<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<meta http-equiv="content-type" content="text/html; charset=ISO-8859-1" >
<meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1">
<title>MOA-ID - Einführung</title>
<link rel="stylesheet" href="../common/MOA.css" type="text/css">
<link href='https://fonts.googleapis.com/css?family=Roboto:300,400' rel='stylesheet' type='text/css'>
</head>
<body link="#990000">
<div id="headline">
<div class="container">
<a href="http://www.digitales.oesterreich.gv.at/"><img src="../common/logo_digAT.png"/></a>
<a href="../index.html">
<h1>MOA-ID</h1></a>
<br/>
</div>
</div>
<div class="container">
<h1 align="center">Einführung</h1>
<h3><a href="#allgemeines">Allgemeines</a></h3>
<h3><a href="#proxy">MOA-ID E-ID Proxy</a></h3>
<h3> <a href="#config">MOA-ID-Configuration</a></h3>
<p> </p>
<p> </p>
<h2><a name="allgemeines"></a>1 Allgemeines</h2>
<p>Der neue elektronische Identitätsnachweis E-ID wird die alte Bürgerkarte ersetzen und stellt ein System mit mehr Einsatzmöglichkeiten dar. Der neue E-ID basiert auf der nachfolgend dargestellten Architektur, die sich aus einer Vielzahl verschiedener Komponenten zusammensetzt. Das Zusammenspiel der Komponenten, sowie eine kurze Definition wird nachfolgend beschrieben.</p>
<p> </p>
<p> </p>
<p><span class="centeredimage"><img src="Gesamtarchitektur.png" alt="Architektur MOA-ID" width="800" align="middle"></span></p>
<p> </p>
<p>Die Gesamtarchitektur besteht aus vier Ebenen. Benutzer authentifizieren sich in der Applikationsebene gegenüber einem bestimmten Service Provider. Dieser Identifikations- und Authentifizierungsprozess erfolgt über den zentralen Identity Provider und dem Vertrauensdiensteanbieter (VDA) in der Authentifizierungsebene. Ebenso erfolgt hier im Vertretungsfall die Auswahl einer adäquaten Vollmacht über das Online-Vollmachten Service (OVS). Die Authentifizierungsebene wird auch als „E-ID Front-End“ bezeichnet. Die Personenbindung wird im E-ID Backend, in der Datenaggregierungsebene erstellt und über das E-ID Frontend an den Service Provider ausgeliefert. Werden über das Minimum Data Set (MDS) hinaus, d.h. bPK(s), Name und Geburtsdatum, weitere Attribute benötigt, so werden diese vom E-ID Backend von den jeweiligen Registern (Datenebene) bezogen und in die Personenbindung aufgenommen.</p>
<p> </p>
<p> </p>
<h2><a name="proxy" id="config2"></a>2 MOA-ID E-ID Proxy</h2>
<p>Der neue elektronische Identitätsnachweis E-ID bietet ein zentrales Identitätsmanagementsystem welches die aktuell dezentral betriebenen MOA-ID Instanzen ersetzt. Für die Anbindung von Service Providern (Applikationen) werden durch den Identity Provider (IDP) des E-ID System folgende, auch bereits von MOA-ID unterstütze, Authentifizierungsprotokolle angeboten:</p>
<ul>
<li>PVP2 S-Profil (SAML2)</li>
<li>OpenID Connect</li>
</ul>
<p>Eine direkte Anbindung von Service Providern mittels des SAML1 Authentifizierungsprotokolls, welches in MOA-ID bereits seit der Version 2.x als "Deprecated" markiert war, ist am IDP den zentrales Identitätsmanagementsystem nicht mehr möglich. Alle Service Provider welche aktuell mittels SAML1 an MOA-ID Ankoppeln können somit nicht mehr direkt an den neue elektronische Identitätsnachweis ankopplen.<br>
</p>
<p>Das Modul MOA-ID E-ID Proxy wird als MOA-ID Version 4.x veröffentlicht und implementiert einen Adapter zwischen dem IDP des zentrales Identitätsmanagementsystems und Service Providern (Anwendungen), welcher dazu dient SAML1 Applikationen an den neue elektronische Identitätsnachweis ankopplen. Der MOA-ID E-ID Proxy bietet Anwendugnen die selbe SAML1 Schnittstelle, wie sie bereits aus den vorangegangenen MOA-ID Versionen bekannt ist, und leitet alle Authentifizierungsanfragen direkt an das E-ID System weiter. Diese Ankopplung an das zentrales Identitätsmanagementsystem ist im nachfolgenden Blockdiagramm auch grafisch dargestellt.</p>
<p> </p>
<br/>
<p class="centeredimage"><img src="E-ID-Proxy.png" alt="Architektur MOA-ID" width="800" align="middle"></p>
<h3> </h3>
<p>Die Installation und der Betrieb ist identisch zur Version 3.x von MOA-ID, es steht jedoch ab der Version 4.x nur mehr die Funktion als E-ID Proxy zur Verfügung.</p>
<p>Die SAML1 Schnittstelle des MOA-ID E-ID Proxy ist zwar identisch, doch werden durch das zentrale E-ID System nicht mehr alle aus MOA-ID < v4.x bekannten Identitätsattribute bereitgestellt. Somit ändert sich der Inhalt der vom MOA-ID E-ID Proxy bereitgestellten SAML1 Assertion im Bezug auf die darin enthaltenten Attribute zur Person. Die nachfolgende Liste zeigt eine kurze Zusammenfassung der Änderungen. Als Attributbezeichner in der nachfolgenden Liste werden die Attributebezeichnungen aus dem PVP Attribute-Profil verwendet. Ein Mapping auf OpenID-Connect Scopes oder SAML1 Attribute finden Sie in Kapitel <a href="file:///F:/Projekte/svn/moa-id/moa-idspss/id/server/doc/handbook_v4/protocol/protocol.html#allgemeines_attribute">Protokolle</a>. </p>
<p>Folgende Attribute stehen nicht mehr zur Verfügung:</p>
<ul>
<li>EID-SOURCE-PIN (urn:oid:1.2.40.0.10.2.1.1.261.36)</li>
<li>EID-SOURCE-PIN-TYPE (1.2.40.0.10.2.1.1.261.104)</li>
<li>EID-IDENTITY-LINK (urn:oid:1.2.40.0.10.2.1.1.261.38)</li>
<li>EID-AUTH-BLOCK (urn:oid:1.2.40.0.10.2.1.1.261.62)</li>
<li>MANDATOR-NATURAL-PERSON-SOURCE-PIN (urn:oid:1.2.40.0.10.2.1.1.261.70)</li>
<li>MANDATOR-NATURAL-PERSON-SOURCE-PIN-TYPE (urn:oid:1.2.40.0.10.2.1.1.261.102)</li>
<li>MANDATE-FULL-MANDATE (urn:oid:1.2.40.0.10.2.1.1.261.92)</li>
</ul>
<p>Folgende neuen Attribute stehen zur Verfügung:</p>
<ul>
<li>ENC-BPK-LIST (urn:oid:1.2.40.0.10.2.1.1.261.22)</li>
<li>BPK-LIST (urn:oid:1.2.40.0.10.2.1.1.261.28) <em>(siehe kommendes PVP Attribut-Profil 2.2.0)</em></li>
<li>MANDATOR-NATURAL-PERSON-ENC-BPK-LIST (urn:oid:1.2.40.0.10.2.1.1.261.72)</li>
<li>MANDATOR-NATURAL-PERSON-BPK-LIST (urn:oid:1.2.40.0.10.2.1.1.261.73)<em> (siehe kommendes PVP Attribut-Profil 2.2.0)</em></li>
<li>EID-ONLINE-IDENTITY-LINK (urn:oid:1.2.40.0.10.2.1.1.261.39)<em> (siehe kommendes PVP Attribut-Profil 2.2.0)</em></li>
<li>EID-IDENTITY-STATUS-LEVEL (urn:oid:1.2.40.0.10.2.1.1.261.109)<em> (siehe kommendes PVP Attribut-Profil 2.2.0)</em></li>
</ul>
<p>Als weitere Anpassung wird die iFrame Integration der Handy-Signatur nicht mehr zur Verfügung stehen und es erfolgt eine vollformat Weiterleitung an das zentrale E-ID System.</p>
<p> </p>
<h2><a name="config" id="config"></a>3 MOA-ID-Configuration </h2>
<p>Das Modul MOA-ID-Configuration stellt eine web-basierte Benutzerschnittstelle zur Konfiguration des Moduls MOA-ID E-ID Proxy zur Verfügung, wobei sich die Konfiguration in zwei Teilbereiche unterteilt ist. Eine detaillierte Aufstellung der einzelnen Konfigurationspunkte befindet sich im Kapitel <a href="../config/config.html">Konfiguration</a>.</p>
<ol>
<li>Allgemeine Konfiguration<br>
In diesem Bereich sind alle Basiseinstellungen der MOA-ID E-ID Proxy Instanz hinterlegt. Beispiele hierfür sind Single Sign-On, unterstütze Authentifizierungsprotokolle, Informationen zu MOA-ID E-ID Proxy, URLs zu externen Services, ... Eine Änderung der Basiseinstellung erfordert besondere Benutzerrechte am Konfigurationstool.</li>
<li>Online-Applikationen<br>
In diesem Abschnitt erfolgt die Konfiguration der einzelnen bei MOA-ID E-ID Proxy registrierten Service-Provider. Hierbei handelt es sich um Authentifizierungsprotokoll-spezifische Einstellungen, Bereich des Service-Providers (öffentlich / Privatwirtschaftlich), Konfiguration der BKU Auswahl, .... Wobei sich die Konfigurationsmöglichkeiten je nachdem welche Benutzerrechten vergeben sind, unterscheiden können.</li>
</ol>
<p>Zusätzlich unterstützt das Module MOA-ID-Configuration auch eine einfache Benutzerverwaltung mit Rechtevergabe mit deren Hilfe die Verwaltung von Online-Applikationen an den jeweiligen Service-Provider ausgelagert werden kann. Die Anmeldung am Konfigurationstool erfolgt mittels Bürgerkarte, Handysignatur oder STORK, wobei optional auch eine Anmeldung mittels Benutzername und Passwort zur Verfügung steht.</p>
<p> </p>
</div>
</body>
</html>