Portal FAQ

Fragen

neu: Fragen und Antworten speziell zum Anwendungsportal sind ab Frage 22 zu finden.

1.) [ZMR] Welche URLs gibt es für die ZMR2-Testumgebung?

2.) [ZMR] Welche URLs gibt es für die ZMR2-Produktionsumgebung?

3.) [GVS] Welche URLs gibt es für die GVS-Testumgebung?

4.) [GVS] Welche URLs gibt es für die GVS-Produktionsumgebung?

5.) [ZVR] Welche URLs gibt es für die ZVR-Testumgebung?

6.) [ZVR] Welche URLs gibt es für die ZVR-Produktionsumgebung?

7.) [SZR] Welche URLs gibt es für die SZR-Testumgebung?

8.) [SZR] Welche URLs gibt es für die SZR-Produktionsumgebung?

9.) [Cert] Welche Zertifikate können wofür verwendet werden?

10.) [Cert] Woran erkenne ich, welches Zertifikat ich vor mir habe?

11.) [Cert] Was ist der Unterschied zwischen einem Workstation Zertifikat und einem Gateway Zertifikat?

12.) [Cert] Wie komme ich zu einem (gültigen und funktionstüchtigen) Gateway Zertifikat?

13.) [Benutzerverwaltung] Rechte und Rollen: Was tun sie, woher bekomme ich sie?

14.) [Benutzerverwaltung] Was ist eine Behördenkennzahl? (Dienststellen-Code, Verwaltungskennzeichen,...?)

15.) [Grundlagen] Was bedeutet "Portalverbund"?

16.) [Grundlagen] SOAP, WSDL, WS-Security – Was ist das?

17.) [Grundlagen] Was sind Zertifikate?

18.) [Benutzerverwaltung] Warum passen meine Rollen nicht?

19.) [PVP-Header] Was ist im PVP-HTTP-Header drinnen (User Principal)?

20.) [PVP-Header] Was ist im PVP-HTTP-Header drinnen (System Principal)?

21.) [PVP-Header] Was ist im PVP-SOAP-Header drinnen (User Principal)?

22.) [Cert] Welche Zertifikate können gegenüber einem Anwendungsportal (für PVP 1.8) verwendet werden?

23.) [AWP] Welche URLs gibt es für ZMR-Test über AWP?

Antworten

1.) Welche URLs gibt es für die ZMR2-Testumgebung?

Die Server, Pfade, ihre Funktion und den kompletten Link (dem Pfad hinterlegt) entnehmen Sie bitte den folgenden Tabellen:

2.) Welche URLs gibt es für die ZMR2-Produktionsumgebung?

Die Server, Pfade, ihre Funktion und den kompletten Link (dem Pfad hinterlegt) entnehmen Sie bitte den folgenden Tabellen:

3.) Welche URLs gibt es für GVS-Testumgebung?

Die Server, Pfade, ihre Funktion und den kompletten Link (dem Pfad hinterlegt) entnehmen Sie bitte den folgenden Tabellen:

4.) Welche URLs gibt es für GVS-Produktionsumgebung?

Die Server, Pfade, ihre Funktion und den kompletten Link (dem Pfad hinterlegt) entnehmen Sie bitte den folgenden Tabellen:

5.) Welche URLs gibt es für die ZVR-Testumgebung?

Die Server, Pfade, ihre Funktion und den kompletten Link (dem Pfad hinterlegt) entnehmen Sie bitte den folgenden Tabellen:

6.) Welche URLs gibt es für die ZVR-Produktionsumgebung?

Die Server, Pfade, ihre Funktion und den kompletten Link (dem Pfad hinterlegt) entnehmen Sie bitte den folgenden Tabellen:

7.) Welche URLs gibt es für die SZR-Testumgebung?

Die Server, Pfade, ihre Funktion und den kompletten Link (dem Pfad hinterlegt) entnehmen Sie bitte den folgenden Tabellen:

8.) Welche URLs gibt es für die SZR-Produktionsumgebung?

Die Server, Pfade, ihre Funktion und den kompletten Link (dem Pfad hinterlegt) entnehmen Sie bitte den folgenden Tabellen:

9.) Welche Zertifikate können wofür verwendet werden?

Für Testzwecke sollen BMI DemoCA oder BMI KundenTestCA Zertifikate verwendet werden, beziehungsweise Zertifikate, die von Zertifizierungsdienstanbietern als Testzertifikate ausgestellt wurden. Diese müssen jedoch dem Portal bekannt gegeben worden sein und im BMI LDAP-Verzeichnis eingetragen sein.
Analog dazu können BMI CA oder BMI Kunden CA Zertifikate für den Produktionsbetrieb verwendet werden, ebenso wie Fremdzertifikate, sofern sie im LDAP-Verzeichnis des BMI eine Zuordnung und Aktivierung erfahren haben.

Workstation, GatewayZertifikate: siehe "Was ist der Unterschied zwischen einem Workstation und einem Gateway Zertifikat?"

10.)Woran erkenne ich, welches Zertifikat ich vor mir habe?

Die ursprünglichen, ersten BMI-Zertifikate wurden für einzelne Gemeinden ausgestellt, was sich auch in der Bezeichnung und dem Dateinamen widerspiegelt. Die zugehörige Zertifikats-Autorität (CA) ist die bmiCA in der Produktionsumgebung und die demoCA in der Testumgebung. Die Zertifikate folgen in ihrem Dateinamen und ihrem CN dem Schema:

Die BMI Kunden CA und BMI Kunden Test CA (bmiKdCA, bmiKdTestCA) stellen Zertifikate für Einrichtungen und Unternehmen aus, die Zugriff auf BMI Portal Anwendungen benötigen. Diese Zertifikate folgen in ihrem Dateinamen und CN dem Schema:

Zertifikate der BMI Portalverbund-CA folgen in ihrer Bezeichnung keinem fixen Schema sondern richten sich dabei nach dem benötigten CN des Portalverbund-Teilnehmers.

Mittels openssl (für das ASN.1 kodierte X509) oder keytool (für das Java Keystore) ist es möglich, unabhängig von Plattform und Zielanwendung in ein Zertifikat hineinzusehen und die Zuordnung (=Subject), Gültigkeit und Aussteller zu überprüfen.

11.) Was ist der Unterschied zwischen einem Workstation Zertifikat und einem Gateway Zertifikat?

Ein Workstation Zertifikat wird für den Zugang mit einem Web-Browser (allgemein: einem Client mit persönlicher Authentifizierung) benötigt. Dabei erfolgt nach dem Aufbau der SSL-Verbindung die interaktive Authentifizierung des Benutzers. Die Berechtigungsdaten des Benutzers müssen zu denen des Zertifikats passen.

Ein Gateway Zertifikat erfordert keine persönliche Anmeldung eines Benutzers. Dadurch ist es nötig, dass die Authentifizierung der Benutzer delegiert wird und beispielsweise vom Gateway eines Dienstanbieters durchgeführt wird.
Die Autorisierungsinformationen werden bei einem Gateway-Zertifikat an einen virtuellen Benutzer gebunden, dem Application-User. Die Zuweisung eines Application-User erfolgt pro Organisationseinheit (abhängig von Rechten und Restriktionen) und muss jedem Gateway-Zertifikat zugeordnet werden.
Bei der Verbindungsherstellung werden nach Aufbau der SSL-Verbindung zusätzliche Header-Informationen durch die Anwendung an das Portal übergeben, um eine auf die Anfrage abgestimmte Autorisierung zu erlangen.

Gateway Zertifikate benötigen im Gegensatz zu Workstation Zertifikaten eine zusätzliche Vereinbarung zwischen den Nutzern und der BMI-Benutzerverwaltung. siehe auch "Wie komme ich zu einem (gültigen und funktionstüchtigen) Gateway Zertifikat?"

12.)Wie komme ich zu einem (gültigen und funktionstüchtigen) Gateway Zertifikat?

Gateway-Zertifikate dienen zur Authentifizierung von Agents (Gateways, Proxies). Bei diesem Zugang werden keine Benutzerdaten zur Authentifizierung verwendet. Um denoch Rechte zuordnen zu können, muss ein virtueller Nutzer, ein sogenannter Application-User mit dem Zertifikat verbunden werden.

Dieser Benutzer wird gesondert angelegt und jedes neue Gateway Zertifikat braucht gesondert eine Zuweisung eines Application-Users.

Während bei Businesspartnern (Zertifikate der bmiKdCA) und dem Portalverbund (portalV CA) automatisch mit der Bewilligung Application-User erstellt werden, da deren Zugang in der Regel über Gateways/Proxies funktioniert, müssen Gemeinden gesondert ansuchen, wenn sie ihren Zugang um die Option eines Gateway-Zugangs erweitern.

Ein Gateway-Zugang ist unter bmi-benutzerverwaltung@bmi.gv.at zu beantragen.

13.) Rechte und Rollen: Was tun sie, woher bekomme ich sie?

Rechte auf einem Portal werden als Rollen definiert und zugeteilt. Eine Rolle ist dabei als eine Sammlung von Rechten zu verstehen, die für eine bestimmte Funktion nötig sind. Bestimmte Rollen, etwa die Berechtigung zum Anlegen von Meldeeinträgen, können beispielsweise mit regionalen Einschränkungen noch zusätzlich eingeengt sein.

Ein bestimmter Benutzer hat beispielweise dann eine Reihe von Rollen, für die er berechtigt ist. Diese Rollen werden dem Benutzer von seinem Stammportal (siehe Frage 15, Was bedeutet "Portalverbund?") zugeteilt und durch dieses verwaltet. Die Definition und Zuteilung von Rechten für Benutzer, deren Stammportal das BMI-Stammportal ist, obliegt der Benutzerverwaltung, per Mail erreichbar unter bmi-benutzerverwaltung@bmi.gv.at.

Zu Problemen mit Rollen finden Sie auch Hinweise hier (Frage 18, Warum passen meine Rollen nicht?).

14.) Was ist eine Behördenkennzahl? (Dienststellen-Code, Verwaltungskennzeichen,...?)

Es existieren mehrere ähnliche Bezeichnungen, die zusätzlich durch unterschiedliche Verwendungen in unterschiedlichen Zusammenhängen für Verwirrung sorgen können.

Hier eine Systematisierung mit Einordnung und Verwendungsberschreibung:

15.) Was bedeutet "Portalverbund"?

Der Portalverbund regelt den wechselseitigen Zugang zu Services zwischen verschiedenen Behörden. Benutzer einer Verwaltungsdomäne können so Dienste aus einer anderen Verwaltungsdomäne verwenden.

Dabei wird die Verwaltung der Benutzer ausschließlich in der Stammdomäne – am Stamm-Portal – durchgeführt, während die Verwaltung der Berechtigungen der Anwendungen auf dem Portal erfolgt, das den Zugang zur Anwendung darstellt, dem Anwendungsportal.

Die technologischen Grundlagen des Portalverbundes werden im "Portalverbund-Whitepaper" (interner Entwurf) skizziert.

16.) SOAP, WSDL, WS-Security – Was ist das?

Ursprünglich stand SOAP für "Simple Object Access Protocol" – heute wird es lieber mit "Service Oriented Archtitecture Protocol" übersetzt.

Service Oriented Archictecture (SOA) dreht sich um Web-basierte Dienste, die Client-Server oder Server-Server Kommunikation unterstützen. SOAP stellt dabei die Middleware dar, vergleichbar mit RPC der klassischen Client-Server Architekturen.

WSDL liefert die notwendigen Definitionen der Services, die über SOAP kommunizieren, und damit auch die notwendige Beschreibung des möglichen Inhalts von SOAP Dateien.

SOAP basiert auf XML, ist somit textorientiert. Die Verwendung ist systemübergreifend. Sicherheit hat dabei sehr große Bedeutung. Eine Reihe von sich ergänzend Standards sind bereits entstanden und in aktiver Entwicklung, beispielsweise das WS-Security-Framework.

17.) Was sind Zertifikate?

Zertifikate nach dem X.509 Standard sind die Grundlage für Signatur und Verschlüsselung im Web, wenn es um vertrauenswürdige Kommunikation zwischen beliebigen Partnern geht. Durch Zertifikate können Schlüssel eindeutig einer bestimmten Person, einer Einrichtung, oder einem Server zugeordnet werden.

Eindeutig zugeordnete assymetrische Schlüsselpaare garantieren bei richtiger Verwendung (Schutz des privaten Schlüssels!) die Anforderungen der Vertraulichkeit, die bei der Übertragung von Dokumenten über das Netz notwendig ist, sowie die Unveerfälschbarkeit von Dokumenten, die mit dem privaten Schlüssel signiert wurden.

Um zu einem Zertifikat zu kommen, sind zuerst einmal die Schlüssel (= Schlüsselpaar) nötig. Der öffentliche Schlüssel wird zusammen mit den identifizierenden Daten (etwa Name, Funktion, ...) von einem Zertifizierungsdienstanbieter unterschrieben, und kann für eine bestimmte Zeit (meist ein Jahr) als digitaler Identitätsnachweis verwendet werden.

Die Grundlage des Vertrauens in ein Zertifikat ist das Vertrauen in die Zertifizierungsstelle (CA, Certificate Authority), die sich letzlich selbst durch ein Zertifikat ausweist. Dadurch entstehen Hierarchien von Zertifikaten, die je nach Verwendung unterschieden werden und verschiedene Verwendungszwecke und -Vorschriften für die ausgestellten Zertifikate haben.

18.) Warum passen meine Rollen nicht?

Abgesehen davon, dass unter Umständen für den Benutzer (Participant) die angegebene Rolle (= Rechtedefinition) tatsächlich im LDAP-Verzeichnis nicht angegeben sein kann, ist in vielen Fällen die Schreibweise der Rollen für Probleme verantwortlich: Die Rollen sind "case sensitive" und aus historischen Gründen nicht konsistent.

Die übliche Fehlermeldung dazu ist:
"Nach Überprüfung ihrer gesendeten Rollen mit den Berechtigungen in der BMI Authorisierungsdatenbank wurde keine gültige Rolle für dieses Service gefunden!"
oder
"Nach Überprüfung ihrer gesendeten Rollen mit den Berechtigungen in der BMI Authorisierungsdatenbank wurde keine gültige Rolle für dieses Service gefunden !"

In der Produktionsumgebung werden die wichtigsten Rollen nach folgender Liste verwendet:

ZMR-SZR-Anfrage
ZMR-Standesamt
ZMR-Evidenzstelle
szr-persbin
szr-bpk-abfrage
szr-bpk-transform
szr-wbpk-abfrage
szr-persbin
szr-bpk-abfrage
szr-bpk-transform
szr-wbpk-abfrage
szr-persbin
szr-bpk-abfrage
szr-bpk-transform
szr-wbpk-abfrage

19.) Was ist im PVP-HTTP-Header drinnen (User Principal)?

20.) Was ist im PVP-HTTP-Header drinnen (System Principal)?

21.) Was ist im PVP-SOAP-Header drinnen (User Principal)?

22.) Welche Zertifikate können gegenüber einem Anwendungsportal (für PVP 1.8) verwendet werden?

Mit September 2006 wird das BMI-Portal auf die Standard-Portal Architektur umgestellt. Ab diesem Zeitpunkt sind Stammportal und Anwendungsportal getrennt. (Siehe Portalverbundarchitektur, [Grundlagen] Was bedeutet "Portalverbund"? ). Ab diesem Zeitpunkt ist für alle externen BMI-Portalzugänge ein Zugriff im Sinne des Portalverbundes erforderlich. Damit gibt es keinen direkten GUI-Zugriff (=Web Client) auf das BMI-Portal, sondern nur mehr vermittelte Zugriffe über Stammportale oder Gateways, die wie ein Stammportal funktionieren. Zugleich verlieren die Zertifikate der bmiCA Ihre Gültigkeit.

Damit gibt es im Behördenbereich nur mehr den Zugang von PVP-Teilnehmern zum BMI-Anwendungsportal.
PVP-Teilnehmer müssen PVP-fähige Zertifikate verwenden, das sind
1.) Zertifikate der portalV-CA des BMI
2.) PVP-Zertifikate der ATrust
3.) andere akzeptierte Zertifikate (Thawte, ..., mit der Einschränkung eines fehlenden formalen Abkommens.)
PVP-Teilnehmer verpflichten sich, die Verwaltung der Benutzer nach strengen, vorgegebenen Regeln selbst durchzuführen.
Im BMI werden die Daten einzelner Benutzer nicht mehr verwaltet. Für Loggingzwecke sind die Detaildaten seitens Stammportal (=Provider) aber zu übertragen.

Im Business-Bereich (reine Abfragen mit Einschränkungen) gibt es nur mehr den PVP 1.8 konformen Gateway-Zugang zum AWP.
Businesspartner-Zugänge können über bmiKunden-Zertifikate (nur GW) oder Fremdzertifikate erfolgen.
Für Logging-Zwecke müssen genaue Daten übertragen werden (zwecks Nachverfolgung im Problemfall), die Berechtigung erfolgt auf Basis des Participant (= im BMI registrierter Kunde des Portals, meist eine Firma).

Im BMI werden in jedem Fall nur mehr die Rechte der einzelnen Organisationseinheiten (=Participants) verwaltet, im Sinne einer Auflistung der Rechte.

23.) Welche URLs gibt es für ZMR-Test über AWP?

Achtung! Zur Verwendung der AWP-URLs muss der Teilnehmer am AWP-Portal registriert sein, eine Registrierung am alten BMI-Portal ist nicht ausreichend!

Die Server, Pfade, ihre Funktion und den kompletten Link (dem Pfad hinterlegt) entnehmen Sie bitte den folgenden Tabellen: