Governikus Autent ID Connect

Seit dem Release 4.53.0 steht in MACH formsolutions Plattform die neue eID-Konfiguration auf Basis von OpenID Connect zur Verfügung. Um diese verwenden zu können, werden im Folgenden die benötigten Schritte für die Einrichtung in der MACH formsolutions Plattform erläutert und dargestellt. Die Verwendung der neuen Authentifizierungsmethode ist ausschließlich für Assistenten nutzbar.

Modulkonfiguration

Damit die neue Authentifizierungsart verwendet werden kann, müssen die entsprechenden Authentifizierungseinstellungen für das Autent ID Connect System in der Modulkonfiguration in der MACH formsolutions Plattform hinterlegt werden. Hierbei wird in der Modulkonfiguration unter dem Reiter eiD-Konfiguration ein neuer Eintrag "Governikus Autent ID Connect" angeboten.

Feldbeschreibungen

• Client-ID: In diesem Feld wird die Nummer des im Autent ID Connect System hinterlegten Mandanten gepflegt.
• Client-Secret: In diesem Feld wird das Passwort des im Autent ID Connect System hinterlegten Mandanten gepflegt.
• Endpunkt zur Ad-Hoc Authentifizierung: In diesem Feld wird die URL hinterlegt, unter der die NPA-Funktionalität (Ad-Hoc Authentifizierung über Personalausweis) des Autent ID Connect Systems bereitgestellt wird.

  Hinweis:
Diese Option wird immer dann verwendet, wenn der das Kontrollkästchen "Ad-Hoc Authentifizierung verwenden" angehakt ist. Die hier einzutragende URL erhalten Sie vom Betreiber ihres Servicekontos.

• Abgerufene Scopes am NPA-Endpunkt: In diesem Feld werden die vom Autent ID Connect System unterstützten Scopes für den NPA-Endpunkt angegeben. Dies ist genau dann relevant, wenn das genannte System nicht alle zur Verfügung stehenden Scopes unterstützt. Die einzutragenden Werte können vom Betreiber der Governikus Anwendung erfragt werden und müssen im Format des folgenden Beispiels eingetragen werden:
  AcademicTitle, ArtisticName, BirthName, DateOfBirth, DateOfExpiry

  Hinweis:
Werden keine Werte in das Feld eingetragen, so werden alle Scopes verwendet, welche prinzipiell für das Autent ID Connect System laut Dokumentation zur Verfügung stehen.

• Endpunkt zur Authentifizierung mit dem Servicekonto: In diesem Feld wird die URL hinterlegt, unter der die SK-Funktionalität (Servicekonto) des Autent ID Connect Systems bereitgestellt wird.

  Hinweis:
Diese Option wird immer dann verwendet, wenn der das Kontrollkästchen "Servicekonto verwenden" angehakt ist und der Haken bei "Ad-Hoc Authentifizierung verwenden" nicht gesetzt ist. Die hier einzutragende URL erhalten Sie vom Betreiber ihres Servicekontos.

• Abgerufene Scopes am SK-Endpunkt: In diesem Feld werden die vom Autent ID Connect System unterstützten Scopes für den SK-Endpunkt angegeben. Dies ist genau dann relevant, wenn das genannte System nicht alle zur Verfügung stehenden Scopes unterstützt. Die einzutragenden Werte können vom Betreiber der Governikus Anwendung erfragt werden und müssen im Format des folgenden Beispiels eingetragen werden:
  AcademicTitle, ArtisticName, BirthName, DateOfBirth, DateOfExpiry

  Hinweis:
Werden keine Werte in das Feld eingetragen, so werden alle Scopes verwendet, welche prinzipiell für das Autent ID Connect System laut Dokumentation zur Verfügung stehen.

  Hinweis:
Für die Neuanlage benötigen Sie entsprechende Antwort-URL's (URL inkl. Endpunkt, an den der Response nach der Authentisierung z.B. via AusweisApp2 zurückgesandt wird) die wie folgt aufgebaut sind:
Authentisierung über das Servicekonto: < server >/oidc-web/login/oauth2/code/sk-< mandantennummer >.
Authentisierung über einen temporär eingelesenen Personalausweis: < server >/oidc-web/login/oauth2/code/npa-< mandantennummer >.
Die in den obigen Antwort-URL's vorkommenden Platzhalter müssen wie folgt ersetzt werden:
< server >: Die URL, unter der die MACH formsolutions Plattform erreichbar ist.
< mandantennummer >: Die Mandantennummer, welche in der MACH formsolutions Plattform für den jeweiligen Mandanten hinterlegt ist.

Veröffentlichung von Assistenten

Damit die Authentisierungsart mit der Autent ID Connect System für einen Assistenten aktiviert werden kann, müssen folgende Schritte getätigt werden:

1. Aktivierung der NPA-Funktionalität in der Veröffentlichung eines Assistenten

(npaFunktionVeroeffentlichung.jpg)

1. Auswählen der Authentisierungsart

Beim Auswählen der Authentisierungsart ist die Modulkonfiguration zu berücksichtigen. Hierbei gilt:

• Ist in der Modulkonfiguration die Option "Ad-Hoc Authentifizierung verwenden" aktiviert und die zugehörigen Werte gepflegt, so wird in jedem Fall diese Option verwendet, unabhängig von dem im Folgenden erwähnten Authentifizierungsniveau. In diesem Fall findet bei der Authentifizierung kein Absprung in das Servicekonto statt, stattdessen wird die lokale Anwendung "AusweisApp 2" direkt angesprochen um das Ausweisdokument auszulesen.
• Ist in der Modulkonfiguration die Option "Servicekonto verwenden" aktiviert und die zugehörigen Werte gepflegt, so kann der Veröffentlicher über das im folgenden Screenshot dargestellte Authentisierungsniveau festlegen, welches Mindestauthentisierungsniveau auf Seiten des Servicekontos gelten soll. Hierbei gilt folgende Zuordnung:
  • "Undefiniert" -> Mindestauthentisierungsniveau "Niedrig"
  • "Niveau 1" -> Mindestauthentisierungsniveau "Niedrig"
  • "Niveau 2" -> Mindestauthentisierungsniveau "Substanziell"
  • "Niveau 3" -> Mindestauthentisierungsniveau "Substanziell"
  • "Niveau 4" -> Mindestauthentisierungsniveau "Hoch"

Authentisierungsniveau / Vertrauens-Niveau

• Undefiniert:
  Authentisierung über den NPA-Endpunkt mit dem Personalausweis. Um diese Art der Authentisierung nutzen zu können, muss die URL zum NPA-Endpunkt in der Modulkonfiguration hinterlegt sein.
• Niveau 1:
  Authentisierung über den SK-Endpunkt. Hierbei hat der Antragsteller die Auswahl, ob die Authentisierung beim Servicekonto über Benutzername/Passwort oder den Personalausweis erfolgen soll. Um diese Art der Authentisierung nutzen zu können, muss die URL zum SK-Enpunkt in der Modulkonfiguration hinterlegt sein.
• Niveau 2:
  Authentisierung über den NPA-Endpunkt mit dem Personalausweis. Um diese Art der Authentisierung nutzen zu können, muss die URL zum NPA-Endpunkt in der Modulkonfiguration hinterlegt sein.
• Niveau 3:
  Authentisierung über den NPA-Endpunkt mit dem Personalausweis. Um diese Art der Authentisierung nutzen zu können, muss die URL zum NPA-Endpunkt in der Modulkonfiguration hinterlegt sein.
• Niveau 4:
  Authentisierung über den NPA-Endpunkt mit dem Personalausweis. Um diese Art der Authentisierung nutzen zu können, muss die URL zum NPA-Endpunkt in der Modulkonfiguration hinterlegt sein.

Um die Authentisierungsoption und somit die Berücksichtigung des Authentisierungsniveaus zu aktivieren, wird in der Veröffentlichung eines Assistenten eine Konfigurationsmöglichkeit angeboten, bei dem diese eingeschaltet, ausgeschaltet oder optional ausgewählt werden kann.

Sind alle hier beschriebenen Optionen in der MACH formsolutions Plattform gepflegt, so können die ausgelesenen Authentisierungsdaten wie hier beschrieben im Assistenten verwendet werden.