<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> <html> <head> <meta http-equiv="content-type" content="text/html; charset=ISO-8859-1" > <title>MOA-ID - Zusatzinformationen</title> <link rel="stylesheet" href="../common/MOA.css" type="text/css"> </head> <body link="#990000"> <table class="logoTable" width="100%" border="0" cellspacing="0" cellpadding="10"> <tr> <td align="center" class="logoTitle" width="267"><img src="../common/LogoBKA.png" alt="Logo BKA" width="267" height="37" align="left"></td> <td align="center" class="logoTitle">Dokumentation</td> <td align="center" class="logoTitle" width="123"><img src="../common/LogoEGIZ.png" alt="Logo EGIZ" width="230" height="81" align="right"></td> </tr> </table> <hr/> <p class="title"><a href="../index.html">MOA-ID (Identifikation) </a></p> <p class="subtitle">Zusatzinformationen</p> <hr/> <h1>Inhalt</h1> <ol> <li><a href="#allgemeines">Datenmanagement</a> <ol> <li><a href="#sessiondata">Sessiondaten</a> <ol> <li><a href="#sessiondata_general">Allgemein</a></li> <li><a href="#sessiondata_sso">Single Sign-On</a></li> </ol> </li> <li><a href="#statisticdata">Logging von Statistikdaten</a></li> </ol> </li> <li><a href="#networkconnections">Benötigte Netzwerkverbindungen (incoming / outgoing)</a></li> </ol> <hr/> <h1><a name="allgemeines"></a>1 Datenmanagement</h1> <p>Dieser Abschnitt spezifiziert jene Datensätze die während eines Anmeldevorgangs durch das Modul MOA-ID-Auth temporär oder permanent gespeichert werden. Hierbei handelt es sich sowohl um temporäre Sessiondaten als auch um dauerhaft gespeicherte Statistikdaten.</p> <h2><a name="sessiondata" id="sessiondata"></a>1.1 Sessiondaten</h2> <p>Dieser Abschnitt behandelt jene Informationen die das Modul MOA-ID-Auth während eines Authentifizierungsvorgangs oder während einer aktiven Single Sign-On Session im Speicher hält. Diese Datensätze werden nach Beendigung des Anmeldevorgangs, bei einfacher Anmeldung, oder nach Beendigung der Single Sign-On Session gelöscht. Die nachfolgenden Unterkapitel geben eine Aufstellung jener Daten die von MOA-ID im jeweiligen Falle gespeichert werden.</p> <h3><a name="sessiondata_general" id="sessiondata2"></a>1.1.1 Allgemein</h3> <p>Folgende Daten müssen mindestens von MOA-ID gecached werden um einen korrekten Anmeldevorgang zu ermöglichen.</p> <table border="1" cellspacing="0" cellpadding="0"> <tr> <td width="160" valign="top"><p><strong>Element</strong></p></td> <td width="764" valign="top"><p><strong>Beschreibung</strong></p></td> </tr> <tr> <td width="160" valign="top"><p>Authentication Request</p></td> <td width="764" valign="top"><p>Dieser wird von der Online-Applikation als Start des Anmeldevorgangs übertragen.</p></td> </tr> <tr> <td width="160" valign="top"><p>Session ID</p></td> <td width="764" valign="top"><p>Wird von MOA-ID generiert und dient zur Identifikation von Datensätzen.</p></td> </tr> <tr> <td width="160" valign="top"><p>Personenbindung</p></td> <td width="764" valign="top"><p>Die Personenbindung der Benutzerin oder des Benutzers.</p></td> </tr> <tr> <td width="160" valign="top"><p>AuthBlock</p></td> <td width="764" valign="top"><p>Der Authentifizierungsblock, welcher im Rahmen des Anmeldevorgangs vom der Benutzerin oder dem Benutzer signiert wird.</p></td> </tr> <tr> <td width="160" valign="top"><p>Signaturzertifikat</p></td> <td width="764" valign="top"><p>Das Signaturzertifikat, welches zur Signierung des Authentifizierungsblocks verwendet wurde.</p></td> </tr> <tr> <td width="160" valign="top"><p>Vollmacht</p></td> <td width="764" valign="top"><p>Die Online-Vollmacht, welche bei einer Anmeldung in Vertretung ausgewählt wurde.</p></td> </tr> <tr> <td width="160" valign="top"><p>STORK</p></td> <td width="764" valign="top"><p>Alle Attribute, welche bei einer Anmeldung mittels STORK übertragen werden.</p></td> </tr> <tr> <td valign="top">AuthTimeStamp</td> <td valign="top">Zeitpunkt an dem sich die Benutzerin oder der Benutzer an MOA-ID-Auth authentifiziert hat.</td> </tr> </table> <h3><a name="sessiondata_sso" id="sessiondata3"></a>1.1.2 Single Sign-On</h3> <p>Im Falle einer Anmeldung mit Single Sign-In werden zusätzlich zu den oben genannten Elementen noch weitere Datensätze gecached.</p> <table border="1" cellspacing="0" cellpadding="0"> <tr> <td width="159" valign="top"><p><strong>Element</strong></p></td> <td width="760" valign="top"><p><strong>Beschreibung</strong></p></td> </tr> <tr> <td width="159" valign="top"><p>SSO Session Token</p></td> <td width="760" valign="top"><p>Das SSO Session Token dient zur Identifizierung einer aktuell bestehenden Single Sign-On Session.</p></td> </tr> <tr> <td valign="top">UpdateTimeStamp</td> <td valign="top">Zeitpunkt des letzten Zugriffs der Benutzerin oder des Benutzers mittels SSO.</td> </tr> <tr> <td width="159" valign="top"><p>Liste: ungültige SSO Token</p></td> <td width="760" valign="top"><p>Eine Liste aller in dieser Single Sign-On Session bereits vergebenen und verwendeten SSO Session Token. </p></td> </tr> <tr> <td width="159" valign="top"><p>Liste: Online-Applikationen</p></td> <td width="760" valign="top"><p>Eine Liste aller Onlineapplikationen an denen im Rahmen dieser SSO Session eine Anmeldung stattgefunden hat.</p></td> </tr> </table> <h2><a name="statisticdata" id="statisticdata"></a>1.2 Logging von Statistikdaten</h2> <p align="left">Zusätzlich zu den Daten aus den temporären Sessiondaten werden vom Modul MOA-ID-Auth auch Logging- und Statistikdaten generiert, welche nicht automatisiert gelöscht werden. Diese Daten dienen der Statuskontrolle und zur Protokollierung von Anmeldevorgängen an MOA-ID-Auth. Von MOA-ID-Auth werden folgende <a href="./../config/config.html#basisconfig_moa_id_auth_param_database_info">Statistikdaten</a> je Anmeldevorgang gespeichert, wobei je nach Art der Anmeldung nicht alle Datenelemente gefüllt werden. Die nachstehende Tabelle beschreibt den maximalen Umfang der Loggingdaten, wobei keine Informationen zur anmeldenden Person gespeichert werden.</p> <table border="1" cellspacing="0" cellpadding="0"> <tr> <td width="163" valign="top"><p><strong>Element</strong></p></td> <td width="757" valign="top"><p><strong>Beschreibung</strong></p></td> </tr> <tr> <td width="163" valign="top"><p>timestamp</p></td> <td width="757" valign="top"><p>Datum und Uhrzeit des Eintrags.</p></td> </tr> <tr> <td width="163" valign="top"><p>OAID</p></td> <td width="757" valign="top"><p>Eindeutige Datenbank ID der Online-Applikation.</p></td> </tr> <tr> <td width="163" valign="top"><p>OAURLPrefix</p></td> <td width="757" valign="top"><p>Publik URL Prefix der Online-Applikation</p></td> </tr> <tr> <td width="163" valign="top"><p>OAFriendlyName</p></td> <td width="757" valign="top"><p>Bezeichnung der Online-Applikation</p></td> </tr> <tr> <td width="163" valign="top"><p>isBusinessService</p></td> <td width="757" valign="top"><p>„True“ wenn die Online-Applikation aus dem privatwirtschaftlichen Bereich stammt.</p></td> </tr> <tr> <td width="163" valign="top"><p>OATarget</p></td> <td width="757" valign="top"><p>Bereichskennzeichen der Online-Applikation (Target oder privatwirtschaftlicher Bereich)</p></td> </tr> <tr> <td width="163" valign="top"><p>BKUType</p></td> <td width="757" valign="top"><p>Art der Bürgerkartenumgebung die für den Anmeldevorgang verwendet wurde. (online, local, handy)</p></td> </tr> <tr> <td width="163" valign="top"><p>BKUURL</p></td> <td width="757" valign="top"><p>URL der verwendeten Bürgerkartenumgebung</p></td> </tr> <tr> <td width="163" valign="top"><p>isSSOLogin</p></td> <td width="757" valign="top"><p>„True“ wenn die die Anmeldung als Teil einer SSO Anmeldung erfolgt ist.</p></td> </tr> <tr> <td width="163" valign="top"><p>isMandateLogin</p></td> <td width="757" valign="top"><p>„True“ wenn die Anmeldung in Vertretung erfolgt ist.</p></td> </tr> <tr> <td width="163" valign="top"><p>MandateType</p></td> <td width="757" valign="top"><p>Art der verwendeten Vollmacht (Einzelprofile des Vollmachtenservice oder OID des Organwalters / berufsmäßigen Parteienvertreters)</p></td> </tr> <tr> <td width="163" valign="top"><p>MandatorType</p></td> <td width="757" valign="top"><p>„jur“ / „nat“ je nach Art der vertretenen juristischen oder natürlichen Person</p></td> </tr> <tr> <td width="163" valign="top"><p>isPV</p></td> <td width="757" valign="top"><p>„True“ wenn die Anmeldung in Vertretung durch einen Organwalter oder berufsmäßigen Parteienvertreter erfolgt ist.</p></td> </tr> <tr> <td width="163" valign="top"><p>PVOID</p></td> <td width="757" valign="top"><p>OID des Organwalter oder berufsmäßigen Parteienvertreter</p></td> </tr> <tr> <td width="163" valign="top"><p>ProtocolType</p></td> <td width="757" valign="top"><p>Type des für die Anmeldung verwendeten Authentifizierungsprotokolls. (PVP21, OpenID, SAML1)</p></td> </tr> <tr> <td width="163" valign="top"><p>ProtocolSubType</p></td> <td width="757" valign="top"><p>Nähere Spezifizierung des Protokolltyps. (Im Falle von PVP 2.1: POST oder Redirect)</p></td> </tr> <tr> <td width="163" valign="top"><p>ExceptionType</p></td> <td width="757" valign="top"><p>Typ des Fehlers der während des Anmeldevorgangs aufgetreten ist. Aktuell werden folgende Typen unterschieden:</p> <ul> <li><strong>bku</strong>: Fehler während der Kommunikation mit der Bürgerkartenumgebung.</li> <li> <strong>moa-sp</strong>: Fehler bei der Kommunikation mit MOA-SP oder der Signaturprüfung.</li> <li> <strong>mandate</strong>: Fehler beim Zugriff auf das Online-Vollmachten Service.</li> <li> <strong>moa-id</strong>: Fehler während des Authentifizierungsvorgangs.</li> <li><strong>unknow</strong>n: für allgemeine Fehler die keinem der oben genannten Typen entsprechen.</li> </ul> </td> </tr> <tr> <td width="163" valign="top"><p>ExceptionCode</p></td> <td width="757" valign="top"><p>Fehlercode des aufgetretenen Fehlers falls vorhanden.</p></td> </tr> <tr> <td width="163" valign="top"><p>ExceptionMessage</p></td> <td width="757" valign="top"><p>Fehlermeldung in textueller Form (max. 255 Zeichen lang)</p></td> </tr> </table> <p> </p> <h1><a name="networkconnections" id="networkconnections"></a>2 Benötigte Netzwerkverbindungen (incoming / outgoing)</h1> <p>Für die Betrieb des Modules MOA-ID-Auth werden Netzwerkverbindungen zu externen Service benötigt. Die nachfolgende Tabelle gibt eine Aufstellung der benötigten Verbindungen und eine kurze Beschreibung über deren Funktion.</p> <table border="1" cellpadding="0" cellspacing="0"> <tr> <td width="105" height="34" valign="middle"><strong>Service</strong></td> <td width="275" valign="middle"><strong>URL</strong></td> <td width="63" valign="middle"><strong>Port</strong></td> <td width="87" valign="middle"><strong>Richtung</strong></td> <td width="702" valign="middle"><strong>Beschreibung</strong></td> </tr> <tr> <td valign="middle"><p>MOA-ID-Auth</p></td> <td align="center" valign="middle">*</td> <td align="center" valign="middle">80, 443</td> <td align="center" valign="middle">eingehend</td> <td valign="middle"><p>Front-Channel und Back-Channel Verbinding zum IDP</p></td> </tr> <tr> <td valign="middle"><p>MOA-ID-Auth</p></td> <td align="center" valign="middle">*</td> <td align="center" valign="middle">80, 443</td> <td align="center" valign="middle">ausgehend</td> <td valign="middle">Abholen von Template oder PVP 2.1 Metadaten</td> </tr> <tr> <td height="26" valign="middle">LDAP</td> <td align="center" valign="middle">*</td> <td align="center" valign="middle">389, 636</td> <td align="center" valign="middle">ausgehend</td> <td valign="middle">Zertifikatsprüfung</td> </tr> <tr> <td width="105" valign="middle"><p>OSCP / CRL</p></td> <td width="275" align="center" valign="middle">*</td> <td width="63" align="center" valign="middle">80, 443</td> <td width="87" align="center" valign="middle">ausgehend</td> <td width="702" valign="middle"><p>Zertifikatsprüfung</p></td> </tr> <tr> <td valign="middle">OVS</td> <td align="center" valign="middle"><p><strong>Prod:</strong> <a href="https://vollmachten.stammzahlenregister.gv.at/mis/">vollmachten.stammzahlenregister.gv.at</a><br> <strong>Test:</strong> <a href="https://vollmachten.egiz.gv.at/mis-test/">vollmachten.egiz.gv.at</a></p></td> <td align="center" valign="middle">443</td> <td align="center" valign="middle">ausgehend</td> <td valign="middle">Online-Vollmachten Service (MIS) via SOAP Service</td> </tr> <tr> <td height="46" valign="middle">SZR-Gateway</td> <td align="left" valign="middle"><strong>Prod: </strong><a href="https://gateway.stammzahlenregister.gv.at/">gateway.stammzahlenregister.gv.at</a><br> <strong>Test:</strong> <a href="http://szrgw.egiz.gv.at/">szrgw.egiz.gv.at</a></td> <td align="center" valign="middle">443</td> <td align="center" valign="middle">ausgehend</td> <td valign="middle">Stammzahlenregister Gateway via SOAP Service</td> </tr> </table> <p> </p> <p align="left"> </p> <p> </p> <p> </p> <p> </p> </body> </html>