|
|
Das Modul Identifikation stellt Online-Applikationen Funktionalität zur Verfügung zu stellen, damit diese
eine Benutzer-Identifikation und -Authentisierung mit Hilfe der Bürgerkarte und deren Signaturfunktion
realisieren können.
Das Modul besteht aus zwei Komponenten:
- Die Authentisierungskomponente (MOA-ID-AUTH) führt die eigentliche Authentisierung des Benutzers durch und übergibt der
Proxykomponente die Anmeldedaten.
- Die Proxykomponente (MOA-ID-PROXY) übernimmt die Anmeldedaten von der Authentisierungskomponente,
führt die Anmeldung an der Online Applikation durch und schleust in der Folge Daten an die Online-Applikation
und Daten an den Benutzer durch.
Diese beiden Komponenten können auf unterschiedlichen Rechnern
oder auf dem gleichen Rechner eingesetzt werden.
Die Funktionalität und der Aufbau der Schnittstelle zu MOA-ID ist in der
Spezifikation bzw. im Anhang zur Spezifikation detailliert beschrieben.
Für den Betrieb von MOA-ID ist der Einsatz von MOA-Signaturprüfung (MOA-SP) erforderlich.
Ablauf einer Anmeldung
| 1 |
Der Benutzer verbindet sich zu einem Web-Portal, über das die verfügbaren Online-Applikationen (OA) erreichbar
sind. Jeder Link zu einer OA verweist auf die Authentisierungs-komponente.
|
| 2 |
Der Benutzer verbindet sich mit MOA-ID-AUTH, die die Authentisierung des
Benutzers durchführt: |
| 2.1 |
MOA-ID-AUTH bietet dem Benutzer optional eine Auswahl von verfügbaren Bürgerkartenumgebungen (engl. Bezeichnung: Security-Layer) an. |
| 2.2 |
MOA-ID-AUTH erzeugt eine HTML-Seite mit einem <InfoboxReadRequest>
zum Auslesen der Personenbindung. Diese HTML-Seite wird an den Browser geschickt. |
| 2.3 |
Der Browser schickt den <InfoboxReadRequest> an den ausgewählten Security-Layer. Der Security-Layer liest die
Personenbindung von der Bürgerkarte und sendet diese an MOA-ID-AUTH, die die Signatur der Personenbindung durch
einen Aufruf von MOA-SP überprüft.
|
| 2.4 |
MOA-ID-AUTH erstellt den AUTH-Block. Der AUTH-Block enthält
- Vor- und Nachname aus der Personenbindung,
- URL von MOA-ID-AUTH,
- URL und Geschäftsbereich der Online-Applikation,
- die aktuelle Zeit.
Anschließend wird
eine XML Antwortseite, die das Kommando zum Signieren (<CreateXMLSignatureRequest>) des generierten
AUTH-Blocks enthält, an den ausgewählten Security-Layer gesendet. |
| 2.5 |
Der Request wird vom Security-Layer verarbeitet. Die signierten Daten werden an
MOA-ID-AUTH zurückgesendet. |
| 2.6 |
MOA-ID-AUTH überprüft den signierten AUTH-Block und legt für den Benutzer die Anmeldedaten
an. Die Anmeldedaten enthalten
- die bereichsspezifische Personenkennzeichen (bPK),
- den signierten AUTH-Block (optional),
- die Personenbindung (optional),
- die PersonData-Struktur aus der Personenbindung (optional),
- die Information, ob die Signatur des AUTH-Blocks mit einem qualifiziertem Zertifikat erfolgte,
- Informationen zur Behörde, falls die Signatur mit einem Behördenzertifikat erzeugt wurde.
|
| 2.7 |
Ist der obige Authentisierungsvorgang erfolgreich, dann wird eine Redirect-Seite
zum Browser gesendet. |
| 3 |
Der Browser führt das Redirect zur Proxykomponente durch. Als Parameter wird das von MOA-ID-AUTH
erzeugte SAML-Artifact übergeben. |
| 4 |
Die Proxykomponente verwendet dieses eindeutige SAML-Artifact, um die Anmeldedaten
von MOA-ID-AUTH zu erhal-ten. Danach werden die Anmeldedaten in MOA-ID-AUTH gelöscht. |
| 5 |
MOA-ID-PROXY liest die Konfigurationsdatei der zugehörigen Online-Applikation, die beschreibt, wie die Anmeldedaten
an die nachfolgende Applikation übergeben werden müssen, und meldet den Benutzer bei der Applikation an. |
| 6 |
Ist die betreffende OA als stateless konfiguriert, so werden in weiterer Folge die Antworten der OA
an den Benutzer weitergeleitet und die Anfragen des Benutzers an die OA weitergeleitet. |
Ergänzung für ausländische Bürger
Ab der MOA Release 1.4.7 ist es möglich, dass sich auch ausländische Bürger mittels MOA-ID einloggen können. Hierzu wird eine Verbindung zu einem sogenannten Stammzahlenregister-Gateway aufgebaut, dass basierend auf den Zertifikatsdaten des ausländischen Bürgers eine Eintragung im Ergänzungsregister für natürliche Personen gemäß E-Government Gesetz §6(5) vornimmt. Somit ist es möglich, dass eine Personenbindung ausgestellt werden kann, die in weitere Folge an MOA-ID weitergeleitet wird.
Der Zugang zu diesem Stammzahlenregister-Gateways ist über eine Client-Server Authentifizierung abgesichert. Als Client-Zertifikate werden Zertifikate der Firmen A-Trust bzw. A-CERT, die mit der Verwaltungs- oder Dienstleistereigenschaft versehen sind, akzeptiert.
Online-Vollmachten
Ab der MOA Release 1.5.0 werden Online-Vollmachten (für Anwendungen aus dem öffentlichen Bereich) unterstützt. Hierzu werden diese Vollmachten über eine Online-Vollmachten-Service ausgewählt. Der Zugang zu diesem Online-Vollmachten Service ist über eine Client-Server Authentifizierung abgesichert. Als Client-Zertifikate werden Zertifikate der Firmen A-Trust bzw. A-CERT, die mit der Verwaltungs- oder Dienstleistereigenschaft versehen sind, akzeptiert.
|
Allgemein
ID Administration
Zurück