<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta http-equiv="content-type" content="text/html; charset=ISO-8859-1" >
  <title>MOA-ID - Zusatzinformationen</title>
  <link rel="stylesheet" href="../common/MOA.css" type="text/css">
</head>
<body link="#990000"> 
  <table class="logoTable" width="100%" border="0" cellspacing="0" cellpadding="10">
    <tr>
      <td align="center" class="logoTitle" width="267"><img src="../common/LogoBKA.png" alt="Logo BKA" width="267" height="37" align="left"></td>
      <td align="center" class="logoTitle">Dokumentation</td>
      <td align="center" class="logoTitle" width="123"><img src="../common/LogoEGIZ.png" alt="Logo EGIZ" width="230" height="81" align="right"></td>
    </tr>
  </table>
  <hr/> 
  <p class="title"><a href="../index.html">MOA-ID (Identifikation) </a></p> 
<p class="subtitle">Zusatzinformationen</p> 
<hr/>
  <h1>Inhalt</h1>
  <ol>
    <li><a href="#allgemeines">Datenmanagement</a>
      <ol>
        <li><a href="#sessiondata">Sessiondaten</a>
          <ol>
            <li><a href="#sessiondata_general">Allgemein</a></li>
            <li><a href="#sessiondata_sso">Single Sign-On</a></li>
          </ol>
        </li>
        <li><a href="#statisticdata">Logging von Statistikdaten</a></li>
      </ol>
    </li>
    <li><a href="#networkconnections">Ben&ouml;tigte Netzwerkverbindungen (incoming / outgoing)</a></li>
  </ol>
<hr/>
  <h1><a name="allgemeines"></a>1 Datenmanagement</h1>
  <p>Dieser Abschnitt spezifiziert jene Datens&auml;tze die w&auml;hrend eines Anmeldevorgangs durch das Modul MOA-ID-Auth tempor&auml;r oder permanent gespeichert werden. Hierbei handelt es sich sowohl um tempor&auml;re Sessiondaten als auch um dauerhaft gespeicherte Statistikdaten.</p>
  <h2><a name="sessiondata" id="sessiondata"></a>1.1 Sessiondaten</h2>
  <p>Dieser Abschnitt behandelt jene Informationen die das Modul MOA-ID-Auth w&auml;hrend eines Authentifizierungsvorgangs oder w&auml;hrend einer aktiven Single Sign-On Session im Speicher h&auml;lt. Diese Datens&auml;tze werden nach Beendigung des Anmeldevorgangs, bei einfacher Anmeldung, oder nach Beendigung der Single Sign-On Session gel&ouml;scht. Die nachfolgenden Unterkapitel geben eine Aufstellung jener Daten die von MOA-ID im jeweiligen Falle gespeichert werden.</p>
  <h3><a name="sessiondata_general" id="sessiondata2"></a>1.1.1 Allgemein</h3>
  <p>Folgende Daten m&uuml;ssen mindestens von MOA-ID gecached werden um einen korrekten Anmeldevorgang zu erm&ouml;glichen.</p>
  <table border="1" cellspacing="0" cellpadding="0">
    <tr>
      <td width="160" valign="top"><p><strong>Element</strong></p></td>
      <td width="764" valign="top"><p><strong>Beschreibung</strong></p></td>
    </tr>
    <tr>
      <td width="160" valign="top"><p>Authentication Request</p></td>
      <td width="764" valign="top"><p>Dieser wird von der    Online-Applikation als Start des Anmeldevorgangs &uuml;bertragen.</p></td>
    </tr>
    <tr>
      <td width="160" valign="top"><p>Session ID</p></td>
      <td width="764" valign="top"><p>Wird von MOA-ID    generiert und dient zur Identifikation von Datens&auml;tzen.</p></td>
    </tr>
    <tr>
      <td width="160" valign="top"><p>Personenbindung</p></td>
      <td width="764" valign="top"><p>Die Personenbindung der Benutzerin oder des Benutzers.</p></td>
    </tr>
    <tr>
      <td width="160" valign="top"><p>AuthBlock</p></td>
      <td width="764" valign="top"><p>Der    Authentifizierungsblock, welcher im Rahmen des Anmeldevorgangs vom der    Benutzerin oder dem Benutzer signiert wird.</p></td>
    </tr>
    <tr>
      <td width="160" valign="top"><p>Signaturzertifikat</p></td>
      <td width="764" valign="top"><p>Das Signaturzertifikat, welches zur    Signierung des Authentifizierungsblocks verwendet wurde.</p></td>
    </tr>
    <tr>
      <td width="160" valign="top"><p>Vollmacht</p></td>
      <td width="764" valign="top"><p>Die Online-Vollmacht, welche bei einer Anmeldung in Vertretung ausgew&auml;hlt wurde.</p></td>
    </tr>
    <tr>
      <td width="160" valign="top"><p>STORK</p></td>
      <td width="764" valign="top"><p>Alle Attribute, welche bei einer Anmeldung mittels STORK &uuml;bertragen werden.</p></td>
    </tr>
    <tr>
      <td valign="top">AuthTimeStamp</td>
      <td valign="top">Zeitpunkt an dem sich die Benutzerin oder der Benutzer an MOA-ID-Auth authentifiziert hat.</td>
    </tr>
  </table>
<h3><a name="sessiondata_sso" id="sessiondata3"></a>1.1.2 Single Sign-On</h3>
<p>Im Falle einer Anmeldung mit Single Sign-In werden zus&auml;tzlich zu den oben genannten  Elementen noch weitere Datens&auml;tze gecached.</p>
<table border="1" cellspacing="0" cellpadding="0">
  <tr>
    <td width="159" valign="top"><p><strong>Element</strong></p></td>
    <td width="760" valign="top"><p><strong>Beschreibung</strong></p></td>
  </tr>
  <tr>
    <td width="159" valign="top"><p>SSO Session Token</p></td>
    <td width="760" valign="top"><p>Das SSO Session    Token dient zur Identifizierung einer aktuell bestehenden Single Sign-On Session.</p></td>
  </tr>
  <tr>
    <td valign="top">UpdateTimeStamp</td>
    <td valign="top">Zeitpunkt des letzten Zugriffs der Benutzerin oder des Benutzers mittels SSO.</td>
  </tr>
  <tr>
    <td width="159" valign="top"><p>Liste: ung&uuml;ltige SSO    Token</p></td>
    <td width="760" valign="top"><p>Eine Liste aller in dieser Single Sign-On   Session bereits vergebenen und verwendeten SSO Session Token. </p></td>
  </tr>
  <tr>
    <td width="159" valign="top"><p>Liste:&nbsp; Online-Applikationen</p></td>
    <td width="760" valign="top"><p>Eine Liste aller    Onlineapplikationen an denen im Rahmen dieser SSO Session eine Anmeldung    stattgefunden hat.</p></td>
  </tr>
</table>
<h2><a name="statisticdata" id="statisticdata"></a>1.2 Logging von Statistikdaten</h2>
<p align="left">Zus&auml;tzlich zu den Daten  aus den tempor&auml;ren Sessiondaten werden vom Modul MOA-ID-Auth auch Logging- und Statistikdaten  generiert, welche nicht automatisiert gel&ouml;scht werden. Diese Daten dienen der  Statuskontrolle und zur Protokollierung von Anmeldevorg&auml;ngen an MOA-ID-Auth. Von  MOA-ID-Auth werden folgende <a href="./../config/config.html#basisconfig_moa_id_auth_param_database_info">Statistikdaten</a> je Anmeldevorgang gespeichert, wobei je  nach Art der Anmeldung nicht alle Datenelemente gef&uuml;llt werden. Die nachstehende Tabelle beschreibt den maximalen Umfang der Loggingdaten,  wobei keine Informationen zur anmeldenden Person gespeichert werden.</p>
<table border="1" cellspacing="0" cellpadding="0">
  <tr>
    <td width="163" valign="top"><p><strong>Element</strong></p></td>
    <td width="757" valign="top"><p><strong>Beschreibung</strong></p></td>
  </tr>
  <tr>
    <td width="163" valign="top"><p>timestamp</p></td>
    <td width="757" valign="top"><p>Datum und Uhrzeit des Eintrags.</p></td>
  </tr>
  <tr>
    <td width="163" valign="top"><p>OAID</p></td>
    <td width="757" valign="top"><p>Eindeutige    Datenbank ID der Online-Applikation.</p></td>
  </tr>
  <tr>
    <td width="163" valign="top"><p>OAURLPrefix</p></td>
    <td width="757" valign="top"><p>Publik URL Prefix der    Online-Applikation</p></td>
  </tr>
  <tr>
    <td width="163" valign="top"><p>OAFriendlyName</p></td>
    <td width="757" valign="top"><p>Bezeichnung der    Online-Applikation</p></td>
  </tr>
  <tr>
    <td width="163" valign="top"><p>isBusinessService</p></td>
    <td width="757" valign="top"><p>&bdquo;True&ldquo; wenn die Online-Applikation    aus dem privatwirtschaftlichen Bereich stammt.</p></td>
  </tr>
  <tr>
    <td width="163" valign="top"><p>OATarget</p></td>
    <td width="757" valign="top"><p>Bereichskennzeichen    der Online-Applikation (Target oder privatwirtschaftlicher Bereich)</p></td>
  </tr>
  <tr>
    <td width="163" valign="top"><p>BKUType</p></td>
    <td width="757" valign="top"><p>Art der B&uuml;rgerkartenumgebung die    f&uuml;r den Anmeldevorgang verwendet wurde. (online, local, handy)</p></td>
  </tr>
  <tr>
    <td width="163" valign="top"><p>BKUURL</p></td>
    <td width="757" valign="top"><p>URL der    verwendeten B&uuml;rgerkartenumgebung</p></td>
  </tr>
  <tr>
    <td width="163" valign="top"><p>isSSOLogin</p></td>
    <td width="757" valign="top"><p>&bdquo;True&ldquo; wenn die die Anmeldung als    Teil einer SSO Anmeldung erfolgt ist.</p></td>
  </tr>
  <tr>
    <td width="163" valign="top"><p>isMandateLogin</p></td>
    <td width="757" valign="top"><p>&bdquo;True&ldquo; wenn die    Anmeldung in Vertretung erfolgt ist.</p></td>
  </tr>
  <tr>
    <td width="163" valign="top"><p>MandateType</p></td>
    <td width="757" valign="top"><p>Art der verwendeten Vollmacht    (Einzelprofile des Vollmachtenservice oder OID des Organwalters /    berufsm&auml;&szlig;igen Parteienvertreters)</p></td>
  </tr>
  <tr>
    <td width="163" valign="top"><p>MandatorType</p></td>
    <td width="757" valign="top"><p>&bdquo;jur&ldquo; / &bdquo;nat&ldquo; je    nach Art der vertretenen juristischen oder nat&uuml;rlichen Person</p></td>
  </tr>
  <tr>
    <td width="163" valign="top"><p>isPV</p></td>
    <td width="757" valign="top"><p>&bdquo;True&ldquo; wenn die Anmeldung in    Vertretung durch einen Organwalter oder berufsm&auml;&szlig;igen Parteienvertreter    erfolgt ist.</p></td>
  </tr>
  <tr>
    <td width="163" valign="top"><p>PVOID</p></td>
    <td width="757" valign="top"><p>OID des    Organwalter oder berufsm&auml;&szlig;igen Parteienvertreter</p></td>
  </tr>
  <tr>
    <td width="163" valign="top"><p>ProtocolType</p></td>
    <td width="757" valign="top"><p>Type des f&uuml;r die Anmeldung    verwendeten Authentifizierungsprotokolls. (PVP21, OpenID, SAML1)</p></td>
  </tr>
  <tr>
    <td width="163" valign="top"><p>ProtocolSubType</p></td>
    <td width="757" valign="top"><p>N&auml;here    Spezifizierung des Protokolltyps. (Im Falle von PVP 2.1: POST oder Redirect)</p></td>
  </tr>
  <tr>
    <td width="163" valign="top"><p>ExceptionType</p></td>
    <td width="757" valign="top"><p>Typ des Fehlers der w&auml;hrend des    Anmeldevorgangs aufgetreten ist. Aktuell werden folgende Typen unterschieden:</p>
      <ul>
        <li><strong>bku</strong>: Fehler w&auml;hrend der Kommunikation mit der B&uuml;rgerkartenumgebung.</li>
        <li> <strong>moa-sp</strong>: Fehler bei der Kommunikation mit MOA-SP oder der Signaturpr&uuml;fung.</li>
        <li> <strong>mandate</strong>: Fehler beim Zugriff auf das Online-Vollmachten Service.</li>
        <li> <strong>moa-id</strong>: Fehler w&auml;hrend des Authentifizierungsvorgangs.</li>
        <li><strong>unknow</strong>n: f&uuml;r    allgemeine Fehler die keinem der oben genannten Typen entsprechen.</li>
    </ul>    </td>
  </tr>
  <tr>
    <td width="163" valign="top"><p>ExceptionCode</p></td>
    <td width="757" valign="top"><p>Fehlercode des    aufgetretenen Fehlers falls vorhanden.</p></td>
  </tr>
  <tr>
    <td width="163" valign="top"><p>ExceptionMessage</p></td>
    <td width="757" valign="top"><p>Fehlermeldung in textueller Form    (max. 255 Zeichen lang)</p></td>
  </tr>
</table>
<p>&nbsp;</p>
<h1><a name="networkconnections" id="networkconnections"></a>2 Ben&ouml;tigte Netzwerkverbindungen (incoming / outgoing)</h1>
<p>F&uuml;r die Betrieb des Modules MOA-ID-Auth werden Netzwerkverbindungen zu externen Service ben&ouml;tigt. Die nachfolgende Tabelle gibt eine Aufstellung der ben&ouml;tigten Verbindungen und eine kurze Beschreibung &uuml;ber deren Funktion.</p>
<table border="1" cellpadding="0" cellspacing="0">
  <tr>
    <td width="105" height="34" valign="middle"><strong>Service</strong></td>
    <td width="275" valign="middle"><strong>URL</strong></td>
    <td width="63" valign="middle"><strong>Port</strong></td>
    <td width="87" valign="middle"><strong>Richtung</strong></td>
    <td width="702" valign="middle"><strong>Beschreibung</strong></td>
  </tr>
  <tr>
    <td valign="middle"><p>MOA-ID-Auth</p></td>
    <td align="center" valign="middle">*</td>
    <td align="center" valign="middle">80, 443</td>
    <td align="center" valign="middle">eingehend</td>
    <td valign="middle"><p>Front-Channel und Back-Channel Verbinding zum IDP</p></td>
  </tr>
  <tr>
    <td valign="middle"><p>MOA-ID-Auth</p></td>
    <td align="center" valign="middle">*</td>
    <td align="center" valign="middle">80, 443</td>
    <td align="center" valign="middle">ausgehend</td>
    <td valign="middle">Abholen von Template oder PVP 2.1 Metadaten</td>
  </tr>
  <tr>
    <td height="26" valign="middle">LDAP</td>
    <td align="center" valign="middle">*</td>
    <td align="center" valign="middle">389, 636</td>
    <td align="center" valign="middle">ausgehend</td>
    <td valign="middle">Zertifikatspr&uuml;fung</td>
  </tr>
  <tr>
    <td width="105" valign="middle"><p>OSCP / CRL</p></td>
    <td width="275" align="center" valign="middle">*</td>
    <td width="63" align="center" valign="middle">80, 443</td>
    <td width="87" align="center" valign="middle">ausgehend</td>
    <td width="702" valign="middle"><p>Zertifikatspr&uuml;fung</p></td>
  </tr>
  <tr>
    <td valign="middle">OVS</td>
    <td align="center" valign="middle"><p><strong>Prod:</strong> <a href="https://vollmachten.stammzahlenregister.gv.at/mis/">vollmachten.stammzahlenregister.gv.at</a><br>
        <strong>Test:</strong> <a href="https://vollmachten.egiz.gv.at/mis-test/">vollmachten.egiz.gv.at</a></p></td>
    <td align="center" valign="middle">443</td>
    <td align="center" valign="middle">ausgehend</td>
    <td valign="middle">Online-Vollmachten Service (MIS) via SOAP Service</td>
  </tr>
  <tr>
    <td height="46" valign="middle">SZR-Gateway</td>
    <td align="left" valign="middle"><strong>Prod: </strong><a href="https://gateway.stammzahlenregister.gv.at/">gateway.stammzahlenregister.gv.at</a><br>
    <strong>Test:</strong> <a href="http://szrgw.egiz.gv.at/">szrgw.egiz.gv.at</a></td>
    <td align="center" valign="middle">443</td>
    <td align="center" valign="middle">ausgehend</td>
    <td valign="middle">Stammzahlenregister Gateway via SOAP Service</td>
  </tr>
</table>
<p>&nbsp;</p>
<p align="left">&nbsp;</p>
<p>&nbsp;</p>
  <p>&nbsp;</p>
<p>&nbsp;</p>
</body>
</html>