Governikus Autent ID Connect

Seit dem Release 4.53.0 steht im Formularserver die neue eID-Konfiguration auf Basis von OpenID Connect zur Verfügung. Um diese verwenden zu können, werden im Folgenden die benötigten Schritte für die Einrichtung im Formularserver erläutert und dargestellt. Die Verwendung der neuen Authentifizierungsmethode ist ausschließlich für Assistenten nutzbar.

Modulkonfiguration

Damit die neue Authentifizierungsart verwendet werden kann, müssen die entsprechenden Authentifizierungsdaten für das Autent ID Connect System in der Modulkonfiguration im Formularserver hinterlegt werden. Hierbei wird in der Modulkonfiguration unter dem Reiter eiD-Konfiguration ein neuer Eintrag "Governikus Autent ID Connect" angeboten.

Feldbeschreibungen

• Client-ID: In diesem Feld wird die Nummer des im Autent ID Connect System hinterlegten Mandanten gepflegt.
• Client-Secret: In diesem Feld wird das Passwort des im Autent ID Connect System hinterlegten Mandanten gepflegt.
• Endpunkt zur Ad-Hoc Authentifizierung: In diesem Feld wird die URL hinterlegt, unter der die NPA-Funktionalität (Ad-Hoc Authentifizierung über Personalausweis) des Autent ID Connect Systems bereitgestellt wird.

  Hinweis:
Diese Option wird immer dann verwendet, wenn der das Kontrollkästchen "Ad-Hoc Authentifizierung verwenden" angehakt ist. Die hier einzutragende URL erhalten Sie vom Betreiber ihres Servicekontos.

• Abgerufene Scopes am NPA-Endpunkt: In diesem Feld werden die vom Autent ID Connect System unterstützten Scopes für den NPA-Endpunkt angegeben. Dies ist genau dann relevant, wenn das genannte System nicht alle zur Verfügung stehenden Scopes unterstützt. Die einzutragenden Werte können vom Betreiber der Governikus Anwendung erfragt werden und müssen im Format des folgenden Beispiels eingetragen werden:
  AcademicTitle, ArtisticName, BirthName, DateOfBirth, DateOfExpiry

  Hinweis:
Werden keine Werte in das Feld eingetragen, so werden alle Scopes verwendet, welche prinzipiell für das Autent ID Connect System laut Dokumentation zur Verfügung stehen.

• Endpunkt zur Authentifizierung mit dem Servicekonto: In diesem Feld wird die URL hinterlegt, unter der die SK-Funktionalität (Servicekonto) des Autent ID Connect Systems bereitgestellt wird.

  Hinweis:
Diese Option wird immer dann verwendet, wenn der das Kontrollkästchen "Servicekonto verwenden" angehakt ist und der Haken bei "Ad-Hoc Authentifizierung verwenden" nicht gesetzt ist. Die hier einzutragende URL erhalten Sie vom Betreiber ihres Servicekontos.

• Abgerufene Scopes am SK-Endpunkt: In diesem Feld werden die vom Autent ID Connect System unterstützten Scopes für den SK-Endpunkt angegeben. Dies ist genau dann relevant, wenn das genannte System nicht alle zur Verfügung stehenden Scopes unterstützt. Die einzutragenden Werte können vom Betreiber der Governikus Anwendung erfragt werden und müssen im Format des folgenden Beispiels eingetragen werden:
  AcademicTitle, ArtisticName, BirthName, DateOfBirth, DateOfExpiry

  Hinweis:
Werden keine Werte in das Feld eingetragen, so werden alle Scopes verwendet, welche prinzipiell für das Autent ID Connect System laut Dokumentation zur Verfügung stehen.

  Hinweis:
Für die Neuanlage benötigen Sie entsprechende Antwort-URL's (URL inkl. Endpunkt, an den der Response nach der Authentisierung z.B. via AusweisApp2 zurückgesandt wird) die wie folgt aufgebaut sind:
Authentifizierung über das Servicekonto: < server >/oidc-web/login/oauth2/code/sk-< mandantennummer > Authentifizierung über einen temporär eingelesenen Personalausweis: < server >/oidc-web/login/oauth2/code/npa-< mandantennummer > Die in den obigen Antwort-URL's vorkommenden Platzhalter müssen wie folgt ersetzt werden: < server >: Die URL, unter der der Formularserver erreichbar ist. < mandantennummer >: Die Mandantennummer, welche im Formularserver für den jeweiligen Mandanten hinterlegt ist.

Veröffentlichung von Assistenten

Damit die Authentifizierungsart mit der Autent ID Connect System für einen Assistenten aktiviert werden kann, müssen folgende Schritte getätigt werden:

1. Aktivierung der NPA-Funktionalität in der Veröffentlichung eines Assistenten

(npaFunktionVeroeffentlichung.jpg)

1. Auswählen der Authentifizierungsart

Beim Auswählen der Authentifizierungsart ist die Modulkonfiguration zu berücksichtigen. Hierbei gilt:

• Ist in der Modulkonfiguration die Option "Ad-Hoc Authentifizierung verwenden" aktiviert und die zugehörigen Werte gepflegt, so wird in jedem Fall diese Option verwendet, unabhängig von dem im Folgenden erwähnten Authentifizierungsniveau. In diesem Fall findet bei der Authentifizierung kein Absprung in das Servicekonto statt, stattdessen wird die lokale Anwendung "AusweisApp 2" direkt angesprochen um das Ausweisdokument auszulesen.
• Ist in der Modulkonfiguration die Option "Servicekonto verwenden" aktiviert und die zugehörigen Werte gepflegt, so kann der Veröffentlicher über das im folgenden Screenshot dargestellte Authentifizierungsniveau festlegen, welches Mindestauthentifizierungsniveau auf Seiten des Servicekontos gelten soll. Hierbei gilt folgende Zuordnung:
  • "Undefiniert" -> Mindestauthentifizierungsniveau "Niedrig"
  • "Niveau 1" -> Mindestauthentifizierungsniveau "Niedrig"
  • "Niveau 2" -> Mindestauthentifizierungsniveau "Substanziell"
  • "Niveau 3" -> Mindestauthentifizierungsniveau "Substanziell"
  • "Niveau 4" -> Mindestauthentifizierungsniveau "Hoch"

Authentifizierungsniveau / Vertrauens-Niveau

• Undefiniert:
  Authentifizierung über den NPA-Endpunkt mit dem Personalausweis. Um diese Art der Authentifizierung nutzen zu können, muss die URL zum NPA-Endpunkt in der Modulkonfiguration hinterlegt sein.
• Niveau 1:
  Authentifizierung über den SK-Endpunkt. Hierbei hat der Antragsteller die Auswahl, ob die Authentifizierung beim Servicekonto über Benutzername/Passwort oder den Personalausweis erfolgen soll. Um diese Art der Authentifizierung nutzen zu können, muss die URL zum SK-Enpunkt in der Modulkonfiguration hinterlegt sein.
• Niveau 2:
  Authentifizierung über den NPA-Endpunkt mit dem Personalausweis. Um diese Art der Authentifizierung nutzen zu können, muss die URL zum NPA-Endpunkt in der Modulkonfiguration hinterlegt sein.
• Niveau 3:
  Authentifizierung über den NPA-Endpunkt mit dem Personalausweis. Um diese Art der Authentifizierung nutzen zu können, muss die URL zum NPA-Endpunkt in der Modulkonfiguration hinterlegt sein.
• Niveau 4:
  Authentifizierung über den NPA-Endpunkt mit dem Personalausweis. Um diese Art der Authentifizierung nutzen zu können, muss die URL zum NPA-Endpunkt in der Modulkonfiguration hinterlegt sein.

Um die Authentifizierungsoption und somit die Berücksichtigung des Authentifizierungsniveaus zu aktivieren, wird in der Veröffentlichung eines Assistenten eine Konfigurationsmöglichkeit angeboten, bei dem diese eingeschaltet, ausgeschaltet oder optional ausgewählt werden kann.

Sind alle hier beschriebenen Optionen im Formularserver gepflegt, so können die ausgelesenen Authentifizierungsdaten wie hier beschrieben im Assistenten verwendet werden.