Registrierung am Early Adopter System

A-SIT/EGIZ stellt ein System für Early Adopter zur Verfügung, das die technische Vorstufe der offiziellen Test- und Produktionssysteme ist. Neue Features des ID Austria Systems können somit interessierten Early Adoptern über dieses System bereits vorab zum Testen bereitgestellt werden.

Eine Akkreditierung ist am Early Adopter System nicht notwendig. Auf technischer Ebene ist ausschließlich eine Registrierung mit Hinterlegung der entsprechenden protokollspezifischen Metadaten (SAML2 oder OpenID Connect) und die Bekanntgabe der benötigten Attribute und bPK Bereiche notwendig. Am Early Adapter System stehen jedoch ausschließend Test-Identitäten für Integrationstests zur Verfügung.

Registrierung mit SAML2

Für die Anbindung ans Early Adopter System mittels SAML2 müssen die SAML2 Metadaten des Service Providers (NICHT IdP Metadaten!) am Early Adapter System hinterlegt werden. Diese Metadaten können zur Registrierung entweder

  1. per XML File,
  2. oder per URL zum Download

an die folgende E-Mail Adresse gesendet werden: eid@egiz.gv.at

Hinweis: Falls ein MOA E-ID Proxy eingesetzt wird, können die SP-Metadaten automatisch über die URL /sp/eid/metadata (relativ zum MOA E-ID Proxy Kontext) abgerufen werden. Im Falle einer Applikation welche via MOA E-ID Proxy angebunden werden soll müssen zusätzlich folgende Informationen beachtet werden da der eindeutige Identifikation zur Anwendung nicht direkt aus dem SAML2 Metadaten extrahiert werden kann. Details zur Anbindung via MOA E-ID Proxy befinden sich im Abschnitt: MOA E-ID Proxy

Registrierung mit OpenID Connect

Für die Anbindung ans Early Adopter System mittels OpenID Connect müssen die OIDC-Metadaten für den jeweiligen Service Provider hinterlegt werden. Eine vollstände Übersicht zu OIDC Metadaten finden Sie hier.

Diese Metadaten müssen zumindest Folgendes beinhalten:

  1. scope: Eine durch Leerzeichen getrennte Liste an akzeptierten Scopes des Clients. Mögliche Scopes:
    • openid (verpflichtend): Default-Scope, der im OIDC Parameter „sub“ einen temporären Identifikator für den Benutzer beinhaltet.
    • profile (optional): Dieser Scope liefert neben dem Minimum Data Set (MDS), d.h. Vor- und Nachname, sowie Geburtsdatum, auch alle weiteren Attribute entsprechend dem PVP2 Attribut-Profil.
  2. client_id: Eindeutiger Identifikator, mit dem die Anwendung im Applikationsregister registriert wird. Das ID Austria System fordert als client_id eine URL welche im Kontext der Anwendung liegen muss.
  3. client_secret: Geheimnis mit welchem sich die Anwendung am ID Austria System authentifiziert um das idToken mit den Anmeldeinformationen vom ID Austria System abzuholen.
  4. redirect_uris: Eine Liste der akzeptierten Redirect URIs der Anwendung gemäß OIDC Spezifikation.
  5. response_types: Eine Liste der akzeptierten Response Types der Anwendung. Vom ID Austria System unterstützte response_types:
    • code: Authorization Code Flow entsprechend OIDC Spezifikation.

Beispiel für OIDC SP Metadaten:

{
  "client_id" : "https://test.behoerde.gv.at",
  "client_secret":"mySecurePassword",
  "redirect_uris" : [
    "https://test.behoerde.gv.at/myRedirect1"
  ],
  "scope" : "openid profile",  
  "response_types" : ["code"],
  "grant_types":["authorization_code"],
  "token_endpoint_auth_method":"client_secret_post"
}

Diese Metadaten können zur Registrierung an die folgende E-Mail Adresse gesendet werden: eid@egiz.gv.at

Die OIDC Metadaten des Identity Providers sind unter folgendem Link abrufbar: Identity Provider OIDC Metadaten

Service-Endpoints des Early Adopter Systems

Authorization Endpoint (An diese Andresse wird der Authentifizierungsrequest geschickt):

SAML2 – https://eid.egiz.gv.at/idp/profile/Shibboleth/SSO

OIDC – https://eid.egiz.gv.at/idp/profile/oidc/authorize

Token Endpoint (An diese Adresse wird der Token-Request bei geschickt):

OIDC – https://eid.egiz.gv.at/idp/profile/oidc/token

Metadata Endpoints (Hier können die Metadaten des Shibboleth IDP abgerufen werden) :

SAML2 – https://eid.egiz.gv.at/idp/shibboleth

OIDC – https://eid.egiz.gv.at/.well-known/openid-configuration