Module für Online-Applikationen
 
Projekt moa 

MOA-ID

Allgemein
Allgemein v.2.0.0

Dieses Dokument enthält die Dokumentation für das Modul

  • MOA-ID-Proxy

Die in diesem Dokument beschriebene Konfiguration für das Modul MOA-ID-Auth bezieht sich auf die MOA-ID-Auth Version 1.5.1. Ein Betrieb von MOA-ID-Proxy in Kombination mit MOA-ID-Auth 2.0.0 ist jedoch weiterhin möglich.

Hinweis: Bei der Version 2.0.0 handelt es sich um das letzten Release dass von MOA-ID-Proxy veröffentlich wird.

 
Das Modul Identifikation stellt Online-Applikationen Funktionalität zur Verfügung zu stellen, damit diese eine Benutzer-Identifikation und -Authentisierung mit Hilfe der Bürgerkarte und deren Signaturfunktion realisieren können.

Das Modul besteht aus zwei Komponenten:
  • Die Authentisierungskomponente (MOA-ID-AUTH) führt die eigentliche Authentisierung des Benutzers durch und übergibt der Proxykomponente die Anmeldedaten.
  • Die Proxykomponente (MOA-ID-PROXY) übernimmt die Anmeldedaten von der Authentisierungskomponente, führt die Anmeldung an der Online Applikation durch und schleust in der Folge Daten an die Online-Applikation und Daten an den Benutzer durch.
Diese beiden Komponenten können auf unterschiedlichen Rechnern oder auf dem gleichen Rechner eingesetzt werden.

Die Funktionalität und der Aufbau der Schnittstelle zu MOA-ID ist in der Spezifikation bzw. im Anhang zur Spezifikation detailliert beschrieben.

Für den Betrieb von MOA-ID ist der Einsatz von MOA-Signaturprüfung (MOA-SP) erforderlich.


Ablauf einer Anmeldung

1 Der Benutzer verbindet sich zu einem Web-Portal, über das die verfügbaren Online-Applikationen (OA) erreichbar sind. Jeder Link zu einer OA verweist auf die Authentisierungs-komponente.
2 Der Benutzer verbindet sich mit MOA-ID-AUTH, die die Authentisierung des Benutzers durchführt:
2.1 MOA-ID-AUTH bietet dem Benutzer optional eine Auswahl von verfügbaren Bürgerkartenumgebungen (engl. Bezeichnung: Security-Layer) an.
2.2 MOA-ID-AUTH erzeugt eine HTML-Seite mit einem <InfoboxReadRequest> zum Auslesen der Personenbindung. Diese HTML-Seite wird an den Browser geschickt.
2.3 Der Browser schickt den <InfoboxReadRequest> an den ausgewählten Security-Layer. Der Security-Layer liest die Personenbindung von der Bürgerkarte und sendet diese an MOA-ID-AUTH, die die Signatur der Personenbindung durch einen Aufruf von MOA-SP überprüft.
2.4 MOA-ID-AUTH erstellt den AUTH-Block. Der AUTH-Block enthält
  • Vor- und Nachname aus der Personenbindung,
  • URL von MOA-ID-AUTH,
  • URL und Geschäftsbereich der Online-Applikation,
  • die aktuelle Zeit.
Anschließend wird eine XML Antwortseite, die das Kommando zum Signieren (<CreateXMLSignatureRequest>) des generierten AUTH-Blocks enthält, an den ausgewählten Security-Layer gesendet.
2.5 Der Request wird vom Security-Layer verarbeitet. Die signierten Daten werden an MOA-ID-AUTH zurückgesendet.
2.6 MOA-ID-AUTH überprüft den signierten AUTH-Block und legt für den Benutzer die Anmeldedaten an. Die Anmeldedaten enthalten
  • die bereichsspezifische Personenkennzeichen (bPK),
  • den signierten AUTH-Block (optional),
  • die Personenbindung (optional),
  • die PersonData-Struktur aus der Personenbindung (optional),
  • die Information, ob die Signatur des AUTH-Blocks mit einem qualifiziertem Zertifikat erfolgte,
  • Informationen zur Behörde, falls die Signatur mit einem Behördenzertifikat erzeugt wurde.
2.7 Ist der obige Authentisierungsvorgang erfolgreich, dann wird eine Redirect-Seite zum Browser gesendet.
3 Der Browser führt das Redirect zur Proxykomponente durch. Als Parameter wird das von MOA-ID-AUTH erzeugte SAML-Artifact übergeben.
4 Die Proxykomponente verwendet dieses eindeutige SAML-Artifact, um die Anmeldedaten von MOA-ID-AUTH zu erhal-ten. Danach werden die Anmeldedaten in MOA-ID-AUTH gelöscht.
5 MOA-ID-PROXY liest die Konfigurationsdatei der zugehörigen Online-Applikation, die beschreibt, wie die Anmeldedaten an die nachfolgende Applikation übergeben werden müssen, und meldet den Benutzer bei der Applikation an.
6 Ist die betreffende OA als stateless konfiguriert, so werden in weiterer Folge die Antworten der OA an den Benutzer weitergeleitet und die Anfragen des Benutzers an die OA weitergeleitet.
Ergänzung für ausländische Bürger

Ab der MOA Release 1.4.7 ist es möglich, dass sich auch ausländische Bürger mittels MOA-ID einloggen können. Hierzu wird eine Verbindung zu einem sogenannten Stammzahlenregister-Gateway aufgebaut, dass basierend auf den Zertifikatsdaten des ausländischen Bürgers eine Eintragung im Ergänzungsregister für natürliche Personen gemäß E-Government Gesetz §6(5) vornimmt. Somit ist es möglich, dass eine Personenbindung ausgestellt werden kann, die in weitere Folge an MOA-ID weitergeleitet wird.

Der Zugang zu diesem Stammzahlenregister-Gateway ist über eine Client-Server Authentifizierung abgesichert. Als Client-Zertifikate werden Zertifikate der Firmen A-Trust bzw. A-CERT, die mit der Verwaltungs- oder Dienstleistereigenschaft versehen sind, akzeptiert.

Online-Vollmachten

Ab der MOA Release 1.5.0 werden Online-Vollmachten (für Anwendungen aus dem öffentlichen Bereich) unterstützt. Hierzu werden diese Vollmachten über eine Online-Vollmachten-Service ausgewählt. Der Zugang zu diesem Online-Vollmachten Service ist über eine Client-Server Authentifizierung abgesichert. Als Client-Zertifikate werden Zertifikate der Firmen A-Trust bzw. A-CERT, die mit der Verwaltungs- oder Dienstleistereigenschaft versehen sind, akzeptiert.




© 2012