Inhalt
Initiale Installation
Das Bürgerservice Plugin muss im System Bereich von Xima® formcycle installiert werden (Menüpunkt: System > Systemplugins).
Es bietet aktuell die Anbindung an folgende Servicekonten:
- BundID
- BayernID
- ELSTER (Mein Unternehmenskonto)
- ein Portal mittels der ExtensionAPI (z.B. Kommunalportal.NRW oder OpenR@thaus)
Migration bestehender Service-Konten-Anbindungen
- Bestehende Anbindungen zu Service-Konten von BundID, BayernID und ELSTER werden bei der Installation des Plugins automatisch auf das neue Plugin umgestellt.
- Die veralteten Plugin-Bundles (jar-Dateien) bleiben dabei auf dem System erhalten, werden aber deaktiviert.
- Alle zuvor konfigurierten Anbindungen werden als Login-Dienst im jeweiligen Bereich (System oder Mandant) definiert.
- Designer-Vorlagen, die mit den veralteten Plugins in das System gekommen sind, werden entfernt.
Migrations-Beispiel für BayernID Anbindung
Ausgangspunkt ist ein formcycle System mit mehreren Mandanten. In zwei Mandanten ist jeweils das AKDB: Bürgerkonto-Service-Plugin (Anbindung an BayernID) installiert.
Einer der BayernID Mandanten hat die Einbindung des Bürgerkonto Logins als Login-Dienst konfiguriert.
Nachdem das Bürgerservice Plugin im System Bereich installiert wurde ergibt sich folgendes Bild:
- Die veralteten AKDB: Bürgerkonto-Service-Plugins in den jeweiligen Mandanten sind deaktiviert, aber noch vorhanden.
Achtung:
Das veraltete AKDB: Bürgerkonto-Service-Plugin darf nach der Migration nicht wieder aktiviert werden. Sollte dies dennoch der Fall sein, so ist das Plugin wieder zu deaktivieren und das Systemplugin Bürgerservice muss nach der Deaktivierung nochmalig gespeichert werden. Das nochmalige Speichern bewirkt die Reinitialisierung eines Servlets, welches für die Entgegennahme und Weiterleitung der BayernID Authentifizierungsdaten zuständig ist.
- BayernID Anbindung befindet sich jetzt ein Login Dienst, welcher zukünftig die Authentifizierung mit dem BayernID-Portal realisiert.
In einem Mandanten wurde dazu im Zuge der Migration der Login-Dienst neu angelegt. In dem Mandanten, wo bereits ein Login Dienst bestand, wurde dieser um notwendige Daten (Zertifikate zur Kommunikation, Anbindungsdaten für den Postkorb-Schnittstelle) erweitert, sodass er auch weiterhin in den bereits bestehenden Formularanbindungen genutzt werden kann. - Der Menüpunkt AKDB Setup ist in den Mandanten nicht mehr vorhanden. Die Einstellungen, welche den Postkorb betreffen (z.B.: Zertifikat für Postkorb-Kommunikation) sind jetzt direkt am neu erstellten bzw. migrierten Login Diensten zu finden.
- Alte Designer-Vorlagen für die Anzeige der Bürgerkonto-Daten wurden durch neue Vorlagen ersetzt.
- Die Formulare welche bisher die BayernID über den Login-Button eingebunden hatten müssen nicht angepasst werden. Bei Nutzung des Login-Buttons, sowie der Postkorb-Aktion im Workflow erfolgt eine automatische Weiterleitung an die durch das Bürgerservice Plugin bereitgestellte Funktionalität.
Hinweis:
Es werden nur fertig konfigurierte BayernID Anbindungen migriert. Ist nur das Plugin im Mandaten vorhanden ist, sind aber keine Einstellungen zur Anbindung (Keystore, EntityID etc.) konfiguriert, kann keine Migration in einen Login Dienst erfolgen.
Migration für BundID Anbindungen
Bei bestehenden BundID Anbindungen werden die vorhandenen Login Dienste mit der neuen Konfigurationseinstellungen erweitert. Vorhandene Formulare mit BundID Anbindung, können ähnlich, wie bei der BayernID ohne Anpassung genutzt werden.
Migration für ELSTER Anbindungen
Bei bereits im System existenten ELSTER Anbindungen werden die vorhandenen Login Dienste mit neuen Konfigurationseinstellungen erweitert. Formulare mit einer Zugriffssteuerung über ELSTER können ohne weitere Anpassung genutzt werden. Anbindungen an den ELSTER-Transfer-Client, welche über die entsprechende ELSTER Postkorbnachricht Workflow-Aktion in den Formularen eingebunden sind, werden automatisch auf die Bürgerservice Plugin Funktionalität weitergeleitet. Dadurch ergibt sich auch hier keine notwendige Anpassung der vorhandenen Formulare.
Vorüberlegungen zur Anbindung neuer Servicekonten
Neue Anbindungen an Servicekonten müssen im formcycle - System als Login-Dienst (auch als Authentikatoren bezeichnet) angelegt werden. Dabei ist es möglich diese im System- als auch im Bereich des Mandanten anzulegen.
Folgende Überlegungen sollten für eine Entscheidung des Bereichs, in welchem die Login-Dienste angelegt werden, herangezogen werden.
Ist ein Multi-Mandanten formcycle - System mit unterschiedlichen Host-Adressen für die Ansteuerung der Formulare der einzelnen Mandanten vorhanden? (Meist realisiert über Anbindung mehrerer Frontend-Server)
In diesem Fall sollte jeweils im Mandanten ein Login Dienst angelegt werden, welcher die Anbindung an des Servicekonto realisiert.
Der Grund für dieses empfohlene Vorgehen ist, dass die aktuellen Anbindungen an die BundID, die BayernID, sowie an das ELSTER-Portal alle auf Grundlage des SAML 2.0- Protokolls arbeiten. Eine Festlegung bei der Kommunikation über das SAML 2.0 Protokoll ist es, dass im Vorfeld zwischen dem jeweiligen Identity Provider (Servicekonto-Portal) und dem Service Provider (FORMCYCLE) Metadaten ausgetauscht werden müssen. In diesen Metadaten sind die Rücksprungziele in das jeweils andere System (per URL) fest definiert.
Durch das Anlegen eines Login-Dienstes im Bereich des jeweiligen Mandanten kann hier eine saubere Trennung und damit auch Nutzung in den Formularen stattfinden.
Legt man bei dieser Systemkonstellation verschiedene Login-Dienste im System - Bereich an, so muss der Formularentwickler innerhalb des Formular die für seinen Mandanten korrekte Anbindung auswählen, was eine potenzielle Fehlerquelle sein kann.
Ist ein Multi-Mandanten- oder ein Single-Mandat- formcycle System mit einer Host-Adresse für die Ansteuerung der Formulare vorhanden?
Hier sollten alle Login-Dienste für die Servicekonten-Ansteuerung im System-Bereich angelegt werden. Der Vorteil ist an dieser Stelle, dass alle Anbindungen zentral an einer Stelle vorhanden sind und alle Formular-Benutzer in den verschiedenen Mandanten Zugriff auf diese erhalten.
Allgemeine Informationen zur Anbindung eines Servicekontos
In diesem Abschnitt werden die Schritte, welche für die Anbindung aller Servicekonten gleichermaßen gelten, erläutert.
Bevor man ein Servicekonto anbindet sollten folgende Voraussetzungen erfüllt sein:
- Die im Unternehmen verantwortlichen technischen und organisatorischen Ansprechpartner müssen bekannt sein (Namen, E-Mail-Adressen). Diese Informationen werden innerhalb des Registrierungs-Prozesses für die einzelnen Servicekonten an unterschiedlichen Stellen benötigt.
- URLs für die Anbindung des FORMCYCLE-Systems müssen eingerichtet und von außen erreichbar sein. Dabei ist zu beachten, dass bei Verwendung eines Frontend-Servers die URL zu diesem verwendet wird.
Die Anbindung eines Servicekontos lässt sich in folgende Schritte gliedern:
- Anlegen eines neuen Login-Dienstes (Authentikator) unter dem Menüpunkt System > Systemplugins oder Mandant > Plugins.
- Spezifische Authentikator Konfiguration über die zur Verfügung gestellte Oberfläche ausführen. Die Konfigurationsoberfläche unterscheidet sich je nach ausgewählten Servicekonto. Auf die Unterschiede bei der Anbindung des jeweiligen Servicekonto-Typs wird in den nachfolgenden Abschnitten näher eingegangen.
- Download und Weiterleitung der festgelegten Konfigurationsdaten (Metadaten), sowie der Vertragsdaten an den jeweiligen Identity Provider (BundID, BayernID) bzw.
selbst durchzuführende Konfiguration auf Seiten des Identity Providers über ein Self-Service Portal (ELSTER) - Freigabe des Authentikators im formcycle System, nach erfolgter Rückmeldung über die erfolgte Registrierung der Metadaten durch den jeweiligen Identity Provider bzw. Freigabe durch Prüfungsinstanz (bei ELSTER Self Service Portal Registrierung) und damit Beginn der Einbindung des Servicekontos in Formulare
Details für die Anbindung der BundID
Um das Servicekonto der BundID anzubinden ist ein neuer Login Dienst anzulegen und als Authentifizierungstyp BundID auszuwählen.
Notwendige Vorarbeiten
Bevor mit der Einrichtung der Anbindung begonnen werden kann, muss eine Registrierung der eigenen Organisation im BundID Self Service Portal (SSP) (https://ssp.id.bund.de/ip) erfolgen. Im weiteren Verlauf ist dann über dieses Portal ein neues Anbindungsvorhaben zu erstellen, in dessen Konfigurationsverlauf Daten zu hinterlegen sind, welche aus der nachfolgend beschriebenen Konfiguration des BundID Login-Dienstes in Xima® formcycle entstehen.
Schritt 1: Konfiguration anlegen
Im 1. Schritt der Konfiguration erscheint eine Eingabeoberfläche, wo folgende Festlegungen getroffen werden müssen:
- Festlegung, ob Test- oder Live-Umgebung der BundID anzubinden ist.
- Erhebung von Zertifikatsinformationen, welche anschließend zur Generierung eines privaten und öffentlichen Schlüssels herangezogen werden. Dieses Schlüsselpaar dient zur Ver- und Entschlüsselung der Kommunikation, zwischen Xima® formcycle und der BundID.
- Angaben welche später für die Anzeige auf Seiten der BundID dienen, sowie die Hinterlegung der BMI ID, welche einen Rückschluss auf das Anbindungsvorhaben auf Seiten der BundID bietet .
Nach dem Speichern der Eingaben gelangt man zum 2. Schritt der Anbindung.
Anzeigename der Fachanwendung
Der Anzeigename der Fachanwendung wird dem Nutzer im BundID-Portal angezeigt, bevor die Nutzerdaten an formcycle zurück übermittelt werden. Standardmäßig wird der Wert "XIMA FORMCYCLE" gesetzt. Ein Überschreiben des Wertes ist jederzeit möglich, wobei maximal 50 Zeichen für den neuen Namen erlaubt sind. Hier könnten Sie beispielweise Ihren Amtsnamen eintragen.
Der Anzeigename der Fachanwendung wird global in allen Formularen des Mandanten verwendet. Ab Version 2.3.0 des Bürgerservice-Plugins kann der Anzeigename auch direkt am Login-Button definiert werden. Dieser Wert überschreibt den globalen Anzeigenamen und ermöglicht die Angabe eines eigenen Namens für ein einzelnes Formular.
Nach dem Speichern der Eingaben gelangt man zum 2. Schritt der Anbindung.
Schritt 2: Metadaten erzeugen und registrieren
In diesem Schritt werden die notwendigen Daten für die Registrierung des Anbindungsvorhabens auf Seiten der BundID erzeugt.
Wenn auf Seiten der BundID das Anbindungsvorhaben konfiguriert wird, so sind folgende Angaben aus der Konfiguration zu entnehmen und im Vorhaben zu hinterlegen:
- die Service Provider Entity ID
- die Assertion-Consumer-Service-URL(s)
- das Gültigkeitsdatum für das öffentliche Zertifikat
- das öffentliche Zertifikat
In der Oberfläche werden alle im Xima® formcycle System gefundenen Host-Adressen, über die das System aktuell erreichbar ist, als Assertion-Consumer-Service-URLs aufgeführt.
Im BundID SSP müssen anschließend nur die URLs als vertrauenswürdige URLs hinterlegt werden, über welche später die Authentifizierung mit der BundID erfolgen soll. In vielen Fällen ist/sind dies nur die Frontend-Server URL(s).
Nach dem Hinterlegen und Absenden der Daten im Anbindungsvorhaben auf Seiten der BundID ist der 1. Teil der Registrierung abgeschlossen und eine Freigabe des Anbindungsvorhabens auf Seiten der BundID muss abgewartet werden.
Schritt 3: BundID-Login Aktivierung
Dieser Schritt sollte erst durchgeführt werden, wenn im BundID SSP, die Medlung vorhanden ist, dass dem Antrag des Anbindungsvorhabens stattgegeben wurde. Erst mit dem Button BundId-Login aktivieren wird der Authentikator im System aktiviert. Er ist damit in den Formularen verfügbar und kann eingebunden werden.
Hinweis:
Wenn Sie den Login vor einer positiven Rückmeldung im BundID SSP aktivieren, so kann der BundID Login zwar bereits in Formulare eingebunden werden, wird aber beim Aufruf in einem Fehler resultieren, da der anfragende Service im BundID Portal nicht bekannt ist.
- Optionale Limitierung erlaubter Origins
- Bei Einbindung der Formulare innerhalb abweichender Domänen können hier die jeweiligen Origins nach dem Muster (https://www.xima.de) angegeben werden. Diese dienen zur Verifizierung der Anfragen innerhalb des Authentifizierungs-Workflows. Die durch das System zur Verfügung gestellten Mandant- und Frontend-Server-URLs müssen dabei nicht explizit angegeben werden.
Sind hier keine Werte definiert werden alle Origins zugelassen.
Konfiguration Identity Provider Anfrageverhalten
Nach Aktivierung des Logins erweitert sich die Konfigurationsoberfläche des Authentifikators. Unter dem Punkt Erweiterte Einstellungen > Konfiguration Identity Provider Anfrageverhalten kann das Anfrageverhalten für alle Formulare, welche diesen Authentifikator später über den Formularzugriff angebunden haben, beeinflusst werden. Dabei sind folgende Einstellungen möglich:
- Vertrauensniveau
- Angaben in dieser Eigenschaft dienen zum Einschränken der Authentisierungsverfahren auf zugelassene Vertrauensniveaus.
Einschränkungen dieser Art werden an referenzierende Identity Provider weitergereicht, wenn dies durch den aufrufenden Identity Provider unterstützt wird. - Login Methoden einschränken
- Angaben in dieser Eigenschaft dienen zum Einschränken der Authentisierungsverfahren. Ist kein Wert gesetzt, erfolgt keine Einschränkung und dem Nutzer werden alle, vom Identity-Provider zur Verfügung gestellten, Anmeldeverfahren zur Auswahl angezeigt.
- Pflichtelemente
- Über diese Eigenschaft können Attribute als verpflichtende Nutzereigenschaften angefordert werden.
Alle Authentisierungsverfahren, welche die geforderten Attribute nicht erfüllen, werden dadurch ausgeblendet.
Sofern der Formular-Workflow beispielsweise die Kommunikation mit dem Postkorb zwingend erfordert,
kann hier der Wert "Postkorb" angegeben werden, wodurch unter anderem das Ausblenden der temporären Anmeldung erreicht wird. - Angeforderte Eigenschaften einschränken
- Angaben in dieser Eigenschaft dienen zum Einschränken der zurück gelieferten Eigenschaften aus einer erfolgreichen Nutzer-Anmeldung.
In erster Linie ist diese Eigenschaft dazu gedacht, dem Grundsatz der Datensparsamkeit aus den Vorgaben der DSGVO (Datenschutz-Grundverordnung) gerecht zu werden.
Sind keine Werte gesetzt, erfolgt keine Einschränkung und es werden alle vom Identity-Provider zur Verfügung
gestellten Nutzer-Eigenschaften zurück geliefert.
Konfiguration BundID Postkorbanbindung
Unter dem Punkt Erweiterte Einstellungen > Konfigurtion BundID Postkorbanbindung können Sie die Daten für einen Proxy-Server hinterlegen, wenn dieser für die Kommunikation zum BundID Postkorb notwendig sein sollte.
Über den Button Postkorb Verbindung prüfenkann der Zugriff auf den Postkorb-Webservice getestet werden.
Folgende URL muss vom formcycle Master-Server aus erreichbar sein:
- Testsystem: https://int.id.bund.de/bspx-postkorb-okkomm-ws/bspservices/postkorbkomm ODER
- Livesystem:
- bei Kommunikation über des Netz des Bundes (NdB): https://prod.id.bmi.in.bund.de/bspx-postkorb-okkomm-ws/bspservices/postkorbkomm
- bei Kommunikation über das Verbindungsnetz des Bundes (NdB-VN): https://prod.bundid.doi-de.net/bspx-postkorb-okkomm-ws/bspservices/postkorbkomm
- Achtung: Der Livesystem Postkorb-Webservice ist nicht direkt aus dem Internet erreichbar!
Details für die Anbindung des ELSTER Unternehmenskontos
Um das Unternehmenskonto ELSTER anzubinden ist ein neuer Login Dienst anzulegen und als Authentifizierungstyp ELSTER Unternehmenskonto auszuwählen.
formcycle Schritt 1: Konfiguration anlegen
Im 1. Schritt der Konfiguration erscheint eine Eingabeoberfläche, wo folgende Festlegungen getroffen werden müssen:
- Festlegung, ob Test- oder Live-Umgebung des ELSTER Portals anzubinden ist.
- Definition einer eindeutigen ID. Diese ID dient im weiteren Verlauf als Entity-ID innerhalb der SAML-Metadatenkonfiguration und wird in einer URL-Notation angegeben.
- Erhebung von Zertifikatsinformationen, welche anschließend zur Generierung eines privaten und öffentlichen Schlüssels herangezogen werden. Dieses Schlüsselpaar dient zur Ver- und Entschlüsselung der Kommunikation, zwischen Xima® formcycle und dem ELSTER Portal.
Nach dem Speichern der Eingaben gelangt man zum 2. Schritt der Anbindung.
formcycle Schritt 2: Vorbereitung für Registrierung im MUK Portal
In diesem Schritt werden die Daten angezeigt, die für eine Anbindung von formcycle an das ELSTER Mein Unternehmenskonto (MUK) notwendig sind:
- Entity-ID
- Assertion Consumer-Service-URLs: Hier werden alle URL's aus dem FORMCYCLE-System aufgeführt (Master-Server-, sowie Frontend-Server- Verbindungen), über die später eine Kommunikation zwischen ELSTER und Xima® formcycle möglich wäre.
Im MUK müssen nur die URL(s) hinterlegt werden, über die am Ende wirklich eine Kommunikation stattfinden soll. - Öffentlicher Schlüssel: Dieses Zertifikat ist im MUK Self Service Portal als Signatur- und Verschlüsselungszertifikat zu hinterlegen
Damit ist der 1. Teil der Registrierung abgeschlossen und es muss in das MUK Self Service Portal von ELSTER gewechselt werden.
Im MUK Self Service Portal sind anschießend ein Vorhaben und ein Service-Provider anzulegen.
Um sich am Self Service Portal zu authentifizieren ist ein Organisationszertifikat notwendig.
Wenn ihre Organisation noch nicht über ein solches verfügt können Sie dieses über folgende Website beantragen.
MUK Self Service Portal: Registrierung eines NEZO Vorhabens
Die nachfolgenden Angaben in diesem Abschnitt beziehen sich auf die durchzuführenden Schritte im MUK Self Service Portal, welche außerhalb von Xima® formcycle stattfinden.
NEZO steht für "Nutzung der ELSTER-Zertifikate im Rahmen des Onlinezugangsgesetzes (OZG)".
MUK Self Service Portal Schritt 1: Anmeldung
- Das MUK Self Service Portal von ELSTER ist über https://service.mein-unternehmenskonto.de erreichbar.
- Die Anmeldung am MUK Self Service Portal kann nur mit einen Organisationszertifikat durchgeführt werden.
MUK Self Service Portal Schritt 2: Vorhaben hinzufügen
Nach der Anmeldung im MUK Self Service Portal, muss über dieses Portal ein NEZO-Vorhaben beantragt werden.
Mit einem Klick auf "Hinzufügen" unter "Meine Vorhaben" kann ein neues Vorhaben erstellt werden.
Ein NEZO-Vorhaben ist die Voraussetzung für die Anbindung des Unternehmenskonto-Logins.
Durch einen Klick auf ein Vorhaben auf der Übersichtsseite "Meine Vorhaben" gelangt man auf die Übersichtsseite des Vorhabens, auf welcher anschließend Service-Provider beantragt / bearbeitet werden können.
Für die Beantragung eines NEZO-Vorhaben müssen verschiedene Angaben gemacht werden:
- die konkrete Zeitplanung des Vorhabens
- die voraussichtliche Anzahl der Unternehmenskonto-Logins pro Tag.
- Für die Beantragung das Vorhabens ist ein Dienstleister nötig. Hier muss die XIMA MEDIA GmbH angegeben werden (siehe Abbildung rechts)
- Weitere Informationen zum Beantragungsprozess entnehmen Sie bitte direkt der Vorhaben-Erstellungsseite.
Nachdem des NEZO-Vorhaben beantragt wurde, kann ein Service-Provider für das Vorhaben eingerichtet werden. Die dafür notwendigen Schritte werden im nächsten Abschnitt beschrieben.
MUK Self Service Portal Schritt 3: Service-Provider beantragen
In der Übersicht eines Vorhabens kann ein Service-Provider bei MUK beantragt werden.
Bei der Beantragung eines Service-Providers müssen verschiedene technische Angaben gemacht werden:
- Name
- Der Name des Service-Providers. Dieser kann frei vergeben werden, z.B.: formcycle Unternehmenskonto-Login Produktiv
- Entity-ID
- Identitfiziert den Service-Provider eindeutig. Muss aus dem zuvor erstellten Authenticator aus formcycle übernommen werden.
- Datenkranztyp
- Auswahl ist abhängig vom Rechtsrahmen in dem formcycle eingesetzt wird und bestimmt die Art der zurück gelieferten Daten. In den meisten Fällen ist hier die Auswahl OZG sinnvoll, da hier alle Daten des Rechtsrahmens im Zusammenhang mit dem Onlinezugangsgesetz geliefert werden.
- Kontotyp
- Es besteht die Auswahl zwischen Echt- und Testkonten. Im Zweifel sollte immer "Echt" gewählt werden.
- Zum Login zugelassene(s) Ordnungsmerkmal(e)
- Bestimmt ob sich nur Organisationen (StNr), nur Einzelpersonen (IdNr) oder beide Zertifikats-Typen über diesen Service-Provider in FORMCYLE anmelden können.
- Portalbeschreibung
- Diese Beschreibung wird im Login-Fenster zu Beginn des Authentifizierungsprozesses angezeigt. Wählen Sie eine zu Ihrer Organisation passende Beschreibung.
- Portallogo
- Dieses Logo wird im Login-Fenster zu Beginn des Authentifizierungsprozesses angezeigt. Wählen Sie ein Logo Ihrer Organisation.
- Signaturzertifikat
- Dient dem Identitätsnachweis der übertragenen Daten während des Authentifizierungsprozesses. Die hier notwendige Angabe eines Zertifikats muss aus dem im formcycle Schritt 2 erzeugten öffentlichen Schlüssels entnommen werden. Die Zertifikatsdaten dürfen keine Zeilenumbrüche enthalten.
- Verschlüsselungszertifikat
- Dient der Verschlüsselung der übertragenen Daten während des Authentifizierungsprozesses. Die hier notwendige Angabe eines Zertifikats muss aus dem im formcycle Schritt 2 erzeugten öffentlichen Schlüssels entnommen werden. Die Zertifikatsdaten dürfen keine Zeilenumbrüche enthalten.
- Assertion-Consumer-Service-URLs (ACS-URLs)
- Diese URLs stellen die Endpunkte während des Authentifizierungsprozesses dar. Im Dialog formcycle Schritt 2 wird hier eine Liste aller auf dem Xima® formcycle System ermittelten Assertion-Consumer-Service-URLs (ACS-URLs) dargestellt. Es müssen nicht alle ACS-URLs in die Service-Provider-Konfiguration im MUK Self Service Portal übernommen werden. Übernehmen Sie nur die URLs für die Server auf denen Sie planen einen Unternehmenskonto-Login in Formularen zu ermöglichen.
- Manage Name ID URLs
- Müssen nicht angegeben werden.
Nach dem Beantragen des Service-Providers ist der Prozess im MUK Self Service Portal abgeschlossen und es muss auf die Freigabe des Service-Provider durch ELSTER gewartet werden.
Danach kann mit formcycle Schritt 3 im Xima® formcycle System fortgefahren werden.
formcycle Schritt 3: ELSTER-Login Aktivierung
Dieser Schritt sollte erst durchgeführt werden, wenn Sie vom MUK Self Service Portal Rückmeldung erhalten haben, dass ihr beantragtes Vorhaben genehmigt und der konfigurierte Service-Provider freigegeben wurde. Erst mit dem Button ELSTER Login aktivieren wird der Authentikator im System aktiviert. Er ist damit in den Formularen verfügbar und kann eingebunden werden.
Hinweis:
Wenn Sie den Login vor einer positiven Rückmeldung aus dem MUK Self Service Portal aktivieren,
kann der ELSTER Unternehmenslogin zwar bereits in den Formularen eingebunden werden,
wird aber beim Aufruf in einem Fehler resultieren.
Nach Aktivierung des Logins erweitert sich die Konfigurationsoberfläche des Authentikators.
- Optionale Limitierung erlaubter Origins
- Bei Einbindung der Formulare innerhalb abweichender Domänen können hier die jeweiligen Origins nach dem Muster (https://www.xima.de) angegeben werden. Diese dienen zur Verifizierung der Anfragen innerhalb des Authentifizierungs-Workflows. Die durch das System zur Verfügung gestellten Mandant- und Frontend-Server-URLs müssen dabei nicht explizit angegeben werden.
Sind hier keine Werte definiert werden alle Origins zugelassen.
Konfigurtion ELSTER Postkorbanbindung
Unter dem Punkt Erweiterte Einstellungen > Konfigurtion ELSTER Postkorbanbindung können Sie die Daten für die Anbindung des ELSTER Transfer Clients hinterlegen.
Achtung:
Der ELSTER Transfer Client muss extra installiert werden. Er regelt die Weiterleitung von Nachrichten aus formcycle an das ELSTER Portal. Die notwendigen Installationsdateien für Windows oder Linux-Systeme lassen sich hier herunterladen.
Folgende Eigenschaften für die Transfer-Client Anbindung sind konfigurierbar:
- URL ELSTER Transfer-Client
- URL zu dem Transfer-Client, über den die Weiterleitung von Postkorb-Nachrichten an ELSTER erfolgen soll.
- Proxy Host:
- Host Angabe für einen Proxy-Server, wenn die Kommunikation mit dem Transfer-Client über einen Proxy-Server erfolgen soll.
- Proxy Port:
- Port-Angabe für einen Proxy-Server, wenn die Kommunikation mit dem Transfer-Client über einen Proxy-Server erfolgen soll.
Über den Button Postkorb Verbindung prüfen kann der Zugriff auf den angebundenen ELSTER Transfer Client getestet werden.
Details für die Anbindung der BayernID
Um das Servicekonto der BayernID anzubinden ist ein neuer Login Dienst anzulegen und als Authentifizierungstyp BayernID auszuwählen.
Schritt 1: Konfiguration anlegen
Im 1. Schritt der Konfiguration erscheint eine Eingabeoberfläche, wo folgende Festlegungen getroffen werden müssen:
- Festlegung, ob Test- oder Live-Umgebung der BayernID anzubinden ist.
- Erhebung von Zertifikatsinformationen, welche anschließend zur Generierung eines privaten und öffentlichen Schlüssels herangezogen werden. Dieses Schlüsselpaar dient zur Ver- und Entschlüsselung der Kommunikation, zwischen Xima® formcycle und der BayernID.
- Angaben zum organisatorischen und technischen Ansprechpartner. Diese Informationen werden im Zuge des Registrierungsprozesses an das BayernID-Portal weitergegeben.
Service Provider Entity ID
Die Service-Provider-Entity-ID dient der Identifizierung der Anfragen von formcycle im BayernID-Portal. Die ID wird in den Metadaten mit aufgenommen und zur Registrierung der BayernID an das BayernID-Portal gesendet. Bei späteren Anfragen von formcycle an das BayernID-Portal wird die ID abgeglichen und zugeordnet. Als formale Anforderungen muss die Service-Provider-Entity-ID als URL-Notation mit HTTPS angegeben werden und einen sprechenden Namen besitzen, indem z.B. der Name der Gemeinde/Stadt/Landkreises darin vorkommt. Die URL muss nicht erreichbar sein.
Die Service-Provider-Entity-ID wird bei der ersten Konfiguration als Auswahlmenü mit bekannten URLs von formcycle vorgegeben.
Anzeigename der Fachanwendung
Der Anzeigename der Fachanwendung wird dem Nutzer im BayernID-Portal angezeigt, bevor die Nutzerdaten an formcycle zurück übermittelt werden. Standardmäßig wird der Wert "XIMA FORMCYCLE" gesetzt. Ein Überschreiben des Wertes ist jederzeit möglich, wobei maximal 50 Zeichen für den neuen Namen erlaubt sind. Hier könnten Sie beispielweise Ihren Amtsnamen eintragen.
Der Anzeigename der Fachanwendung wird global in allen Formularen des Mandanten verwendet. Ab Version 2.3.0 des Bürgerservice-Plugins kann der Anzeigename auch direkt am Login-Button definiert werden. Dieser Wert überschreibt den globalen Anzeigenamen und ermöglicht die Angabe eines eigenen Namens für ein einzelnes Formular.
Nach dem Speichern der Eingaben gelangt man zum 2. Schritt der Anbindung.
Schritt 2: Metadaten erzeugen und registrieren
In diesem Schritt werden die SAML-Metadaten für die Registrierung auf Seiten der BayernID erzeugt. Dafür steht in der Oberfläche ein Button zur Verfügung. Im sich öffnenden Dialog sind alle im Xima® formcycle System gefundenen Host-Adressen, über die das System erreichbar ist, als Auswahlfeld aufgeführt.
Die Dialogoberfläche bietet auch die Möglichkeit einer freien Host-Adressen-Definition. Diese Möglichkeit kann dann genutzt werden, wenn bereits bekannt ist, wie die Formulare über das Internet erreichbar ist, der Host aber aktuell noch nicht im Netzwerk zur Verfügung steht und deshalb nicht automatisch ermittelt werden konnte.
Auf der Grundlage der jeweiligen ausgewählten Host-Adresse werden dann die Metadaten erzeugt und als Download zurück geliefert. Die jeweilige Host-Adresse bildet dabei einen Teil der Rücksprung-URL, welche später vom Identity Provider (BayernID Portal) zur Übermittlung der Authentifizierungsdaten genutzt wird.
Hinweis:
Nach dem Download der Metadaten sollte die Konfiguration gespeichert werden, damit die festgelegte Auswahl in der Datenbank gespeichert wird. Diese Auswahl bildet auch einen Teil der Daten für die Generierung der vorbefüllten Beitrittserklärung.
Weiterhin kann eine vorbefüllte Beitrittserklärung. Die Beitrittserklärung ist bereits mit den im vorherigen Schritt erhobenen Daten vorbefüllt und muss um die noch fehlenden Daten ergänzt werden.
Der Button zum Download wird erst verfügbar, wenn zuvor die Metadaten heruntergeladen und damit die verfügbaren Host-Adressen ausgewählt wurden.
Beitrittserklärung und SAML-Metadaten sind an das BayernID Portal (Mail: BayernID@akdb.de) zu senden, mit der Bitte, um Aufnahme in den Portalverbund.
Damit ist der 1. Teil der Registrierung abgeschlossen und eine Antwort vom BayernID Portal muss abgewartet werden.
Schritt 3: BayernID-Login Aktivierung
Dieser Schritt sollte erst durchgeführt werden, wenn Sie vom BayernID Portal Rückmeldung erhalten haben, dass ihre übermittelten Metadaten im Portal registriert und freigegeben sind. Erst mit dem Button BayernId-Login aktivieren wird der Authentikator im System aktiviert. Er ist damit in den Formularen verfügbar und kann eingebunden werden.
Hinweis:
Wenn Sie den Login vor einer positiven Rückmeldung des BayernID-Portals aktivieren,
so kann das die BayernID zwar bereits in den Formularen eingebunden werden,
wird aber beim Aufruf in einem Fehler resultieren.
Nach Aktivierung des Logins erweitert sich die Konfigurationsoberfläche des Authentikators.
- Optionale Limitierung erlaubter Origins
- Bei Einbindung der Formulare innerhalb abweichender Domänen können hier die jeweiligen Origins nach dem Muster (https://www.xima.de) angegeben werden. Diese dienen zur Verifizierung der Anfragen innerhalb des Authentifizierungs-Workflows. Die durch das System zur Verfügung gestellten Mandant- und Frontend-Server-URLs müssen dabei nicht explizit angegeben werden.
Sind hier keine Werte definiert werden alle Origins zugelassen.
Konfiguration BayernID Postkorbanbindung
Unter dem Punkt Erweiterte Einstellungen > Konfigurtion BayernID Postkorbanbindung können Sie das Zertifikat, welches Sie im Zuge der Registrierung ihrer Metadaten vom BayernID Portal erhalten haben sollten, hochladen und zusammen mit dem zugehörigen Passwort an der Authentikator-Konfiguration abspeichern.
Über den Button Postkorb Verbindung prüfen kann der Zugriff auf den Postkorb-Webservice getestet werden.
Der Webservice muss dabei vom Xima® formcycle Master-Server aus erreichbar sein (dafür sind im System unter Umständen Firewall Freigaben notwendig).
Folgende URL muss vom formcycle Master-Server aus erreichbar sein:
- Testsystem: https://infra-pre-id.bayernportal.de/bspx-postkorb-okkomm-ws/bspservices/postkorbkomm ODER
- Livesystem: https://id.bayernportal.de/bspx-postkorb-okkomm-ws/bspservices/postkorbkomm
Fehlerbehebung, wenn die Prüfung des Postkorbverbindung fehl schlägt:
Prüfen Sie, ob die Freischaltung in der Firewall erfolgt ist.
Der Postkorb-Webservice nutzt das HTTPS Protokoll für die Kommunikation, welches im Transport-Layer das TCP Protokoll benutzt. Deshalb sollte in ihrer Firewall die IP 193.28.249.234 (für das Livesystem id.bayernportal.de) oder IP 193.28.249.228 (für das Testsystem infra-pre-id.bayernportal.de) als TCP-Verbindungen der Port 443 (das ist der Standard-Https-Port) sowohl für die ausgehende als auch eingehende Kommunikation freigegeben sein.
Folgende zusätzliche Einstellungen für die Verbindung zum Postkorb-Service können konfiguriert:
- Proxy Host:
- Host Angabe für einen Proxy-Server, wenn die Kommunikation mit dem Webservice über einen Proxy-Server erfolgen soll.
- Proxy Port:
- Port-Angabe für einen Proxy-Server, wenn die Kommunikation mit dem Webservice über einen Proxy-Server erfolgen soll.
Details für die Anbindung via ExtensionAPI
Dieser Login-Dienst dient der Anbindung eines Portals über die ExtensionAPI (z.B. Kommunalportal.NRW oder OpenR@thaus).
Schritt 1: Konfiguration anlegen
Um eine Verbindung via ExtensionAPI herzustellen ist nach dem Anlegen des entsprechenden Login-Dienstes hauptsächlich die Angabe der notwendigen Zertifikate und Signatur-Schlüssel notwendig:
Signaturschlüssel:
Geben Sie hier bitte den durch den Portal-Betreiber zur Verfügung gestellten Signaturschlüssel an.
Zertifikat:
Geben Sie hier bitte den Zertifikatsspeicher den Sie vom Betreiber des Portals bereitgestellt bekommen an. Sollte mit dem Portal ferner über eine gesicherte Verbindung kommuniziert werden und hierfür ein standardmäßig nicht vertrauenswürdiges Zertifikat benutzt werden, kann dieses diesem Speicher hinzugefügt werden.
Zertifikatsdaten - Passwort:
Geben Sie hier das Passwort für den Zertifikatsspeicher an. Dieses sollte Ihnen ebenso der Portal-Betreiber mitgeteilt haben.
Zertifikatsdaten - Alias:
Geben Sie hier den Alias des Zertifikats an, welches für die Signatur bzw. Verschlüsselung für Nachrichten an bzw. vom Portal benutzt werden soll. Diese Information sollte Ihnen ebenso der Portal-Betreiber mitteilen. Alternativ können Sie den Alias auch ermitteln, indem Sie diesen durch das Öffnen des Zertifikatsspeichers selbstständig ermitteln.
Nach der Eingabe der entsprechenden Daten können Sie diese durch Speichern verifizieren. Sind die hochgeladenen Dateien unter Verwendung der angegebenen Informationen lesbar, gelangen Sie zum nächsten Schritt. Sollte dies nicht der Fall sein, erhalten Sie eine entsprechende Fehlermeldung.
Schritt 2: Verbindung herstellen
Nach dem erfolgreichen Speichern und Validieren der initialen Daten öffnet sich die Oberfläche für Schritt 2. Hier werden Ihnen die URL für die Anbindung der ExtensionAPI sowie das im Portal zu hinterlegende Zertifikat angezeigt. Konfigurieren Sie demnach Ihre Extension im entsprechenden Portal unter Verwendung dieser Informationen. Beim Speichern sollte das Portal eine Anfrage an formcycle senden, die dazu führt, dass die Konfiguration abgeschlossen wird und sich die Oberfläche des Login-Dienstes nach einer Aktualisierung wie in Schritt 3 darstellt.
Schritt 3: Verbindung erfolgreich hergestellt
Nach erfoglreicher Konfiguration stellt sich die Oberfläche des Login-Dienstes wie oben erkennbar dar. Hier haben Sie jederzeit die Möglichkeit die hinterlegten Daten zu aktualisieren bzw. auszutauschen. Ferner können Sie über die Schaltfläche Portal-Daten aktualisieren die Synchronisation zwischen formcycle und dem angebundenen Portal ausführen.
Hinweis:
Nach erfolgter Konfiguration von Login-Diensten oder Sichtbarkeiten an einem Formular (siehe Bürgerservices-Plugin) muss dies dem Portal über die ExtensionAPI aktiv mitgeteilt werden. Hierfür können Sie entweder die Funktionalität des Portals verwenden oder die oben beschriebene Synchronisation ausführen.
War dieser Artikel hilfreich?
Das ist großartig!
Vielen Dank für das Feedback
Leider konnten wir nicht helfen
Vielen Dank für das Feedback
Feedback gesendet
Wir wissen Ihre Bemühungen zu schätzen und werden versuchen, den Artikel zu korrigieren