moa-id hands-on workshop · » saml 2.0 profil » weit verbreiteter und akzeptierter standard »...

Das E-Government Innovationszentrum ist eine gemeinsame Einrichtung des

Bundeskanzleramtes und der TU Graz

MOA-ID Hands-On

Workshop

Architektur und Neuerungen

Klaus Stranacher

Wien, 27.05.2014

Klaus StranacherWien, 05.12.2013 2

Neuerungen

Single-Sign On

Clusterfähigkeit

Architektur

Monitoring

Statistik

Anzeige von Fehlermeldungen

Ausländische eIDs

Clusterfähigkeit

Datenbank-basierte

Konfiguration

MOA-ID

Identitäts-protokolle

SAML 1SAML 2

(PVP 2.1 Profil)

OAuth (OpenID Connect)

Anwendungs-integration

Bürgerkarten-Auswahl


Architektur


Architektur

Zentrale Logik zur Steuerung der

einzelnen Prozesse.


Architektur

ProtokolladapterStellen Authentifizierungsprotokollefür die Anbindung von Service Providern zur Verfügung.


Protokolladapter

» SAML 1.0» Legacy Protokoll

» Browser/Artifact Profile/Binding

» Unterstützung bisheriger Applikationen

» PVP 2.1» Portalverbundprotokoll

» SAML 2.0 Profil

» Weit verbreiteter und akzeptierter Standard

» Identitätsprotokoll in Österreich

» OpenID Connect» Profil von OAuth 2.0

» Weit verbreiteter und akzeptierter Standard


Allgemeiner Prozessfluss



1.) BenutzerIn verbindet sich zu einem Web-Portal (Service Provider) Login Button



2.) Weiterleitung zu MOA-ID (Authentifizierungsrequest).



3.) - Validierung Authentifizierungsrequest- Session erzeugen und speichern- Service Provider Informationen holen



4.) MOA-ID generiert Bürgerkartenauswahl.



5.) BenutzerIn wählt die gewünschte Authentifizierungsmethode und sendet diese an MOA-ID



6.) MOA-ID erzeugt eine HTML-Seite mit einem <InfoboxReadRequest> zum Auslesen der Personenbindung. Diese HTML-Seite wird an den Browser geschickt.



7.) - Der Browser schickt den <InfoboxReadRequest> an die ausgewählte Bürgerkartenumgebung.

- BKU liest die Personenbindung von der Bürgerkarte und sendet diese an MOA-ID.

- MOA-ID prüft die Signatur der Personenbindung.



8.) - MOA-ID generiert den AUTH-Block.- MOA-ID sendet <CreateXMLSignatureRequest>

an die BKU zum Signieren des AUTH-Blocks.



9.) - BenutzerIn signiert die Daten- Die signierten Daten werden an MOA-ID

zurückgesendet



10.) MOA-ID überprüft den signierten AUTH-Block und generiert Informationen für weitere Anmeldungen mittels Single Sign-On.



11.) MOA-ID generiert die Anmeldedaten (Assertion):bPK/wbPK, Name, Geburtsdatum, etc.



12.) MOA-ID sendet Anmeldedaten an den Service-Provider und setzt im Browser ein SSO Session-Token.



13.) Anmeldedaten werden vom Service-Provider verarbeitet und die Benutzerin bzw. der Benutzer wird vom Service-Provider an die Online-Applikation weitergeleitet.


Fehlermeldungen

» Bisher» „Leere“ Fehlerseite

» Außerhalb Applikationskontext

» Nur mit Browsernavigation zurück zu Applikation

» Neu

» Fehler über Authentifizierungsprotokoll

rückgemeldet


Architektur

Unterstützte Identifikationsmechanismen- Bürgerkarte und

Handysignatur- Ausländische Bürger über

STORK Protokoll- Vertrauenswürdigen Identity

Provider (Interfederation) über SSO


Architektur

Template GeneratorVon MOA-ID erzeugte Login-Masken für die Integration in die Web-Applikation.


Template-Generator


Template-Generator

» (A) Standard Variante

» Für SAML 1, SAML 2 (PVP 2.1 Profil) und


» Login Button


Template-Generator

» (A) Standard Variante

» Für SAML 1, SAML 2 (PVP 2.1 Profil) und


» Jeweils (1) iFrame oder (2) Formatfüllend


Template-Generator

» (B) Legacy Variante

» Für SAML 1

» Bisherige Anwendungsintegration

» StartAuthentication mit Parametern für bkuURI,

OA, useMandate, etc.

» Tutorial zur

integrierten

Bürgerkartenauswahl


Architektur

Single Sign-On (SSO) Modul Verwaltet zusätzliche Operationen für SSO, insbesondere das SSO Session-Management.


Single-Sign On

» Vereinfachter Anmeldeprozess an mehreren Applikationen

» Einmalige Bürgerkarten-Authentifizierung und nahtlose Anmeldungen bei mehreren Applikationen

» Session-Management» Authentifizierungsdaten werden in Session

(verschlüsselt) gehalten (Personenbindung, etc.)

» Bei Bereichswechsel: Berechnung der bPK


Single-Sign On

» Zusätzlicher

konfigurierbarer Text

für AUTH-Block.

» Im Fall einer aktiven

Single Sign-On

Session, antwortet

MOA-ID mit einer

Single Sign-On

Anmeldeabfrage


Architektur

Statistik Modul Generierung von anonymisierten Statistikdaten aus den Anmeldeinformationen.


Architektur

MonitoringBietet Schnittstelle zu einem externen Monitoring-Service.Nicht nur Erreichbarkeit, sondern auch einzelne funktionale Tests.


Architektur

KonfigurationsmodulBietet Schnittstelle zur Konfiguration, die in einer Datenbank abgelegt ist.


Architektur

KonfigurationstoolOberfläche, mit deren Hilfe MOA-ID konfiguriert werden kann.

Vielen Dank für Ihre

Aufmerksamkeit!

Klaus Stranacher– [email protected]

Follow us on Twitter

https://twitter.com/egov_egiz

mailto:[email protected]

http://www.egiz.gv.at/




moa-id hands-on workshop · » saml 2.0 profil » weit verbreiteter und akzeptierter standard »...

Documents