Migration für MOA-basierte SAML1 Anwendungen

Allgemeines

Der E-ID bietet ein zentrales Identitätsmanagementsystem, welches die aktuell dezentral betriebenen MOA-ID Instanzen ersetzt. Eine direkte Anbindung von Service Providern mittels des veralteten SAML1 Authentifizierungsprotokolls, welches in MOA-ID bereits seit der Version 2.x (2014) als „deprecated“ (veraltet) markiert war, ist am E-ID IdP nicht mehr möglich. Alle SP, welche aktuell mittels SAML1 an MOA-ID angebunden sind, können somit nicht mehr direkt mittels SAML1 an das E-ID System ankoppeln.

Falls Applikationen einen kurzfristigen Umstieg auf SAML2 oder OIDC nicht schaffen, wurde eine Übergangslösung geschaffen. Der MOA-ID E-ID Proxy wurde als MOA-ID Version 4.x (2020) veröffentlicht und implementiert einen Adapter zwischen dem IdP und SP (Anwendungen), welcher dazu dient, SAML1 Applikationen an den E-ID anzubinden. Der E-ID Proxy bietet Anwendungen dieselbe SAML1 Schnittstelle, wie sie bereits aus den vorangegangenen MOA-ID Versionen bekannt ist, und leitet alle Authentifizierungsanfragen an das E-ID System weiter. Diese Variante der Anbindung an das E-ID System ist im nachfolgenden Blockdiagramm auch grafisch dargestellt.

Abbildung 1: E-ID Proxy

Die Installation und der Betrieb des E-ID Proxy sind identisch zur Version 3.x von MOA-ID.

Hinweis:In der Migrationsphase kann pro Applikation konfiguriert werden, ob die Authentifizierung der Applikation wie bisher mittels Bürgerkarte/Handy-Signatur, oder mittels E-ID durchgeführt werden soll.
Es wird empfohlen, sämtliche Applikationen in MOA, die bereits auf SAML2 basieren, direkt an das E-ID System anzubinden.

E-ID Proxy SAML1 Assertion

Die SAML1 Schnittstelle des E-ID Proxy ist zwar identisch zur bisherigen SAML1 Schnittstelle in MOA-ID, doch stehen im E-ID System nicht mehr alle aus MOA-ID < v4.x bekannten Attribute zur Verfügung. Somit ändert sich der Inhalt der vom E-ID Proxy bereitgestellten SAML1 Assertion in Bezug auf die darin enthaltenen Attribute. Die nachfolgende Liste zeigt eine kurze Zusammenfassung der Änderungen, wobei die Attributsbezeichnungen aus dem PVP2 Attribute-Profil verwendet werden.

Folgende Attribute stehen nicht mehr zur Verfügung (siehe kommendes PVP Attribut-Profil 2.2.0):

  • EID-SOURCE-PIN (urn:oid:1.2.40.0.10.2.1.1.261.36)
  • EID-SOURCE-PIN-TYPE (1.2.40.0.10.2.1.1.261.104)
  • EID-IDENTITY-LINK (urn:oid:1.2.40.0.10.2.1.1.261.38)
  • EID-AUTH-BLOCK (urn:oid:1.2.40.0.10.2.1.1.261.62)
  • MANDATOR-NATURAL-PERSON-SOURCE-PIN (urn:oid:1.2.40.0.10.2.1.1.261.70)
  • MANDATOR-NATURAL-PERSON-SOURCE-PIN-TYPE (urn:oid:1.2.40.0.10.2.1.1.261.102)
  • MANDATE-FULL-MANDATE (urn:oid:1.2.40.0.10.2.1.1.261.92)

Folgende neue Attribute stehen zur Verfügung:

  • ENC-BPK-LIST (urn:oid:1.2.40.0.10.2.1.1.261.22)
  • BPK-LIST (urn:oid:1.2.40.0.10.2.1.1.261.28)
  • MANDATOR-NATURAL-PERSON-ENC-BPK-LIST (urn:oid:1.2.40.0.10.2.1.1.261.72)
  • MANDATOR-NATURAL-PERSON-BPK-LIST (urn:oid:1.2.40.0.10.2.1.1.261.73)
  • EID-ONLINE-IDENTITY-LINK (urn:oid:1.2.40.0.10.2.1.1.261.39)
  • EID-IDENTITY-STATUS-LEVEL (urn:oid:1.2.40.0.10.2.1.1.261.109)

Änderungen in Bezug auf die Anmeldeseite

Als weitere Anpassung wird die iFrame Integration der Handy-Signatur nicht mehr zur Verfügung stehen, da nunmehr eine vollständige Weiterleitung des gesamten Browser-Kontexts an das E-ID System erfolgt.

Hinweis: Eine langfristige Unterstützung des MOA-ID E-ID Proxy ist nicht geplant. Nach dem Supportende müssen die Anwendungen direkt an das E-ID System angekoppelt werden.

Dokumentation des Handbuchs für MOA ID Version 4.x (E-ID Proxy)

  1. Einführung
  2. Installation
  3. Konfiguration
  4. Protokolle
  5. Anwendungen
  6. Zusatzinformationen

MOA E-ID Proxy Download

Die MOA-E-ID Proxy Software kann unter folgendem Link heruntergeladen werden:

MOa E-ID Proxy