Präsentation herunterladen
Die Präsentation wird geladen. Bitte warten
1
How-To Anbindung neuer Aufrufmechanismus Bericht bisherige Erfahrungen
AusweisApp2 How-To Anbindung neuer Aufrufmechanismus Bericht bisherige Erfahrungen
2
Die Plug-In-freie eID-Aktivierung
Wird als Link auf aufgerufen Der eID-Client … öffnet die tcTokenURL führt die Online-Ausweisfunktion durch folgt allen Weiterleitungen übergibt dem Browser die URL zur authentifizierten Session
3
Die Plug-In-freie eID-Aktivierung (SAML)
Diensteanbieter eID-Server eID-Client Browser Aufruf Dienst Link auf localhost Start durch Klick auf Link Open tcTokenURL Redirect mit SAMLRequest SAMLRequest tcToken HTTP/102 (Processing) PAOS (Ausweis auslesen) RefreshURL aus tcToken Redirect mit SAMLResponse SAMLResponse Redirect zu Websession Redirect zu Websession Zugang zur Websession
4
Die Plug-In-freie eID-Aktivierung (Webservice TR-03130)
Diensteanbieter eID-Server eID-Client Browser Aufruf Dienst Link auf localhost Start durch Klick auf Link Open tcTokenURL useIDRequest useIDResponse tcToken HTTP/102 (Processing) PAOS (Ausweis auslesen) RefreshURL aus tcToken getResultRequest getResultResponse Redirect zu Websession Redirect zu Websession Zugang zur Websession
5
Sicherheitsprüfungen
Alle TLS-Zertifikate werden gegen die CertificateDescription geprüft tcTokenURL muss der SubjectURL entsprechen (gemäß RFC6454) Die RedirectURL aus dem tcToken muss der SubjectURL entsprechen (gemäß RFC6454) Die verwendeten Cipher-Suiten müssen gemäß TR und TR zugelassen sein SubjectURL CertificateDescription
6
Stärken der Plug-In-freien eID-Aktivierung
Unabhängigkeit vom eingesetzten Browser Keine Einschränkung auf bestimmte Browser Kein Update des Client bei neuen Browserversionen nötig Einsetzbarkeit auf mobilen Plattformen Benutzerführung verbessert auch bei SAML verlässt der Benutzer das Angebot des Diensteanbieters augenscheinlich nicht mehr Sicherheitsmechanismen werden durch den Client selbst umgesetzt Weniger Fehleranfälligkeit durch Drittkomponenten Bessere Fehlerbehandlung möglich
7
Schwächen der Plug-In-freien eID-Aktivierung
Einfacher Link auf localhost Wenn der Client nicht läuft, erscheint eine unschöne Fehlermeldung Prüfung, ob Client läuft ist aufwendig Wechsel zwischen Browser und Client Session-Informationen (Cookies) gehen verloren Integrationsanforderungen an den Diensteanbieter geringfügig gestiegen
8
Beispiel: Erkennen, ob die AusweisApp2 läuft
Die AusweisApp2 bietet eine URL an, die Status-Informationen zur Verfügung stellt: Mit Javascript kann eine Zwischen-Seite geschaltet werden, die die Verfügbarkeit der o.g. URL prüft. diese Zwischen-Seite darf nicht https sein Wenn ein Client erkannt wird, weiter zur Login-Seite Wenn ein Fehler auftritt, entsprechende Informationen an den Nutzer senden Beispiel-Code: <script type="text/javascript"> var xhr = null; xhr = $.ajax({ url : ' success : function(response) { console.debug("Antwort vom eID-Client erhalten"); xhr.abort(); window.location=" }, error: function(){ window.location=" timeout:1500 }); </script>
9
Erfahrungen der bisherigen Umstellungen
Die Plug-In-freien eID-Aktivierung erfordert stärkere Prüfungen SubjectURL, Zertifikate, TLS-Cipher-Suiten Testumgebungen sind schwerer aufzusetzen „Developer-Mode“ für die AusweisApp2 in Planung Cookies werden nicht übernommen Zuordnung der Session bei Übergang Browser und Client schwierig evtl. weitere Parameter in die Spezifikation übernehmen? Fehlermeldung „Request URI too long“ Problem beim SAML Webbrowser SSO im Redirect Binding Server/Firewall muss große Requests erlauben Probleme mit SSL-Firewall/SSL-Proxy Wird SSL an der Firewall terminiert, kann die Online-Ausweisfunktion nicht funktionieren (wird als Angriff gewertet)
10
Vielen Dank für Ihre Aufmerksamkeit
Governikus GmbH & Co. KG …so innovativ ist Sicherheit. Dr. Stephan Klein Geschäftsführer Am Fallturm 9 28359 Bremen Tel.: Friedrichstraße 88 10117 Berlin Tel.: Vielen Dank für Ihre Aufmerksamkeit Informationen und Download Social Media PowerPoint-Vorlage
Ähnliche Präsentationen
