A B A C U S KONFIGURATION MOBILE ID November 2014 / om Version 1.3 Diese Unterlagen sind urheberrechtlich geschützt. Insbesondere das Recht, die Unterlagen mittels irgendeines Mediums (grafisch, technisch, elektronisch und/oder digital, einschliesslich Fotokopie und downloading) ganz oder teilweise zu vervielfältigen, vorzutragen, zu verbreiten, zu bearbeiten, zu übersetzen, zu übertragen oder zu speichern, liegt ausschliesslich bei ABACUS Research AG. Jede Verwertung in den genannten oder in anderen als den gesetzlich zugelassenen Fällen, namentlich jede kommerzielle Nutzung, bedarf der vorherigen schriftlichen Einwilligung von ABACUS Research AG. Die gewerbsmässige Verletzung der Urheberrechte kann gemäss Art. 67 Abs. 2 URG bestraft werden. Copyright 2014 by ABACUS Research AG, CH-9301 Wittenbach-St.Gallen
Inhaltsverzeichnis 1 Einleitung...2 1.1 Vorwort...2 1.2 Voraussetzung...2 1.3 Wie funktioniert der Login via Mobile ID?...3 2 IDP-Anbindung...4 2.1 Einstellungen auf dem ABACUS-Server...4 2.2 Einstellungen auf dem IDP-Server...5 3 Konfiguration im ABACUS...5 3.1 Hinterlegung der Serien-Nummer der Mobile ID...6 3.2 Wie finde ich die Serien-Nummer meiner Mobile ID...6 Konfiguration Mobile ID Seite I
Einleitung 1 Einleitung Diese Anleitung zeigt Ihnen auf, wie sie Mobile ID an die ABACUS Business Software anbinden. 1.1 Vorwort In Zusammenhang mit dem sicheren Login via Mobile ID ins ABACUS unterscheidet die Firma ABACUS Research AG zwei unterschiedliche Modelle. Modell 1 = Normaler Lizenzbetrieb (Interne Benutzer mit normalem Applikationszugriff) Modell 2 = SaaS-Modell (Externe Benutzer mit einem Abonnement) ABACUS-Kunden im Modell 2 (detaillierte Informationen zum SaaS-Modell finden Sie hier), welche über ein von der ABACUS zur Verfügung gestelltes Abonnement arbeiten brauchen keine spezielle Infrastruktur für den Login via Mobile ID. Für ABACUS-Kunden mit einem Abonnement betreibt die Firma ABACUS Research AG die dazu notwenige Infrastruktur. Ist dies der Fall, können Sie das Kapitel 2 überspringen und den Anweisungen des Kapitels 3 folgen. Wenn Sie kein ABACUS Abonnement-Nutzer sind, also im Modell 1 arbeiten, müssen Sie sich als Service Provider bei der Swisscom registrieren lassen. Als Service-Provider müssen Sie über einen aufgebauten IDP-Server verfügen. Nähere Informationen dazu finden Sie unter http://swisscom.com/mid (Technische Dokumente, SAML and SuisseID integration guide). 1.2 Voraussetzung Der sichere Login via Mobile ID wird ab der ABACUS-Version 2014 unterstützt. Die Mobile ID kann gratis bei Swisscom (demnächst auch bei Sunrise und Orange) bezogen werden. Falls etwas im Bereich der Mobile ID nicht in Ordnung ist, wird eine entsprechende Meldung beim Login-Versuch angezeigt (z.b. PIN blockiert oder keine Mobile ID auf dieser Nummer vorhanden) Konfiguration Mobile ID Seite 2
Einleitung 1.3 Wie funktioniert der Login via Mobile ID? 1. Aufruf des Links (z.b. https://abaweb.abacus.ch/suisseidcallidp?idp=abacus-mobileid-prod) Verbindung zum IDP. Der IDP muss vom Service Provider selbständig aufgebaut und gewartet werden. 2. Eingabe der Mobile Nummer. Der IDP-Server ruft oder erstellt eine Verbindung zum MSS (Mobile Signature Service), welcher von der Swisscom betrieben wird (auf). 3. Der MSS prüft, ob diese Mobile Nummer (welche unter Punkt 2 eingeben wurde) für die Nutzung der Mobile ID aktiv ist und sendet über eine sichere GSM Verbindung die Login-Aufforderung an diese Mobile Nummer. 4. Der User bestätigt bzw. signiert die Login-Aufforderung mit seinem persönlichen Mobile ID PIN, welche er oder sie am Mobile Phone eingibt. Die signierte Login-Aufforderung geht via GSM, respektive MSS zurück an den IDP 5. Der IDP prüft die zurück erhaltene Antwort vom MSS und generiert eine SAML Assertion mit dessen Angaben und übergibt diese an den AppServer Konfiguration Mobile ID Seite 3
IDP-Anbindung 2 IDP-Anbindung Damit der IDP vom ABACUS-Server angesprochen werden kann, müssen Sie folgendes tun: 2.1 Einstellungen auf dem ABACUS-Server 1. Öffnen Sie die Datei suisseid.properties im Verzeichnis \abac\kd\system\suisseid Der Dateiname sowie das Verzeichnis suisseid geben Aufschluss darauf, dass die SAML-Integration über die SuisseID-Integration gemacht wird bzw. die bestehende SuisseID-Integration für die Erweiterung der Mobile ID-Integration genutzt wird. 2. Tragen Sie in dieser Datei den Namen bzw. den Link auf Ihren IDP-Server ein Beispiel: 3. Anschliessend kopieren Sie bitte das Zertifikat (ihres IDP-Servers) die die SAML Assertion signiert in folgendes Verzeichnis: \abac\kd\system\suisseid\cert Dafür können Sie ein self-signed SSL-Zertifikat einsetzen. Dies lässt sich einfach via OpenSSL generieren. Beispiel: openssl req -new -days 3650 -newkey rsa:4096bits sha256 -x509 -nodes -out server.crt -keyout server.key -config openssl.cnf Konfiguration Mobile ID Seite 4
IDP-Anbindung 4. Passen Sie nun die Verlinkung auf Ihre Zertifikatsnamen in der Datei suisseid.properties an. 5. Damit die Änderungen übernommen werden, stoppen und starten Sie nun die ABACUS-Dienste 2.2 Einstellungen auf dem IDP-Server Bei simplesaml-php müssen folgende Metadaten hinterlegt werden: Beispiel: $metadata['abacus vi Login'] = array( 'AssertionConsumerService' => array( 'https://abatreuhand-1.abacus.ch/suisseidauth?idp=abacus-mobileid-prod', ), 'NameIDFormat' => 'urn:oasis:names:tc:saml:1.1:nameid-format:unspecified', 'simplesaml.nameidattribute' => 'serialnumber', 'simplesaml.attributes' => FALSE, 'ForceAuthn' => TRUE, ); Konfiguration Mobile ID Seite 5
Konfiguration im ABACUS 3 Konfiguration im ABACUS Damit sich der User mittels Mobile ID ins ABACUS einloggen kann, muss seine Serien-Nummer in der Benutzerverwaltung der ABACUS-Business Software hinterlegt werden. Dazu gehen Sie bitte wie folgt vor: 3.1 Hinterlegung der Serien-Nummer der Mobile ID Arbeitsablauf 1. Benutzerverwaltung im ABACUS öffnen (q981) 2. Entsprechender User anwählen 3. Auf den Tabellen-Reiter 'Login' wechseln 4. Bei Externe Authentisierung die Option "externer Server" aktivieren 5. Im Dropdownfeld Host ihren IDP auswählen (hinterlegt in der Datei suisseid.properties) 6. Im Feld Benutzer Id die Serien-Nummer der Mobile ID eintragen (siehe Kapitel 3.2) 3.2 Wie finde ich die Serien-Nummer meiner Mobile ID Bitten Sie den Benutzer sich via Mobile ID ins ABACUS einzuloggen. Der User erhält nun eine Fehlermeldung mit der entsprechenden Serien-Nummer, da diese im ABACUS in der Benutzerverwaltung noch nicht hinterlegt wurde. Auf der Homepage, auf welcher die Mobile ID fähige SIM-Karte bestellt und aktiviert wurde, wird es anfangs 2015 ein Testen Sie Ihre Mobile ID Punkt geben. Dieser prüft die Mobile ID Readynes und teilt dem User seine eindeutige Serien-Nummer mit. Wichtig Die Serien-Nummer ändert sich bei Sicherheitsrelevanten Vorgängen wie z.b. PIN reset der Mobile ID oder Neu-Bestellung der SIM Karte und muss daraufhin im ABACUS nachgeführt werden. Konfiguration Mobile ID Seite 6