Das Modul Identifikation stellt Online-Applikationen Funktionalität zur Verfügung zu stellen, damit diese
eine Benutzer-Identifikation und -Authentisierung mit Hilfe der Bürgerkarte und deren Signaturfunktion
realisieren können.
Das Modul besteht aus zwei Komponenten:
- Die Authentisierungskomponente (MOA-ID-AUTH) führt die eigentliche Authentisierung des Benutzers durch und übergibt der
Proxykomponente die Anmeldedaten.
- Die Proxykomponente (MOA-ID-PROXY) übernimmt die Anmeldedaten von der Authentisierungskomponente,
führt die Anmeldung an der Online Applikation durch und schleust in der Folge Daten an die Online-Applikation
und Daten an den Benutzer durch.
Diese beiden Komponenten können auf unterschiedlichen Rechnern
oder auf dem gleichen Rechner eingesetzt werden.
Die Funktionalität und der Aufbau der Schnittstelle zu MOA-ID ist in der
Spezifikation Version 1.1 detailliert beschrieben.
Für den Betrieb von MOA-ID ist der Einsatz von MOA-Signaturprüfung (MOA-SP) erforderlich.
1 |
Der Benutzer verbindet sich zu einem Web-Portal, über das die verfügbaren Online-Applikationen (OA) erreichbar
sind. Jeder Link zu einer OA verweist auf die Authentisierungs-komponente.
|
2 |
Der Benutzer verbindet sich mit MOA-ID-AUTH, die die Authentisierung des
Benutzers durchführt: |
2.1 |
MOA-ID-AUTH bietet dem Benutzer optional eine Auswahl von verfügbaren Bürgerkartenumgebungen (engl. Bezeichnung: Security-Layer) an. |
2.2 |
MOA-ID-AUTH erzeugt eine HTML-Seite mit einem <InfoboxReadRequest>
zum Auslesen der Personenbindung. Diese HTML-Seite wird an den Browser geschickt. |
2.3 |
Der Browser schickt den <InfoboxReadRequest> an den ausgewählten Security-Layer. Der Security-Layer liest die
Personenbindung von der Bürgerkarte und sendet diese an MOA-ID-AUTH, die die Signatur der Personenbindung durch
einen Aufruf von MOA-SP überprüft.
|
2.4 |
MOA-ID-AUTH erstellt den AUTH-Block. Der AUTH-Block enthält
- Vor- und Nachname aus der Personenbindung,
- URL von MOA-ID-AUTH,
- URL und Geschäftsbereich der Online-Applikation,
- die aktuelle Zeit.
Anschließend wird
eine XML Antwortseite, die das Kommando zum Signieren (<CreateXMLSignatureRequest>) des generierten
AUTH-Blocks enthält, an den ausgewählten Security-Layer gesendet. |
2.5 |
Der Request wird vom Security-Layer verarbeitet. Die signierten Daten werden an
MOA-ID-AUTH zurückgesendet. |
2.6 |
MOA-ID-AUTH überprüft den signierten AUTH-Block und legt für den Benutzer die Anmeldedaten
an. Die Anmeldedaten enthalten
- die bereichsspezifische Personenkennzeichen (bPK),
- den signierten AUTH-Block (optional),
- die Personenbindung (optional),
- die PersonData-Struktur aus der Personenbindung (optional),
- die Information, ob die Signatur des AUTH-Blocks mit einem qualifiziertem Zertifikat erfolgte,
- Informationen zur Behörde, falls die Signatur mit einem Behördenzertifikat erzeugt wurde.
|
2.7 |
Ist der obige Authentisierungsvorgang erfolgreich, dann wird eine Redirect-Seite
zum Browser gesendet. |
3 |
Der Browser führt das Redirect zur Proxykomponente durch. Als Parameter wird das von MOA-ID-AUTH
erzeugte SAML-Artifact übergeben. |
4 |
Die Proxykomponente verwendet dieses eindeutige SAML-Artifact, um die Anmeldedaten
von MOA-ID-AUTH zu erhal-ten. Danach werden die Anmeldedaten in MOA-ID-AUTH gelöscht. |
5 |
MOA-ID-PROXY liest die Konfigurationsdatei der zugehörigen Online-Applikation, die beschreibt, wie die Anmeldedaten
an die nachfolgende Applikation übergeben werden müssen, und meldet den Benutzer bei der Applikation an. |
6 |
Ist die betreffende OA als stateless konfiguriert, so werden in weiterer Folge die Antworten der OA
an den Benutzer weitergeleitet und die Anfragen des Benutzers an die OA weitergeleitet. |