From f8bb5fa2b930d258d5c92733088bc1332159066a Mon Sep 17 00:00:00 2001 From: Klaus Stranacher Date: Mon, 26 May 2014 14:47:12 +0200 Subject: Update MOA-ID handbook (Typos, etc.) --- id/server/doc/handbook/additional/additional.html | 10 +- .../doc/handbook/application/application.html | 18 +- id/server/doc/handbook/config/config.html | 191 ++++++++++----------- id/server/doc/handbook/install/install.html | 18 +- .../handbook/interfederation/interfederation.html | 12 +- id/server/doc/handbook/intro/Blockdiagramm.png | Bin 201953 -> 348113 bytes id/server/doc/handbook/intro/intro.html | 20 +-- id/server/doc/handbook/protocol/protocol.html | 132 +++++++------- 8 files changed, 200 insertions(+), 201 deletions(-) (limited to 'id/server/doc') diff --git a/id/server/doc/handbook/additional/additional.html b/id/server/doc/handbook/additional/additional.html index 25da0e095..97c7794cf 100644 --- a/id/server/doc/handbook/additional/additional.html +++ b/id/server/doc/handbook/additional/additional.html @@ -53,11 +53,11 @@

Personenbindung

-

Die Personenbindung der BenutzerIn oder des Benutzers.

+

Die Personenbindung der Benutzerin oder des Benutzers.

AuthBlock

-

Der Authentifizierungsblock, welcher im Rahmen des Anmeldevorgangs vom der BenutzerIn oder dem Benutzer signiert wird.

+

Der Authentifizierungsblock, welcher im Rahmen des Anmeldevorgangs vom der Benutzerin oder dem Benutzer signiert wird.

Signaturzertifikat

@@ -73,7 +73,7 @@ AuthTimeStamp - Zeitpunkt an dem sich die BenutzerIn oder der Benutzer an MOA-ID-Auth authentifiziert hat. + Zeitpunkt an dem sich die Benutzerin oder der Benutzer an MOA-ID-Auth authentifiziert hat.

1.1.2 Single Sign-On

@@ -89,7 +89,7 @@ UpdateTimeStamp - Zeitpunkt des letzten Zugriffs der BenutzerIn oder des Benutzers mittels SSO. + Zeitpunkt des letzten Zugriffs der Benutzerin oder des Benutzers mittels SSO.

Liste: ungültige SSO Token

@@ -169,7 +169,7 @@

ProtocolSubType

-

Nähere Spezifizierung des Protokolltypes. (Im Falle von PVP 2.1: POST oder Redirect)

+

Nähere Spezifizierung des Protokolltyps. (Im Falle von PVP 2.1: POST oder Redirect)

ExceptionType

diff --git a/id/server/doc/handbook/application/application.html b/id/server/doc/handbook/application/application.html index 7fd729683..8dbae87ed 100644 --- a/id/server/doc/handbook/application/application.html +++ b/id/server/doc/handbook/application/application.html @@ -49,7 +49,7 @@

Das erste Kapitel behandelt die Integration der von MOA-ID-Auth generierten Bürgerkartenauswahl in bestehende Online-Applikationen. Zusätzlich zur Beschreibung ist MOA-ID auch eine PVP 2.1 Demo Applikation beigelegt. Die Konfiguration und Verwendung dieser Demo Applikation ist Inhalt des letzten Kapitels.

2 Integration in bestehende Online-Applikationen

Ab MOA-ID 2.0 wird die Bürgerkartenauswahl und die Single Sign-On Anmeldeabfrage standardmäßig vom Modul MOA-ID-Auth bereitgestellt und muss nicht mehr durch den Service Provider implementiert werden.

-

Die im Modul MOA-ID-Auth hinterlegten Standard Templates (Bürgerkartenauswahl, Single Sign-On Anmeldeabfrage) unterstützt Responsive Design und passen sich somit in einem weiten Bereich an die aktuelle Fenstergröße an, wodurch eine individuelle Integration der von MOA-ID-Auth erzeugten Formulare möglich ist. Zusätzlich bietet das Konfigurationstool die Möglichkeit der online-applikationsspezifischen Anpassung der Standard Templates. Mit dieser Funktion können einzelne Parameter der Standard Templates an die Online-Applikation individualisiert werden um die Integration weiter zu verfeinern.

+

Die im Modul MOA-ID-Auth hinterlegten Standard Templates (Bürgerkartenauswahl, Single Sign-On Anmeldeabfrage) unterstützt Responsive Design und passt sich somit in einem weiten Bereich an die aktuelle Fenstergröße an, wodurch eine individuelle Integration der von MOA-ID-Auth erzeugten Formulare möglich ist. Zusätzlich bietet das Konfigurationstool die Möglichkeit der online-applikationsspezifischen Anpassung der Standard Templates. Mit dieser Funktion können einzelne Parameter der Standard Templates an die Online-Applikation individualisiert werden um die Integration weiter zu verfeinern.

Hinweis: Es besteht jedoch auch die Möglichkeit der Hinterlegung von vollständig benutzerdefinierten online-applikationsspezifischen Templates für die Bürgerkartenauswahl und die Single Sign-On Anmeldeabfrage (siehe hier).

2.1 Bürgerkartenauswahl

Die Bürgerkartenauswahl wird ab MOA-ID 2.0 standardmäßig von MOA-ID-Auth, als Antwort auf einen eingehenden Authentifizierungsrequest, bereitgestellt. Dem zu Folge müssen die aus MOA-ID 1.5.1 bekannten Parameter (target, bkuURL, template, usemandate) nicht mehr im Authentifizierungsrequest an MOA-ID-Auth übergeben werden und es kann ein standardkonformer Protokollrequest verwendet werden. Die aus MOA-ID 1.5.1 bekannte Variante der Bürgerkartenauswahl in der Online-Applikation des Service Providers steht jedoch weiterhin als Legacy Variante zur Verfügung.

@@ -60,14 +60,14 @@

Bürgerkartenauswahl im iFrame

Hinweis: Bei dieser Variante wird die Assertion ebenfalls an den iFrame ausgeliefert wodurch der authentifizierte Bereich der Online-Applikation im iFrame dargestellt wird. Dieses Verhalten kann durch eine online-applikationsspezifischen Anpassung der Standard Templates und dem Parameter Targetparameter unterbunden werden.

2.1.2 Request aus dem Hauptframe

-

Bei dieser Variante wird der Authentifizierungsrequests direkt aus dem aktuell offenen Browserfenster an MOA-ID-Auth gesendet. In diesem Fall wird die Bürgerkartenauswahl fensterfüllend im Browser dargestellt und die BenutzerIn oder der Benutzer befindet sich nicht mehr in der Domain der Online-Applikation (Service Providera). Nach erfolgreicher Authentifizierung wird die BenutzerIn oder der Benutzer an die Online-Applikation zurückgeleitet. Die nachfolgende Grafik zeigt die Bürgerkartenauswahl im seitenfüllenden Layout.

+

Bei dieser Variante wird der Authentifizierungsrequests direkt aus dem aktuell offenen Browserfenster an MOA-ID-Auth gesendet. In diesem Fall wird die Bürgerkartenauswahl fensterfüllend im Browser dargestellt und die Benutzerin oder der Benutzer befindet sich nicht mehr in der Domain der Online-Applikation (Service Provider). Nach erfolgreicher Authentifizierung wird die Benutzerin oder der Benutzer an die Online-Applikation zurückgeleitet. Die nachfolgende Grafik zeigt die Bürgerkartenauswahl im seitenfüllenden Layout.

Bürgerkartenauswahl im seitenfüllenden Layout

2.2 Single Sign-On Anmeldeabfrage

Wird für die Integration in die Online-Applikation die Variante mit dem Login Button und der von MOA-ID-Auth bereitgestellten Bürgerkartenauswahl verwendet (iFrame oder Hauptframe), ergeben sich für die Single Sign-On Anmeldeabfrage keine zusätzlichen Anforderungen. Im Falle einer aktiven Single Sign-On Session, würde MOA-ID-Auth mit der Single Sign-On Anmeldeabfrage anstatt der Bürgerkartenauswahl antworten. Auch in diesem Fall stehen beide Möglichkeiten der Integration, identisch zum Kapitel Bürgerkartenauswahl, zur Verfügung. Die nachfolgende Grafik zeigt eine Single Sign-On Abfrage welche je nach verwendeter Variante die Bürgerkartenauswahl, in den zuvor gezeigten Beispielen, ersetzen würde.

Single Sign-On Anmeldeabfrage

Hinweis: Wird für die Integration der Bürgerkartenauswahl jedoch die Legacy Variante verwendet (direkte Integration der Bürgerkartenauswahl in die Online-Applikation) kann es zu Inkompatibilitäten mit der Single Sign-On Anmeldeabfrage kommen, da diese Abfrage von MOA-ID-Auth generiert werden muss und eine direkte Integration in eine Online-Applikation nicht möglich ist.

3 Demo Applikationen

-

Diese Abschnitt behandelt die Konfiguration und Verwendung der bei MOA-ID beigelegten Demo Applikationen.

+

Dieser Abschnitt behandelt die Konfiguration und Verwendung der bei MOA-ID beigelegten Demo Applikationen.

3.1 PVP 2.1 Demo

Die PVP 2.1 Demo stellt das Minimalbeispiel einer Online-Applikation dar, welche zur Authentifizierung das Protokoll PVP 2.1 verwendet. Die nachfolgenden Abschnitte beschreiben die Installation, Konfiguration und Verwendung der PVP 2.1 Demo Applikation.

Hinweis: Der Source Code der PVP 2.1 Demo Applikation ist im Order $MOA_ID_AUTH_INST/source/moa-id-oa verfügbar. Jedoch ist die Validierung der PVP 2.1 Assertion in dieser Version nicht vollständig implementiert und müsste bei Verwendung in einem Produktivsystem noch erweitert werden.

@@ -81,7 +81,7 @@
  • Die Dateien xalan.jar, xercesImpl.jar, serializer.jar und xml-apis.jar aus dem Verzeichnis $MOA_ID_AUTH_INST/endorsed müssen in das Tomcat-Verzeichnis $CATALINA_HOME/endorsed (bzw. $CATALINA_HOME/common/endorsed bis Apache Tomcat Version 5.5) kopiert werden. Sind gleichnamige Dateien dort bereits vorhanden, müssen sie überschrieben werden. Die ggf. in diesem Verzeichnis vorhandene Datei xmlParserAPIs.jar muss gelöscht werden. Sollte das Verzeichnis endorsed nicht vorhanden sein, dann muss dieses zuerst erstellt werden.
  • Folgende System Properties können gesetzt werden (wird beim Starten von Tomcat der Java Virtual Machine in der Umgebungsvariablen CATALINA_OPTS in der Form -D<name>=<wert> übergeben):
  • -
  • Privatwirtschaftlicher Bereich: Die MOA-ID-Auth Instanz ist einem privatwirtschaftlichen Bereich für SSO zugeordnet, steht SSO nur eingeschränkt zur Verfügung. Da laut E-Governmentgesetz die Errechnung eines wbPK aus der Stammzahl nicht beim Auftraggeber eines privaten Bereichs durchgeführt werden darf (vgl. E-GovGesetz §12(1).4), und deshalb an die Bürgerkartenumgebung ausgelagert werden muss. In diesem Fall sind Anmeldungen mittels SSO nur für jenen privatwirtschaftlichen Bereich möglich dem auch der SSO Bereich zugeordnet wurde.
  • +
  • Privatwirtschaftlicher Bereich: Die MOA-ID-Auth Instanz ist einem privatwirtschaftlichen Bereich für SSO zugeordnet, steht SSO nur eingeschränkt zur Verfügung. Da laut E-Governmentgesetz die Errechnung eines wbPK aus der Stammzahl nicht beim Auftraggeber eines privaten Bereichs durchgeführt werden darf (vgl. E-Government Gesetz §12(1).4), und deshalb an die Bürgerkartenumgebung ausgelagert werden muss. In diesem Fall sind Anmeldungen mittels SSO nur für jenen privatwirtschaftlichen Bereich möglich dem auch der SSO Bereich zugeordnet wurde.
  • @@ -1202,12 +1201,12 @@ Checking - + - -

    SSO Service Name

    EGIZ MOA-ID 2.0Öffentlicher Name der MOA-ID Instanz. Dieser Name wird in den Authblock eingetragen und durch die BenutzerIn oder den Benutzer signiert.Öffentlicher Name der MOA-ID Instanz. Dieser Name wird in den Authblock eingetragen und durch die Benutzerin oder den Benutzer signiert.

    SSO Service Target

    BF oder FN468924i

    Bereich in dem die MOA-ID Instanz betrieben wird, wobei entweder das Kürzel für den öffentliche Geschäftsbereich oder die Stammzahl den Wirtschaftsunternehmens angegeben werden kann.

    +

    Bereich in dem die MOA-ID Instanz betrieben wird, wobei entweder das Kürzel für den öffentliche Geschäftsbereich oder die Stammzahl des Wirtschaftsunternehmens angegeben werden kann.

    • Öffentlicher Geschäftsbereich: Bereichskürzel des öffentlichen Bereichs in dem die MOA-ID-Auth Instanz betrieben wird. (z.B. BF für den Bereich Bildung und Forschung)
    • Privatwirtschaftlicher Bereich: Die Stammzahl des öffentlichen Bereichs muss mit dem entsprechenden Prefix des Bereichs angegeben werden. Folgende Prefix stehen zur Verfügung @@ -1222,7 +1221,7 @@ Checking
    SSO AuthBlockText Ich #NAME#, geboren am #BIRTHDAY# stimme am #DATE# um #TIME# einer Anmeldung mittels Single Sign-On zu.

    Zusätzlicher Text der in den AuthBlock eingetragen und von der BenutzerIn oder dem Benutzer signiert wird. Dieser Text, darf aus Buchstaben, Zahlen und Satzzeichen bestehen und wird als direkt nach der Überschrift "Anmeldeinformationen" in den Aufblock eingeblendet. Die folgenden Schlüsselwörter können zusätzlich verwendet werden und werden während des Anmeldevorgangs durch die entsprechenden Anmeldedaten ersetzt.

    +

    Zusätzlicher Text der in den AuthBlock eingetragen und von der Benutzerin oder dem Benutzer signiert wird. Dieser Text, darf aus Buchstaben, Zahlen und Satzzeichen bestehen und wird als direkt nach der Überschrift "Anmeldeinformationen" in den Authblock eingeblendet. Die folgenden Schlüsselwörter können zusätzlich verwendet werden und werden während des Anmeldevorgangs durch die entsprechenden Anmeldedaten ersetzt.

    • #NAME# wird ersetzt durch Vor- und Familienname (z.B. Max Mustermann)
    • #BIRTHDAY# wird durch das Geburtsdatum ersetzt (z.B. 01.01.1978)
    • @@ -1234,7 +1233,7 @@ Checking

    3.1.8 Secure idenTity acrOss boRders linKed (STORK)

    -

    Hierbei werden allgemeine Parameter für STORK Protokol konfiguriert.

    +

    Hierbei werden allgemeine Parameter für STORK Protokoll konfiguriert.

    @@ -1247,9 +1246,9 @@ Checking - + - + @@ -1259,7 +1258,7 @@ Checking - +
    Name QAA (Attribute Quality Authentication Assurance) stellt Mindestanforderung von QAA fest.
    Contry CodeCountry Code ESDer zweistelligen Kod vom unterstützten PEPS-Staat.Der zweistelligen Code vom unterstützten PEPS-Staat.
    PEPS URL
    Attributname eIdentifierDie Name des unterstützte Attributtes. Die als zwingend markierte Attributtes müssen im Response von dem gegenstehendem PEPS enthälten werden. Jedes Attribut wird gesondert eingetragen.
    Die Liste von vorhandenen und unterstützen Attributes ist in Konfigurationsdatei von SamlEngine (StorkSamlEngine_XXX.xml) vorhanden.
    Der Name des unterstützten Attributes. Die als zwingend markierte Attribute müssen im Response von dem gegenstehendem PEPS enthalten sein. Jedes Attribut wird gesondert eingetragen.
    Die Liste von vorhandenen und unterstützen Attributes ist in Konfigurationsdatei von SamlEngine (StorkSamlEngine_XXX.xml) vorhanden.

     

    @@ -1322,7 +1321,7 @@ Checking Name natürliche Person - Anmeldung in Vertretungl + Anmeldung in Vertretung Beschreibung @@ -1372,7 +1371,7 @@ Checking canonicalResidenceAddress   X - Addresse der Person für welche die Anmeldung erfolgt + Adresse der Person für welche die Anmeldung erfolgt mandateContent @@ -1417,7 +1416,7 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der

     

    3.1.10.4 PVP2.1 Konfiguration

    -

    Die allgemeinen Konfigurationsparameter für das Authentifizierungsprotkoll PVP2.1 behandeln Informationen zum Betreiber der MOA-ID-Auth Instanz und zu einer Ansprechperson für diese Instanz. Diese Parameter werden in den PVP2.1 Metadaten, die von MOA-ID-Auth für Online-Applikation (Service Providern) bereitgestellt werden, eingetragen.

    +

    Die allgemeinen Konfigurationsparameter für das Authentifizierungsprotokoll PVP2.1 behandeln Informationen zum Betreiber der MOA-ID-Auth Instanz und zu einer Ansprechperson für diese Instanz. Diese Parameter werden in den PVP2.1 Metadaten, die von MOA-ID-Auth für Online-Applikation (Service Providern) bereitgestellt werden, eingetragen.

    3.1.10.4.1 Betreiberorganisation
    @@ -1437,7 +1436,7 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der - + @@ -1511,7 +1510,7 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der - + @@ -1569,7 +1568,7 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der
    Vollständiger Name - OrganisationeGovernment InovationszentrumeGovernment Innovationszentrum Vollbezeichnung der Organisation welche die MOA-ID-Auth Instanz betreibt. Dieser Parameter wird in den Metadaten im Element md:Organization/md:OrganizationDisplayName angezeigt.
      X  Aktiviert oder deaktiviert die Online-Applikation. Eine Authentifizierung ist nur an aktiven Online-Applikationen möglich. Ein Anmeldeversucht an einer nicht aktiven Online-Applikation wird durch MOA-ID-Auth durch den Fehlercode auth.00 und der Fehlerbeschreibung Anmeldung an dieser Applikation wird nicht unterstützt verweigert.Aktiviert oder deaktiviert die Online-Applikation. Eine Authentifizierung ist nur an aktiven Online-Applikationen möglich. Ein Anmeldeversuch an einer nicht aktiven Online-Applikation wird durch MOA-ID-Auth durch den Fehlercode auth.00 und der Fehlerbeschreibung Anmeldung an dieser Applikation wird nicht unterstützt verweigert.

    Eindeutiger Identifikatior

     

    -

    Hinweis: Wird die Online-Applikation durch eine BenutzerIn oder einem Benutzer ohne die Role admin angelegt, wird vor der Speicherung überpüft ob die Online-Applikation alle Anforderungen an eine öffentliche Applikation erfüllt. Die Überprüfung erfolgt auf Basis des eindeutigen Identifikators (Public-URL PRefix) der Online-Applikation und es muss mindestens eine der folgenden Anforderungen erfüllt sein.

    +

    Hinweis: Wird die Online-Applikation durch eine Benutzerin oder einem Benutzer ohne die Role admin angelegt, wird vor der Speicherung überprüft ob die Online-Applikation alle Anforderungen an eine öffentliche Applikation erfüllt. Die Überprüfung erfolgt auf Basis des eindeutigen Identifikators (Public-URL PRefix) der Online-Applikation und es muss mindestens eine der folgenden Anforderungen erfüllt sein.