| ... |
... |
@@ -14,11 +14,11 @@ |
| 14 |
14 |
Bestehende Anbindungen zu Service-Konten von **BundID**, **BayernID** und **ELSTER** werden bei der Installation des Plugins automatisch auf das neue Plugin umgestellt. |
| 15 |
15 |
Die veralteten Plugins bleiben dabei auf dem System werden aber deaktiviert. Alle zuvor konfigurierten Anbindungen werden als Externe Benutzer im jeweiligen Bereich(System oder Mandant) definiert. |
| 16 |
16 |
Designer-Vorlagen, die mit den veralteten Plugins in das System gekommen sind, werden entfernt. |
| 17 |
|
-\\**Migrations-Beispiel:** |
|
17 |
+\\**Migrations-Beispiel für BayernID Anbindung:** |
| 18 |
18 |
Ausgangspunkt ist ein FORMCYCLE System mit mehreren Mandanten. In zwei Mandanten ist jeweils das// AKDB: Bürgerkonto-Service-Plugin //(Anbindung an **BayernID**) installiert. |
| 19 |
19 |
Einer der **BayernID **Mandanten hat die Einbindung des Bürgerkonto Logins als Externer Benutzer konfiguriert. |
| 20 |
20 |
|
| 21 |
|
-Nachdem das** BürgerService Plugin** im System Bereich installiert wurde ergibt sich folgendes Bild: |
|
21 |
+Nachdem das** BürgerService Plugin** im [[System Bereich>>doc:Formcycle.SystemSettings.UserInterface.SystemPlugins||target="_blank"]] installiert wurde ergibt sich folgendes Bild: |
| 22 |
22 |
|
| 23 |
23 |
* Die veralteten //AKDB: Bürgerkonto-Service-Plugins// in den jeweiligen Mandanten sind deaktiviert, aber noch vorhanden. |
| 24 |
24 |
* In beiden Mandanten mit **BayernID **Anbindung befindet sich jetzt ein Externer Benutzer, welcher zukünftig die Authentifizierung mit dem **BayernID**-Portal realisiert. |
| ... |
... |
@@ -27,6 +27,12 @@ |
| 27 |
27 |
* Alte Designer-Vorlagen für die Anzeige der Bürgerkonto-Daten wurden durch neue Vorlagen ersetzt. |
| 28 |
28 |
* Die Formulare welche bisher die **BayernID** über den Login-Button eingebunden hatten müssen nicht angepasst werden. Bei Nutzung des Login-Buttons, sowie der Postkorb-Aktion im Workflow erfolgt eine automatische Weiterleitung an die durch das **BürgerService Plugin** bereitgestellte Funktionalität. |
| 29 |
29 |
|
|
30 |
+Hinweis: Es werden nur fertig konfigurierte **BayernID **Anbindungen migriert. Ist nur das Plugin im Mandaten vorhanden ist, sind aber keine Einstellungen zur Anbindung (Keystore, EntityID etc.) konfiguriert, kann keine Migration in einen [[Externen Benutzer>>doc:Formcycle.UserInterface.UserSettings.ExternalUsers.WebHome||target="_blank"]] erfolgen. |
|
31 |
+ |
|
32 |
+ |
|
33 |
+**Migration für BundID Anbindung:** |
|
34 |
+Bei bestehenden **BundID** Anbindungen werden die vorhandenen Externen Benutzer mit der neuen Konfigurationseinstellungen erweitert. Vorhandene Formulare mit BundID Anbindung, können ähnlich, wie bei der BayernId ohne Anpassung genutzt werden. |
|
35 |
+ |
| 30 |
30 |
== Konfiguration neuer Servicekonto Anbindungen == |
| 31 |
31 |
|
| 32 |
32 |
Neue Anbindungen an Servicekonten müssen im {{formcycle/}} System als [[Externe Benutzer>>doc:Formcycle.SystemSettings.UserInterface.ExternalUsers.WebHome]] (auch als Authentikatoren bezeichnet) angelegt werden. Dabei ist es möglich diese im System- als auch im Bereich des Mandanten anzulegen. |
| ... |
... |
@@ -37,24 +37,59 @@ |
| 37 |
37 |
In diesem Fall sollte jeweils im Mandanten ein Externer Benutzer angelegt werden, welcher die Anbindung an des Servicekonto realisiert. Die aktuellen Anbindungen an die **BundID**, die **BayernID **sowie an das **ELSTER**-Portal arbeiten alle auf Grundlage des [[SAML 2.0>>https://en.wikipedia.org/wiki/SAML_2.0||rel="noopener noreferrer" target="_blank"]] - Protokolls. Eine Festlegung bei der Kommunikation über das SAML Protokoll ist es, dass im Vorfeld zwischen dem jeweiligen Identity Provider und dem Service Provider (FORMCYCLE) Metadaten ausgetauscht werden müssen, wo die Rücksprungziele in das jeweils andere System (per URL) fest definiert sind. Durch das Anlegen des Externen Benutzers im Bereich des jeweiligen Mandanten kann hier eine saubere Trennung und damit auch Nutzung in den Formularen stattfinden. |
| 38 |
38 |
Legt man bei dieser Systemkonstellation die verschiedenen Externen Benutzer im System - Bereich an, so muss der Formularentwickler dann innerhalb des Formular die für seinen Mandanten korrekte Anbindung auswählen, was eine potenzielle Fehlerquelle sein kann. |
| 39 |
39 |
|
| 40 |
|
- |
| 41 |
41 |
**Ist ein Multi-Mandanten- oder ein Single-Mandat- {{formcycle/}} System mit einer Host-Adresse für die Ansteuerung der Formulare vorhanden?** |
| 42 |
42 |
|
| 43 |
43 |
Hier sollten alle Externen Benutzer für die Servicekonten-Ansteuerung im System-Bereich angelegt werden. Der Vorteil ist an dieser Stelle, dass alle Anbindungen zentral an einer Stelle vorhanden sind und alle Formular-Benutzer in den verschiedenen Mandanten Zugriff auf diese erhalten. |
| 44 |
44 |
|
| 45 |
|
-=== Anbindung eines Servicekonto === |
|
50 |
+=== Anbindung eines Servicekontos === |
| 46 |
46 |
|
|
52 |
+{{figure image="extUser_selection.png"}} |
|
53 |
+Auswahl eines Servicekontos |
|
54 |
+{{/figure}} |
|
55 |
+ |
| 47 |
47 |
In diesem Abschnitt werden die allgemeinen Schritte, welche für die Anbindung der unterschiedlichen Servicekonten notwendig sind, erläutert. |
| 48 |
|
-Die Anbindung lässt sich kurz in folgende durchzuführende Schritte gliedern: |
| 49 |
49 |
|
| 50 |
|
-1. Anlegen einen neuen Externen Benutzer unter dem Menüpunkt (System > Systemplugins bzw. Mandant > Plugins) |
| 51 |
|
-1. Spezifische Authentikator Konfiguration festlegen |
| 52 |
|
-1. Weiterleiten der Konfigurationsdaten (Metadaten), sowie der Vertragsdaten an den jeweiligen Identity Provider (BundID, BayernID) bzw. |
| 53 |
|
-selbst durchgeführte Konfiguration auf Seiten des Identity Providers über ein Self-Service Portal (ELSTER) |
| 54 |
|
-1. Freischaltung des Authentikators in {{formcycle/}}, nach Rückmeldung durch den jeweiligen Identity Provider |
|
58 |
+Bevor man ein Servicekonto anbindet sollten folgende Voraussetzungen erfüllt sein: |
| 55 |
55 |
|
| 56 |
|
-=== Anbindung BundID === |
|
60 |
+* Die im Unternehmen verantwortlichen technischen und organisatorischen Ansprechpartner müssen bekannt sein (Namen, E-Mail-Adressen). Diese Informationen werden innerhalb des Registrierungs-Prozesses für die einzelnen Servicekonten an unterschiedlichen Stellen benötigt. |
|
61 |
+* URLs für die Anbindung des FORMCYCLE-Systems müssen eingerichtet und **von außen erreichbar** sein. Dabei ist zu beachten, dass bei Verwendung eines Frontend-Servers die URL zu diesem verwendet wird. |
| 57 |
57 |
|
| 58 |
|
-=== Anbindung ELSTER //Mein Unternehmenskonto// === |
|
63 |
+Die Anbindung eines Servicekontos lässt sich allgemein in folgende Schritte gliedern: |
| 59 |
59 |
|
| 60 |
|
-=== Anbindung BayernID === |
|
65 |
+1. Anlegen einen neuen Externen Benutzer (Authentikator) unter dem Menüpunkt System > [[Systemplugins>>doc:Formcycle.SystemSettings.UserInterface.SystemPlugins||target="_blank"]] oder Mandant > [[Plugins>>doc:Formcycle.UserInterface.Client.Plugins||target="_blank"]]. |
|
66 |
+1. Spezifische Authentikator Konfiguration über die zur Verfügung gestellte Oberfläche ausführen. Die Konfigurationsoberfläche unterscheidet sich je nach ausgewählten Servicekonto. Auf die Unterschiede bei der Anbindung des jeweiligen Servicekonto-Typs wird in den nachfolgenden Abschnitten näher eingegangen. |
|
67 |
+1. Download und Weiterleitung der festgelegten Konfigurationsdaten (Metadaten), sowie der Vertragsdaten an den jeweiligen Identity Provider (**BundID**, **BayernID**) bzw. |
|
68 |
+selbst durchzuführende Konfiguration auf Seiten des Identity Providers über ein Self-Service Portal (ELSTER) |
|
69 |
+1. Freigabe des Authentikators in {{formcycle/}}, nach erfolgter Rückmeldung über die erfolgte Registrierung der Metadaten durch den jeweiligen Identity Provider bzw. Freigabe durch Prüfungsinstanz (bei ELSTER Self Service Portal Registrierung) und damit Beginn der Einbindung des Servicekontos in Formulare |
|
70 |
+ |
|
71 |
+=== Details zur Anbindung BundID === |
|
72 |
+ |
|
73 |
+=== Details zur Anbindung ELSTER //Mein Unternehmenskonto// === |
|
74 |
+ |
|
75 |
+=== Details zur Anbindung BayernID === |
|
76 |
+ |
|
77 |
+Um das Servicekonto der **BayernID** anzubinden ist ein neuer Externer Benutzer anzulegen und als Authentifizierungstyp **BayernID** auszuwählen. |
|
78 |
+ |
|
79 |
+==== Schritt 1: Konfiguration anlegen ==== |
|
80 |
+ |
|
81 |
+{{figure image="bayernID_config1.png"}} |
|
82 |
+Schritt 1: Notwendige Daten für Erzeugung der Service Metadaten festlegen |
|
83 |
+{{/figure}} |
|
84 |
+ |
|
85 |
+* Im 1. Schritt der Konfiguration erscheint eine Eingabeoberfläche, wo folgende Festlegungen getroffen werden müssen: |
|
86 |
+** Festlegung, ob Test- oder Live-Uumgebung der **BayernID** anzubinden ist. |
|
87 |
+** Erhebung von Zertifikatsinformationen, welche anschließend zur Generierung eines privaten und öffentlichen Schlüssels herangezogen werden. Dieses Schlüsselpaar dient zur Ver- und Entschlüssung der Kommunikation, zwischen {{formcycle/}} und der **BayernID**. |
|
88 |
+** Angaben zum organisatorischen und technischen Ansprechpartner, welche an das **BayernID**-Portal weitergegeben werden. |
|
89 |
+* Nach dem Speichern der Eingaben gelangt man zum 2. Schritt |
|
90 |
+ |
|
91 |
+==== Schritt 2: Metadaten erzeugen und registrieren ==== |
|
92 |
+ |
|
93 |
+{{figure image="bayernID_config2.png"}} |
|
94 |
+Schritt 2: Download der erzeugten Meta- und vorbefüllten Vertragsdaten für eine jeweiligen Host-Adresse |
|
95 |
+{{/figure}} |
|
96 |
+ |
|
97 |
+* Über den nachfolgenden Button lassen sich Metadaten für die einzelnen, im FORMCYCLE System gefundenen, Host-Adressen generieren. Soll der Login später über unterschiedliche Host-Adressen erreichbar sein, so muss für jeden Host die Metadaten-Datei erzeugt und an das BayernID-Portal zur Registrierung übermittelt werden. |
|
98 |
+Weiterhin kann eine vorbefüllte Beitrittserklärung heruntergeladen werden. |
|
99 |
+** Anschließend können Sie die vorbefüllte **Beitrittserklärung**, sowie die erzeugten **SAML-Metadaten **(in XML-Format) herunterladen. Die **Beitrittserklärung **muss um die fehlenden Daten zu ergänzt werden. |
|
100 |
+** Die **Beitrittserklärung **sowie die **SAML-Metadaten** sind an die AKDB (Mail: **BayernID@akdb.de**) zu senden, mit der Bitte, um Aufnahme in den Portalverbund. |
|
101 |
+* Damit ist der 1. Teil der Registrierung abgeschlossen und Antwort vom **BayernID** Portal muss abgewartet werden. |
