Karten (eHBA & SMC-B)

Vor Installation und/oder Nutzung der aktuellen gematik Authenticator Version sollten folgende Kriterien in Bezug auf die Nutzung der eHBA und/oder SMC-B Karten erfüllt sein:

SMC-B

    • Stellen Sie sicher, dass die Karte vollständig für Ihre Einrichtung registriert/aktiviert worden ist
    • Stellen Sie sicher, dass die Transport PIN mit einer individuellen PIN abgeändert worden ist


eHBA (Nur bei bestimmten WANDA Applikationen notwendig)

    • Stellen Sie sicher, dass die Karte vollständig registriert/aktiviert worden ist
    • Stellen Sie sicher, dass die Transport PIN mit einer individuellen personenbezogenen PIN geändert worden ist

Hinweis:

Nutzung Organspende-Register, eHBA und SMC-B. Es gilt zu beachten, dass das Organspende Register zurzeit nur SMC-B Karten bei der Authentifizierung akzeptiert, welche die ProfessionOID (Berufsgruppen OID) 1.2.276.0.76.4.53 trägt. Sollten Sie sich unsicher sein, ob Ihre SMC-B Karte die unterstützte Profession OID besitzt, können Sie die nachfolgende Anleitung nutzen, um dies zu überprüfen:

Gehen Sie dafür bitte folgende Schritte durch (die Screenshots sind ein Beispiel anhand unserer Test-Karte und eines Secunet Konnektors):

1.) Aufrufen der Konnektoroberfläche und die Karte dort aufrufen/anklicken

2.) Das dazugehörige Karten-Zertifikat herunterladen

3.) Das heruntergeladene Zertifikat z.B. im KeyStore Explorer öffnen und auf ASN.1 klicken

4.) in dem sich öffnenden Fenster dann nach der Nummer 1.2.276.0.76.4.XX suchen - in unserem Beispiel nutzen wir die Spezifikation zum Abgleich

5.) In diesem Screenshot sieht man, dass die Testkarte die Profession-OID des Rettungswesens besitzt, und nicht für das Organspende-Register benutzt werden kann.


Installation gematik Authenticator - Benötigte Berechtigungen

Ausführender Benutzer Account für Installation:  Installationsberechtigungen / Administrative Berechtigungen

Installationszielverzeichnis: Lese- und Schreibberechtigung

Infrastruktur/ Netzwerk Voraussetzung

Routings

Konnektor

Stellen Sie sicher, dass der Konnektor über Ihre Infrastruktur von Client-/s Seite aus erreichbar ist.

Für IDP Internet

Sollten in Ihrer Infrastruktur besondere Sicherheitsvorkehrungen gelten, so stellen Sie sicher, dass folgende URLs von der Clientseite aus erreichbar ist.

URL:   https://idp.app.ti-dienste.de

Für IDP TI

Stellen Sie sicher, dass der Konnektor eine Verbindung zum Internet hat und das folgendes Routing in Ihrer Infrastruktur hinterlegt ist, sodass folgende URL von der Clientseite aus erreichbar ist über den Konnektor.

URL:   https://idp.zentral.idp.splitdns.ti-dienste.de

WANDA Applikationen

Organspende Register (OGR)

Stellen Sie sicher, dass der Konnektor eine Verbindung zum Internet hat und das folgendes Routing in Ihrer Infrastruktur hinterlegt ist, sodass folgende URL/IP von Clientseite aus erreichbar ist über den Konnektor.

URL:   https://ekh.organspende-register.de/

IP:   193.28.70.16 ;   Subnet Mask:   255.255.255.252

Proxy (Wenn gewünscht für separate Konfiguration)

Syntax Proxy-Adresse

Erwartete Syntax bei Angabe der internen Proxy-Adresse. In der folgenden Liste finden Sie ein paar Beispiele.

Bsp.1:

https://proxy.meinKrankenhaus.de

http://proxy.meinKrankenhaus.de

proxy.meinKrankenhaus.de

https://123.123.123.123

http://123.123.123.123

123.123.123.123

White Listing

Benötigte White List Einträge die gewährleistet sein müssen, welche durch den Authenticator (Client) während des Authentifizierungsvorgangs angesprochen werden.

Für IDP TI

https://idp.zentral.idp.splitdns.ti-dienste.de


Für IDP Internet

https://idp.app.ti-dienste.de


WANDA Applikationen

Bsp.: https://zvr-ae.bnotk.de          Port: 443


Auto-Updatefunktion (Sollte sie genutzt werden wollen)

https://github.com/gematik/app-Authenticator

Zertifikat (Sollte sie genutzt werden wollen)

Proxy

Ein aktuell valides PEM Zertifikat für die Authentifizierung an einem Proxy oder Proxyfunktion. Und hinterlegt im Authenticator Cert Verzeichnis

Konnektor

TLS-Authentifizierung

Es gilt hier zu beachten, dass entsprechende Zertifikat des Konnektors (erstellt im Konnektor) im P12 oder PEM-Format hinterlegt im gematik Authenticator Zertifikat Verzeichnis

Windows Pfad: C:\Users\<USERNAME>\AppData\Local\gematik Authenticator

macOS Pfad: /Users/{Nutzername}/Library/Application Support/gematik Authenticator

Hinweis:

                      Sollten Sie ein Zertifikat für Ihren Konnektor mit Ihrer PKI erstellt haben, so sollte dieses Zertifikat unter dem Pfad:

      • Windows: “C:\Program Files\gematik Authenticator\resources\certs-konnektor”
      • macOS: “/Users/{$username}/Library/Application Support/gematik Authenticator/resources/certs-konnektor”

Hinweis:

Bei der Nutzung eines KocoBox Zertifikats kann es zu einer Warnmeldung kommen, die aussagt, dass Ihr Zertifikat nicht valide sei.

Diese Meldung beruht auf der Art und Weise, wie KoCoBox ein TLS Zertifikat erstellt. Klicken Sie in der durch den Authenticator angezeigten Meldung auf "P12-Datei reparieren" wenn dieses in der Konfiguration hinterlegt wird.

Mehrere Arbeitsplätze (Zentrale Ablage Konfigurationsdatei)

Hinweis: Die Zentrale Ablage-Version wurde für die macOS-Version nicht ausreichend getestet. Es ist möglich, dass Sie auf Probleme stoßen, wenn Sie sie verwenden.


Umgebungsvariablen (notwendig im Zusammenhang mit der Nutzung "zentrale Ablage Konfigurationsdatei")

Bitte rufen Sie die Systemeigenschaften (siehe Abb.1) auf, mit dem Sie unter dem Reiter "Erweitert" die Möglichkeit haben, unter dem Button „Umgebungsvariablen“ die folgende Variable anzulegen. Diese wird benötigt, um hier den Pfad zur "config.json" Datei zu hinterlegen.

    • AUTHCONFIGPATH
    • CLIENTNAME

(Abb.1)


Zentrale Ablageordner (für "config.json")

Stellen Sie sicher, dass das gewünschte Verzeichnis, in welchen die "config.json" abgelegt werden soll, folgende Mindestkriterien erfüllt:

      • Gewünschte Ordner, bereits angelegt
      • Leseberechtigung auf Ordner, welcher die "config.json" beinhaltet
      • Pfad muss beinhalten: …\<CLIENTNAME>\...
        • <CLIENTNAME> bitte mit dem entsprechenden Namen (Rechnernamen) ersetzen.


Folgende Syntax für in "config.json" und in der Variable AUTHCONFIGPATH manuell hinterlegte Netzwerkpfade gilt es zu beachten.

      • Bei der Angabe der "\" muss darauf geachtet werden, dass diesen ein sogenannter "escape" mit hinzugefügt wird

Beispiel: \\\\<Verzeichnis>\\<Verzeichnis>\\<CLIENTNAME>\\config.json

Beispiel: <LAUFWERKSBUCHSTABE>:\\Users\\<USERNAME>\\<Verzeichnis>\\<Verzeichnis>\\Universitätsklinik certificate.pem

Hinweis:

Der gematik Authenticator legt nicht die Ordner an, welche durch die in der Umgebungsvariable "AUTHCONFIGPATH" definiert Angaben hinterlegt sind.


Citrix (virtuelle Clients)

Allgemeine Informationen

Der gematik Authenticator hinterlegt beim ersten Start Informationen in der Windows Registry, welche für einen Deeplink Aufruf notwendig sind. Bei einem Login bei einer Web-basierten Anwendung, welche den gematik Authenticator Aufruf integriert hat, wird dieser Deeplink Aufruf aus dem Browser durch die Anwendung heraus zum Starten des Authenticator durchgeführt. 

Wird ein virtueller Client aus einem Golden Master heraus gestartet, oder es wird eine Session basierter virtueller Client verwendet, kann es sein, das diese Registry Einträge nach Beendigung der Session oder vollständiges abmelden von dem virtuellen Client wieder gelöscht werden und somit beim nächsten Start nicht mehr zur Verfügung stehen.

Um hier eine temporäre Lösung vorzuschlagen, könnten die benötigten Registry-Einträge mit etwaigen Registry-Importen oder durch Erweiterungen von Anmelde-Skripts provisioniert werden.


Registry Einträge - für gematik Authenticator Deeplink Aufruf

[HKEY_CLASSES_ROOT\authenticator]
"URL Protocol"=""
@="URL:authenticator"
 
[HKEY_CLASSES_ROOT\authenticator\shell]
 
[HKEY_CLASSES_ROOT\authenticator\shell\open]
 
[HKEY_CLASSES_ROOT\authenticator\shell\open\command]
@="\"C:\\Program Files\\gematik Authenticator\\gematik Authenticator.exe\" \"%1\"


  • No labels

© gematik GmbH 2024