Der neue Personalausweis Einsatzmöglichkeiten in der Lucom Interaction Platform Nutzerbeirat 2012 Bonn 20.11.2012 Henning Meinhardt Leiter Software Entwicklung
Ab Version 3.2.2 unterstützt die LIP den neuen Personalausweis.
Der neue Personalausweis in der LIP 3.2.2 Erweiterungs-Module für Governikus Autent von BOS eid-service der Bundesdruckerei Funktionsumfang: - Auslesen der Ausweis-Daten - Befüllung von Formularen - Identifizierung über Pseudonym für anonymen Zugang - Kopplung der Ausweisdaten an das Nutzerkonto - Anmeldung über den Ausweis
Der neue Personalausweis in der LIP 3.2.2 Welches Modul nehme ich? - Gleicher Funktionsumfang - Beide arbeiten auf Basis von SAML Nachrichten - Unterschiedliche ClientUnterstützung: Bundesdruckerei: nur AusweisApp BOS: AusweisApp und Autent Applet
Anwendungs-Szenarien Was kann ich mit meinem npa und der LIP anstellen?
Anwendungs-Szenarien Befüllen einzelner Formulare - Einmaliges Auslesen der Ausweisdaten aus dem geöffneten Formular heraus - Aufruf über neues Symbol in der Toolbar - Füllen von Feldern wie z.b. Name und Adresse - Sperren der Eingabefelder nach der Datenübernahme - Freigabe von Formularbestandteilen oder Funktionen, z.b. nach Alters- oder Wohnortverifikation - Temporäre Speicherung der Ausweisdaten in der Sitzung für das Befüllen weiterer Formulare
Anwendungs-Szenarien Befüllen einzelner Formulare Voraussetzungen: - Funktioniert mit jedem Formular, für angemeldete oder anonyme Nutzer, unabhängig von Speicherung der Formulardaten in einer Datenbank - Erfordert ein globales oder im Formular hinterlegtes Script, das den auszulesenden Datenumfang (optionale und erforderliche Attribute) und die Verteilung auf Formularfelder festlegt - Bei globalem Script reicht eine Kennzeichnung des Formulars zur Bereitstellung dieser Funktionalität
Anwendungs-Szenarien in LIP 4.0: Unterzeichnen von Formularen - Nutzung der neuen Unterschriftsfelder - Unterschreiben mit Vor- und Nachname - Bequeme Definition der mit einer Unterschrift geschützten Eingabefelder - Geeignet für (in-house) Anwendungsfälle, in denen keine qualifizierte Unterschrift erforderlich ist
Anwendungs-Szenarien Identifikation über Pseudonym - Für Anwendungsfälle mit anonymen Nutzern, die trotz fehlenden Nutzerkontos ihre Daten zentral abspeichern möchten - Es wird nur das Pseudonym abgefragt, keine personenbezogenen Daten - Eindeutige Identifizierung von Nutzern über das Pseudonym - Erzeugen versteckter Nutzerkonten für alle npa Nutzer; Zuordnung über das Pseudonym. Keine Anmeldung über Benutzername/Passwort - Bei Verlust des Ausweises: Betreiber muss dem Nutzer ggf. Möglichkeit einräumen, Zugang zu gespeicherten Altdaten zu erlangen
Anwendungs-Szenarien Kopplung der Ausweisdaten an das Nutzerkonto - Dauerhafte Verbindung zwischen Nutzerkonto und dem npa - Einmaliges Auslesen der Ausweisdaten im selfservice Verfahren, im Rahmen der Selbstregistrierung oder nachgelagert im Nutzerprofil - Kopplung lässt sich jederzeit entfernen oder aktualisieren (neuer/verlorener Ausweis) - Anmeldung am System wahlweise mit dem npa (Auslesen des Pseudonyms) oder herkömmlich mit Nutzerkennung und Passwort (wenn aktiviert) - Optional direkte Nutzung der dauerhaft gespeicherten Ausweisdaten in allen Formularen, kein erneutes Auslesen erforderlich
Anwendungs-Szenarien Kopplung der Ausweisdaten an das Nutzerkonto Technischer Hintergrund - Zuordnung des npa zum Nutzerkonto erfolgt anhand des eindeutigen Pseudonyms - Speicherung der npa Daten in separater Tabelle, mehrere Ausweise pro Nutzerkonto sind möglich - Scripting API für Zugriff auf im Nutzerkonto hinterlegte npa Daten ( NPAStore )
Los geht s... Was benötige ich für einen erfolgreichen Start?
Voraussetzungen für erfolgreichen Start Lucom stellt zur Verfügung - Die beiden Module für BOS Governikus Autent und den eid-service der Bundesdruckerei - Beispiel-Formular npa Test als Ausgangspunkt für eigene Anwendungen: - Angabe der auszulesenden Daten - Auswahl des Clients (nur BOS Governikus) - Einstellung client-spezifische Zustzattribute - Visualisierung der ausgelesenen Daten, auch im Rohformat - Anzeige der exakten, vom ID Provider zurückgelieferten Fehlermeldungen und Stati
Voraussetzungen für erfolgreichen Start Lucom stellt zur Verfügung - Beispiel-Formular Benutzer-Profil - Einfaches self-service Formular zur Bearbeitung des eigenen Nutzerprofils - Herstellen und Lösen der Kopplung mit dem Ausweis - Beispiel Login-Script für npa Anmeldung - Erweiterung des datenbank-gestützten Anmeldeverfahrens um Anmeldung mit dem npa. Setzt Kopplung zwischen npa und Benutzerkonto voraus. - Dokumentation im Wiki - Einrichtung und Konfiguration der Module - Verwendung des Beispielformulars npa Test - Tipps & Tricks, z.b. erforderliche exakte Zeitsynchronisierung
Voraussetzungen für erfolgreichen Start Lucom stellt zur Verfügung - Neue Schaltfläche in der Toolbar - Direkt in jedem Formular verwendbar - Startet das Auslesen von Ausweisdaten und die Befüllung des Formulars
Voraussetzungen für erfolgreichen Start Lucom stellt zur Verfügung - Scripting API - Einfaches Anforderung von Ausweisdaten, kein manuelles Zusammenfügen URLs oder Absenden von SAML Requests erforderlich - Angabe der auszulesenden Attribute - Angabe einer Callback-Funktion zur Verarbeitung der zeitversetzt eintreffenden Ergebnisse - Zugriff auf vorformatierte und die Roh-Daten (wichtig z.b. bei unvollständigem Geburtsdatum XX.10.1973) - NPAStore zur Speicherung der eingelesenen Daten, Zuordnung zu einem Nutzerkonto - Wiedereinlesen von Ausweisdaten aus dem NPAStore zur Verwendung in späteren Sitzungen oder anderen Formularen, ohne erneuten Zugriff auf den Ausweis
Voraussetzungen für erfolgreichen Start Was muss ich selbst noch tun? - Konfiguration der URL, unter der der Dienstanbieter (ID Provider) erreichbar ist sowie der eingerichteten Anbieterkennung (i.d.r. URL des eigenen Auftritts) - Sicherstellen, dass eigene LIP Installation vom IP Provider aus über HTTPS erreichbar ist, passendes SSL Zertifikat einrichten - Sicherstellen, dass die LIP mit einer festen BasisURL betrieben wird (empfohlen), oder aber die Rücksendeadresse (für SAML Antwort des ID Providers) manuell konfiguriert wird - Sicherstellen, dass die Uhrzeit auf dem LIP-Server stets korrekt ist, Zeit-Synchronisierung wird empfohlen
Voraussetzungen für erfolgreichen Start Was muss ich selbst noch tun? - Registrieren der vom IP Provider erhaltenen Zertifikate (ggf. nur eines) für - Verschlüsselung der SAML Anfrage (an ID Provider) - Signaturprüfung der SAML Antwort (vom ID Provider) - Erzeugen von Schlüsselpaaren (private/public) für - Signierung der SAML Anfrage (an ID Provider) - Entschlüsselung der SAML Antwort (vom ID Provider) Ein Beispiel-Script liegt bei. (Nur!) die öffentlichen Schlüssel dieser Paare an den ID Provider weiterleiten - Bei BOS Governikus Autent: Festlegen, ob AusweisApp oder Autent Applet standardmäßig verwendet wird