& & Prototyp Interoperable Servicekonten Beschreibung der Schnittstellen V 0.2 vom 05.10.2016 Projektbezeichnung Prototyp Interoperable Servicekonten Dokumentname Beschreibung der Schnittstellen Projektleiter Herr Kirschenbauer (StMFLH) Version 0.2 Erstellt am 05.10.2016 Zuletzt geändert Anton Kronseder, 05.10.2016 Bearbeitungszustand In Bearbeitung Dokumentablage https://www.interoperable-servicekonten.de/p/x/gABr Prototyp Interoperable Servicekonten Beschreibung der Schnittstellen V 0.2 vom 05.10.2016 2 Änderungsverzeichnis Nr. 1 Datum 01.09.2016 V Kapitel 0.1 Alle Beschreibung Initiale Erstellung Autor Anton Kronseder, Nicht Robert Reiner 2 5.10.2016 0.2 Alle Zustand veröffentlicht Klarstellung zur Attributübertragung Anton Kronseder, In Bearbeitung Robert Reiner Prototyp Interoperable Servicekonten Beschreibung der Schnittstellen V 0.2 vom 05.10.2016 3 Neben den Metadaten zu den SAML-Entities müssen weitere Randbedingungen für die Kommunikation festgelegt werden. Die in diesem Dokument beinhalteten Spezifikationen und Definitionen stellen eine Diskussionsgrundlage für die Teilnehmer am fachlichen Prototypen und dem BSI dar. Der Hinweis, dass jede Aussage oder Forderung ungeachtet der Formulierung stets nur ein Vorschlag ist erfolgt aus Gründen der Lesbarkeit nur jeweils zu Beginn eines Tour-Dokuments. In Teilen der Dokumentation, beispielsweise welche Attribute in der Föderation übermittelt werden und wie diese aufgebaut sein sollen, werden lediglich Vorschläge unterbreitet, da es sich hier um nicht technische, sondern um fachliche Spezifikationen handelt. Die fachlichen Spezifikationen sollen von den Teilnehmern am fachlichen Prototypen erarbeitet und mit dem BSI abgestimmt werden. Prototyp Interoperable Servicekonten Beschreibung der Schnittstellen V 0.2 vom 05.10.2016 4 Inhaltsverzeichnis 1 Attribute der Föderation ...........................................................................6 1.1 Attribute............................................................................................................................ 6 1.2 Implementierung .............................................................................................................. 7 2 Auswahl des Servicekontos .......................................................................8 3 Authentifizierungsgrade .......................................................................... 10 3.1 Liste der Authentifizierungsgrade .................................................................................. 10 3.2 Deklaration...................................................................................................................... 11 3.3 Implementierung ............................................................................................................ 11 4 4.1 Nutzerzustimmung .................................................................................. 13 Implementierung ............................................................................................................ 14 5 Session des Remote-IdP .......................................................................... 16 6 Verschlüsselung der IdP-Antwort ............................................................ 17 6.1 Implementierung ............................................................................................................ 17 7 Literaturverweise .................................................................................... 18 8 Glossar .................................................................................................... 19 Prototyp Interoperable Servicekonten Beschreibung der Schnittstellen V 0.2 vom 05.10.2016 5 1 Attribute der Föderation Für interoperables E-Government ist es notwendig, dass Servicekonten Informationen austauschen können. Für diese Informationen muss die Syntax und Semantik von Schlüsseln und Werten durch die Föderation definiert werden. Die Namensgebung in diesem Vorschlag folgt den durch die BSI TR-03130-1 definierten Namen für den eID-Server. Die Ausgestaltung der Attribute (Syntax und Semantik für Name und Wert) obliegt den Teilnehmern am fachlichen Prototypen und dem BSI. Die Attribute-Statements werden als Teil der SAML-2-Assertion übermittelt. Durch die Einschränkung auf HTTP-Redirect- und HTTP-POST-Bindings ist keine weitere Übertragung vorgesehen. 1.1 Attribute # Name Kurzbeschreibung Attributname 1 Akademischer Titel Der akademische Titel einer Person. AcademicTitle 2 E-Mail-Adresse Eine E-Mail-Adresse, unter der eine Attributtyp EmailAddress Person erreichbar ist. 3 Geburtsdatum Das Geburtsdatum einer Person. DateOfBirth 4 Geburtsname Der Geburtsname einer Person. BirthName 5 Geburtsort Der Geburtsort einer Person. PlaceOfBirth 6 Issuing State Der Name des Staates, der das IssuingState Dokument ausgestellt hat. 7 Künstlername Der Künstlername einer Person. ArtisticName 8 Nachname Der Nachname einer Person. FamilyNames Prototyp Interoperable Servicekonten Beschreibung der Schnittstellen V 0.2 vom 05.10.2016 6 9 Nationalität Die Nationalität einer Person. Nationality 10 Vornamen Die Vornamen einer Person. GivenNames 11 Wohnort Der Wohnort einer Person. PlaceOfResidence 1.2 Implementierung Die Implementierung zur Abbildung der Föderationsattribute auf lokale Attribute ist produktspezifisch. Wird vor dem Abschlussbericht entfernt Beispiel OpenAM Im OpenAM kann ein Extension-Point in den erweiterten Metadaten verwendet werden, um eine Abbildung der in der Föderation ausgetauschten Attribute auf die intern verwendeten zu bestimmen. Codeblock 1 Extended Metadata im OpenAM <Attribute name="attributeMap"> <Value>GivenNames=givenname</Value> <Value>FamilyNames=sn</Value> <Value>EmailAddress=mail</Value> <Value>IssuingState=IssuingState</Value> <Value>ArtisticName=ArtisticName</Value> <Value>AcademicTitle=AcademicTitle</Value> <Value>DateOfBirth=DateOfBirth</Value> <Value>PlaceOfBirth=PlaceOfBirth</Value> <Value>Nationality=Nationality</Value> <Value>BirthName=BirthName</Value> <Value>PlaceOfResidence=PlaceOfResidence</Value> </Attribute> Prototyp Interoperable Servicekonten Beschreibung der Schnittstellen V 0.2 vom 05.10.2016 7 2 Auswahl des Servicekontos Verwaltungsportale können über einen REST-Dienst Informationen zu weiteren Servicekonten innerhalb der Föderation abrufen. Dies kann einerseits über das Feed der Entities-Deskriptoren erfolgen, andererseits über einen spezialisierten Servicekontendienst. Die Entities-Deskriptoren enthalten alle SAML-Metadaten und damit auch die Informationen zu den Verantwortlichen und den Namen des Servicekontos. Diese Informationen können aber auch über den Servicekontodienst abgerufen werden. Die Antworten dieses Dienstes enthalten nur die Daten für den Aufbau eines Auswahlmenüs für den Nutzer und sind somit kürzer und leichter zu verarbeiten. User-Experience In jeder Situation muss dem Nutzer stets klar ersichtlich sein, wer für die Diensterbringung verantwortlich ist und welche Daten ermittelt und an wen zu welchem Zweck sie weitergegeben werden. Es ist auch wichtig, dass der Nutzer informiert wird oder sich einfach informieren kann, was eine Anmeldung mit einem anderen Servicekonto bewirkt und ob diese Möglichkeit für ihn relevant ist. Aus Nutzersicht wäre es womöglich hilfreich, wenn die auswählbaren Authentifizierungsmöglichkeiten zusammen mit ihrem Vertrauensniveau angezeigt werden würden. Dazu müssten voraussichtlich erläuternde Texte beigefügt werden. Prototyp Interoperable Servicekonten Beschreibung der Schnittstellen V 0.2 vom 05.10.2016 8 Auf Ebene der Föderation kann es notwendig werden, die Anmeldung gemeinsam zu definieren, um den Nutzern ein einheitliches Anmelden zu ermöglichen. Technisch ist eine Abstimmung nicht notwendig. Prototyp Interoperable Servicekonten Beschreibung der Schnittstellen V 0.2 vom 05.10.2016 9 3 Authentifizierungsgrade Ein Authentifizierungsgrad beschreibt semantisch die Sicherheit, mit der eine Authentifizierung eines Nutzers vorgenommen wurde. Die Föderation bildet konkrete Authentifizierungstechnologien auf die definierten Grade ab. 3.1 Liste der Authentifizierungsgrade Die folgenden Authentifizierungsgrade sind in der Föderation definiert und müssen von allen Föderationsteilnehmern verstanden werden. Die Authentifizierungsgrade sind hierarchisch. Das bedeutet, dass bei der Forderung eines Authentifizierungsgrades durch einen Verwaltungsdienst alle höheren Authentifizierungsgrade ebenfalls akzeptiert werden. 3.1.1 normal Mit dem Schlüssel https://interoperable-servicekonten.de/ref/assurance/normal wird der Authentifizierungsgrad normal definiert. Dies ist der niedrigste Authentifizierungsgrad. Er wird niedriger als substantiell und niedriger als hoch eingestuft. 3.1.2 substantiell Mit dem Schlüssel https://interoperableservicekonten.de/ref/assurance/substantiell wird der Authentifizierungsgrad substantiell definiert. Dies ist ein mittlerer Authentifizierungsgrad. Er wird höher als normal, aber geringer als hoch eingestuft. Prototyp Interoperable Servicekonten Beschreibung der Schnittstellen V 0.2 vom 05.10.2016 10 Die Schreibweise von substantiell richtet sich nach der in der TR-03107-1 verwendeten. 3.1.3 hoch Mit dem Schlüssel https://interoperable-servicekonten.de/ref/assurance/hoch wird der Authentifizierungsgrad hoch definiert. Dies ist der derzeit höchste Authentifizierungsgrad. Er wird höher als hoch und höher als hoch eingestuft. 3.2 Deklaration Die Deklaration der unterstützen Authentifizierungsgrade erfolgt im Entity-Descriptor des Identity-Providers. 3.3 Implementierung Die Implementierung der Authentifizierungsgrade ist produktspezifisch. Wird vor dem Abschlussbericht entfernt Beispiel OpenAM Im OpenAM kann ein Extension-Point verwendet werden, um die Authentifizierungsgrade wie folgt zu implementieren. Codeblock 2 Extended Metadata im OpenAM für den IdP <Attribute name="idpAuthncontextMapper"> <Value>de.hdgmbh.egov.openam.saml.EgovIdpAuthContextMapper</Value> </Attribute> <Attribute name="idpAuthncontextClassrefMapping"> <Value>https://interoperableservicekonten.de/assurance/normal|1|authlevel=1|default</Value> Prototyp Interoperable Servicekonten Beschreibung der Schnittstellen V 0.2 vom 05.10.2016 11 <Value>https://interoperableservicekonten.de/assurance/hoch|100|authlevel=100|</Value> <Value>https://interoperableservicekonten.de/assurance/substantiell|10|authlevel=10|</Value> </Attribute> Prototyp Interoperable Servicekonten Beschreibung der Schnittstellen V 0.2 vom 05.10.2016 12 4 Nutzerzustimmung Für eine größtmögliche Transparenz sind die Föderationsteilnehmer verpflichtet den Nutzer auf die Weiterleitung von Informationen aus dem Servicekonto zu informieren und die Zustimmung (consent) des Nutzers einzuholen. Die Informationen werden dabei stets an einen Verwaltungsdienstbetreiber weitergeleitet, der Teil der Föderation ist. Dennoch muss der Nutzer auch dieser Weitergabe seiner Informationen innerhalb der Föderation zustimmen. Dieser Punkt muss für die Föderation noch genauer spezifiziert werden. Hier benötigen wir den Input von Servicekontoanbietern und ein Feedback durch die Datenschützer. Offen ist beispielsweise Welche Informationen beinhaltet eine Zustimmung? In welcher (visuellen) Form wird die Zustimmung eingeholt? Muss die Zustimmung einheitlich eingeholt werden? Müssen die Zustimmungen nachvollziehbar gespeichert werden? Können Zustimmungen zentral gespeichert und durch den Nutzer verwaltet werden? Beim Prototypen wird die Zustimmung des Nutzers wie folgt angezeigt. Prototyp Interoperable Servicekonten Beschreibung der Schnittstellen V 0.2 vom 05.10.2016 13 Die Zustimmung wird direkt nach der erfolgreichen Identifizierung eingefordert. Siehe dazu auch die Dokumentation zum Anwendungsfall Anmeldung am fremden Servicekonto. 4.1 Implementierung Die Implementierung der Einholung der Zustimmung zur Weiterleitung von Daten aus dem Servicekonto ist produktspezifisch. Wird vor dem Abschlussbericht entfernt Beispiel OpenAM Im OpenAM kann eine Erweiterungsmöglichkeit (extension point) verwendet werden, um die Einholung der Zustimmung wie folgt anzubinden. Codeblock 3 Extended Metadata im OpenAM <Attribute name="idpAdapter"> <Value>de.hdgmbh.egov.openam.saml.ConsentAdapter</Value> </Attribute> Prototyp Interoperable Servicekonten Beschreibung der Schnittstellen V 0.2 vom 05.10.2016 14 Über die Logik in dem Adapter, die gegenwärtig nicht genauer spezifiziert ist, wird dann der Dialog mit dem Nutzer geführt. Prototyp Interoperable Servicekonten Beschreibung der Schnittstellen V 0.2 vom 05.10.2016 15 5 Session des Remote-IdP Während des Informationsaustauschs von zwei Servicekonten kann eine Session zum Remote-IdP aufgebaut werden. Nach abschließender Übermittlung der Daten soll diese Session zeitnah beendet werden. Der technische Prototyp nutzt für die Kommunikation eine Session. Er entspricht damit dieser Forderung nach einer zeitnahen Beendigung derzeit noch nicht. Prototyp Interoperable Servicekonten Beschreibung der Schnittstellen V 0.2 vom 05.10.2016 16 6 Verschlüsselung der IdP-Antwort Da sensible Informationen zur Person des Nutzers vom IdP übermittelt werden, sollen diese nur verschlüsselt übertragen werden. 6.1 Implementierung Die Implementierung dieser Verschlüsselungsanforderungen ist produktspezifisch. Wird vor dem Abschlussbereicht entfernt Beispiel OpenAM Im OpenAM kann ein Extension-Point in den erweiterten Metadaten verwendet werden, die die Verschlüsselung der IdP-Zusicherung zu konfigurieren. Codeblock 4 Extended Metadata im OpenAM <Attribute name="wantAssertionEncrypted"> <Value>true</Value> </Attribute> Prototyp Interoperable Servicekonten Beschreibung der Schnittstellen V 0.2 vom 05.10.2016 17 7 Literaturverweise Weitere Informationen zum Thema Interoperable Servicekonten finden Sie in den folgenden Dokumenten. Name Kurzbeschreibung Version Tour für neue Eine geführte Tour durch die Dokumentation für neue 0.1 Föderationsmitglieder Föderationsmitglieder. Überblick über den Kurzer Überblick über die umgesetzte Lösung zur Diskussion. 0.2 Überblick über die Liste der Anwendungsfälle, die für die Spezifikation des 0.2 Anwendungsfälle Lösungsvorschlags betrachtet werden. Lösungsvorschlag Beschreibung der SAML- Dokumentation der SAML-Metadaten für die an der Föderation 0.2 Metadaten teilnehmenden IdPs und SPs. API-Dokumentation Informationen zur Nutzung des APIs. 0.1 Kurzanleitung für Liste von Kurzanleitungen, die Aufgaben der 0.1 Föderationsteilnehmer Föderationsteilnehmer beschreiben. Glossar Beschreibung der zentralen Begriffe im Kontext von 0.1 interoperablen Servicekonten der Föderation. Prototyp Interoperable Servicekonten Beschreibung der Schnittstellen V 0.2 vom 05.10.2016 18 8 Glossar Die in diesem Dokument verwendeten Begriffe aus der Domäne Interoperable Servicekonten werden in einem separaten Glossar erklärt. In diesem Glossar werden alle Begriffe der Domäne aufgelistet. Prototyp Interoperable Servicekonten Beschreibung der Schnittstellen V 0.2 vom 05.10.2016 19
© Copyright 2024 ExpyDoc