem Client Zertifikat (PKCS12 oder JKS)
service.egovutil.szr.ssl.truststore.file	keys/truststore.jks	Dateiname des Truststores zur Validierung von SSL Servicerzertifikaten
service.egovutil.szr.ssl.truststore.password	password	Passwort für den Truststore
service.egovutil.szr.ssl.truststore.type	JKS	Typ des TrustStore (PKCS12 oder JKS)
service.egovutil.szr.ssl.trustall	false	Deaktiviert die SSL Serverzertifikatsvalidierung
service.egovutil.szr.ssl.laxhostnameverification	false	Deaktiviert die Validierung des Hostname mit dem SSL Serverzertifikat