<html>
<head>
	<title>MOA Module fuer Online Applikationen - Identifikation</title>
	<meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type" />
	<link rel="stylesheet" href="./common/MOA.css" type="text/css">
</head>

<body link="#990000"> 

<table class="logoTable" width="100%" border="0" cellspacing="0" cellpadding="10">
    <tr>
      <td align="center" class="logoTitle" width="267"><img src="common/LogoBKA.png" alt="Logo BKA" width="267" height="37" align="left"></td>
      <td align="center" class="logoTitle">Dokumentation</td>
      <td align="center" class="logoTitle" width="123"><img src="common/LogoEGIZ.png" alt="Logo EGIZ" width="230" height="81" align="right"></td>
    </tr>
</table>
  <hr/> 
  <p class="title"><a href="./moa.htm">MOA: Identifikation (ID)</a></p> 
  <p class="subtitle">Allgemeine Informationen </p> 
  <hr/>
<h1>Inhalt</h1>
  <ol> 
    <li> 
      <p><a href="#uebersicht">&Uuml;bersicht</a></p>
    </li>
    <li> 
      <p><a href="#anmeldung">Ablauf einer Anmeldung</a></p>
    </li>
    <li> 
      <p><a href="#foreign">Erg&auml;nzung f&uuml;r ausl&auml;ndische B&uuml;rger</a></p>
    </li>
    <li>
    	<p><a href="#mandate">Online-Vollmachten</a></p>
     </li>
	</ol>
    <hr/>
    
    <h1><a name="uebersicht" id="uebersicht"></a>1 &Uuml;bersicht</h1>

Das Modul Identifikation stellt Online-Applikationen Funktionalit&auml;t zur Verf&uuml;gung zu stellen, damit diese
eine Benutzer-Identifikation und -Authentisierung mit Hilfe der B&uuml;rgerkarte und deren Signaturfunktion
realisieren k&ouml;nnen.
<br /><br />
Das Modul besteht aus zwei Komponenten:
<ul>
<li>Die Authentisierungskomponente (MOA-ID-AUTH) f&uuml;hrt die eigentliche Authentisierung des Benutzers durch und &uuml;bergibt der
Proxykomponente die Anmeldedaten.</li>
<li>Die Proxykomponente (MOA-ID-PROXY) &uuml;bernimmt die Anmeldedaten von der Authentisierungskomponente,
f&uuml;hrt die Anmeldung an der Online Applikation durch und schleust in der Folge Daten an die Online-Applikation
und Daten an den Benutzer durch.</li>
</ul>
Diese beiden Komponenten k&ouml;nnen auf unterschiedlichen Rechnern
oder auf dem gleichen Rechner eingesetzt werden.
<br /><br />
Die Funktionalit&auml;t und der Aufbau der Schnittstelle zu MOA-ID ist in der
<a href="../MOA_ID_1.4_20070802.pdf" target="_new">Spezifikation</a> bzw. im <a href="../MOA_ID_1.5_Anhang.pdf" target="_new">Anhang zur Spezifikation</a> detailliert beschrieben.
<br />
<br />
F&uuml;r den Betrieb von MOA-ID ist der Einsatz von MOA-Signaturpr&uuml;fung (MOA-SP) erforderlich.
</div>

<br /><br />
<h1><a name="anmeldung" id="anmeldung"></a>2 Ablauf einer Anmeldung</h1>

<img src="moa-id-ablauf.jpg"/>

<table width="550" border="0" cellspacing="3" cellpadding="2">

<tr>
<td valign="top" width="30">1</td>
<td id="block">Der Benutzer verbindet sich zu einem Web-Portal, &uuml;ber das die verf&uuml;gbaren Online-Applikationen (OA) erreichbar sind.  Jeder Link zu einer OA verweist auf die Authentisierungs-komponente.
</td>
</tr>

<tr>
<td valign="top">2</td>
<td id="block">Der Benutzer verbindet sich mit MOA-ID-AUTH, die die Authentisierung des
Benutzers durchf&uuml;hrt:</td>
</tr>

<tr>
<td valign="top">2.1</td>
<td id="block">MOA-ID-AUTH bietet dem Benutzer optional eine Auswahl von verf&uuml;gbaren B&uuml;rgerkartenumgebungen (engl. Bezeichnung: Security-Layer) an.</td>
</tr>

<tr>
<td valign="top">2.2</td>
<td id="block">MOA-ID-AUTH erzeugt eine HTML-Seite mit einem <tt>&lt;InfoboxReadRequest&gt;</tt>
 zum Auslesen der Personenbindung.  Diese HTML-Seite wird an den Browser geschickt.</td>
</tr>

<tr>
<td valign="top">2.3</td>
<td id="block">Der Browser schickt den <tt>&lt;InfoboxReadRequest&gt;</tt> an den ausgew&auml;hlten Security-Layer.  Der Security-Layer liest die
Personenbindung von der B&uuml;rgerkarte und sendet diese an MOA-ID-AUTH, die die Signatur der Personenbindung durch
einen Aufruf von MOA-SP &uuml;berpr&uuml;ft.
</td>
</tr>

<tr>
<td valign="top">2.4</td>
<td id="block">MOA-ID-AUTH erstellt den AUTH-Block. Der AUTH-Block enth&auml;lt
<ul>
<li>Vor- und Nachname aus der Personenbindung,</li>
<li>URL von MOA-ID-AUTH,</li>
<li>URL und Gesch&auml;ftsbereich der Online-Applikation,</li>
<li>die aktuelle Zeit.</li>
</ul>
Anschlie&szlig;end wird 
eine XML Antwortseite, die das Kommando zum Signieren (<tt>&lt;CreateXMLSignatureRequest&gt;</tt>) des generierten
AUTH-Blocks enth&auml;lt, an den ausgew&auml;hlten Security-Layer gesendet.</td>
</tr>

<tr>
<td valign="top">2.5</td>
<td id="block">Der Request wird vom Security-Layer verarbeitet. Die signierten Daten werden an 
MOA-ID-AUTH zur&uuml;ckgesendet.</td>
</tr>

<tr>
<td valign="top">2.6</td>
<td id="block">MOA-ID-AUTH &uuml;berpr&uuml;ft den signierten AUTH-Block und legt f&uuml;r den Benutzer die Anmeldedaten
an. Die Anmeldedaten enthalten
<ul>
<li>die bereichsspezifische Personenkennzeichen (bPK),</li>
<li>den signierten AUTH-Block (optional),</li>
<li>die Personenbindung (optional),</li>
<li>die <tt>PersonData</tt>-Struktur aus der Personenbindung (optional),</li>
<li>die Information, ob die Signatur des AUTH-Blocks mit einem qualifiziertem Zertifikat erfolgte,</li>
<li>Informationen zur Beh&ouml;rde, falls die Signatur mit einem Beh&ouml;rdenzertifikat erzeugt wurde.</li>
</ul>
</td>
</tr>

<tr>
<td valign="top">2.7</td>
<td id="block">Ist der obige Authentisierungsvorgang erfolgreich, dann wird eine Redirect-Seite 
zum Browser gesendet.</td>
</tr>

<tr>
<td valign="top">3</td>
<td id="block">Der Browser f&uuml;hrt das Redirect zur Proxykomponente durch.  Als Parameter wird das von MOA-ID-AUTH 
erzeugte SAML-Artifact &uuml;bergeben.</td>
</tr>

<tr>
<td valign="top">4</td>
<td id="block">Die Proxykomponente verwendet dieses eindeutige SAML-Artifact, um die Anmeldedaten
von MOA-ID-AUTH zu erhal-ten.  Danach werden die Anmeldedaten in MOA-ID-AUTH gel&ouml;scht.</td>
</tr>

<tr>
<td valign="top">5</td>
<td id="block">MOA-ID-PROXY liest die Konfigurationsdatei der zugeh&ouml;rigen Online-Applikation, die beschreibt, wie die Anmeldedaten
an die nachfolgende Applikation &uuml;bergeben werden m&uuml;ssen, und meldet den Benutzer bei der Applikation an.</td>
</tr>

<tr>
<td valign="top">6</td>
<td id="block">Ist die betreffende OA als stateless konfiguriert, so werden in weiterer Folge die Antworten der OA
an den Benutzer weitergeleitet und die Anfragen des Benutzers an die OA weitergeleitet.</td>
</tr>


</table>


<h1><a name="foreign" id="foreign"></a>3 Erg&auml;nzung f&uuml;r ausl&auml;ndische B&uuml;rger</h1>

  <p>Ab der MOA Release 1.4.7 ist es m&ouml;glich, dass sich auch ausl&auml;ndische B&uuml;rger mittels MOA-ID einloggen k&ouml;nnen. Hierzu wird eine Verbindung zu einem sogenannten Stammzahlenregister-Gateway aufgebaut, dass basierend auf den Zertifikatsdaten des ausl&auml;ndischen B&uuml;rgers eine Eintragung im Erg&auml;nzungsregister f&uuml;r nat&uuml;rliche Personen gem&auml;&szlig; E-Government Gesetz &sect;6(5) vornimmt. Somit ist es m&ouml;glich, dass eine Personenbindung ausgestellt werden kann, die in weitere Folge an MOA-ID weitergeleitet wird. </p>
  <p>Der Zugang zu diesem Stammzahlenregister-Gateway ist &uuml;ber eine Client-Server Authentifizierung abgesichert. Als Client-Zertifikate werden Zertifikate der Firmen A-Trust bzw. A-CERT, die mit der Verwaltungs- oder Dienstleistereigenschaft versehen sind, akzeptiert. </p>
  <p>Ab MOA Release 1.5.2 ist es auch m&ouml;glich, ausl&auml;ndische B&uuml;rger &uuml;ber <a href="http://eid-stork.eu/" target="_new">STORK</a> zu authentifizieren. Da auch f&uuml;r diese Art der Authentifizierung eine Kommunikation mit dem Stammzahlenregister-Gateway notwendig ist, gelten die zuvor angef&uuml;hrten Ausf&uuml;hrungen auch f&uuml;r STORK.</p>
  
  
  <h1><a name="mandate" id="mandate"></a>4 Online-Vollmachten</h1>

  <p>Ab der MOA Release 1.5.0 werden Online-Vollmachten (f&uuml;r Anwendungen aus dem &ouml;ffentlichen Bereich) unterst&uuml;tzt. Hierzu werden diese Vollmachten &uuml;ber eine Online-Vollmachten-Service ausgew&auml;hlt. Der Zugang zu diesem Online-Vollmachten Service ist &uuml;ber eine Client-Server Authentifizierung abgesichert. Als Client-Zertifikate werden Zertifikate der Firmen A-Trust bzw. A-CERT, die mit der Verwaltungs- oder Dienstleistereigenschaft versehen sind, akzeptiert. </p>
</div>

</body>
</html>