&
&
Prototyp Interoperable Servicekonten
Kurzanleitung für Föderationsteilnehmer V 0.1
vom 05.10.2016
Projektbezeichnung
Prototyp Interoperable Servicekonten
Dokumentname
Kurzanleitung für Föderationsteilnehmer
Projektleiter
Herr Kirschenbauer (StMFLH)
Version
0.1
Erstellt am
05.10.2016
Zuletzt geändert
Anton Kronseder, 05.10.2016
Bearbeitungszustand
In Bearbeitung
Dokumentablage
https://www.interoperable-servicekonten.de/p/x/HYBv
Prototyp Interoperable Servicekonten
Kurzanleitung für Föderationsteilnehmer V 0.1 vom 05.10.2016
2
Änderungsverzeichnis
Nr.
1
Datum
V
Kapitel
05.10.2016 0.1 Alle
Beschreibung
Initiale Erstellung
Autor
Anton Kronseder,
Zustand
In Bearbeitung
Robert Reiner
Prototyp Interoperable Servicekonten
Kurzanleitung für Föderationsteilnehmer V 0.1 vom 05.10.2016
3
Diese Tour stellt alle Kurzanleitungen für Föderationsteilnehmer in einer Seite zusammen.
Die in diesem Dokument beinhalteten Spezifikationen und Definitionen stellen eine
Diskussionsgrundlage für die Teilnehmer am fachlichen Prototypen und dem BSI dar.
Der Hinweis, dass jede Aussage oder Forderung ungeachtet der Formulierung stets nur ein
Vorschlag ist erfolgt aus Gründen der Lesbarkeit nur jeweils zu Beginn eines Tour-Dokuments.
In Teilen der Dokumentation, beispielsweise welche Attribute in der Föderation übermittelt
werden und wie diese aufgebaut sein sollen, werden lediglich Vorschläge unterbreitet, da es
sich hier um nicht technische, sondern um fachliche Spezifikationen handelt. Die fachlichen
Spezifikationen sollen von den Teilnehmern am fachlichen Prototypen erarbeitet und mit dem
BSI abgestimmt werden.
Prototyp Interoperable Servicekonten
Kurzanleitung für Föderationsteilnehmer V 0.1 vom 05.10.2016
4
Inhaltsverzeichnis
1
Einspielen von Metadaten .........................................................................6
1.1
2
Zusammenfassung ............................................................................................................ 6
Metadaten der Servicekonten abrufen ......................................................9
2.1
Zusätzliche Services .......................................................................................................... 9
2.1.1
IDs der Föderationsmitglieder ..................................................................................... 9
2.1.2
Informationen zu Servicekonten ............................................................................... 10
3
Literaturverweise .................................................................................... 11
4
Glossar .................................................................................................... 12
Prototyp Interoperable Servicekonten
Kurzanleitung für Föderationsteilnehmer V 0.1 vom 05.10.2016
5
1 Einspielen von Metadaten
Föderationsmitglieder spielen die Metadaten ihrer SAML-Entities selbst in die Testumgebung
ein. Dieses Dokument beschreibt, wie Föderationsmitglieder ihre Entity-Deskriptoren in der
durch den Prototypen definierten Föderation bekannt machen können.
1.1 Zusammenfassung
Ein Servicekonto besteht aus einem SAML-IdP- und einem SAML-SP-Entity. Diese werden in
einem Entities-Deskriptor verpackt und gemeinsam über einen REST-Service eingespielt. Die
Entities in dem Deskriptor werden validiert und bei einem Validierungserfolg in die
Föderation integriert.
Die Metadaten zu den SAML-Entities des Servicekontos werden entweder auf der Feed-Seite
(so sie existiert) oder auf der Homepage des Bereichs abgelegt.
Der Upload-Vorgang wird über den Entity-Descriptor-REST-Dienst (egov/1/entitydescriptor/{token}) durchgeführt.
Nach dem erfolgreichen Einspielen können die aktuellen Servicekonten über weitere RESTDienste abgefragt werden.
Technische Anleitung zum Einspielen der Metadaten:
Zum Einspielen der Metadaten benötigen sie folgende Informationen:
Ihre Föderations-ID (der eindeutige Identifikator des Föderationsteilnehmers / das Token)
z.B. für NRW denw oder für Bayern deby. Aufbau des Tokens ist gemäß ISO_3166-2:DE
unter Anwendung folgender einfachen Vorschrift: Umwandlung in Kleinbuchstaben und
Entfernen des Bindestrichs.
Ihre Kennung für den REST-Service ist die Kennung des Informationssystems für die
Interoperabilität:
o Benutzername z.B. m.mustermann
Prototyp Interoperable Servicekonten
Kurzanleitung für Föderationsteilnehmer V 0.1 vom 05.10.2016
6
o Passwort: das von Ihnen selbst gewählte Passwort
Auf alle Dienste kann über den REST-API-Browser im Bereich egov (nicht-öffentliches API)
zugegriffen werden.
Alternativ können Sie die Metadaten auch programmatisch oder über einen REST-Client (z.B.
curl, https://curl.haxx.se/) einspielen.
Es folgen zwei Beispiele für die Nutzung des REST-APIs:
Download der Entities-Deskriptoren
curl -n https://www.interoperable-servicekonten.de/p/rest/egov/1/feed
Upload Ihrer Entities-Deskriptoren
curl -n -X PUT --header "Content-Type:application/xml;charset=UTF-8"
https://www.interoperable-servicekonten.de/p/rest/egov/1/entitydescriptor/deby --data-binary @metadeta.xml
Authentifizierung
Um die Zugangsdaten zu übergeben, wurde im Beispiel die curl-Option "-n" verwendet. Dabei
werden über die .netrc-Datei im Linux-Homeverzeichnis des Benutzers die Zugangsdaten
Prototyp Interoperable Servicekonten
Kurzanleitung für Föderationsteilnehmer V 0.1 vom 05.10.2016
7
verwaltet.
Beispielinhalt der Datei .netrc:
machine www.interoperable-servicekonten.de
login a.kronseder
password xxxxxxxxx
Alternativ zur Nutzung der Option "-n" können Sie die Zugangsdaten auch direkt über die
Kommandozeile mittels der Option "-u" übergeben (Kennung). Das System fordert Sie dann
zur Eingabe Ihres Passworts auf (Passwort-Prompt).
Ist der einzuspielende Deskriptor fehlerhaft, werden die Mängel in der Antwort spezifiziert.
Eine Dokumentation zu den Anforderungen an die Deskriptoren ist unter Beschreibung der
Metadaten abrufbar.
Prototyp Interoperable Servicekonten
Kurzanleitung für Föderationsteilnehmer V 0.1 vom 05.10.2016
8
2 Metadaten der Servicekonten abrufen
Zugriff auf die Metadaten der IdP- und SP-Anteile aller Servicekonten in der Föderation.
Die SAML-Entity-Deskriptoren für die Servicekonten in der Föderation können über
folgenden URL abgerufen werden:
Codeblock 1 URL zum Feed-Service
https://www.interoperable-servicekonten.de/p/rest/egov/1/feed
Sollen lediglich die fremden Deskriptoren abgerufen werden, wird die eigene
Föderationsmitglied-ID an den URL angefügt.
2.1 Zusätzliche Services
Das REST-API im Bereich egov stellt weitere Dienste für die Anbindung von Servicekonten an
die Föderation bereit.
2.1.1
IDs der Föderationsmitglieder
URL zur Liste der Föderationsmitglieder
https://www.interoperable-servicekonten.de/p/rest/egov/1/federation-member
Beispielantwort des Service
<federation-member-list>
<members>
<member>verwaltungsportal1</member>
<member>verwaltungsportal2</member>
<member>verwaltungsportal3</member>
</members>
</federation-member-list>
Prototyp Interoperable Servicekonten
Kurzanleitung für Föderationsteilnehmer V 0.1 vom 05.10.2016
9
Sollen lediglich die IDs der fremden Föderationsmitglieder abgerufen werden, wird die eigene
Föderationsmitglied-ID als Query-Parameter token an den URL angefügt.
Die Informationen werden sowohl in einer XML- als auch in einer JSON-Repräsentation
angeboten.
2.1.2
Informationen zu Servicekonten
URL zur Liste der Föderationsmitglieder
https://www.interoperable-servicekonten.de/p/rest/egov/1/servicekonto
Beispielantwort des Service
<?xml version="1.0"?>
<servicekonten>
<servicekonto id="verwaltungsportal1">
<display-name>Servicekonto Verwaltungsportal 1</display-name>
<entity-id>https://servicekonto.verwaltungsportal1.de/idp</entity-id>
</servicekonto>
<servicekonto id="verwaltungsportal2">
<display-name>Servicekonto Verwaltungsportal 2</display-name>
<entity-id>https://servicekonto.verwaltungsportal2.de/idp</entity-id>
</servicekonto>
<servicekonto id="verwaltungsportal3">
<display-name>Servicekonto Verwaltungsportal 3</display-name>
<entity-id>https://servicekonto.verwaltungsportal3.de/idp</entity-id>
</servicekonto>
</servicekonten>
Sollen lediglich die Informationen zu Servicekonten der fremden Föderationsmitglieder
abgerufen werden, wird die eigene Föderationsmitglied-ID als Path-Parameter an den URL
angefügt.
Die Informationen werden sowohl in einer XML- als auch in einer JSON-Repräsentation
angeboten.
Prototyp Interoperable Servicekonten
Kurzanleitung für Föderationsteilnehmer V 0.1 vom 05.10.2016
10
3 Literaturverweise
Weitere Informationen zum Thema Interoperable Servicekonten finden Sie in den folgenden
Dokumenten.
Name
Kurzbeschreibung
Version
Tour für neue
Eine geführte Tour durch die Dokumentation für neue
0.1
Föderationsmitglieder
Föderationsmitglieder.
Überblick über den
Kurzer Überblick über die umgesetzte Lösung zur Diskussion.
0.2
Überblick über die
Liste der Anwendungsfälle, die für die Spezifikation des
0.2
Anwendungsfälle
Lösungsvorschlags betrachtet werden.
Lösungsvorschlag
Beschreibung der SAML- Dokumentation der SAML-Metadaten für die an der Föderation
0.2
Metadaten
teilnehmenden IdPs und SPs.
Beschreibung der
Dokumentation der Kommunikationsschnittstellen außerhalb der 0.2
Schnittstellen
SAML-Metadaten.
API-Dokumentation
Informationen zur Nutzung des APIs.
0.1
Glossar
Beschreibung der zentralen Begriffe im Kontext von
0.1
interoperablen Servicekonten der Föderation.
Prototyp Interoperable Servicekonten
Kurzanleitung für Föderationsteilnehmer V 0.1 vom 05.10.2016
11
4 Glossar
Die in diesem Dokument verwendeten Begriffe aus der Domäne Interoperable Servicekonten
werden in einem separaten Glossar erklärt. In diesem Glossar werden alle Begriffe der
Domäne aufgelistet.
Prototyp Interoperable Servicekonten
Kurzanleitung für Föderationsteilnehmer V 0.1 vom 05.10.2016
12
© Copyright 2024 ExpyDoc
