Prototyp Interoperable Servicekonten

&
&
Prototyp Interoperable Servicekonten
Tour für neue Föderationsmitglieder V 0.1
vom 05.10.2016
Projektbezeichnung
Prototyp Interoperable Servicekonten
Dokumentname
Tour für neue Föderationsmitglieder
Projektleiter
Herr Kirschenbauer (StMFLH)
Version
0.1
Erstellt am
05.10.2016
Zuletzt geändert
Anton Kronseder, 05.10.2016
Bearbeitungszustand
In Bearbeitung
Dokumentablage
https://www.interoperable-servicekonten.de/p/x/A4JH
Prototyp Interoperable Servicekonten
Tour für neue Föderationsmitglieder V 0.1 vom 05.10.2016
2
Prototyp Interoperable Servicekonten
Tour für neue Föderationsmitglieder V 0.1 vom 05.10.2016
3
Änderungsverzeichnis
Nr.
Datum
V
Kapitel
Beschreibung
Autor
Zustand
1
05.10.2016
0.1
Alle
Initiale Erstellung
Anton Kronseder,
In Bearbeitung
Robert Reiner
Prototyp Interoperable Servicekonten
Tour für neue Föderationsmitglieder V 0.1 vom 05.10.2016
4
Starthilfe für die Föderationsmitglieder, die in der zweiten Phase des Prototypen ihre
produktiven Servicekonten prototypisch anbinden wollen.
Die in diesem Dokument beinhalteten Spezifikationen und Definitionen stellen eine
Diskussionsgrundlage für die Teilnehmer am fachlichen Prototypen und dem BSI dar.
Der Hinweis, dass jede Aussage oder Forderung ungeachtet der Formulierung stets nur ein
Vorschlag ist erfolgt aus Gründen der Lesbarkeit nur jeweils zu Beginn eines Tour-Dokuments.
In Teilen der Dokumentation, beispielsweise welche Attribute in der Föderation übermittelt
werden und wie diese aufgebaut sein sollen, werden lediglich Vorschläge unterbreitet, da es
sich hier um nicht technische, sondern um fachliche Spezifikationen handelt. Die fachlichen
Spezifikationen sollen von den Teilnehmern am fachlichen Prototypen erarbeitet und mit dem
BSI abgestimmt werden.
Prototyp Interoperable Servicekonten
Tour für neue Föderationsmitglieder V 0.1 vom 05.10.2016
5
Inhaltsverzeichnis
1
Servicekonto ist ein Dipol ..........................................................................7
2
Upload der Daten ......................................................................................9
3
Konfiguration des eigenen CoT ................................................................ 10
4
Touren..................................................................................................... 11
5
Glossar .................................................................................................... 12
6
Bereitstellung .......................................................................................... 13
7
Wartungsfenster ..................................................................................... 14
8
Noch Fragen? .......................................................................................... 15
8.1
Support ........................................................................................................................... 15
8.2
Info & Feedback .............................................................................................................. 15
9
Feedback willkommen! ........................................................................... 16
Prototyp Interoperable Servicekonten
Tour für neue Föderationsmitglieder V 0.1 vom 05.10.2016
6
1 Servicekonto ist ein Dipol
Servicekonten werden über die Security Assertion Markup Language (SAML) an die
Föderation angebunden.
Für die Integration eines Servicekontos ist es wichtig zu verstehen, dass aus Sicht der
Interoperabilität das Servicekonto ein Dipol mit den beiden Polen Identity-Provider (IdP) und
Service-Provider (SP) ist.
Abbildung: Servicekonto als Dipol (vereinfachte Darstellung)
Mehr Informationen hierzu finden Sie unter

Überblick über den Lösungsvorschlag - Kurzer Überblick über die umgesetzte Lösung zur
Diskussion.

SAML-Metadaten
Die Integration eines Servicekontos erfolgt über Standard-SAML plus
Konfigurationsparameter, die für die Föderation definiert sind.
Föderationsteilnehmer müssen diese Metadaten für die Anbindung ihrer Servicekonten
bereitstellen.
Prototyp Interoperable Servicekonten
Tour für neue Föderationsmitglieder V 0.1 vom 05.10.2016
7
Abbildung: Schematische Darstellung eines Servicekontos mit seinen Schnittstellen und den
Metadaten
Mehr Informationen hierzu finden Sie unter

Beschreibung der Metadaten - Dokumentation der Metadaten für die an der Föderation
teilnehmenden IdPs und SPs.

Beschreibung der Schnittstellen - Dokumentation der Kommunikationsschnittstellen
außerhalb der Metadaten.
Prototyp Interoperable Servicekonten
Tour für neue Föderationsmitglieder V 0.1 vom 05.10.2016
8
2 Upload der Daten
Die Föderationsteilnehmer laden ihre Metadaten in die Konfiguration des technischen
Prototypen. Sind die Metadaten der IdP- und SP-Anteile ihres Servicekontos mittels des
geforderten Entities-Deskriptors erfolgreich eingespielt, ist die Integration aus Sicht der
Herstellung der Interoperabilität abgeschlossen.
Können Sie den Vorgaben mit Ihrem Servicekonto nicht entsprechen, bitten wir Sie, Ihre
speziellen fachlichen Anforderungen zu erläutern und ggf. einen Vorschlag zur Anpassung zu
machen.
Die durch den technischen Prototypen gemachten Vorgaben dienen lediglich als
Diskussionsgrundlage. Wichtig in Phase 2 ist es, produktiv genutzte Servicekonten in die
Föderation zu integrieren. Wenn dazu Anpassungen am technischen Prototypen gemacht
werden müssen, werden diese Anpassungen mit den Auftraggebern, allen Teilnehmern und
dem BSI offen diskutiert.
Mehr Informationen hierzu finden Sie unter

Einspielen von Metadaten - Föderationsmitglieder spielen die Metadaten ihrer SAMLEntities selbst in die Testumgebung ein.
Prototyp Interoperable Servicekonten
Tour für neue Föderationsmitglieder V 0.1 vom 05.10.2016
9
3 Konfiguration des eigenen CoT
Um nun die Servicekonten der anderen Föderationsteilnehmer in Ihren Circle-of-Trust
aufzunehmen, benötigen Sie die Metadaten zu den IdP- und SP-Anteilen der fremden
Servicekonten. Diese Informationen können Sie über eine Webschnittstelle abrufen.
Mehr Informationen hierzu finden Sie unter

Metadaten der Servicekonten abrufen - Zugriff auf die Metadaten der IdP- und SPAnteile aller Servicekonten in der Föderation.

API-Dokumentation - Die Dokumentation des REST-APIs wird über den interaktiven RESTAPI-Browser bereitgestellt.
Für den technischen Prototypen haben wir drei technische Föderationsmitglieder
konfiguriert. Weitere Informationen finden Sie in der folgenden Tabelle in den über den
Bereichstitel verlinkten Bereichen.
Tabelle: Dokumentationsbereiche für die technischen Föderationsmitglieder
Bereich
Beschreibung
Verwaltungsportal 1
Home- und Admin-Bereich des technischen Föderationsmitglieds
Verwaltungsportal 1
Verwaltungsportal 2
Home- und Admin-Bereich des technischen Föderationsmitglieds
Verwaltungsportal 2
Verwaltungsportal 3
Home- und Admin-Bereich des technischen Föderationsmitglieds
Verwaltungsportal 3
Verwenden Sie die Servicekonten und Verwaltungsdienste dieser technischen Teilnehmer,
um die Konfiguration Ihrer interoperablen Servicekonten zu prüfen. Die notwendigen
Informationen (z.B. Benutzerdaten, Client-Zertifikate) finden Sie auf den oben angegebenen
Bereichen.
Prototyp Interoperable Servicekonten
Tour für neue Föderationsmitglieder V 0.1 vom 05.10.2016
10
4 Touren
Tour-Dokumente liefern Antworten auf spezifische Fragen. Sie helfen in der Dokumentation
verschiedene Themen in der zu dieser Fragestellung sinnvollen Reihenfolge zu finden. Neue
Nutzer des Dokumentationsservers können sich hier schneller in die beschriebenen Themen
einarbeiten. Zudem wird zu einer Tour auch ein PDF-Dokument bereitgestellt, das auch
offline gelesen werden kann.
Name
Kurzbeschreibung
Überblick über den
Kurzer Überblick über die umgesetzte Lösung zur Diskussion.
Lösungsvorschlag
Überblick über die
Liste der Anwendungsfälle, die für die Spezifikation des
Anwendungsfälle
Lösungsvorschlags betrachtet werden.
Beschreibung der SAML-
Dokumentation der SAML-Metadaten für die an der Föderation
Metadaten
teilnehmenden IdPs und SPs.
Beschreibung der Schnittstellen Dokumentation der Kommunikationsschnittstellen außerhalb der
SAML-Metadaten.
API-Dokumentation
Informationen zur Nutzung des APIs.
Kurzanleitung für
Liste von Kurzanleitungen, die Aufgaben der
Föderationsteilnehmer
Föderationsteilnehmer beschreiben.
Glossar
Beschreibung der zentralen Begriffe im Kontext von interoperablen
Servicekonten der Föderation.
Prototyp Interoperable Servicekonten
Tour für neue Föderationsmitglieder V 0.1 vom 05.10.2016
11
5 Glossar
Für die Erläuterung der in diesem und anderen Dokumenten verwendeten Begriffe wird ein
Glossar bereitgestellt.
Falls Sie Begriffe entdecken, die Ihrer Meinung nach einer Beschreibung bedürfen, wenden
Sie sich bitte per E-Mail an [email protected].
Prototyp Interoperable Servicekonten
Tour für neue Föderationsmitglieder V 0.1 vom 05.10.2016
12
6 Bereitstellung
Der Prototyp wird als Testsystem für die Anbindung von Servicekonten in der Phase 2 zur
Verfügung gestellt.
Generell ist es auch möglich, dass ein Testsystem in einem eigenen Rechenzentrum zu
betreiben. Dies ist mit etwas Aufwand verbunden. Weiter Informationen liefert hierzu das
Info-Team.
Prototyp Interoperable Servicekonten
Tour für neue Föderationsmitglieder V 0.1 vom 05.10.2016
13
7 Wartungsfenster
Täglich von 8:00 bis 9:00 und ab 17:00 Uhr können die Server zu Wartungszwecken neu
konfiguriert werden und stehen daher ggf. nicht zur Verfügung.
Außerdem können auch kurzzeitig dringende Konfigurationsänderungen notwendig werden.
Sie können sich über die Seite https://www.interoperable-Servicekonten.de/wartung.html
darüber informieren, wann die nächsten planmäßigen und außerplanmäßigen Wartungen
stattfinden werden bzw. ob aktuell gerade eine Wartung stattfindet.
Prototyp Interoperable Servicekonten
Tour für neue Föderationsmitglieder V 0.1 vom 05.10.2016
14
8 Noch Fragen?
8.1 Support
Bei Fragen und Problemen zum Betrieb und der Erreichbarkeit der Infrastruktur, wenden Sie
sich bitte an den Support:

E-Mail:
[email protected]

Telefon:
+49 89 544664 - 0
8.2 Info & Feedback
Bei konzeptionellen Fragen oder für Ihr Feedback senden Sie bitte eine E-Mail an
[email protected].
Prototyp Interoperable Servicekonten
Tour für neue Föderationsmitglieder V 0.1 vom 05.10.2016
15
9 Feedback willkommen!
Wir sind stark daran interessiert, nicht nur die Schnittstellen zu optimieren, sondern auch die
Dokumentation und die Werkzeuge für die Föderationsmitglieder kontinuierlich zu
verbessern. Ziel ist es, den Föderationsmitgliedern die Integration ihrer Servicekonten in die
Föderation so weit wie möglich zu vereinfachen.
Ihr Feedback ist daher sehr willkommen!
Prototyp Interoperable Servicekonten
Tour für neue Föderationsmitglieder V 0.1 vom 05.10.2016
16

Download Report