MOA-ID Hands-On Workshop · » SAML 2.0 Profil » Weit verbreiteter und akzeptierter Standard »...
Transcript of MOA-ID Hands-On Workshop · » SAML 2.0 Profil » Weit verbreiteter und akzeptierter Standard »...
Das E-Government Innovationszentrum ist eine gemeinsame Einrichtung des
Bundeskanzleramtes und der TU Graz
MOA-ID Hands-On
Workshop
Architektur und Neuerungen
Klaus Stranacher
Wien, 27.05.2014
Klaus StranacherWien, 05.12.2013 2
Neuerungen
Single-Sign On
Clusterfähigkeit
Architektur
Monitoring
Statistik
Anzeige von Fehlermeldungen
Ausländische eIDs
Clusterfähigkeit
Datenbank-basierte
Konfiguration
MOA-ID
Identitäts-protokolle
SAML 1SAML 2
(PVP 2.1 Profil)
OAuth (OpenID Connect)
Anwendungs-integration
Bürgerkarten-Auswahl
Klaus StranacherWien, 05.12.2013 3
Architektur
Klaus StranacherWien, 05.12.2013 4
Architektur
Zentrale Logik zur Steuerung der
einzelnen Prozesse.
Klaus StranacherWien, 05.12.2013 5
Architektur
ProtokolladapterStellen Authentifizierungsprotokollefür die Anbindung von Service Providern zur Verfügung.
Klaus StranacherWien, 05.12.2013 6
Protokolladapter
» SAML 1.0» Legacy Protokoll
» Browser/Artifact Profile/Binding
» Unterstützung bisheriger Applikationen
» PVP 2.1» Portalverbundprotokoll
» SAML 2.0 Profil
» Weit verbreiteter und akzeptierter Standard
» Identitätsprotokoll in Österreich
» OpenID Connect» Profil von OAuth 2.0
» Weit verbreiteter und akzeptierter Standard
Klaus StranacherWien, 05.12.2013 7
Allgemeiner Prozessfluss
Klaus StranacherWien, 05.12.2013 8
Allgemeiner Prozessfluss
1.) BenutzerIn verbindet sich zu einem Web-Portal (Service Provider) Login Button
Klaus StranacherWien, 05.12.2013 9
Allgemeiner Prozessfluss
2.) Weiterleitung zu MOA-ID (Authentifizierungsrequest).
Klaus StranacherWien, 05.12.2013 10
Allgemeiner Prozessfluss
3.) - Validierung Authentifizierungsrequest- Session erzeugen und speichern- Service Provider Informationen holen
Klaus StranacherWien, 05.12.2013 11
Allgemeiner Prozessfluss
4.) MOA-ID generiert Bürgerkartenauswahl.
Klaus StranacherWien, 05.12.2013 12
Allgemeiner Prozessfluss
5.) BenutzerIn wählt die gewünschte Authentifizierungsmethode und sendet diese an MOA-ID
Klaus StranacherWien, 05.12.2013 13
Allgemeiner Prozessfluss
6.) MOA-ID erzeugt eine HTML-Seite mit einem <InfoboxReadRequest> zum Auslesen der Personenbindung. Diese HTML-Seite wird an den Browser geschickt.
Klaus StranacherWien, 05.12.2013 14
Allgemeiner Prozessfluss
7.) - Der Browser schickt den <InfoboxReadRequest> an die ausgewählte Bürgerkartenumgebung.
- BKU liest die Personenbindung von der Bürgerkarte und sendet diese an MOA-ID.
- MOA-ID prüft die Signatur der Personenbindung.
Klaus StranacherWien, 05.12.2013 15
Allgemeiner Prozessfluss
8.) - MOA-ID generiert den AUTH-Block.- MOA-ID sendet <CreateXMLSignatureRequest>
an die BKU zum Signieren des AUTH-Blocks.
Klaus StranacherWien, 05.12.2013 16
Allgemeiner Prozessfluss
9.) - BenutzerIn signiert die Daten- Die signierten Daten werden an MOA-ID
zurückgesendet
Klaus StranacherWien, 05.12.2013 17
Allgemeiner Prozessfluss
10.) MOA-ID überprüft den signierten AUTH-Block und generiert Informationen für weitere Anmeldungen mittels Single Sign-On.
Klaus StranacherWien, 05.12.2013 18
Allgemeiner Prozessfluss
11.) MOA-ID generiert die Anmeldedaten (Assertion):bPK/wbPK, Name, Geburtsdatum, etc.
Klaus StranacherWien, 05.12.2013 19
Allgemeiner Prozessfluss
12.) MOA-ID sendet Anmeldedaten an den Service-Provider und setzt im Browser ein SSO Session-Token.
Klaus StranacherWien, 05.12.2013 20
Allgemeiner Prozessfluss
13.) Anmeldedaten werden vom Service-Provider verarbeitet und die Benutzerin bzw. der Benutzer wird vom Service-Provider an die Online-Applikation weitergeleitet.
Klaus StranacherWien, 05.12.2013 21
Fehlermeldungen
» Bisher» „Leere“ Fehlerseite
» Außerhalb Applikationskontext
» Nur mit Browsernavigation zurück zu Applikation
» Neu
» Fehler über Authentifizierungsprotokoll
rückgemeldet
Klaus StranacherWien, 05.12.2013 22
Architektur
Unterstützte Identifikationsmechanismen- Bürgerkarte und
Handysignatur- Ausländische Bürger über
STORK Protokoll- Vertrauenswürdigen Identity
Provider (Interfederation) über SSO
Klaus StranacherWien, 05.12.2013 23
Architektur
Template GeneratorVon MOA-ID erzeugte Login-Masken für die Integration in die Web-Applikation.
Klaus StranacherWien, 05.12.2013 24
Template-Generator
Klaus StranacherWien, 05.12.2013 25
Template-Generator
» (A) Standard Variante
» Für SAML 1, SAML 2 (PVP 2.1 Profil) und
OAuth (OpenID Connect)
» Login Button
Klaus StranacherWien, 05.12.2013 26
Template-Generator
» (A) Standard Variante
» Für SAML 1, SAML 2 (PVP 2.1 Profil) und
OAuth (OpenID Connect)
» Jeweils (1) iFrame oder (2) Formatfüllend
Klaus StranacherWien, 05.12.2013 27
Template-Generator
» (B) Legacy Variante
» Für SAML 1
» Bisherige Anwendungsintegration
» StartAuthentication mit Parametern für bkuURI,
OA, useMandate, etc.
» Tutorial zur
integrierten
Bürgerkartenauswahl
Klaus StranacherWien, 05.12.2013 28
Architektur
Single Sign-On (SSO) Modul Verwaltet zusätzliche Operationen für SSO, insbesondere das SSO Session-Management.
Klaus StranacherWien, 05.12.2013 29
Single-Sign On
» Vereinfachter Anmeldeprozess an mehreren Applikationen
» Einmalige Bürgerkarten-Authentifizierung und nahtlose Anmeldungen bei mehreren Applikationen
» Session-Management» Authentifizierungsdaten werden in Session
(verschlüsselt) gehalten (Personenbindung, etc.)
» Bei Bereichswechsel: Berechnung der bPK
Klaus StranacherWien, 05.12.2013 30
Single-Sign On
» Zusätzlicher
konfigurierbarer Text
für AUTH-Block.
» Im Fall einer aktiven
Single Sign-On
Session, antwortet
MOA-ID mit einer
Single Sign-On
Anmeldeabfrage
Klaus StranacherWien, 05.12.2013 31
Architektur
Statistik Modul Generierung von anonymisierten Statistikdaten aus den Anmeldeinformationen.
Klaus StranacherWien, 05.12.2013 32
Architektur
MonitoringBietet Schnittstelle zu einem externen Monitoring-Service.Nicht nur Erreichbarkeit, sondern auch einzelne funktionale Tests.
Klaus StranacherWien, 05.12.2013 33
Architektur
KonfigurationsmodulBietet Schnittstelle zur Konfiguration, die in einer Datenbank abgelegt ist.
Klaus StranacherWien, 05.12.2013 34
Architektur
KonfigurationstoolOberfläche, mit deren Hilfe MOA-ID konfiguriert werden kann.
Vielen Dank für Ihre
Aufmerksamkeit!
Klaus Stranacher– [email protected]
Follow us on Twitter
https://twitter.com/egov_egiz