Prototyp Interoperable Servicekonten

&
&
Prototyp Interoperable Servicekonten
Überblick über die Anwendungsfälle V 0.2
vom 05.10.2016
Projektbezeichnung
Prototyp Interoperable Servicekonten
Dokumentname
Überblick über die Anwendungsfälle
Projektleiter
Herr Kirschenbauer (StMFLH)
Version
0.2
Erstellt am
05.10.2016
Zuletzt geändert
Anton Kronseder, 05.10.2016
Bearbeitungszustand
In Bearbeitung
Dokumentablage
https://www.interoperable-servicekonten.de/p/x/OoBv
Prototyp Interoperable Servicekonten
Überblick über die Anwendungsfälle V 0.2 vom 05.10.2016
2
Änderungsverzeichnis
Nr.
1
2
Datum
01.09.2016
05.10.2016
V
Kapitel
0.1 Alle
0.2 Alle
Beschreibung
Initiale Erstellung



Autor
Anton Kronseder,
Nicht
Robert Reiner
veröffentlicht
Klarstellung, dass OpenAM eine
Anton Kronseder,
Industrielösung ist, die den SAMLRobert Reiner
2-Standard unterstützt
Klarstellung: Nutzung mit
Webbrowser
Austausch der Grafik, die den
Ablauf technisch darstellt
Prototyp Interoperable Servicekonten
Überblick über die Anwendungsfälle V 0.2 vom 05.10.2016
Zustand
In
Bearbeitung
3
Die Anwendungsfälle zeigen Szenarien auf, die für die Spezifikation des Lösungsvorschlags
betrachtet werden. Diese Beschreibungen helfen die Umsetzung aus Sicht des Anwenders zu
bewerten.
Die in diesem Dokument beinhalteten Spezifikationen und Definitionen stellen eine
Diskussionsgrundlage für die Teilnehmer am fachlichen Prototypen und dem BSI dar.
Der Hinweis, dass jede Aussage oder Forderung ungeachtet der Formulierung stets nur ein
Vorschlag ist erfolgt aus Gründen der Lesbarkeit nur jeweils zu Beginn eines Tour-Dokuments.
In Teilen der Dokumentation, beispielsweise welche Attribute in der Föderation übermittelt
werden und wie diese aufgebaut sein sollen, werden lediglich Vorschläge unterbreitet, da es
sich hier um nicht technische, sondern um fachliche Spezifikationen handelt. Die fachlichen
Spezifikationen sollen von den Teilnehmern am fachlichen Prototypen erarbeitet und mit dem
BSI abgestimmt werden.
Prototyp Interoperable Servicekonten
Überblick über die Anwendungsfälle V 0.2 vom 05.10.2016
4
Inhaltsverzeichnis
1
Anmeldung am eigenen Servicekonto .......................................................6
1.1
Standardablauf.................................................................................................................. 6
1.2
Alternative Abläufe ......................................................................................................... 11
2
Anmeldung am fremden Servicekonto .................................................... 12
2.1
Standardablauf................................................................................................................ 12
2.2
Alternative Abläufe ......................................................................................................... 25
2.3
Geschäftsregeln .............................................................................................................. 31
3
Literaturverweise .................................................................................... 32
4
Glossar .................................................................................................... 33
Prototyp Interoperable Servicekonten
Überblick über die Anwendungsfälle V 0.2 vom 05.10.2016
5
1 Anmeldung am eigenen Servicekonto
1.1 Standardablauf
Der folgende Ablauf zeigt die Nutzung eines Verwaltungsdiensts in einem Verwaltungsportal.
Der Happy-Path zeigt die erfolgreiche Anmeldung und Nutzung des gewählten Dienstes.
Dieser Anwendungsfall zeigt, dass und wie eine lokale Anmeldung an einen
Verwaltungsdienst eines Interoperablen Servicekontos implementiert werden kann.
Die Anmeldung an den Verwaltungsdienst erfolgt direkt am eigenen Servicekonto. Es wird
kein fremdes Servicekonto der Föderation verwendet.
1.1.1
Startseite des Portals
Der Benutzer ruft die Startseite des Portals seines Verwaltungsportalbetreibers auf.
Der blasse Farbton in Hintergrund zeigt an, dass der Benutzer gegenwärtig nicht am
Verwaltungsportal angemeldet ist.
Der Benutzer wählt einen Verwaltungsdienst aus (hier den Einzigen).
1.1.2
Wahl der Authentifizierungsart
Der Verwaltungsdienst leitet weiter zu seinem Servicekonto. Dieses fordert eine
Authentifizierung des Benutzers.
Prototyp Interoperable Servicekonten
Überblick über die Anwendungsfälle V 0.2 vom 05.10.2016
6
Der kräftige Farbton im Hintergrund zeigt an, dass der Benutzer gegenwärtig im
Anmeldungsbereich ist.
Der Benutzer wählt aus der Auswahl an für diesen Dienst möglichen
Authentifizierungsmöglichkeiten eine aus. Im Beispiel: Benutzername/Passwort.
1.1.3
Anmeldung
Das Servicekonto zeigt dem Benutzer die Seite für Anmeldung an.
Prototyp Interoperable Servicekonten
Überblick über die Anwendungsfälle V 0.2 vom 05.10.2016
7
Der Benutzer gibt seinen Benutzernamen und sein Passwort ein und sendet die
Informationen an das Servicekonto.
Das Servicekonto überprüft die Anmeldeinformationen und leitet im Erfolgsfall an den
Verwaltungsdienst zurück.
1.1.4
Verwaltungsdienst
Der Verwaltungsdienst überprüft die vom Servicekonto übertragenen Informationen und
autorisiert den Benutzer den Verwaltungsdienst zu nutzen.
Der gezeigte Dienst simuliert das Versenden einer Nachricht an eine Gemeinde.
Prototyp Interoperable Servicekonten
Überblick über die Anwendungsfälle V 0.2 vom 05.10.2016
8
Der kräftige Farbton im Hintergrund zeigt an, dass der Benutzer gegenwärtig angemeldet ist.
Prototyp Interoperable Servicekonten
Überblick über die Anwendungsfälle V 0.2 vom 05.10.2016
9
Nach der Nutzung des Verwaltungsdiensts hat der Benutzer die Möglichkeit weitere Dienste
zu nutzen oder über den Logout-Link seine Sitzung zu beenden.
1.1.5
Anzeigen von Header-Informationen
Durch die Anwahl der Option "Show Headers" können im Verwaltungsdienst die
übertragenen Header-Informationen inklusive der SAML-Informationen zu Analysezwecken
ausgegeben werden.
...
Prototyp Interoperable Servicekonten
Überblick über die Anwendungsfälle V 0.2 vom 05.10.2016
10
1.2 Alternative Abläufe
Folgende alternative Abläufe einer lokalen Anmeldung werden im Rahmen der
Interoperabilität nicht weiter untersucht, da ihre Ausgestaltung in der alleinigen
Verantwortung der Servicekonten betreibenden Länder ist.

Ein Verwaltungsdienst fordert für eine lokale Anmeldung ein Vertrauensniveau höher als
normal

Single Logout vs. lokales Logout innerhalb der Domänen eines Servicekontos

Eine Anmeldung scheitert aufgrund fehlerhafter Credentials
Prototyp Interoperable Servicekonten
Überblick über die Anwendungsfälle V 0.2 vom 05.10.2016
11
2 Anmeldung am fremden Servicekonto
2.1 Standardablauf
Der folgende Ablauf zeigt die Nutzung eines Verwaltungsdienstes in einem
Verwaltungsportal unter Verwendung des eigenen Servicekontos in Verbindung mit einem
fremden Servicekonto (ein anderes Servicekonto der Föderation). Der Happy-Path zeigt die
erfolgreiche Anmeldung und Nutzung des gewählten Dienstes.
2.1.1
Startseite des Portals
Der Benutzer ruft die Startseite des Portals seines Verwaltungsportalbetreibers auf.
Der blasse Farbton in Hintergrund zeigt an, dass der Benutzer gegenwärtig nicht am
Verwaltungsportal angemeldet ist.
Der Benutzer wählt einen Verwaltungsdienst aus (hier den Einzigen).
2.1.2
Wahl des Servicekontos
Da der Verwaltungsdienst eine Authentifizierung des Benutzers fordert, werden dem
Benutzer die möglichen Authentifizierungsarten des dem Verwaltungsportal zugehörigen
Servicekontos angezeigt, die dem vom Verwaltungsdienst geforderten Vertrauensniveau
entsprechen. Dieses Vorgehen führt dazu, dass Benutzer, die das lokale Servicekonto nutzen
Prototyp Interoperable Servicekonten
Überblick über die Anwendungsfälle V 0.2 vom 05.10.2016
12
wollen, durch die Föderation nicht mehr Klicks benötigen (siehe Anmeldung am eigenen
Servicekonto).
Der kräftige Farbton im Hintergrund zeigt an, dass der Benutzer gegenwärtig im
Anmeldungsbereich ist.
Der Benutzer wählt nun für seine Anmeldung ein Servicekonto eines anderen
Föderationsmitglieds. Die möglichen Servicekonten werden im unteren Bereich der
Anmeldemaske angezeigt.
2.1.3
Wahl der Authentifizierungsart
Der Benutzer wählt aus den angebotenen Alternativen eine Authentifizierungsart aus.
Prototyp Interoperable Servicekonten
Überblick über die Anwendungsfälle V 0.2 vom 05.10.2016
13
Im Beispiel fällt die Wahl auf die Anmeldung mit Benutzername/Passwort.
2.1.4
Anmeldung
Das Servicekonto zeigt dem Benutzer die Seite für die Anmeldung für die gewählte
Authentifizierungsmethode an.
Der Benutzer gibt seinen Benutzernamen und sein Passwort ein und sendet die
Informationen an das Servicekonto.
Nach erfolgreicher Anmeldung ist der Benutzer prinzipiell autorisiert. Vorerst jedoch nur an
das fremde Servicekonto. Nun müssen die Anmeldeinformationen noch an das
Verwaltungsportal übertragen werden. Dies geschieht auch auf dem Rückweg wieder über
das Servicekonto des Verwaltungsdienstes. Für die Weitergabe der sensiblen Daten des
Benutzers ist nun eine explizite Zustimmung erforderlich. Erst dann darf das fremde
Servicekonto die Anmeldeinformationen an das Servicekonto des
Verwaltungsportalbetreibers übermitteln.
Prototyp Interoperable Servicekonten
Überblick über die Anwendungsfälle V 0.2 vom 05.10.2016
14
Der Benutzer wird informiert, welche Daten an das Servicekonto des Verwaltungsportals,
dessen Verwaltungsdienst der Benutzer nutzen möchte, übermittelt werden. Stimmt der
Benutzer der Übermittlung der Daten zu, werden die Daten übermittelt und der
Verwaltungsdienst kann genutzt werden.
2.1.5
Verwaltungsdienst
Nach erfolgreicher Übermittlung der Personenbezogenen Daten ist der Benutzer autorisiert,
den Verwaltungsdienst zu nutzen.
Prototyp Interoperable Servicekonten
Überblick über die Anwendungsfälle V 0.2 vom 05.10.2016
15
Der kräftige Farbton im Hintergrund zeigt an, dass der Benutzer gegenwärtig angemeldet ist.
Prototyp Interoperable Servicekonten
Überblick über die Anwendungsfälle V 0.2 vom 05.10.2016
16
Nach der Nutzung des Verwaltungsdiensts hat der Benutzer die Möglichkeit weitere Dienste
zu nutzen oder über den Logout-Link seine Sitzung auf dem Verwaltungsdienstportal zu
beenden.
Die Sitzung auf dem fremden Servicekonto-Service terminiert automatisch innerhalb
weniger Sekunden.
2.1.6
Technischer Ablauf
In dem Sequenzdiagramm (UML 2) wird der Ablauf einer Anmeldung für die Nutzung eines
Verwaltungsdienst in einem Verwaltungsportal (Verwaltungsportal 3) durch die
Authentifizierung an einem fremden Servicekonto (Servicekonto 1) gezeigt. Es wird gezeigt,
dass die durch die Spezifikation nur die Kommunikation zwischen den lokalen Servicekonto
(Servicekonto 3) des Verwaltungsportals und dem fremden Servicekontos eines
Föderationsteilnehmers (Servicekonto 3) erfolgt.
Der Ablauf zeigt eine Möglichkeit der Umsetzung und zeigt nicht alle durch die Spezifikation
vorgesehenen Möglichkeiten. Nur die grün gekennzeichneten Abschnitte sind Teil der
verbindlich einzuhaltenden Regeln der Föderation durch die Teilnehmer. Die mit magenta
gekennzeichneten Abschnitte sind voll unter der Kontrolle des Teilnehmers. Im Beispiel
wird in diesem Bereich SAML 2 eingesetzt. Dies ist aber nicht verbindlich. Die mit der Farbe
Prototyp Interoperable Servicekonten
Überblick über die Anwendungsfälle V 0.2 vom 05.10.2016
17
Lila gekennzeichneten Abschnitten müssen kleinere Vorgaben durch die Föderation
berücksichtigen (z.B. Anzeigenamen der Servicekonten). Der Ablauf der Kommunikation
kann aber beliebig ausgestaltet werden, sofern die verbindlichen Schnittstellen beim Eintritt
in den grünen Bereich und beim Verlassen des grünen Bereichs eingehalten werden.
Das Servicekonto 2 wird exemplarisch für alle anderen Servicekonten der Teilnehmer an der
Föderation angezeigt. Damit soll gezeigt werden, dass die Kommunikation stets nur zwischen
dem Servicekonto des Verwaltungsportals und dem durch den Nutzer des Servicekontos
erfolgt.
Die Aktivierungsbalken auf den Lebenslinien zeigen Sessions des Nutzers auf den jeweiligen
Kommunikationsteilnehmern an.
Farbe
Aktivierungsbalken
hellgrün
Session des Nutzers bzgl. Verwaltungsportal 3
grün
Session des Nutzers bzgl. Servicekonto 3
blau
Session des Nutzers bzgl. Servicekonto 1
Als Vorbedingung für das Beispiel ist es notwendig, dass der Nutzer bereits beim Teilnehmer
1 ein Servicekonto besitzt.
Prototyp Interoperable Servicekonten
Überblick über die Anwendungsfälle V 0.2 vom 05.10.2016
18
…
Prototyp Interoperable Servicekonten
Überblick über die Anwendungsfälle V 0.2 vom 05.10.2016
19
…
Prototyp Interoperable Servicekonten
Überblick über die Anwendungsfälle V 0.2 vom 05.10.2016
20
Nutzung des Verwaltungsportals (Schritte 1-6)
Die Initiierung der Anmeldung, z.B. beim Zugriff auf den geschützten Bereich im
Verwaltungsportal, wird nicht durch die Föderation definiert.
Der gezeigte Ablauf in den Schritten 1 bis 6 auf dem Verwaltungsportal des Teilnehmers ist
frei durch den Teilnehmer ausgestaltbar. Der gezeigte Ablauf soll nur für das grundlegende
Verständnis eine mögliche Ausgestaltung zeigen. In diesen Schritten wird exemplarisch
Prototyp Interoperable Servicekonten
Überblick über die Anwendungsfälle V 0.2 vom 05.10.2016
21
gezeigt, dass ein Nutzer einen Verwaltungsdienst im geschützten Bereich auf dem
Verwaltungsportal des Teilnehmers auswählt. Der Nutzer wird durch das Portal an die Seite
für die Anmeldung weitergeleitet.
Wahl des Servicekontos (Schritte 7-9a)
Der Nutzer hat die Möglichkeit sich entweder am lokalen Servicekonto oder am Servicekonto
eines anderen Föderationsteilnehmers anzumelden. Aus diesem Grund stellt die Föderation
die Informationen zu den Servicekonten aller Föderationsteilnehmer bereit, die das
Verwaltungsportal in Schritt 7 nutzen kann, um dem Nutzer ein Auswahlmenü anzuzeigen.
Die Schritte 7 bis 9a sind durch den Teilnehmer frei ausgestaltbar, wobei im Gegensatz zu
den vorangegangenen Schritten 1-6 Vorgaben durch die Föderation gemacht werden oder in
Ausbaustufen gemacht werden könnten. Beispiele hierfür sind die einheitlich Darstellung
des Auswahlmenüs (derzeit wird lediglich der Name des Servicekontos übermittelt) oder der
Text für den Datenschutz. Diese (mögliche) Vorschriften durch die Föderation müssen aber
im Konsens so ausgestaltet werden, dass sie den Anforderungen der einzelnen Teilnehmer
gerecht werden.
Im Schritt 7 wird gezeigt, dass der Nutzer die Möglichkeit erhalten muss, ein Servicekonto
auszuwählen. Die Daten, welche Servicekonten zur Verfügung stehen, kann der Teilnehmer
über einen REST-Dienst von der Föderation erhalten. Wie die Teilnehmer angezeigt werden
ist derzeit noch nicht spezifiziert. Wichtig ist nur, dass der Teilnehmer den Anzeigenamen
seines Servicekontos bestimmen kann.
Im Beispiel wählt der Nutzer in Schritt 8 das Servicekonto 1, das ein Teilnehmer der
Föderation bereitstellt. Es wird also nicht das lokale Servicekonto gewählt.
Übermittlung des AuthnRequests (Schritt 9b)
In Schritt 9a wird gezeigt, wie die Anmeldung (AuthnRequest) über einen Redirect über den
Browser vom Servicekonto 1 an das Servicekonto 3 weitergeleitet wird. Die Spezifikation
erlaubt hier auch den AuthnRequest mittels POST zu übermitteln. Auch muss der Aufruf für
Prototyp Interoperable Servicekonten
Überblick über die Anwendungsfälle V 0.2 vom 05.10.2016
22
GET nicht über einen Redirect erfolgen. Diese Möglichkeiten werden in dem Ablauf nicht
gesondert dargestellt.
Wichtig ist, dass im Schritt 9b der AuthnRequest über den Browser an das entfernte
Servicekonto übermittelt wird. Dies ist Teil der Spezifikation (mit den oben aufgezeigten
alternativen Anbindungsmöglichkeiten).
Das Servicekonto 3 muss im AuthnRequest mitteilen, welches Vertrauensniveau für die
Authentisierung notwendig ist, um den Verwaltungsdienst nutzen zu können.
Wahl der Authentifizierungsmöglichkeit (Schritt 10)
In Schritt 10 liefert nun das entfernte Servicekonto an den Browser des Nutzers eine Seite
über die der Nutzer eine vom Teilnehmer des Servicekontos angebotene
Authentifizierungsmöglichkeit wählt. Die Authentifizierungsmöglichkeiten werden durch die
Föderation Sicherheitsstufen zugeordnet. Wie die Auswahl dem Nutzer angezeigt wird, wird
durch die Föderation derzeit noch nicht festgelegt. Auch hier muss bei etwaigen späteren
Festlegung berücksichtigt werden, dass die Teilnehmer in der Ausgestaltung der
Authentifizierungsmöglichkeiten nicht eingeschränkt werden. Es ist vorzusehen, dass der
Nutzer bei den Teilnehmern unterschiedliche Anmeldeinformationen angeben muss
(beispielsweise ein zusätzliches Geheimnis zur Entschlüsselung von persönlichen Daten des
Nutzers im Servicekonto des Teilnehmers).
Wichtig ist jedoch, dass das Servicekonto 1 dem Nutzer nur die
Authentifizierungsmöglichkeiten anzeigt, die dem geforderten Vertrauensniveau der Anfrage
entsprechen.
Durchführung der Anmeldung (Schritte 11-13)
Die Schritt 11 bis 13 zeigen ebenfalls exemplarisch, wie die Anmeldung mit Benutzername
und Passwort erfolgen kann. Es ist dem Teilnehmer frei gestellt, beliebige andere
Authentifizierungsmethoden den Nutzern zur Verfügung zu stellen. Wichtig ist hierbei
lediglich, dass die Authentifizierungsmethode den Kriterien der Föderation genügt, um einer
bestimmten Sicherheitsstufe zugeordnet werden zu können.
Prototyp Interoperable Servicekonten
Überblick über die Anwendungsfälle V 0.2 vom 05.10.2016
23
Es ist möglich, dass die Sicherheitsstufe des Servicekontos für eine lokale Anmeldung anders
eingestuft wird, als in der Föderation. Insbesondere kann ein Teilnehmer bei der lokalen
Anmeldung beliebige Authentifizierungsverfahren nutzen. Lediglich bei der Nutzung von
Authentifizierungsmöglichkeiten im Kontext der Föderation ist die Gestaltung durch die
Föderation festgelegt.
Zustimmung des Nutzers (Schritte 14-15)
Im Schritt 14 legt die Spezifikation verbindlich fest, dass vom Nutzer die Zustimmung zur
Übermittlung der persönlichen Daten eingeholt werden muss. Für den exakten Text kann es
in der Zukunft noch Festlegungen durch die Föderation geben. Aber auch hier ist wieder
wichtig, die länderspezifischen Anforderungen der Teilnehmer (z.B. durch den Datenschützer
des Landes) zu berücksichtigen.
Nur wenn im Schritt 15 der Benutzer seine Zustimmung gibt, darf das Servicekonto 3 die
Daten des Nutzers an das Servicekonto des Verwaltungsportals übermitteln. Es wird durch
die Föderation nicht festgelegt, wie der Fall der Ablehnung durch den Nutzer ausgestaltet
werden muss.
Übermittlung der AuthnResponse (Schritte 16-19)
Im Schritt 16 initiiert das Servicekonto 3 nun nach der Zustimmung des Nutzers die
Übermittlung der Daten an das Servicekonto 1 durch einen Redirect. Dies ist eine
Möglichkeit, die Datenübermittlung anzustoßen, der Teilnehmer ist hier frei die
Übermittlung technisch anders auszugestalten.
Der im Beispiel gezeigte Redirect im Schritt 16 ist ein implementierungsspezifisches Detail, das
mit der im Prototypen verwendeten Implementierung des Consents in Zusammenhang steht.
Hiermit können wir zeigen, dass die Teilnehmer die Freiheit haben, zusätzliche, durch die
gewählte Technologie notwendigen Schritte zu realisieren und dennoch konform zu der durch
die Föderation definierten Spezifikation zu sein.
Prototyp Interoperable Servicekonten
Überblick über die Anwendungsfälle V 0.2 vom 05.10.2016
24
In Schritt 17 wird die Übermittlung der Daten vom Servicekonto 3 an den Browser für alle
Teilnehmer verbindlich festgelegt.
Die Übermittlung der Daten im Browser an das Servicekonto ist wieder frei durch den
Teilnehmer umsetzbar. Im Beispielablauf wird dies durch ein automatisches Submit eines
Formulars im Schritt 18 erreicht.
Dadurch werden die Informationen dann in der verbindlichen AuthnResponse im Schritt 19
vom Browser mittels eines HTTP-POST an das Servicekonto 1 übermittelt.
Erbringung der Verwaltungsdienstleistung (Schritte 20-31)
Die nachfolgenden Schritte 20 bis 31 liegen dann wieder außerhalb der Spezifikation. Wie
also die Anmeldeinformationen dazu führen, dass der Nutzer nun den von ihm gewählten
Verwaltungsdienst tatsächlich nutzen kann, ist vollständig in der Hoheit des Teilnehmers. Die
im Beispiel aufgezeigten Schritte sollen nur exemplarisch zeigen, wie ein solcher Ablauf
ausgestaltet werden kann.
2.2 Alternative Abläufe
2.2.1
Übergabe des Sicherheitsniveaus
Fordert ein Verwaltungsdienst (wie der Verwaltungsdienst des Verwaltungsportal2) ein
höheres Vertrauensniveau als normal, so wird diese Information zuerst an das eigene
Servicekonto und dort, bei der Benutzerauswahl eines fremden Servicekontos, auch an
dieses übergeben. Abhängig vom geforderten Sicherheitsniveau dürfen vom Servicekonto
nur Authentifizierungsarten angeboten werden, die diesem Sicherheitsniveau entsprechen.
Im Rahmen der Föderation sollten - ausschließlich für die Interoperabilität - die für die
einzelnen Vertrauensniveaus zugelassenen Authentifizierungsmethoden einheitlich
spezifiziert werden. Alternativ könnte eine allgemeine Regelung zur Anerkennung der
Authentifizierungsmethoden der Länder-Servicekonten getroffen werden.
Prototyp Interoperable Servicekonten
Überblick über die Anwendungsfälle V 0.2 vom 05.10.2016
25
Ad) 2.1.2. a Wahl des Servicekontos
Die Auswahlmaske des lokalen Servicekontos zeigt nur die Authentifizierungsmöglichkeiten
für substantiell und größer an: eID/nPA und Client-Zertifikat.
Die folgenden Screenshots zeigen den Verlauf einer Anmeldung mit Client-Zertifikat.
Prototyp Interoperable Servicekonten
Überblick über die Anwendungsfälle V 0.2 vom 05.10.2016
26
Prototyp Interoperable Servicekonten
Überblick über die Anwendungsfälle V 0.2 vom 05.10.2016
27
Prototyp Interoperable Servicekonten
Überblick über die Anwendungsfälle V 0.2 vom 05.10.2016
28
...
Wählt der Benutzer ein Servicekonto eines andern Föderationsteilnehmers, werden
diese Sicherheitsanforderungen übermittelt. Daher zeigt das fremde Servicekonto auch nur
Authentifizierungsmöglichkeiten an, die dem geforderten Sicherheitsniveau entsprechen. Im
Beispiel sind das ebenfalls eID/nPA und Client-Zertifikat.
Prototyp Interoperable Servicekonten
Überblick über die Anwendungsfälle V 0.2 vom 05.10.2016
29
Die tatsächliche Anbindung einer Anmeldung mit Client-Zertifikat ist nicht teil der
Interoperabilität. Deshalb ist die konkrete Ausgestaltung individuell möglich. Es ist aber zu
empfehlen hier gegenüber dem Nutzer eine Gleichförmigkeit herzustellen.
Eine Anmeldung mit der eID-Funktion konnte aus Zeitgründen für den Prototypen nicht
implementiert werden. In der Phase 2 der Interoperabilität können aber Servicekonten der
Länder mit beliebigen Authentifizierungstechnologien angebunden werden. Somit ist es
auch möglich Servicekonten anzubinden, die die eID-Funktion unterstützen.
2.2.2
Nicht untersuchte Pfade
Folgende alternative Abläufe einer Anmeldung wurden im Rahmen der Interoperabilität
nicht weiter untersucht, da ihre Ausgestaltung den Rahmen eines Prototypen sprengen
würden.

Der IdP des fremden Servicekontos hat per Spezifikation dieser Interoperabilität nur eine
sehr kurze Session, daher wird kein Single-Logout auf Föderationsebene benötigt. Wie
das Logoutverhalten für die Domänen eines lokalen Servicekontos implementiert ist,
muss nicht für die Interoperabilität definiert werden.

Die Anmeldung scheitert aufgrund fehlerhafter Credentials bei der Nutzung eines
fremden Servicekontos.

Der Benutzer versucht sich mit einem geringeren Vertrauensniveau (z.B. normal mit B/P)
anzumelden, obwohl der Dienst ein höheres Vertrauensniveau (z.B.: substantiell / ClientZertifikat) fordert: Dieser Fall kann nur bei einer fehlerhaften Konfiguration oder eine
Implementierungsfehlers eines fremden Servicekontos auftreten. Dieses Szenario wurde
nicht untersucht.
Prototyp Interoperable Servicekonten
Überblick über die Anwendungsfälle V 0.2 vom 05.10.2016
30
2.3 Geschäftsregeln
2.3.1
Benutzbarkeit
Dem Nutzer sollte stets klar ersichtlich sein, wer für die Diensterbringung verantwortlich ist
und welche Daten ermittelt und an wen zu welchem Zweck weitergegeben werden.
Die Anmeldung an einem fremden Servicekonto unterscheidet sich von der Anmeldung an
einem lokalen Servicekonto dadurch, dass der Nutzer das fremde Servicekonto auswählen
und nach erfolgreicher Anmeldung der Übermittlung seiner personenbezogenen Daten an
das Servicekonto des Verwaltungsdiensts zustimmen muss.
Rein technisch handelt der Browser des Nutzers eine Reihe von Redirects ab, die je nach
eingesetztem Produkt sich ggf. unterschiedlich darstellen können. Diese Abarbeitung durch
den Browser erfordert kein Eingreifen durch den Nutzer.
Prototyp Interoperable Servicekonten
Überblick über die Anwendungsfälle V 0.2 vom 05.10.2016
31
3 Literaturverweise
Weitere Informationen zum Thema Interoperable Servicekonten finden Sie in den folgenden
Dokumenten.
Name
Kurzbeschreibung
Version
Tour für neue
Eine geführte Tour durch die Dokumentation für neue
0.1
Föderationsmitglieder
Föderationsmitglieder.
Überblick über den
Kurzer Überblick über die umgesetzte Lösung zur
Lösungsvorschlag
Diskussion.
Beschreibung der SAML-
Dokumentation der SAML-Metadaten für die an der
Metadaten
Föderation teilnehmenden IdPs und SPs.
Beschreibung der Schnittstellen Dokumentation der Kommunikationsschnittstellen
0.2
0.2
0.2
außerhalb der SAML-Metadaten.
API-Dokumentation
Informationen zur Nutzung des APIs.
0.1
Kurzanleitung für
Liste von Kurzanleitungen, die Aufgaben der
0.1
Föderationsteilnehmer
Föderationsteilnehmer beschreiben.
Glossar
Beschreibung der zentralen Begriffe im Kontext von
0.1
interoperablen Servicekonten der Föderation.
Prototyp Interoperable Servicekonten
Überblick über die Anwendungsfälle V 0.2 vom 05.10.2016
32
4 Glossar
Die in diesem Dokument verwendeten Begriffe aus der Domäne Interoperable Servicekonten
werden in einem separaten Glossar erklärt. In diesem Glossar werden alle Begriffe der
Domäne aufgelistet.
Prototyp Interoperable Servicekonten
Überblick über die Anwendungsfälle V 0.2 vom 05.10.2016
33