Module für Online-Applikationen
 
Projekt moa 

MOA-ID

Allgemein


Allgemein v.1.4

Dieses Dokument enthält die Dokumentation für das Modul

  • MOA-ID (Identifikation)

 

Das Modul Identifikation stellt Online-Applikationen Funktionalität zur Verfügung zu stellen, damit diese eine Benutzer-Identifikation und -Authentisierung mit Hilfe der Bürgerkarte und deren Signaturfunktion realisieren können.

Das Modul besteht aus zwei Komponenten:
  • Die Authentisierungskomponente (MOA-ID-AUTH) führt die eigentliche Authentisierung des Benutzers durch und übergibt der Proxykomponente die Anmeldedaten.
  • Die Proxykomponente (MOA-ID-PROXY) übernimmt die Anmeldedaten von der Authentisierungskomponente, führt die Anmeldung an der Online Applikation durch und schleust in der Folge Daten an die Online-Applikation und Daten an den Benutzer durch.
Diese beiden Komponenten können auf unterschiedlichen Rechnern oder auf dem gleichen Rechner eingesetzt werden.

Die Funktionalität und der Aufbau der Schnittstelle zu MOA-ID ist in der Spezifikation detailliert beschrieben.

Für den Betrieb von MOA-ID ist der Einsatz von MOA-Signaturprüfung (MOA-SP) erforderlich.


Ablauf einer Anmeldung

1 Der Benutzer verbindet sich zu einem Web-Portal, über das die verfügbaren Online-Applikationen (OA) erreichbar sind. Jeder Link zu einer OA verweist auf die Authentisierungs-komponente.
2 Der Benutzer verbindet sich mit MOA-ID-AUTH, die die Authentisierung des Benutzers durchführt:
2.1 MOA-ID-AUTH bietet dem Benutzer optional eine Auswahl von verfügbaren Bürgerkartenumgebungen (engl. Bezeichnung: Security-Layer) an.
2.2 MOA-ID-AUTH erzeugt eine HTML-Seite mit einem <InfoboxReadRequest> zum Auslesen der Personenbindung. Diese HTML-Seite wird an den Browser geschickt.
2.3 Der Browser schickt den <InfoboxReadRequest> an den ausgewählten Security-Layer. Der Security-Layer liest die Personenbindung von der Bürgerkarte und sendet diese an MOA-ID-AUTH, die die Signatur der Personenbindung durch einen Aufruf von MOA-SP überprüft.
2.4 MOA-ID-AUTH erstellt den AUTH-Block. Der AUTH-Block enthält
  • Vor- und Nachname aus der Personenbindung,
  • URL von MOA-ID-AUTH,
  • URL und Geschäftsbereich der Online-Applikation,
  • die aktuelle Zeit.
Anschließend wird eine XML Antwortseite, die das Kommando zum Signieren (<CreateXMLSignatureRequest>) des generierten AUTH-Blocks enthält, an den ausgewählten Security-Layer gesendet.
2.5 Der Request wird vom Security-Layer verarbeitet. Die signierten Daten werden an MOA-ID-AUTH zurückgesendet.
2.6 MOA-ID-AUTH überprüft den signierten AUTH-Block und legt für den Benutzer die Anmeldedaten an. Die Anmeldedaten enthalten
  • die bereichsspezifische Personenkennzeichen (bPK),
  • den signierten AUTH-Block (optional),
  • die Personenbindung (optional),
  • die PersonData-Struktur aus der Personenbindung (optional),
  • die Information, ob die Signatur des AUTH-Blocks mit einem qualifiziertem Zertifikat erfolgte,
  • Informationen zur Behörde, falls die Signatur mit einem Behördenzertifikat erzeugt wurde.
2.7 Ist der obige Authentisierungsvorgang erfolgreich, dann wird eine Redirect-Seite zum Browser gesendet.
3 Der Browser führt das Redirect zur Proxykomponente durch. Als Parameter wird das von MOA-ID-AUTH erzeugte SAML-Artifact übergeben.
4 Die Proxykomponente verwendet dieses eindeutige SAML-Artifact, um die Anmeldedaten von MOA-ID-AUTH zu erhal-ten. Danach werden die Anmeldedaten in MOA-ID-AUTH gelöscht.
5 MOA-ID-PROXY liest die Konfigurationsdatei der zugehörigen Online-Applikation, die beschreibt, wie die Anmeldedaten an die nachfolgende Applikation übergeben werden müssen, und meldet den Benutzer bei der Applikation an.
6 Ist die betreffende OA als stateless konfiguriert, so werden in weiterer Folge die Antworten der OA an den Benutzer weitergeleitet und die Anfragen des Benutzers an die OA weitergeleitet.




© 2004