Änderungen von Dokument Elster Authentifikator Plugin


Von Version 16.3
bearbeitet von gru
am 14.02.2022, 13:01
Änderungskommentar: Es gibt keinen Kommentar für diese Version
Auf Version 36.1
bearbeitet von nlo
am 02.08.2022, 11:11
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Seiteneigenschaften
Dokument-Autor
... ... @@ -1,1 +1,1 @@
1 -XWiki.gru
1 +XWiki.nlo
Inhalt
... ... @@ -9,22 +9,39 @@
9 9  Formularelementvorlage //ELSTER Accountdaten// für einen Nutzer mit persönlichem Zertifikat.
10 10  {{/figure}}
11 11  
12 -Über das kostenpflichtige //ELSTER Service Plugin// ist es möglich authentifizierte ELSTER-Accountdaten in Formularen zu erfassen. Dies geschieht indem dem Formular ein ELSTER-Login vorgeschaltet wird. Um den ELSTER-Login zu ermöglichen, muss der {{formcycle/}}-Server vorerst bei ELSTER registriert werden. Der technische Anbindungsprozess an die Schnittstellen erfolgt über ein dafür vorgesehenes Portal (Self Service Portal). Die Liveschaltung dieses Self Service Portals wird voraussichtlich gegen Ende Februar 2022 erfolgen. Über dieses Portal können die notwendigen organisatorischen und technischen Voraussetzungen Ihres Vorhabens abgebildet werden. In einem ersten Schritt kann so der ELSTER-Login integriert werden, aber auch der Anschluss an das Postfach 2.0 soll perspektivisch über das SSP möglich sein.
12 +Über das kostenpflichtige //ELSTER Service Plugin// ist es möglich authentifizierte ELSTER-Accountdaten in Formularen zu erfassen. Dies geschieht indem dem Formular ein ELSTER-Login vorgeschaltet wird. Um den ELSTER-Login zu ermöglichen, muss der {{formcycle/}}-Server vorerst bei ELSTER registriert werden. Der technische Anbindungsprozess an die Schnittstellen erfolgt über ein dafür vorgesehenes [[Portal>>https://service.mein-unternehmensportal.de]] (//Self Service Portal//). Über dieses Portal können die notwendigen organisatorischen und technischen Voraussetzungen des Vorhabens abgebildet werden. In einem ersten Schritt kann so der ELSTER-Login integriert werden, aber auch der Anschluss an das Postfach 2.0 soll perspektivisch über das //Self Service Portal// möglich sein.
13 13  
14 +Wichtig ist hierbei, dass entweder die Behörde oder der Dienstleister ein ELSTER-Organisationszertifikat zur Anmeldung am //Self Service Portal// benötigt. Dazu kann entweder ein Zertifikat genutzt werden, das bereits in der Organisation vorhanden ist oder es muss hier ein neues Zertifikat beantragt werden (es können bis zu 500 Zertifikate pro Organisation beantragt werden). Die Registrierung des Vorhabens im //Self Service Portal// kann dabei durch die Behörde oder durch einen Dienstleister geschehen. In den meisten Fällen wird dies jedoch von den Dienstleistern übernommen, da über das //Self Service Portal// auch die technische Integration abgewickelt wird. In diesem Fall ist die Übermittlung einer Vollmacht erforderlich, wobei sich das entsprechende Formular unmittelbar im Antragsformular für das jeweilige Vorhaben befindet.
15 +
14 14  Das Anlegen des Vorhabens im Portal ist für alle Vorhaben zukünftig das vorausgesetzte Vorgehen zur Anbindung an das Unternehmenskonto und dessen Bausteine.
15 15  
16 -Die Nutzung des Self Service Portals setzt in jedem Fall zwingend eine Anmeldung mit einem ELSTER-Organisationszertifikat voraus. Dieser Login ist von demjenigen durchzuführen, der für die Verwaltung der Anbindung des Vorhabens verantwortlich ist. Es steht den Nutzern frei, ob die Auftrag gebende Behörde oder der Auftrag nehmende Dienstleister die Verwaltung des Vorhabens im Self Service Portal vornimmt. Hier obliegt diese Entscheidung den konkreten organisatorischen Strukturen/Voraussetzungen des Projektes/der Projekte. Das heißt, das Organisationszertifikat wird reinr den Anbindungsprozess benötigt. Weitere Personen bzw. „Organisationszertifikate“ nnen derzeit nicht an demselben Vorhaben gleichzeitig arbeiten. Die Funktionalität, andere Projektbeteiligte für die Mitarbeit am Vorhaben im Self Service Portal zu berechtigen, folgt im weiteren Entwicklungsprozess.
18 +Auf folgender [[Website>>https://www.elster.de/eportal/unternehmerorientiert/registrierungsprozess]] kann das Organisationszertifikat beantragt werden. Weitere Details zur Anbindung finden Sie im Abschnitt //Setup//.
17 17  
18 -Auf folgender [[Website>>https://www.elster.de/eportal/registrierung-auswahl]] kann das Organisationszertifikat beantragt werden. Weitere Details zur Anbindung finden Sie im Abschnitt //Setup//.
19 -
20 20  == Setup ==
21 21  
22 -Das Plugin kann nur als Mandantplugin installiert werden. Eine Anleitung zur Installation von Plugins finden Sie [[hier>>doc:Formcycle.UserInterface.Client.Plugins.WebHome]]. Nach Installation des Plugins gibt es einen neuen Menüeintrag //ELSTER-Konfiguration// in der Verwaltungsoberfläche. Sollten Sie diesen Menüeintrag nicht sehen, stellen Sie sicher, dass der angemeldete Benutzer die Rollenberechtigung "Externe Benutzer" sowie "ELSTER-Konfiguration" besitzt. Über die ELSTER-Konfigurationsseite kann nun ein neuer ELSTER-Login erstellt werden und der sog. Entity-Descriptor für diesen Login erstellt werden. Diese Schritte sind notwendig um den ELSTER-Login bei ELSTER zu registrieren.
22 +{{figure image="MUK_Login.png"}}
23 +Anmeldebildschirm zum MUK Self-Service-Portal.
24 +{{/figure}}
23 23  
24 -=== ELSTER-Login erstellen ===
26 +Das Plugin kann nur als Mandantplugin installiert werden. Eine Anleitung zur Installation von Plugins finden Sie [[hier>>doc:Formcycle.UserInterface.Client.Plugins.WebHome]]. Nach Installation des Plugins gibt es einen neuen Menüeintrag //ELSTER-Konfiguration// in der Verwaltungsoberfläche. Sollten Sie diesen Menüeintrag nicht sehen, stellen Sie sicher, dass der angemeldete Benutzer die Rollenberechtigung "Externe Benutzer" sowie "ELSTER-Konfiguration" besitzt. Über die ELSTER-Konfigurationsseite kann nun ein neuer ELSTER-Login erstellt werden. Diese Schritte sind notwendig um den ELSTER-Login im [[MUK Self Service Portal>>https://service.mein-unternehmenskonto.de/]] zu registrieren.
25 25  
26 -Mit einem Klick auf //ELSTER-Login erstellen// in der Konfigurationsoberfläche kann ein neuer ELSTER-Login erstellt werden. Hierzu sind nun folgende Informationen nötig:
28 +=== NEZO-Vorhaben bei MUK beantragen ===
27 27  
30 +{{figure image="Meine_Vorhaben.png"}}
31 +Mit einem Klick auf "Hinzufügen" unter "Meine Vorhaben" kann im MUK Self-Service-Portal ein neues NEZO-Vorhaben erstellt werden. Ein NEZO-Vorhaben ist die Voraussetzung für die Anbindung des Unternehmenskonto-Logins. Durch einen Klick auf ein Vorhaben auf der Übersichtsseite "Meine Vorhaben" gelangt man auf die Übersichtsseite des Vorhabens, auf welcher Service-Provider beantragt / bearbeitet werden können.
32 +{{/figure}}
33 +
34 +{{figure image="Vorhaben_Verantwortlichkeiten_redacted.png"}}
35 +Beantragung eines NEZO-Vorhabens zum Zweck der Anbindung des Unternhemenskonto-Logins zu FORMCYCLE über das MUK Self-Service-Portal. Im Abscnitt Dienstleiter ist die **XIMA MEDIA GmbH** anzugeben.
36 +{{/figure}}
37 +
38 +Nach der Anmeldung im [[MUK Self Service Portal>>https://service.mein-unternehmenskonto.de/]] mit einem ELSTER-Orginisationszertifikat, muss über dieses Portal ein NEZO-Vorhaben bei MUK beantragt werden. NEZO steht für "Nutzung der ELSTER-Zertifikate im Rahmen des OZG". Ein NEZO-Vorhaben ist die Voraussetzung für die Anbindung des Unternehmenskonto-Logins. Für ein NEZO-Vorhaben müssen verschiedene Angaben gemacht werden, wie z.B. die konkrete Zeitplanung des Vorhabens oder die voraussichtliche Anzahl der Unternehmenskonto-Logins pro Tag. Für die Beantragung das Vorhabens ist ein Dienstleister nötig. Hier muss die **XIMA MEDIA GmbH** angegeben werden (siehe Abbildung rechts). Weitere Informationen zum Beantragungsprozess können Sie auf [[https://service.mein-unternehmenskonto.de/>>https://service.mein-unternehmenskonto.de/]] finden.
39 +
40 +=== ELSTER-Login in FORMCYCLE erstellen ===
41 +
42 +Nach Benantragung des MUK-Vorhabens muss in FORMCYCLE ein sog. **ELSTER-Login** erstellt werden. Dieser ELSTER-Login stellt einen Service-Provider dar, welcher später mit dem beantragten Vorhaben im //MUK Self Service Portal// verbunden wird, um Unternehmenskonto-Logins in FORMCYCLE-Formularen zu ermöglichen.
43 +Mit einem Klick auf //ELSTER-Login erstellen// in der Konfigurationsoberfläche //ELSTER-Konfiguration// in FORMCYCLE kann ein neuer ELSTER-Login erstellt werden. Hierzu sind nun folgende Informationen nötig:
44 +
28 28  ==== Allgemeine Informationen ====
29 29  
30 30  ; Name
... ... @@ -49,12 +49,35 @@
49 49  ; Land (C)
50 50  : Der aus zwei Buchstaben bestehende Ländercode im ISO-Format desjenigen Landes, in dem das Unternehmen bzw. die Behörde rechtmäßig registriert ist z.B. DE
51 51  
52 -Mit diesen Informationen wird bei der Erstellung des ELSTER-Logins ein Zertifikatsspeicher für die Signierung & Verschlüsselung erstellt. Möchten Sie einen eigenen Zertifikatsspeicher verwenden, ist darauf zu achten, dass das darin enthaltene Zertifikat eine Schlüssellönge von 4096 Bit hat und den Algorithmus RSA (SHA-256) verwendet.
69 +Mit diesen Informationen wird bei der Erstellung des ELSTER-Logins ein Zertifikatsspeicher für die Signierung & Verschlüsselung erstellt. Möchten Sie einen eigenen Zertifikatsspeicher verwenden, ist darauf zu achten, dass das darin enthaltene Zertifikat eine Schlüssellänge von 4096 Bit hat und den Algorithmus RSA (SHA-256) verwendet.
53 53  
54 -=== Entity-Descriptor erstellen ===
71 +=== Service-Provider bei MUK beantragen {{version major="2" minor="2" patch="0"/}} ===
55 55  
56 -Nachdem der ELSTER-Login erstellt wurde, kann für diesen der Entity-Descriptor erstellt werden. Der Entity-Descriptor enthält Metadaten zum {{formcycle/}}-Server und das Schlüsselmaterial für die Signierung & Verschlüsselung der Kommunikation. Diesen Entity-Descriptor müssen Sie an ELSTER senden, damit der {{formcycle/}}-Server für die Authentifizierungen registriert werden kann. Wie bereits erwähnt soll das dafür vorgesehenes Self Service Portal gegen Ende Februar 2022 zur Verfügung stehen. Werden Frontend-Server verwendet, dann muss für jeden Frontend-Server, für den der ELSTER-Login zur Verfügung stehen soll, ein Entity-Descriptor erstellt und bei ELSTER registriert werden.
73 +{{figure image="Serviceprovider.png"}}
74 +In der Übersicht eines Vorhabens kann ein Service-Provider bei MUK beantragt werden. Bei der Beantragung eines Service-Providers müssen verschiedene technische Angaben gemacht werden, welche über das Plugin in FORMCYCLE dargestellt werden können.
75 +{{/figure}}
57 57  
77 +Um den Service-Provider bei MUK registrieren zu können ist mind. {{formcycle/}}-Version {{version major="7" minor="1" patch="0"/}} & die Pluginversion {{version major="2" minor="2" patch="0"/}} nötig.
78 +Mit einem Klick auf //ELSTER-Login registrieren// eines ELSTER-Logins in der Konfigurationsoberfläche //ELSTER-Konfiguration// in FORMCYCLE öffnet sich ein Dialog mit allen relevanten Informationen, die für die Beantragung des Services-Providers über das //MUK Self Service Portal// nötig sind. Im //MUK Self Service Portal// kann nun also ein **Service-Provider** beantragt werden. Kopieren Sie diese Informationen in die entsprechenden Felder auf der Beantragungsseite des //MUK Self Service Portal//. Folgende Angaben sind für die Beantragung des Service-Providers nötig:
79 +
80 +|=Angabe|=Bemerkung
81 +|Name|Der Name des Service-Providers. Dieser kann frei vergeben werden, z.B.: FORMCYCLE Unternehmenskonto-Login Produktiv
82 +|Entity-ID|Identitfiziert den Service-Provider eindeutig. Muss aus dem Informationsdialog in FORMCYCLE übernommen werden.
83 +|Datenkranztyp|Auswahl ist abhängig vom Rechstrahmen in dem FORMCYCLE eingesetzt wird.
84 +|Kontotyp|Es besthet die Auswahl zwischen Echt- und Testkonten. Im Zweifel sollte immer "Echt" gewählt werden.
85 +|Zum Login zugelassene(s) Ordnungsmerkmal(e)|Bestimmt ob sich nur Organisationen, nur Einzelpersonen oder beide Typen über diesen Service-Provider in FORMCYLE anmelden können.
86 +|Portalbeschreibung|Diese Beschreibung wird im Login-Fenster zu Beginn des Authentifizierungsprozesses angezeigt. Wählen Sie eine zu Ihrer Organisation passende Beschreibung.
87 +|Portallogo|Dieses Logo wird im Login-Fenster zu Beginn des Authentifizierungsprozesses angezeigt. Wählen Sie ein Logo Ihrer Organisation.
88 +|Signaturzertifikat|Dient dem Identitätsnachweis der übertragenen Daten während des Authentifizierungsprozesses. Muss aus dem Informationsdialog in FORMCYCLE übernommen werden. Das Zertifikat darf keine Zeilenumbrüche enthalten.
89 +|Verschlüsselungszertifikat|Dient der Verschlüsselung der übertragenen Daten während des Authentifizierungsprozesses. Muss aus dem Informationsdialog in FORMCYCLE übernommen werden. Das Zertifikat darf keine Zeilenumbrüche enthalten.
90 +|Assertion-Consumer-Service-URLs (ACS-URLs)|Diese URLs stellen die Endpunkte während des Authentifizierungsprozesses dar. Im Informationsdialog in FORMCYCLE wird hier eine ACS-URL für den Master-Server und jeden Frontend-Server dargestellt. Es müssen nicht alle ACS-URLs in die Service-Provider-Konfiguration im //MUK Self Service Portal// übernommen werden. Übernehmen Sie die URLs für die Server auf denen Sie planen einen Unternehmenskonto-Login in Formularen zu ermöglichen.
91 +|Manage Name ID URLs|Müssen nicht angegeben werden.
92 +
93 +==== Alternative: Entity-Descriptor erstellen ====
94 +
95 +Als Alternative zur Beantragung des Service-Providers über das [[MUK Self Service Portal>>https://service.mein-unternehmenskonto.de/]] kann auch ein sog. Entity-Descriptor erstellt werden, welcher dann bei MUK manuell registriert werden muss. Dies Vorgehen ist **nicht empfohlen**. Es sollte in der Regel ein //Service-Provider// über das //MUK Self Service Portal// registriert werden.
96 +Nachdem der ELSTER-Login erstellt wurde, kann für diesen der Entity-Descriptor erstellt werden. Der Entity-Descriptor enthält Metadaten zum {{formcycle/}}-Server und das Schlüsselmaterial für die Signierung & Verschlüsselung der Kommunikation. Diesen Entity-Descriptor müssen Sie über das //Self Service Portal// an ELSTER senden, damit der {{formcycle/}}-Server für die Authentifizierungen registriert werden kann. Werden Frontend-Server verwendet, dann muss für jeden Frontend-Server, für den der ELSTER-Login zur Verfügung stehen soll, ein Entity-Descriptor erstellt und bei ELSTER registriert werden.
97 +
58 58  {{id name="sec_form_access"/}}
59 59  
60 60  == Einbindung des ELSTER-Logins in Formularen ==
... ... @@ -110,7 +110,7 @@
110 110  
111 111  Für jedes abgesendete Formular, an welchem sich per ELSTER authentifiziert wurde, wird ein Protokolleintrag am Vorgang erstellt. Diese beinhaltet die AccountPseudonym-ID (sowie die DatenübermittlerPseudonym-ID), die ID der SAML-Response, die IssueInstant der SAML-Response und die InResponseTo-ID der SAML-Response.
112 112  
113 -Optional kann für jede ELSTER-Anmeldung (ohne Formularabsendung) eine solche Protkollierung aktiviert werden (siehe Konfiguration des Plugins). Dies ist standardmäßig deaktiviert.
153 +Optional kann für jede ELSTER-Anmeldung (ohne Formularabsendung) eine solche Protkollierung aktiviert werden (siehe [[Konfiguration des Plugins>>Konfiguration des Plugins||anchor="HKonfigurationdesPlugins"]]). Dies ist standardmäßig deaktiviert.
114 114  
115 115  == ELSTER-Postkorb {{version major="2" minor="1" patch="0"/}} ==
116 116  
... ... @@ -122,10 +122,10 @@
122 122  
123 123  === Aktion: ELSTER Postkorbnachricht ===
124 124  
125 -Mit dieser Aktion können Nachrichten an den ELSTER-Postkorb von authentifizierten Nutzern/Antragstellern gesendet werden. Der Inhalt der Nachricht kann derzeit nur ein PDF sein. Der Empfänger der Nachricht wird über den Status identifiziert, in dem sich der Nutzer/Antragsteller am Formular authentifiziert hat. Die Aktion gibt die ELSTER-Transfer-ID der veresendeten Nachricht im Ergebnis zurück. Diese kann in der Aktion //ELSTER Postkorbnachricht Status// verwendet werden. Folgende Parameter sind für die Konfiguration nötig bzw. optional:
165 +Mit dieser Aktion können Nachrichten an den ELSTER-Postkorb von authentifizierten Nutzern/Antragstellern gesendet werden. Der Inhalt der Nachricht kann derzeit nur ein PDF sein. Der Empfänger der Nachricht wird über den Status identifiziert, in dem sich der Nutzer/Antragsteller am Formular authentifiziert hat. Die Aktion gibt die ELSTER-Transfer-ID der versendeten Nachricht im Ergebnis zurück. Diese kann in der Aktion //ELSTER Postkorbnachricht Status// verwendet werden. Folgende Parameter sind für die Konfiguration nötig bzw. optional:
126 126  
127 127  ; Datenart (Pflicht)
128 -: Angabe der Art des Dokuments. Mögliche Werte sind //EPMitteilung//, //EPBescheid// & Gewerbesteuermitteilung//.//
168 +: Angabe der Art des Dokuments. Mögliche Werte sind //EPMitteilung//, //EPBescheid// & //Gewerbesteuermitteilung.//
129 129  
130 130  ; Absender (Pflicht)
131 131  : Der Absender der Nachricht, z.B. Stadt XYZ.
... ... @@ -134,7 +134,7 @@
134 134  : Bezeichnung der Nachricht.
135 135  
136 136  ; E-Mail-Adresse (Pflicht bei EPBescheiden)
137 -: Notwendig beim Versand von rechtsverbindlichen Bescheiden. Dies ist die E-Mail-Adresse des Empfängers und soltle bei Bescheiden entsprechend im Formular erfasst werden.
177 +: Notwendig beim Versand von rechtsverbindlichen Bescheiden. Dies ist die E-Mail-Adresse des Empfängers und sollte bei Bescheiden entsprechend im Formular erfasst werden.
138 138  
139 139  ; Geschätszeichen (Optional)
140 140  : Für die Zuordnung des Falles zu einem Geschäftsvorgang kann das Geschäftszeichen angegeben werden.
... ... @@ -173,14 +173,19 @@
173 173  In den Plugineinstellungen können Parameter zu Konfiguration angegeben werden:
174 174  
175 175  |=Parameter|=Bemerkung|=Standardwert
176 -|elster.bundle.param.supported.issuer.ids|Semikolon-separierte Liste der unterstützten Issuer-IDs|[[https://idp.een.elster.de>>https://idp.een.elster.de]];[[https://www.elster.de>>https://www.elster.de]]
216 +|elster.bundle.param.supported.issuer.ids|Semikolon-separierte Liste der unterstützten Issuer-IDs|https://idp.een.elster.de[[https://idp.een.elster.de]];https://www.elster.de[[https://www.elster.de]]
177 177  |elster.bundle.param.protocol.preserve|Ob die angelegten Protokolleinträge löschbar (false) oder nicht löschbar (true) sein sollen|true
178 178  |elster.bundle.param.protocol.login.callbacks|Gibt an ob für jede Anmeldung bei ELSTER ein Mandantprotokolleintrag erstellt werden soll|false
179 -|elster.bundle.param.elster.transfer.client.url|URL zur ELSTER-Transfer-Anwendung. Ist nötig um Nachrichten an den ELSTER-Postkorb zu versenden.|-----
219 +|elster.bundle.param.elster.transfer.client.url|URL zur ELSTER-Transfer-Anwendung. Ist nötig um Nachrichten an den ELSTER-Postkorb zu versenden.|-
180 180  |elster.bundle.param.inbox.message.test.mode|Gibt an ob Postkorbnachrichten im Testmodus versendet werden. Im Testmodus kann eine konkrete ELSTER-Account-ID angegeben werden, an welche die Postkorbnachricht versendet werden soll.|false
181 181  
182 182  == Versionshistorie ==
183 183  
224 +=== 2.1.4 ===
225 +
226 +* Fehler in der Validierung der Konfiguration der Workflowaktion "ELSTER Postkorbnachricht" wurden behoben.
227 +* Fehler bei der Darstellung der ELSTER-Accountdaten Formularvorlage wurden behoben.
228 +
184 184  === 2.1.3 ===
185 185  
186 186  * Der Loginbutton für den ELSTER-Login hat standardmäßig den Titel "Login mit Mein Unternehmenskonto".
MUK_Login.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.nlo
Größe
... ... @@ -1,0 +1,1 @@
1 +240.8 KB
Inhalt
Meine_Vorhaben.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.nlo
Größe
... ... @@ -1,0 +1,1 @@
1 +137.0 KB
Inhalt
Serviceprovider.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.nlo
Größe
... ... @@ -1,0 +1,1 @@
1 +161.7 KB
Inhalt
Vorhaben_Verantwortlichkeiten_redacted.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.nlo
Größe
... ... @@ -1,0 +1,1 @@
1 +423.6 KB
Inhalt