<html>
<head>
	<title>MOA Module fuer Online Applikationen</title>
	<meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type" />
	<meta content="heinz.rosenkranz@brz.gv.at" name="author"/>

<style type="text/css">
 	body { font-family:"Verdana", "Arial"; font-size:10pt; color:#505060; }
	td { font-family:"Verdana", "Arial"; font-size:10pt; color:#505060; }
	li { font-family:"Verdana", "Arial"; font-size:10pt; color:#505060; margin-top:3px }
	ul { font-family:"Verdana", "Arial"; font-size:10pt; color:#505060; margin-top:3px }
	tt { font-size:9pt; color:#505060; }
	#titel { font-family:"Verdana", "Arial"; font-size:18pt; color:#505060; }
	#subtitel { font-family:"Verdana", "Arial"; font-size:12pt; font-weight:bold; color:#505060; }
	#slogan { font-family:"Verdana", "Arial"; font-size:8pt; color:#808090; text-align:justify; width:160px }
	#block { font-family:"Verdana", "Arial"; font-size:10pt; color:#505060; text-align:justify }
	#klein { font-family:"Verdana", "Arial"; font-size:9pt; color:#505060; margin-top:3px }
	a:link {color:#000090}
	a:visited {color:#000090}
	a:hover {color:#c03030}
	a {text-decoration: none}
</style>

<script language="JavaScript">
<!-- 
function goWin(url) {
	Fenster=window.open(url,"smallWin","toolbar=0,location=0,directories=0,status=0,menubar=0,resizable=yes,scrollbars=yes,width=500,height=480,top=20,screenY=0,left=20,screenX=0");
	window.setTimeout("showWin()",300);
}
function showWin() { Fenster.focus(); }
// -->
</script>
</head>

<body bgcolor="#FFFFFF" >
<div style="width:650px">



<!-- Projekt-Logo -->
<div style="height:42px; font-size:16pt; color:#b0b8c0; background:#003050">
&#160;Module f&uuml;r Online-Applikationen
</div>
<div style="margin-left:8px; margin-top:3px; font-size:8pt; color:#707070; ">
<!-- Development Center der BRZ GmbH, A-Trust und IAIK Graz -->&#160;
</div>
<div style="margin-top:-65px; text-align:right; font-size:8pt; font-weight:bold; color:#d04040;" > 
Projekt <span style="font-size:48pt; ">moa</span>&#160;
</div>
<br />



<!-- First Section with Navigation -->
<table width="650" border="0" cellpadding="10" cellspacing="0">
<tr>
<td width="170"  valign="top">
<div style="font-weight:bold; margin-top:12px">MOA-ID</div><br />
<div id="klein"><img src="../moa_images/select.gif" border="0" width="13" height="14" /> 
	<b> Allgemein</b></div>
<div id="klein"><a href="id-admin.htm"><img src="../moa_images/idle.gif" border="0" width="13" height="14" />
	<b> ID Administration</b></a></div>
<div id="klein"><a href="id-anwendung.htm"><img src="../moa_images/idle.gif" border="0" width="13" height="14" />
	<b> ID Anwendung</b></a></div>
<div id="klein"><a href="../api-doc/index.html" target="_javadoc">
	<img src="../moa_images/idle.gif" border="0" width="13" height="14" />
	<b> API-Dokumentation</b></a></div>
<div id="klein"><a href="faqs.htm"><img src="../moa_images/idle.gif" border="0" width="13" height="14" />
	<b> FAQs</b></a></div>
<div id="klein"><a href="links.htm"><img src="../moa_images/idle.gif" border="0" width="13" height="14" />
	<b> Links</b></a></div>
<br />
<div> <a href="javascript:history.back()"> 
	<img src="../moa_images/west.gif" border="0" width="13" height="14" /> &#160; 
	<b>Zur&uuml;ck </b></a></div>
<br />
<div id="slogan">
</div>
</td>

<td valign="top">
<img src="../moa_images/moa_thema.gif" align="right" />
<div id="titel">Allgemein v.2.0.0</div>
<p id="block">
Dieses Dokument enth&auml;lt die Dokumentation f&uuml;r das Modul<br />
<ul>
  <li> MOA-ID-Proxy</li>
</ul>
</p>
 Die in diesem Dokument beschriebene Konfiguration f&uuml;r das Modul MOA-ID-Auth bezieht sich auf die MOA-ID-Auth Version 1.5.1. Ein Betrieb von MOA-ID-Proxy in Kombination mit MOA-ID-Auth 2.0.0 ist jedoch weiterhin m&ouml;glich.
 <h4><strong>Hinweis:</strong> Bei der Version 2.0.0 handelt es sich um das letzten Release dass von MOA-ID-Proxy ver&ouml;ffentlich wird.</h4></td></tr></table>

<div id="id" />
<table width="650" border="0" cellpadding="10" cellspacing="0">
<tr>
<td width="170" valign="top" id="klein">
<p id="subtitel">&#160;</p>
<div id="slogan">
</div>
</td>
<td valign="top">
<div id="block">
Das Modul Identifikation stellt Online-Applikationen Funktionalit&auml;t zur Verf&uuml;gung zu stellen, damit diese
eine Benutzer-Identifikation und -Authentisierung mit Hilfe der B&uuml;rgerkarte und deren Signaturfunktion
realisieren k&ouml;nnen.
<br /><br />
Das Modul besteht aus zwei Komponenten:
<ul>
<li>Die Authentisierungskomponente (MOA-ID-AUTH) f&uuml;hrt die eigentliche Authentisierung des Benutzers durch und &uuml;bergibt der
Proxykomponente die Anmeldedaten.</li>
<li>Die Proxykomponente (MOA-ID-PROXY) &uuml;bernimmt die Anmeldedaten von der Authentisierungskomponente,
f&uuml;hrt die Anmeldung an der Online Applikation durch und schleust in der Folge Daten an die Online-Applikation
und Daten an den Benutzer durch.</li>
</ul>
Diese beiden Komponenten k&ouml;nnen auf unterschiedlichen Rechnern
oder auf dem gleichen Rechner eingesetzt werden.
<br /><br />
Die Funktionalit&auml;t und der Aufbau der Schnittstelle zu MOA-ID ist in der
<a href="../MOA_ID_1.4_20070802.pdf" target="_new">Spezifikation</a> bzw. im <a href="../MOA_ID_1.5_Anhang.pdf" target="_new">Anhang zur Spezifikation</a> detailliert beschrieben.
<br />
<br />
F&uuml;r den Betrieb von MOA-ID ist der Einsatz von MOA-Signaturpr&uuml;fung (MOA-SP) erforderlich.
</div>

<br /><br />
<div id="titel">Ablauf einer Anmeldung</div>
<br />

<img src="moa-id-ablauf.jpg" border="0" hspace="-200" width="500" />

<table border="0" cellspacing="3" cellpadding="2">

<tr>
<td valign="top" width="30">1</td>
<td id="block">Der Benutzer verbindet sich zu einem Web-Portal, &uuml;ber das die verf&uuml;gbaren Online-Applikationen (OA) erreichbar sind.  Jeder Link zu einer OA verweist auf die Authentisierungs-komponente.
</td>
</tr>

<tr>
<td valign="top">2</td>
<td id="block">Der Benutzer verbindet sich mit MOA-ID-AUTH, die die Authentisierung des
Benutzers durchf&uuml;hrt:</td>
</tr>

<tr>
<td valign="top">2.1</td>
<td id="block">MOA-ID-AUTH bietet dem Benutzer optional eine Auswahl von verf&uuml;gbaren B&uuml;rgerkartenumgebungen (engl. Bezeichnung: Security-Layer) an.</td>
</tr>

<tr>
<td valign="top">2.2</td>
<td id="block">MOA-ID-AUTH erzeugt eine HTML-Seite mit einem <tt>&lt;InfoboxReadRequest&gt;</tt>
 zum Auslesen der Personenbindung.  Diese HTML-Seite wird an den Browser geschickt.</td>
</tr>

<tr>
<td valign="top">2.3</td>
<td id="block">Der Browser schickt den <tt>&lt;InfoboxReadRequest&gt;</tt> an den ausgew&auml;hlten Security-Layer.  Der Security-Layer liest die
Personenbindung von der B&uuml;rgerkarte und sendet diese an MOA-ID-AUTH, die die Signatur der Personenbindung durch
einen Aufruf von MOA-SP &uuml;berpr&uuml;ft.
</td>
</tr>

<tr>
<td valign="top">2.4</td>
<td id="block">MOA-ID-AUTH erstellt den AUTH-Block. Der AUTH-Block enth&auml;lt
<ul>
<li>Vor- und Nachname aus der Personenbindung,</li>
<li>URL von MOA-ID-AUTH,</li>
<li>URL und Gesch&auml;ftsbereich der Online-Applikation,</li>
<li>die aktuelle Zeit.</li>
</ul>
Anschlie&szlig;end wird 
eine XML Antwortseite, die das Kommando zum Signieren (<tt>&lt;CreateXMLSignatureRequest&gt;</tt>) des generierten
AUTH-Blocks enth&auml;lt, an den ausgew&auml;hlten Security-Layer gesendet.</td>
</tr>

<tr>
<td valign="top">2.5</td>
<td id="block">Der Request wird vom Security-Layer verarbeitet. Die signierten Daten werden an 
MOA-ID-AUTH zur&uuml;ckgesendet.</td>
</tr>

<tr>
<td valign="top">2.6</td>
<td id="block">MOA-ID-AUTH &uuml;berpr&uuml;ft den signierten AUTH-Block und legt f&uuml;r den Benutzer die Anmeldedaten
an. Die Anmeldedaten enthalten
<ul>
<li>die bereichsspezifische Personenkennzeichen (bPK),</li>
<li>den signierten AUTH-Block (optional),</li>
<li>die Personenbindung (optional),</li>
<li>die <tt>PersonData</tt>-Struktur aus der Personenbindung (optional),</li>
<li>die Information, ob die Signatur des AUTH-Blocks mit einem qualifiziertem Zertifikat erfolgte,</li>
<li>Informationen zur Beh&ouml;rde, falls die Signatur mit einem Beh&ouml;rdenzertifikat erzeugt wurde.</li>
</ul>
</td>
</tr>

<tr>
<td valign="top">2.7</td>
<td id="block">Ist der obige Authentisierungsvorgang erfolgreich, dann wird eine Redirect-Seite 
zum Browser gesendet.</td>
</tr>

<tr>
<td valign="top">3</td>
<td id="block">Der Browser f&uuml;hrt das Redirect zur Proxykomponente durch.  Als Parameter wird das von MOA-ID-AUTH 
erzeugte SAML-Artifact &uuml;bergeben.</td>
</tr>

<tr>
<td valign="top">4</td>
<td id="block">Die Proxykomponente verwendet dieses eindeutige SAML-Artifact, um die Anmeldedaten
von MOA-ID-AUTH zu erhal-ten.  Danach werden die Anmeldedaten in MOA-ID-AUTH gel&ouml;scht.</td>
</tr>

<tr>
<td valign="top">5</td>
<td id="block">MOA-ID-PROXY liest die Konfigurationsdatei der zugeh&ouml;rigen Online-Applikation, die beschreibt, wie die Anmeldedaten
an die nachfolgende Applikation &uuml;bergeben werden m&uuml;ssen, und meldet den Benutzer bei der Applikation an.</td>
</tr>

<tr>
<td valign="top">6</td>
<td id="block">Ist die betreffende OA als stateless konfiguriert, so werden in weiterer Folge die Antworten der OA
an den Benutzer weitergeleitet und die Anfragen des Benutzers an die OA weitergeleitet.</td>
</tr>


</table>
<div id="subtitel">Erg&auml;nzung f&uuml;r ausl&auml;ndische B&uuml;rger</div>
<div id="block">
  <p>Ab der MOA Release 1.4.7 ist es m&ouml;glich, dass sich auch ausl&auml;ndische B&uuml;rger mittels MOA-ID einloggen k&ouml;nnen. Hierzu wird eine Verbindung zu einem sogenannten Stammzahlenregister-Gateway aufgebaut, dass basierend auf den Zertifikatsdaten des ausl&auml;ndischen B&uuml;rgers eine Eintragung im Erg&auml;nzungsregister f&uuml;r nat&uuml;rliche Personen gem&auml;&szlig; E-Government Gesetz &sect;6(5) vornimmt. Somit ist es m&ouml;glich, dass eine Personenbindung ausgestellt werden kann, die in weitere Folge an MOA-ID weitergeleitet wird. </p>
  <p>Der Zugang zu diesem Stammzahlenregister-Gateway ist &uuml;ber eine Client-Server Authentifizierung abgesichert. Als Client-Zertifikate werden Zertifikate der Firmen A-Trust bzw. A-CERT, die mit der Verwaltungs- oder Dienstleistereigenschaft versehen sind, akzeptiert. </p>
  </div>
  
  <div id="subtitel">Online-Vollmachten</div>
<div id="block">
  <p>Ab der MOA Release 1.5.0 werden Online-Vollmachten (f&uuml;r Anwendungen aus dem &ouml;ffentlichen Bereich) unterst&uuml;tzt. Hierzu werden diese Vollmachten &uuml;ber eine Online-Vollmachten-Service ausgew&auml;hlt. Der Zugang zu diesem Online-Vollmachten Service ist &uuml;ber eine Client-Server Authentifizierung abgesichert. Als Client-Zertifikate werden Zertifikate der Firmen A-Trust bzw. A-CERT, die mit der Verwaltungs- oder Dienstleistereigenschaft versehen sind, akzeptiert. </p>
</div>

</td></tr></table>

<br /><br />

<!-- Trailer -->
<table width="650" border="0" cellpadding="10" cellspacing="0">
<tr>
<td width="170" valign="top"><br /></td>
<td valign="top">
<hr />
<div style="font-size:8pt; color:#909090">&copy; 2012</div>
</td></tr></table>
<br />


</div>
</body>
</html>