<html> <head> <title>MOA Module fuer Online Applikationen - Identifikation</title> <meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type" /> <link rel="stylesheet" href="./common/MOA.css" type="text/css"> </head> <body link="#990000"> <table class="logoTable" width="100%" border="0" cellspacing="0" cellpadding="10"> <tr> <td align="center" class="logoTitle" width="267"><img src="common/LogoBKA.png" alt="Logo BKA" width="267" height="37" align="left"></td> <td align="center" class="logoTitle">Dokumentation</td> <td align="center" class="logoTitle" width="123"><img src="common/LogoEGIZ.png" alt="Logo EGIZ" width="230" height="81" align="right"></td> </tr> </table> <hr/> <p class="title"><a href="./moa.htm">MOA: Identifikation (ID)</a></p> <p class="subtitle">Allgemeine Informationen </p> <hr/> <h1>Inhalt</h1> <ol> <li> <p><a href="#uebersicht">Übersicht</a></p> </li> <li> <p><a href="#anmeldung">Ablauf einer Anmeldung</a></p> </li> <li> <p><a href="#foreign">Ergänzung für ausländische Bürger</a></p> </li> <li> <p><a href="#mandate">Online-Vollmachten</a></p> </li> </ol> <hr/> <h1><a name="uebersicht" id="uebersicht"></a>1 Übersicht</h1> Das Modul Identifikation stellt Online-Applikationen Funktionalität zur Verfügung zu stellen, damit diese eine Benutzer-Identifikation und -Authentisierung mit Hilfe der Bürgerkarte und deren Signaturfunktion realisieren können. <br /><br /> Das Modul besteht aus zwei Komponenten: <ul> <li>Die Authentisierungskomponente (MOA-ID-AUTH) führt die eigentliche Authentisierung des Benutzers durch und übergibt der Proxykomponente die Anmeldedaten.</li> <li>Die Proxykomponente (MOA-ID-PROXY) übernimmt die Anmeldedaten von der Authentisierungskomponente, führt die Anmeldung an der Online Applikation durch und schleust in der Folge Daten an die Online-Applikation und Daten an den Benutzer durch.</li> </ul> Diese beiden Komponenten können auf unterschiedlichen Rechnern oder auf dem gleichen Rechner eingesetzt werden. <br /><br /> Die Funktionalität und der Aufbau der Schnittstelle zu MOA-ID ist in der <a href="../MOA_ID_1.4_20070802.pdf" target="_new">Spezifikation</a> bzw. im <a href="../MOA_ID_1.5_Anhang.pdf" target="_new">Anhang zur Spezifikation</a> detailliert beschrieben. <br /> <br /> Für den Betrieb von MOA-ID ist der Einsatz von MOA-Signaturprüfung (MOA-SP) erforderlich. </div> <br /><br /> <h1><a name="anmeldung" id="anmeldung"></a>2 Ablauf einer Anmeldung</h1> <img src="moa-id-ablauf.jpg"/> <table width="550" border="0" cellspacing="3" cellpadding="2"> <tr> <td valign="top" width="30">1</td> <td id="block">Der Benutzer verbindet sich zu einem Web-Portal, über das die verfügbaren Online-Applikationen (OA) erreichbar sind. Jeder Link zu einer OA verweist auf die Authentisierungs-komponente. </td> </tr> <tr> <td valign="top">2</td> <td id="block">Der Benutzer verbindet sich mit MOA-ID-AUTH, die die Authentisierung des Benutzers durchführt:</td> </tr> <tr> <td valign="top">2.1</td> <td id="block">MOA-ID-AUTH bietet dem Benutzer optional eine Auswahl von verfügbaren Bürgerkartenumgebungen (engl. Bezeichnung: Security-Layer) an.</td> </tr> <tr> <td valign="top">2.2</td> <td id="block">MOA-ID-AUTH erzeugt eine HTML-Seite mit einem <tt><InfoboxReadRequest></tt> zum Auslesen der Personenbindung. Diese HTML-Seite wird an den Browser geschickt.</td> </tr> <tr> <td valign="top">2.3</td> <td id="block">Der Browser schickt den <tt><InfoboxReadRequest></tt> an den ausgewählten Security-Layer. Der Security-Layer liest die Personenbindung von der Bürgerkarte und sendet diese an MOA-ID-AUTH, die die Signatur der Personenbindung durch einen Aufruf von MOA-SP überprüft. </td> </tr> <tr> <td valign="top">2.4</td> <td id="block">MOA-ID-AUTH erstellt den AUTH-Block. Der AUTH-Block enthält <ul> <li>Vor- und Nachname aus der Personenbindung,</li> <li>URL von MOA-ID-AUTH,</li> <li>URL und Geschäftsbereich der Online-Applikation,</li> <li>die aktuelle Zeit.</li> </ul> Anschließend wird eine XML Antwortseite, die das Kommando zum Signieren (<tt><CreateXMLSignatureRequest></tt>) des generierten AUTH-Blocks enthält, an den ausgewählten Security-Layer gesendet.</td> </tr> <tr> <td valign="top">2.5</td> <td id="block">Der Request wird vom Security-Layer verarbeitet. Die signierten Daten werden an MOA-ID-AUTH zurückgesendet.</td> </tr> <tr> <td valign="top">2.6</td> <td id="block">MOA-ID-AUTH überprüft den signierten AUTH-Block und legt für den Benutzer die Anmeldedaten an. Die Anmeldedaten enthalten <ul> <li>die bereichsspezifische Personenkennzeichen (bPK),</li> <li>den signierten AUTH-Block (optional),</li> <li>die Personenbindung (optional),</li> <li>die <tt>PersonData</tt>-Struktur aus der Personenbindung (optional),</li> <li>die Information, ob die Signatur des AUTH-Blocks mit einem qualifiziertem Zertifikat erfolgte,</li> <li>Informationen zur Behörde, falls die Signatur mit einem Behördenzertifikat erzeugt wurde.</li> </ul> </td> </tr> <tr> <td valign="top">2.7</td> <td id="block">Ist der obige Authentisierungsvorgang erfolgreich, dann wird eine Redirect-Seite zum Browser gesendet.</td> </tr> <tr> <td valign="top">3</td> <td id="block">Der Browser führt das Redirect zur Proxykomponente durch. Als Parameter wird das von MOA-ID-AUTH erzeugte SAML-Artifact übergeben.</td> </tr> <tr> <td valign="top">4</td> <td id="block">Die Proxykomponente verwendet dieses eindeutige SAML-Artifact, um die Anmeldedaten von MOA-ID-AUTH zu erhal-ten. Danach werden die Anmeldedaten in MOA-ID-AUTH gelöscht.</td> </tr> <tr> <td valign="top">5</td> <td id="block">MOA-ID-PROXY liest die Konfigurationsdatei der zugehörigen Online-Applikation, die beschreibt, wie die Anmeldedaten an die nachfolgende Applikation übergeben werden müssen, und meldet den Benutzer bei der Applikation an.</td> </tr> <tr> <td valign="top">6</td> <td id="block">Ist die betreffende OA als stateless konfiguriert, so werden in weiterer Folge die Antworten der OA an den Benutzer weitergeleitet und die Anfragen des Benutzers an die OA weitergeleitet.</td> </tr> </table> <h1><a name="foreign" id="foreign"></a>3 Ergänzung für ausländische Bürger</h1> <p>Ab der MOA Release 1.4.7 ist es möglich, dass sich auch ausländische Bürger mittels MOA-ID einloggen können. Hierzu wird eine Verbindung zu einem sogenannten Stammzahlenregister-Gateway aufgebaut, dass basierend auf den Zertifikatsdaten des ausländischen Bürgers eine Eintragung im Ergänzungsregister für natürliche Personen gemäß E-Government Gesetz §6(5) vornimmt. Somit ist es möglich, dass eine Personenbindung ausgestellt werden kann, die in weitere Folge an MOA-ID weitergeleitet wird. </p> <p>Der Zugang zu diesem Stammzahlenregister-Gateway ist über eine Client-Server Authentifizierung abgesichert. Als Client-Zertifikate werden Zertifikate der Firmen A-Trust bzw. A-CERT, die mit der Verwaltungs- oder Dienstleistereigenschaft versehen sind, akzeptiert. </p> <p>Ab MOA Release 1.5.2 ist es auch möglich, ausländische Bürger über <a href="http://eid-stork.eu/" target="_new">STORK</a> zu authentifizieren. Da auch für diese Art der Authentifizierung eine Kommunikation mit dem Stammzahlenregister-Gateway notwendig ist, gelten die zuvor angeführten Ausführungen auch für STORK.</p> <h1><a name="mandate" id="mandate"></a>4 Online-Vollmachten</h1> <p>Ab der MOA Release 1.5.0 werden Online-Vollmachten (für Anwendungen aus dem öffentlichen Bereich) unterstützt. Hierzu werden diese Vollmachten über eine Online-Vollmachten-Service ausgewählt. Der Zugang zu diesem Online-Vollmachten Service ist über eine Client-Server Authentifizierung abgesichert. Als Client-Zertifikate werden Zertifikate der Firmen A-Trust bzw. A-CERT, die mit der Verwaltungs- oder Dienstleistereigenschaft versehen sind, akzeptiert. </p> </div> </body> </html>