MOA-ID-AUTH


Einführung

Inhalt

1 Allgemeines

Das Module MOA-ID-Auth kann von Anwendungen zur Identifizierung und Authentifizierung im Rahmen eines Anmeldeprozesses an einer Online-Applikation verwendet werden. Die Konfiguration des Modules MOA-ID-Auth erfolgt mit Hilfe des Zusatzmodules MOA-ID-Configuration welches eine web-basierte Konfigurationsschnittstelle zur Verfügung stellt.

Das nachfolgende Blockdiagramm zeigt Struktur von MOA-ID und gibt eine kurze Beschreibung der einzelnen Komponenten.


Architektur MOA-ID


MOA-ID besteht aus folgenden Kernkomponenten:

  1. CORE LOGIC: Diese Komponente ist die zentrale Logik zur Steuerung der einzelnen Prozesse innerhalb MOA-ID 2.x.
  2. Protocol Adapter: Stellt die in MOA-ID 2.x unterstützten Authentifizierungsprotokolle für die Anbindung von Service Providern zur Verfügung.
  3. Auth Sources: Stellt die von MOA-ID 2.x unterstützten Identifikationsmechanismen und Single Sign-On Management Funktionen zur Verfügung. Dies sind die österreichische Bürgerkarte oder Handy-Signatur, die Anmeldung ausländischer Personen mit Hilfe des STORK Protokoll oder mittels Single Sign-On von einem weiteren vertrauenswürdigen Identity Provider (Interfederation). Dieses Modul beinhaltet somit alle jene Funktionen welche für den Authentifizierungs- oder Abmeldeprocess erforderlich sind.
  4. Template Generator: Der Template Generator erzeugt für Service Provider die entsprechenden Login-Masken für die Integration in die eigene Web-Applikation.
  5. SSO Module: Das Single Sign-On (SSO) Modul verwaltet die zusätzlichen Operationen die sich aus der Umsetzung von SSO ergeben. Dies umfasst im Besonderen das SSO Session-Management.
  6. Statistic Module: Dieses Modul dient zur Generierung von anonymisierten Statistikdaten aus den Anmeldeinformationen.
  7. Monitoring & Testing Module: Dieses Modul implementiert Methoden mit deren Hilfe einzelne funktionale Bereiche aus MOA-ID-Auth getestet werden können. Somit dient dieses Modul als Schnittstellte zu einem externen Monitoring-Service.
  8. Configuration Modul: Dieses Modul stellt die Schnittstelle zur MOA-ID-Auth Konfiguration dar welche in einer Datenbank abgelegt wird.
  9. Konfigurationstool: Oberfläche, mit deren Hilfe MOA-ID konfiguriert werden kann. Dies umfasst sowohl allgemeine Konfigurationsteile als auch die Konfiguration der einzelnen bei MOA-ID-Auth registrierten Online-Applikationen. Service Provider können sich am Konfigurationstool mittels Bürgerkarte oder Handy-Signatur anmelden und ihre Online-Applikationen verwalten.

1.1 Externe Services

Für die Anmeldung in Vertretung und die Anmeldung ausländischer Personen werden zusätzliche externe Services verwendet.

1.1.1 Online-Vollmachten

Ab der MOA-ID Release 1.5.0 werden Online-Vollmachten (für Anwendungen aus dem öffentlichen Bereich) unterstützt. Hierzu werden diese Vollmachten über ein Online-Vollmachten-Service ausgewählt. Der Zugang zu diesem Online-Vollmachten Service ist über eine Client-Server Authentifizierung abgesichert. Als Client-Zertifikate werden Zertifikate der Firmen A-Trust bzw. A-CERT, die mit der Verwaltungs- oder Dienstleistereigenschaft versehen sind, akzeptiert.

1.1.2 Ausländische Bürger

Ab der MOA-ID Release 1.4.7 ist es möglich, dass sich auch ausländische Bürger mittels MOA-ID einloggen können. Hierzu wird eine Verbindung zu einem sogenannten Stammzahlenregister-Gateway aufgebaut, dass basierend auf den Zertifikatsdaten des ausländischen Bürgers eine Eintragung im Ergänzungsregister für natürliche Personen gemäß E-Government Gesetz §6(5) vornimmt. Somit ist es möglich, dass eine Personenbindung ausgestellt werden kann, die in weitere Folge an MOA-ID weitergeleitet wird. Der Zugang zu diesem Stammzahlenregister-Gateway ist über eine Client-Server Authentifizierung abgesichert. Als Client-Zertifikate werden Zertifikate der Firmen A-Trust bzw. A-CERT, die mit der Verwaltungs- oder Dienstleistereigenschaft versehen sind, akzeptiert.

2 MOA-ID-Auth

Das Modul MOA-ID-Auth dient der Identifizierung und Authentifizierung im Rahmen eines Anmeldevorgangs an einer Online-Applikation. Die Identifizierung und Authentifizierung erfolgt mit Bürgerkarte, Handy-Signatur oder für ausländische Personen mittels STORK.

Die Funktionalität und der Aufbau der Schnittstellen des Modules MOA-ID-Auth in Richtung Online-Applikation werden im Kapitel Protokolle beschrieben.

Für den Betrieb von MOA-ID-Auth ist der Einsatz von MOA-Signaturprüfung (MOA-SP) erforderlich.

2.1 Ablauf einer Anmeldung

Die nachfolgende Grafik beschreibt den Ablauf eines Abmeldevorgangs an einer Online-Applikation mit Hilfe von MOA-ID-Auth unter Verwendung der Bürgerkarte oder der Handy-Signatur.

Sequenzdiagramm eines Anmeldevorgangs mit MOA-ID-Auth

 

  1. Der Benutzer verbindet sich zu einem Web-Portal (Service Provider) über das die Online-Applikation erreichbar ist. Nach der Betätigung eines Login-Buttons wird der Anmeldevorgang ausgelöst.
  2. Der Benutzer wird zur Identifizierung und Authentifizierung an MOA-ID-Auth weitergeleitet.
  3. MOA-ID-Auth validiert die Authentifizierungsanfrage des Service Providers
  4. MOA-ID-Auth bietet dem Benutzer eine Auswahl von verfügbaren Authentifizierungsmethoden (Bürgerkarte, Handy-Signatur, STORK) an.
  5. Der Benutzer wählt die gewünschte Authentifizierungsmethode und sendet diese an MOA-ID-Auth.
  6. MOA-ID-Auth erzeugt eine HTML-Seite mit einem <InfoboxReadRequest> zum Auslesen der Personenbindung. Diese HTML-Seite wird an den Browser geschickt.
  7. Der Browser schickt den <InfoboxReadRequest> an die ausgewählte Bürgerkartenumgebung unter Verwendung des Security-Layer. Die Bürgerkartenumgebung liest die Personenbindung von der Bürgerkarte und sendet diese an MOA-ID-Auth. MOA-ID-Auth prüft die Signatur der Personenbindung durch einen Aufruf von MOA-SP.
  8. MOA-ID-Auth erstellt den AUTH-Block. Der AUTH-Block enthält Vor- und Nachname aus der Personenbindung, URL von MOA-ID-Auth, URL und Geschäftsbereich der Online-Applikation oder im Falle einer SSO Anmeldung die URL und den Geschäftsbereich der MOA-ID-Auth Instanz, die aktuelle Zeit, das aktuelle Datum und einen Zufallswert für diesen Anmeldevorgang. Anschließend wird eine XML Antwortseite, die das Kommando zum Signieren (<CreateXMLSignatureRequest>) des generierten AUTH-Blocks enthält, an die ausgewählte Bürgerkartenumgebung, unter Verwendung des Security-Layers, gesendet.
  9. Der Request wird von der Bürgerkartenumgebung verarbeitet. Die signierten Daten werden an MOA-ID-Auth zurückgesendet.
  10. MOA-ID-Auth überprüft den signierten AUTH-Block und generiert Information für weitere Anmeldungen mittels Single Sign-On.
  11. MOA-ID-Auth generiert die Anmeldedaten (Assertion) welche folgende Information enthalten:
    • die bereichsspezifischen Personenkennzeichen (bPK / wbPK)
    • Vorname, Nachname und Geburtsdatum (optional)
    • den signierten AUTH-Block (optional)
    • die Personenbindung (optional)
    • das Zertifikat mit dem die Signatur erzeugt wurde (optional)
    • Informationen zum Vertreten im Falle einer Anmeldung in Vertretung (optional)
    • die elektronische Vollmacht im Falle einer Anmeldung in Vertretung (optional)
    • Informationen aus dem STORK Protokoll im Falle einer Anmeldung mittels STORK (optional)
  12. MOA-ID-Auth sendet die Anmeldedaten an den Service-Provider und setzt im Browser des Benutzers ein SSO Session-Token welches für weitere Anmeldevorgänge verwendet werden kann.
  13. Die Anmeldedaten werden vom Service-Provider verarbeitet und der Benutzer wird vom Service-Provider an die Online-Applikation weitergeleitet.

3 MOA-ID-Configuration

Das Modul MOA-ID-Configuration stellt eine web-basierte Benutzerschnittstelle zur Konfiguration des Moduls MOA-ID-Auth zur Verfügung, wobei sich die Konfiguration in zwei Teilbereiche unterteilt ist. Eine detaillierte Aufstellung der einzelnen Konfigurationspunkte befindet sich im Kapitel Konfiguration.

  1. Allgemeine Konfiguration
    In diesem Bereich sind alle Basiseinstellungen der MOA-ID-Auth Instanz hinterlegt. Beispiele hierfür sind Single Sign-On, unterstütze Authentifizierungsprotokolle, Informationen zu MOA-ID-Auth, URLs zu externen Services, ... Eine Änderung der Basiseinstellung erfordert besondere Benutzerrechte am Konfigurationstool.
  2. Online-Applikationen
    In diesem Abschnitt erfolgt die Konfiguration der einzelnen bei MOA-ID-Auth registrierten Service-Provider. Hierbei handelt es sich um Authentifizierungsprotokoll-spezifische Einstellungen, Bereich des Service-Providers (öffentlich / Privatwirtschaftlich), Konfiguration der BKU Auswahl, .... Wobei sich die Konfigurationsmöglichkeiten je nachdem welche Benutzerrechten vergeben sind, unterscheiden können.

Zusätzlich unterstützt das Module MOA-ID-Configuration auch eine einfache Benutzerverwaltung mit Rechtevergabe mit deren Hilfe die Verwaltung von Online-Applikationen an den jeweiligen Service-Provider ausgelagert werden kann. Die Anmeldung am Konfigurationstool erfolgt mittels Bürgerkarte, Handysignatur oder STORK, wobei optional auch eine Anmeldung mittels Benutzername und Passwort zur Verfügung steht.