MOA E-ID Proxy
Die ID Austria stellt einen zentralen Identity Provider zur Verfügung, der die aktuell dezentral betriebenen MOA-ID Instanzen ersetzt. Eine Verwendung und ein Betrieb von MOA-ID auf Seite des Service Provider ist somit im Allgemeinen nicht mehr notwendig da die Anwendungen eines Service Providers direkt mittels SAML2 oder OpenID Connect an das ID Austria System angekoppelt werden können.
Sollte von der Anwendung jedoch noch das seit der MOA-ID Version 2.x (2014) als deprecated (veraltet) markierte SAML1 Protokoll verwendet werden ist eine direkte Ankopplung an das ID Austria System nicht möglich da SAML1 durch das ID Austria System nicht mehr unterstützt wird. Somit können alle Anwendungen, welche aktuell mittels SAML1 an MOA-ID angebunden sind, nicht mehr direkt an das ID Austria System ankoppeln werden.
Falls Service Provider eine kurzfristige direkt Anbindung oder einen kurzfristigen Umstieg auf SAML2 oder OIDC nicht schaffen, wurde eine Übergangslösung geschaffen. Der MOA-ID E-ID Proxy wurde als MOA-ID Version 4.1.x (2020) veröffentlicht und implementiert einen Adapter zwischen dem zentralen ID Austria IdP und der Anwendung des Service Provider. Der Adapter kann sämtliche in MOA-ID betriebene Applikationen direkt an den ID Austria IdP anbinden.
Der MOA E-ID Proxy bietet Anwendungen dieselbe SAML1/SAML2/OIDC Schnittstelle, wie sie bereits aus den vorangegangenen MOA-ID Versionen bekannt ist, und leitet alle Authentifizierungsanfragen an das ID Austria System weiter. Diese Variante der Anbindung an das ID Austria System ist in der folgenden Abbildung veranschaulicht.
Die Installation und der Betrieb des MOA E-ID Proxy sind identisch zur Version 3.x von MOA-ID.
Hinweis: In der Migrationsphase kann pro Applikation konfiguriert werden, ob die Authentifizierung der Applikation wie bisher mittels Bürgerkarte/Handy-Signatur, oder mittels ID Austria durchgeführt werden soll.
Es wird jedoch empfohlen, sämtliche Applikationen in MOA, die bereits auf SAML2 basieren, direkt, d.h. ohne MOA E-ID Proxy, an das ID Austria System anzubinden.
Nachfolgend befindet sich eine Beschreibung zur Aktivierung der ID Austria Anbindung beim MOA E-ID Proxy.
Aktivierung der ID-Austria Anbindung im MOA E-ID Proxy
Mit der Version 4.1 von MOA-ID wurde ein neuer E-ID Proxy Mode für die Aktivierung der ID Austria Anbindung eingeführt.
| Name | Optional | Beschreibung |
|---|---|---|
| E-ID Proxy-Mode aktivieren | X | Aktiviert die Weiterleitung an den E-ID für diese Online Applikation. |
Die Schnittstellen des MOA E-ID Proxy Richtung Anwendung sind zwar identisch zu den bisherigen Schnittstellen in MOA-ID, doch stehen bei Weiterleitung an das ID Austria System nicht mehr alle aus MOA-ID < v4.1 bekannten Attribute zur Verfügung. Bei einer Aktivierung des Proxy Mode ab MOA-ID 4.1.x, ändert sich das mögliche Attribut-Set, welches einer Anwendungen returniert wird. Ursache hierfür ist, dass das ID Austria System aus rechtlichen Änderungen (eGov Gesetzt) nicht mehr alle aus MOA-ID bekannten Attribute ausliefern darf. Somit ändert sich der Inhalt der vom E-ID Proxy bereitgestellten Assertion/Token in Bezug auf die darin enthaltenen Attribute.
Als Ersatz stehen jedoch folgende neue Attribute zur Verfügung, wobei die Attributsbezeichnungen aus dem Portalverbundprotokoll (PVP2) Attribute-Profil verwendet werden:
| Attribut-Name | URN Prefix + OID |
|---|---|
| ENC-BPK-LIST | 1.2.40.0.10.2.1.1.261.22 |
| BPK-LIST | 1.2.40.0.10.2.1.1.261.28 |
| MANDATOR-NATURAL-PERSON-ENC-BPK-LIST | 1.2.40.0.10.2.1.1.261.72 |
| MANDATOR-NATURAL-PERSON-BPK-LIST | 1.2.40.0.10.2.1.1.261.73 |
Nachfolgend befindet sich eine Beschreibung inklusive der notwendigen Schritte zur technischen Anbindung und Registrierung des MOA E-ID Proxy am ID Austria System.
Anforderung des ID Austria System an den MOA E-ID Proxy
Für die Ankopplung und die Verwendung eines MOA E-ID Proxy am ID Austria System wird mindestens ein MOA E-ID Proxy in der Version 4.1.5 benötigt. Alle MOA E-ID Proxy Versionen < 4.1.5 können aus organisatorischen Gründen nicht am ID Austria System registriert werden.
Registrierung im zentralen Applikationsregister des ID Austria System
Alle Applikationen, für welche der MOA E-ID Proxy-Mode aktiviert ist, müssen im Applikationsregister des zentralen ID Austria System registriert sein. Diese Registrierung ist über weiter Bereiche identisch zur Registrierung von Anwendung mit direkter Ankopplung. Aus dem Betrieb und der Verwendung eines MOA E-ID Proxy ergeben sich jedoch spezielle Anforderungen an die Registrierung wodurch sich diese im Detail von einer direkten Anbindung der Anwendung unterscheiden. Die markantesten Unterschiede in der Registrierung sind nachfolgend gelistet:
- Eindeutiger Applikations-Identifier: Der eindeutige Identifikation, welcher für die Registrierung der Anwendung im Applikationsregister benötigt wird, besteht aus einem Identifikator des MOA E-ID Proxy und einem Identifikator für die Anwendung und muss einem spezifischen Format entsprechend. Der Identifikator kann jedoch für am MOA E-ID Proxy registrierte Applikationen am MOA E-ID Proxy abgefragt werden.
- SAML2 Metadaten: Die Registrierung im zentralen Applikationsregister des ID Austria Systems erfordert außerdem die Bekanntgabe der SAML2 Metadaten der MOA E-ID Proxy Instanz.
- Konfiguration der bPK Bereiche: Die Anwendungskonfiguration im MOA E-ID Proxy fordert nach wie vor die Konfiguration des bPK Bereichs der Anwendung. Dieser bPK muss mit dem im ID Austria System registrierten bPK Bereich für diese Anwendung übereinstimmen.
Nachfolgend finden Sie eine Beschreibung für die Abfrage dieser Daten am MOA E-ID Proxy.
1.) Abfrage des eindeutigen Applikations-Identifier
Der eindeutige Applikations-Identifier wird vom MOA E-ID Proxy generiert. Der Proxy bietet hierfür einen Endpunkt über welchen der eindeutige Identifier für die Registrierung im Applikationsregister generiert und abgefragt werden kann. Dieser Endpunkt ist im Context des E-ID Proxy unter:
./eid/getappregid
(z.B. https://demo.egiz.gv.at/moa-id-auth/eid/getappregid?OA=https://labda.iaik.tugraz.at:5553/demologin/test1)
bereitgestellt.
Als Abfrageparameter dienen die selben Parameter wie sie auch für einen SAML1 Authentifizierungsrequest verwendet werden (siehe Handbuch). Eine Abfrage ist jedoch nur für am MOA E-ID Proxy registrierte Online-Applikationen möglich.
2.) Abfrage der SAML2 Metadaten
Die Registrierung des MOA E-ID Proxy erfordert zusätzlich die Bekanntgabe der SAML2 Metadaten des MOA E-ID Proxy. Diese Metadaten werden vom MOA E-ID Proxy automatisch generiert und unter dem Endpunkt im Context des E-ID Proxy unter:
./sp/eid/metadata
(z.B. https://demo.egiz.gv.at/moa-id-auth/sp/eid/metadata)
bereitgestellt.
Die Registrierung der Anwendung am ID Austria System kann auch bereits ohne Aktivierung des E-ID Proxy Mode durchgeführt werden da die hierfür benötigten Informationen auch ohne Aktivierung bereits abrufbar sind. Sobald die Registrierung erfolgreich abgeschlossen wurde kann die Anwendung MOA E-ID Proxy in den E-ID Proxy Mode umgeschaltet werden.
Video als Anleitung für ein MOA E-ID Proxy Upgrade
Dieses Video beschreibt die Konfigurationsschritte, die für ein Upgrade einer MOA ID 3.0.0 Instanz, auf den MOA E-ID Proxy mit der Version 4.1.5 benötigt werden.
Änderungen in Bezug auf die Anmeldeseite
Als weitere Anpassung wird die iFrame Integration, welche aktuell häufig für die Integration der Handy-Signatur verwendet wird, nicht mehr zur Verfügung stehen, da im ID Austria Betrieb nunmehr eine vollständige Weiterleitung des gesamten Browser-Kontexts an das ID Austria System erfolgt.
Hinweis: Eine langfristige Unterstützung des MOA-ID E-ID Proxy ist nicht geplant. Nach dem Supportende müssen die Anwendungen direkt an das ID Austria System angekoppelt werden.
MOA E-ID Proxy Download
Die MOA-E-ID Proxy Software kann unter folgendem Link heruntergeladen werden:
Dokumentation zum MOA E-ID Proxy
Anschließend finden Sie Verweise auf die gesamte Dokumentation des Handbuchs für MOA ID Version 4.1.x (E-ID Proxy), für weitere Informationen und Konfigurationsdetails: