Architektur

Die ID Austria wird die alte Bürgerkarte ersetzen und stellt ein System mit mehr Einsatzmöglichkeiten dar.

Die Gesamtarchitektur des ID Austria Systems setzt sich aus mehreren Domains zusammen. Jede Domain stellt eine oder mehrere Komponenten des ID Austria Systems bereit. Der Begriff Domain bezieht sich hierbei auf einen Teil des ID Austria Systems dessen Komponenten von einer Organisation (BRZ, BM.I, etc.) betrieben werden und welche eine bestimmte Funktionalität des ID Austria Systems kapselt. Eine Sonderstellung nimmt hier die User-Domain ein. Mit User-Domain wird der Bereich des Endnutzers des ID Austria Systems bezeichnet, der den Endnutzer selbst sowie die von ihm verwendeten Endnutzergeräte umfasst.

Sämtliche Domänen, aus denen sich die ID Austria Gesamtarchitektur zusammensetzt, werden in den nachfolgenden Absätzen kurz beschrieben und verfügen über Verweise zur einer detaillierteren Beschreibung.

ID Austria Frontend-Domain

Die ID Austria Frontend-Domain ist primär für die Authentifizierung des Benutzers (User-Domain) verantwortlich. Des weiteren werden die vom Service-Provider (Service-Provider-Domain) benötigte Attribute aus der ID Austria Backend-Domain abgefragt.

Die Authentifizierung erfolgt im Falle einer registrierten ID Austria über den Vertrauensdienstanbieter (VDA), welcher der VDA-Domain zugeordnet ist. Dementsprechend verfügt die ID Austria Frontend-Domain über eine Schnittstelle zur VDA-Domain. Für ausländische Benutzer (EU-Staatsbürger) bietet die Frontend-Domain eine Anbindung an das eIDAS Framework (eIDAS-Domain) über welches sich ausländische Benutzer authentifizieren können. Zusätzlich zur Authentifizierung mittels VDA oder eIDAS bietet die ID Austria Frontend-Domain auch Identifikation und Authentifizierung mittels vereinfachter Weiterverwendung des ID Austria (Binding).

Die Komponenten der ID Austria Frontend-Domain sind in Abbildung 1 dargestellt.

Abbildung 1: ID Austria-Frontend Domain

ID Austria Backend-Domain

Die ID Austria Backend-Domain stellt die angeforderten und durch das System aktuell unterstützen Attributwerte bereit. Diese werden entweder selbst, oder nach Anforderung aus der Attribute-Provider-Domain, für eine Anmeldung mittels ID Austria der Frontend-Domain zur Verfügung gestellt. Dazu verfügt die ID Austria Backend-Domain über eine Schnittstelle zur Attribute-Provider-Domain. Die Komponenten der ID Austria Backend-Domain sind in Abbildung 2 dargestellt.

Abbildung 2: ID Austria-Backend Domain

Registration-Domain

Vor einer Verwendung des ID Austria System muss der Benutzer seinen persönlichen ID Austria aktivieren. Dies Aktivierung erfolgt über definierte organisatorische Prozesse und technische Komponenten, die in der Registration-Domain angesiedelt sind. Entsprechend den definierten Registrierungsprozessen sind sowohl technische Komponenten als auch Personen (Registration Officer) Entitäten dieser Domain. Für eine technische Umsetzung des Registrierungsprozesses existieren sowohl Schnittstellen in die User-Domain, sowie Schnittstellen zur Backend-Domain und zur VDA-Domain da im Zuge der Registrierung Interaktionen mit Komponenten dieser Domains notwendig sind.

Abbildung 3: Registration-Domain

Attribute-Provider-Domain

Die Attribute-Provider-Domain implementiert die Bereitstellung von Attributen welche im Zuge eines Anmeldeprozessen mittels des ID Austria Systems an die Applikation des Service-Providers ausgeliefert werden sollen. Die hierfür notwendige Funktionalität wird durch diverse Komponenten umgesetzt. Hierbei handelt es sich im Wesentlichen um Register, die in der betrieblichen Verantwortung des BM.I oder unter Kontrolle einer anderen Organisation sind welche Attribute an das ID Austria System bereitstellt. Die Komponenten der Attribute-Provider-Domain sind in Abbildung 4 dargestellt.

Abbildung 4: Attribute-Provider-Komponenten

VDA-Domain

Die VDA-Domain beinhaltet den Vertrauensdienstanbieter (VDA). Der VDA stellt die Infrastruktur für die Authentifizierung von Benutzern mittels qualifizierter elektronischer Signaturen bereit. Die vom Benutzer während des Anmeldeprozesses erstelle qualifizierte Signatur dient der Authentifizierung und der Identifikation des Benutzer in der ID Austria Frontend-Domain. Hierfür stellt der VDA sowohl die qualifizierte Signatur des Benutzers als auch einen eindeutigen Personenidentifikator für den Benutzer dem ID Austria System zur Verfügung.

Abbildung 5: VDA-Domain

eIDAS-Domain

Alternativ zur VDA-Domain kann die Authentifizierung des Benutzers im Zuge eines Anmeldeprozesses auch über die eIDAS-Domain erfolgen. Der österreichische eIDAS-Knoten bildet die Schnittstelle in das europäische eIDAS-Netzwerk, das für die Identifikation und Authentifizierung von ausländischen Personen verwendet werden kann.

Abbildung 6: eIDAS-Domain

User-Domain

Die User-Domain beschreibt die Umgebung des Benutzers, von welcher aus der Benutzer das ID Austria System verwendet. Dementsprechend umfasst die User-Domain den Benutzer selbst sowie auch dessen Endnutzergeräte. Die ID Austria bietet Unterstützung für unterschiedliche Endnutzergeräten und kann somit durch den Benutzer flexibel zur Interaktion mit Anwendungen und Services eingesetzt werden.

Die Komponenten der User-Domain sind in Abbildung 7 dargestellt.

Abbildung 7: User-Domain

Service-Provider-Domain

Die Service-Provider-Domain ist relativ einfach gehalten und enthält im Wesentlichen die vom Service-Provider bereitgestellte Applikation.

Abbildung 8: Service-Provider-Domain

Gesamtarchitektur

Eine gesamte Übersicht der ID Austria Architektur inklusive aller beschriebenen Domänen wird in Abbildung 9 geboten. Detaillierter Beschreibungen aller Architekturkomponenten sind im technischen Whitepaper ID Austria – Technisches Whitepaper – Hintergrundinformationen nachzulesen.

Abbildung 9: Gesamtarchitektur