From cc127e584a29a72a9275f3a28085625b4206a66c Mon Sep 17 00:00:00 2001 From: Thomas Lenz Date: Tue, 19 Feb 2019 11:31:33 +0100 Subject: update handbook, infos, and default config --- .../data/deploy/conf/moa-id/moa-id.properties | 14 +++- id/server/doc/handbook/config/config.html | 90 ++++++++++++++++++---- id/server/doc/handbook/protocol/protocol.html | 30 +++++++- 3 files changed, 118 insertions(+), 16 deletions(-) (limited to 'id/server') diff --git a/id/server/data/deploy/conf/moa-id/moa-id.properties b/id/server/data/deploy/conf/moa-id/moa-id.properties index 6dddb454a..678c381cb 100644 --- a/id/server/data/deploy/conf/moa-id/moa-id.properties +++ b/id/server/data/deploy/conf/moa-id/moa-id.properties @@ -247,4 +247,16 @@ service.egovutil.szr.ssl.truststore.file= service.egovutil.szr.ssl.truststore.password= service.egovutil.szr.ssl.truststore.type= service.egovutil.szr.ssl.trustall=false -service.egovutil.szr.ssl.laxhostnameverification=false \ No newline at end of file +service.egovutil.szr.ssl.laxhostnameverification=false + + +################ Encrypted foreign bPK generation #################################### +## This demo-extension enables encrypted bPK generation on MOA-ID-Auth side. +## If you like to use this feature, the public key for encryption has to be added +## as X509 certificate in Base64 encoded from. The selection will be done on sector +## identifier, like 'wbpk+FN+195755b' for a private company (similar to ENC_BPK_LIST in +## PVP Attribute Profie 2.1.2) +## Additonal encryption keys can be added by add a ney configuration line, like +## configuration.foreignsectors.pubkey.BMI+T1=MIICuTCCAaG (VKZ='BMI', Public Target='T1') +######## +#configuration.foreignsectors.pubkey.wbpk+FN+195755b=MIIF2TCCA8GgAw... \ No newline at end of file diff --git a/id/server/doc/handbook/config/config.html b/id/server/doc/handbook/config/config.html index 00774c7eb..90227cf9b 100644 --- a/id/server/doc/handbook/config/config.html +++ b/id/server/doc/handbook/config/config.html @@ -119,6 +119,7 @@
  • Privatwirtschaftlicher Bereich
  • +
  • Demo-Modus für 'Austrian eID'
  • BKU Konfiguration
  • Security Layer für mobile Authententifizierung
  • Test Credentials
  • @@ -411,6 +412,12 @@ UNIX: moa.id.configuration=file:C:/Programme/apache/tomcat-8.x.x/conf/moa-id/moa

    Passwort zum Verschlüsseln von Konfigurationsteilen welche in der Datenbank abgelegt werden. Hierbei kann jede beliebige Zeichenfolge aus Buchstaben, Zahlen und Sonderzeichen verwendet werden.

    Hinweis: Dieses Passwort muss identisch zu dem im Modul MOA-ID-Configuration hinterlegten Passwort sein.

    + + configuration.ssl.useStandardJavaTrustStore + true / false +

    Deaktiviert die MOA-ID spezifische SSL TrustStore Implementierung. Wird dieser Parameter auf true gesetzt, verwendet MOA-ID den TrustStore der Java VM.

    +

    Defaultwert: false

    + configuration.ssl.validation.revocation.method.order ocsp,crl @@ -1553,7 +1560,62 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der -

    3.2.2 BKU Konfiguration

    +

     

    +

    3.2.2 Demo-Modus für 'Austrian eID'

    +

    Dieser Abschnitt behandelt den Demo-Modus für die kommende 'Austrian eID' welcher mit der MOA-ID Version 3.4.2 eingeführt wurde. Ist der Demo-Modus aktiviert ändert sich das mögliche Attribut-Set welches Online Applikation zur Verfügung gestellt wird. Als Attributbezeichner in der nachfolgenden Liste werden die Attributebezeichnungen aus dem PVP Attribute-Profil verwendet. Ein Mapping auf OpenID-Connect Scopes oder SAML1 Attribute finden Sie in Kapitel Protokolle. Als weitere Anpassung wird mit hoher Wahrscheinlichkeit die iFrame Integration der Handy-Signatur nicht mehr zur Verfügung stehen und es erfolgt eine vollformat Weiterleitung an den 'Austrian eID'. Diese Anpassung ist in der MOA-ID Version 3.4.2 noch nicht berücksichtig.

    +

    Folgende Attribute stehen nicht mehr zur Verfügung:

    + +

    Folgende neuen Attribute stehen zur Verfügung:

    + +

     

    + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
    NameBeispielwerteAdminOptionalBeschreibung
    Demo-Modus aktivieren

     

     XAktiviert den Demo-Modus für die 'Austrian eID' für diese Online Applikation.
    Sektoren für Fremd-bPKswbpk+FN+468924i,BMI+T1 X

    Eine CSV Liste von Bereichen für welche die Online Applikation verschlüsselte Fremd-bPKs benötigt.

    +

    Hinweis: Da es sich hierbei nur um eine Demo handelt muss das Schlüsselmaterial für die Verschlüsselung in MOA-ID hinterlegt werden.

    Sektoren für weitere bPKs

    urn:publicid:gv.at:cdid+T1,

    +

    urn:publicid:gv.at:wbpk+FN+468924i

     X

    Eine CSV Liste von Bereichen für welche die Online Applikation bPKs aus anderen Bereichen benötogt.

    +

    Hinweis: Die Angabe der Bereiche erfolgt mit dem vollständigen Bereichsidentifier inkl. Prefix.

    +

     

    +

    3.2.3 BKU Konfiguration

    Dieser Abschnitt behandelt online-applikationsspezifische Einstellungen zum Anmeldeprozess. Diese Einstellungen stehen jedoch nur einer Benutzerin oder einem Benutzer mit der Role admin zur Verfügung.

    @@ -1601,7 +1663,7 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der
    Über diese Funktion können drei zusätzliche SecurtityLayer-Request Templates für diese Online-Applikation definiert werden. Diese hier definierten Templates dienen als zusätzliche WhiteList für Templates welche im „StartAuthentication“ Request mit dem Parameter „template“ übergeben werden. Sollte im „StartAuthentication“ Request der Parameter „template“ fehlen, es wurde jedoch eine „bkuURL“ übergeben, dann wird für den Authentifizierungsvorgang das erste Template in dieser Liste verwendet. Detailinformationen zum Legacy Request finden Sie im Kapitel Protokolle.
    -

    3.2.3 Security Layer für mobile Authententifizierung

    +

    3.2.4 Security Layer für mobile Authententifizierung

    Mit diesem Abschnitt kann der neue Security Layer für mobile Authentifzierung für diese Online Applikation aktiviert werden.
    Wird diese Schnittstelle aktiviert ist die Security-Layer 1.x Schnittstelle zur Bürgerkartenkommunikation deaktiviert und steht nicht mehr zur Verfügung.

    @@ -1631,7 +1693,7 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der

     

    -

    3.2.4 Test Identitäten

    +

    3.2.5 Test Identitäten

    In diesem Abschnitt können für diese Online-Applikation Testidentitäten erlaubt werden. Diese Testidentitäten können auch bei produktiven Instanzen freigeschalten werden, da die Unterschiedung zwischen Produkt- und Testidentität anhand einer speziellen OID im Signaturzertifikat der Testidentität getroffen wird. Folgende Konfigurationsparameter stehen hierfür zur Verfügung.

    @@ -1673,7 +1735,7 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der

     

    Hinweis: Diese Funktionalität steht jedoch nur Testidentitäten welchen bereits mit einer Test OID im Signaturzertifikat ausgestattet sind zur Verfügung.

    -

    3.2.5 Vollmachten

    +

    3.2.6 Vollmachten

    Dieser Abschnitt behandelt online-applikationsspezifische Einstellungen zur Anmeldung mittels Online-Vollmachen.

    @@ -1723,7 +1785,7 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der

     

    Hinweis: Werden für die Online-Applikation eigene Templates für die Bürgerkartenauswahl oder die zusätzliche Anmeldeabfrage im SSO Fall (siehe Abschnitt 3.2.2) verwendet, stehen alle Konfigurationsparameter die Einfluss auf die BKU-Auswahl haben nicht zur Verfügung. Die Funktionalität der entsprechenden Parameter hat jedoch weiterhin Einfluss auf den Anmeldevorgang.

    -

    3.2.6 Zentraler nationaler eIDAS Connector

    +

    3.2.7 Zentraler nationaler eIDAS Connector

    Dieser Abschnitt behandelt online-applikationsspezifische Einstellungen zum Anknüpfung an den zentralen nationalen eIDAS Connector

    @@ -1743,7 +1805,7 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der

     

    -

    3.2.7 Single Sign-On (SSO)

    +

    3.2.8 Single Sign-On (SSO)

    Dieser Abschnitt behandelt online-applikationsspezifische Einstellungen zu Single Sign-On

    @@ -1770,7 +1832,7 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der

    Hinweis: Diese Abfrage ist standardmäßig aktiviert und kann nur durch einen Benutzer mit der Role admin deaktiviert werden.

    -

    3.2.8 Authentifizierung mittels eIDAS

    +

    3.2.9 Authentifizierung mittels eIDAS

    Dieser Abschnitt behandelt Online-Applikationsspezifische Einstellungen zur Authentifizierung mittels eIDAS.

    @@ -1794,10 +1856,10 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der

     

    Hinweis: Werden für die Online-Applikation eigene Templates für die Bürgerkartenauswahl oder die zusätzliche Anmeldeabfrage im SSO Fall (siehe Abschnitt 3.2.2) verwendet, stehen alle Konfigurationsparameter die Einfluss auf die BKU-Auswahl haben nicht zur Verfügung.

    -

    3.2.9 Authentifizierungsprotokolle

    +

    3.2.10 Authentifizierungsprotokolle

    Dieser Abschnitt behandelt online-applikationsspezifische Einstellungen zu den von der Online-Applikation unterstützen Authentifizierungsprotokollen. Eine Verwendung aller zur Verfügung stehender Authentifizierungsprotokolle durch die Online-Applikation ist ebenfalls möglich. Hierfür müssen nur alle benötigten Protokolle konfiguriert werden. Nähere Informationen zu den unterstützten Protokollen finden sie im Kapitel Protokolle.

    Aus Gründen der Übersichtlichkeit kann der Konfigurationsbereich für jeden Protokoll, in der Web-Oberfläche des Konfigurationstools, ein- oder ausgeblendet werden.

    -
    3.2.9.1 SAML1
    +
    3.2.10.1 SAML1

    Für das Protokoll SAML1 stehen folgende Konfigurationsparameter zur Verfügung.

    @@ -1852,7 +1914,7 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der

     

    Hinweis: Das Modul MOA-ID-Auth in der Version 2.0 unterstützt SAML1 nur mehr zur Abwärtskompatibilität mit bereits bestehenden Online-Applikationen. Wir empfehlen den Umstieg auf ein anderes, von MOA-ID-Auth unterstütztes, Authentifizierungsprotokoll. Aus diesem Grund steht die Konfiguration des SAML1 Protokolls nur mehr einer Benutzerin oder einem Benutzer mit der Role admin zur Verfügung.

    -
    3.2.9.2 PVP 2.1
    +
    3.2.10.2 PVP 2.1

    In diesem Bereich erfolgt die applikationsspezifische Konfiguration für das Authentifizierungsprotokoll PVP 2.1.

    @@ -1893,7 +1955,7 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der
    Pfad zum online-applikationsspezifischen Template für SAML2 (PVP2 S-Profil) http POST-Binding. Relative Pfadangaben werden dabei relativ zum Verzeichnis, in dem sich die MOA-ID-Auth Basiskonfigurationsdatei befindet, interpretiert. Das Template kann ausschließlich aus dem Dateisystem geladen werden.
    -
    3.2.9.3 OpenID Connect
    +
    3.2.10.3 OpenID Connect

    In diesem Bereich erfolgt die applikationsspezifische Konfiguration für OpenID Connect (OAuth 2.0).

    @@ -1925,7 +1987,7 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der
    OpenID Connect Redirect URL. Nach erfolgreicher Authentifizierung wird die Benutzerin oder der Benutzer an diese URL zurückgeleitet.
    -
    3.2.10 Zusätzliche allgemeine Einstellungen
    +
    3.2.11 Zusätzliche allgemeine Einstellungen

    In Abschnitt ermöglicht eine erweiterte online-applikationsspezifische Individualisierung des AuthBlocks und der Bürgerkartenauswahl. Die Individualisierung des AuthBlocks steht jedoch dann zur Verfügung wenn die dem Module MOA-ID-Auth beigelegte Security-Layer Transformation verwendet wird oder wenn die individuelle Security-Layer Transformation den Formvorschriften der Spezifikation entspricht.

    @@ -1983,7 +2045,7 @@ wenn die individuelle Security-Layer Transformation den Formvorschriften der Sp
     
     
    -
    3.2.10.1 Login-Fenster Konfiguration
    +
    3.2.11.1 Login-Fenster Konfiguration

    Diese Konfigurationsparameter bieten zusätzliche Einstellungen für eine Anpassung der Bürgerkartenauswahl welche von MOA-ID-Auth generiert wird. Zur besseren Handhabung werden die angegebenen Parameter direkt in einer Vorschau dargestellt. Alle in diesem Abschnitt angegebenen Parameter sind Optional und werden bei Bedarf durch Standardwerte ergänzt. @@ -2072,7 +2134,7 @@ Alle in diesem Abschnitt angegebenen Parameter sind Optional und werden bei Beda

     

    Hinweis: Bei Verwendung einer online-applikationsspezifischen Bürgerkartenauswahl stehen alle Parameter die die Bürgerkartenauswahl betreffen nicht zur Verfügung.

    Hinweis: Bei Verwendung eines online-applikationsspezifischen Security-Layer-Request Templates stehen alle Parameter die das SL-Template betreffen nicht zur Verfügung.

    -
    3.2.11 Revisionslogging
    +
    3.2.12 Revisionslogging

    Ab MOA-ID 3.x steht ein erweitertes speziell für Revisionsaufgaben abgestimmtest Logging zur Verfügung. Über dieses Feld können die zu loggenden Events spezifisch nach Online Applikationen als CSV codierte Eventcodes konfiguriert werden. Hierfür muss die online-applikationsspezifische Konfiguration des Loggings mittels Checkbox aktiviert und zumindesdt ein Eventcode definiert werden. Werden keine Eventcodes konfiguriert oder wird das OA spezifische Verhalten nicht aktiviertwird eine in MOA-ID hinterlegte Defaultkonfiguration verwendet. Eine Liste aller möglichen Eventcodes finden Sie hier.

    3.3 Import / Export

    Üer diese Funktionalität besteht die Möglichkeit eine bestehende MOA-ID 2.x.x diff --git a/id/server/doc/handbook/protocol/protocol.html b/id/server/doc/handbook/protocol/protocol.html index 5e38dddf5..2b3dbff98 100644 --- a/id/server/doc/handbook/protocol/protocol.html +++ b/id/server/doc/handbook/protocol/protocol.html @@ -218,7 +218,7 @@ Redirect Binding urn:oid:1.2.40.0.10.2.1.1.261.32 EID-ISSUING-NATION eID -   + <saml:Attribute AttributeName="EID-ISSUING-NATION" AttributeNamespace="http://reference.e-government.gv.at/namespace/persondata/20020228#"> Landescode gem. ISO-3166 ALPHA-2 @@ -244,6 +244,13 @@ Redirect Binding <saml:Attribute AttributeName="SignerCertificate" AttributeNamespace="http://reference.e-government.gv.at/namespace/moa/20020822#"> Base64 kodiertes Zertifikat, dass für die Anmeldung verwendet wurde. + + urn:oid:1.2.40.0.10.2.1.1.261.22 + ENC-BPK-LIST + eID + <saml:Attribute AttributeName="ENC-BPK-LIST" AttributeNamespace="http://reference.e-government.gv.at/namespace/persondata/20020228#"> + Liste von verschlüsselten bPKs für andere Bereiche als der Lebensbereich der Online Applikation + urn:oid:1.2.40.0.10.2.1.1.261.36 EID-SOURCE-PIN @@ -270,6 +277,13 @@ Redirect Binding

    Gesamte Personenbindung in BASE64 kodiert.

    Hinweis: Im Falle einer privatwirtschaftlichen Applikation ist die Stammzahl durch die wbPK ersetzt.

    + + urn:oid:1.2.40.0.10.2.1.1.261.28 + BPK-LIST + eID_gov + <saml:Attribute AttributeName="BPK-LIST" AttributeNamespace="http://reference.e-government.gv.at/namespace/persondata/20020228#"> + Liste von bPKs für andere Bereiche als der Lebensbereich der Online Applikation + urn:oid:1.2.40.0.10.2.1.1.261.106 MANDATE-TYPE-OID @@ -319,6 +333,20 @@ Redirect Binding <saml:Attribute AttributeName="MandateData" AttributeNamespace="http://reference.e-government.gv.at/namespace/persondata/20020228#"> Bereichsspezifisches Personenkennzeichen des Vollmachtgebers + + urn:oid:1.2.40.0.10.2.1.1.261.72 + MANDATOR-NATURAL-PERSON-ENC-BPK-LIST + mandate + <saml:Attribute AttributeName="MANDATOR-NATURAL-PERSON-ENC-BPK-LIST" AttributeNamespace="http://reference.e-government.gv.at/namespace/persondata/20020228#"> + Liste von verschlüsselten bPKs des Mandators für andere Bereiche als der Lebensbereich der Online Applikation + + + urn:oid:1.2.40.0.10.2.1.1.261.73 + MANDATOR-NATURAL-PERSON-BPK-LIST + mandate + <saml:Attribute AttributeName="MANDATOR-NATURAL-PERSON-BPK-LIST" AttributeNamespace="http://reference.e-government.gv.at/namespace/persondata/20020228#"> + Liste von bPKs des Mandators für andere Bereiche als der Lebensbereich der Online Applikation + urn:oid:1.2.40.0.10.2.1.1.261.78 MANDATOR-NATURAL-PERSON-GIVEN-NAME -- cgit v1.2.3