Für Nutzer oder Administratoren
# | Frage | Antwort | |||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
1 | Was muss bei einer Installation beachtet werden? | Bitte führen Sie die Installation mit Administratorrechten aus, denn nur so kann eine erfolgreiche Installation garantiert werden. | |||||||||||||||||||||||||||||||||||
2 | Es öffnet sich plötzlich ein anderer Browser als der von mir verwendete Browser. | Stellen Sie sicher, dass der von Ihnen verwendete Browser dem im System hinterlegten default-Browser entspricht. Hintergrund ist, dass der Authenticator mit dem im System hinterlegten default-Browser für die sichere Anmeldung verwendet. | |||||||||||||||||||||||||||||||||||
3 | Was kann ich tun, wenn der Aufruf der Sharepoint-Download-URL des Authenticators sich nicht ordnungsgemäß öffnen lässt? | Versuchen Sie, die URL über den Inkognitomodus des Browsers zu öffnen. Wenn Sie selbst ein firmeninternes Sharepoint nutzen, kann der Aufruf des gematik Sharepoint-Links gestört sein. | |||||||||||||||||||||||||||||||||||
4 | Welche Karten unterstützt der Authenticator und wie wird entschieden, welche genutzt werden soll? | Der Authenticator unterstützt grundsätzlich die Authentifizierung mit HBA- sowie SMC-B-Karten. Allerdings entscheidet nicht der Authenticator, welche Karte gesteckt werden soll, sondern die genutzte Fachanwendung selbst. Bei Fragen hierzu wenden Sie sich bitte an den Support der jeweiligen Fachanwendung. | |||||||||||||||||||||||||||||||||||
5 | Der Funktionstest zeigt, dass er keine Verbindung zum Konnektor herstellen kann: |
| |||||||||||||||||||||||||||||||||||
6 | Welche Dienste muss der Authenticator erreichen? | Der Authenticator kommuniziert mit dem IDP-Dienst je nach Anwendung über die TI und über das Internet: IDP-Dienst TI-Endpunkt: https://idp.zentral.idp.splitdns.ti-dienste.de/ IDP-Dienst Internet-Endpunkt: https://idp.app.ti-dienste.de/ Die Entscheidung, welcher Endpunkt genutzt wird, obliegt der Fachanwendung und nicht dem Authenticator! Für eine manuelle Erreichbarkeitsprüfung kann das Discovery-Document heruntergeladen werden: https://idp.app.ti-dienste.de/.well-known/openid-configuration curl -v https://idp.app.ti-dienste.de/.well-known/openid-configuration | |||||||||||||||||||||||||||||||||||
7 | Der Funktionstest zeigt den IDP-Fehler "Fehler: self signed certificate in certificate chain" | Es könnte ein HTTPS-Proxy oder eine Firewall auf der Verbindungsstrecke zum IDP vorhanden sein. Damit der Authenticator Ihrem HTTPS-Proxy vertrauen kann, so wie es Ihr Browser macht, muss das Public-Server-Zertifikat des IDPs in folgendes Verzeichnis abgelegt werden: C:\Program Files\gematik Authenticator\resources\certs-idp Stichwort: SELF_SIGNED_CERT_IN_CHAIN Wir empfehlen auch immer die neueste Version des Authenticators installiert zu haben, sodass alle aktuellsten Zertifikate genutzt werden. | |||||||||||||||||||||||||||||||||||
8 | Der Funktionstest zeigt den IDP-Fehler "Bad response: 407 mit der URL ..."" | Der Fehlerstatus-Code gibt an, dass der Request nicht erfolgreich abgesetzt werden konnte. Grund hierfür könnte sein, dass gültige Authentifizierungsdaten für eine Proxy-Authentifizierung zwischen Browser und Server fehlen. Bitte vergewissern Sie sich, dass Sie entsprechende Proxy-Autorisierungsdaten oder eine entsprechende Firewallfreischaltung zur Kommunikation mit entsprechendem Endpunkt hinterlegt haben. Mit folgendem Curl können Sie überprüfen, ob Sie die jeweiligen Endpunkte erreichen: IDP Internet-Endpunkt: curl -v https://idp.app.ti-dienste.de/.well-known/openid-configuration IDP PU TI Endpunkt: curl -v https://idp.zentral.idp.splitdns.ti-dienste.de/.well-known/openid-configuration | |||||||||||||||||||||||||||||||||||
9 | Welche Anwendungen können bereits mit dem Authenticator genutzt werden? | das ZVR (zentrale Vorsorge-Register): https://zvr-ae.bnotk.de/ das OGR (Organspende-Register): https://ekh.organspende-register.de das DEMIS Meldeportal das Implantateregister IRMA der TI-Score | |||||||||||||||||||||||||||||||||||
10 | Was muss getan werden, wenn ich auf eine Fachanwendung nicht zugreifen kann? | Der gematik Authenticator wird im Zusammenspiel mit weiteren Anwendungen der TI (WANDA) eingesetzt, die für die Nutzerinteraktion einen Web-Browser verwenden (eine sogenannte Web-Anwendung). Je nach Anwendung und Konnektor-Konfiguration kann es hierbei erforderlich sein, ein IP Routing für diese Anwendung zu konfigurieren, damit die Anwendung über die TI erreichbar ist. Die Einrichtung des IP-Routings kann hierbei am Arbeitsplatz selbst oder zentral am Gateway konfiguriert werden. Achten Sie daher darauf, dass ein entsprechendes IP-Routing zu der jeweiligen Fachanwendung eingerichtet wurde. Dies können Sie mittels folgendem Befehl in der Windows-Kommandozeile (Kommandozeile CMD mit Admin-Rechten) ausführen:
Weitere Informationen hierzu finden Sie innerhalb unseres Installationshandbuchs unter dem Punkt "Zugriff auf Fachanwendung ermöglichen". Des Weiteren sollte auch geprüft werden, dass die Firewall die Kommunikation mit der Fachanwendung nicht blockiert. Schauen Sie daher bitte auch die eingestellten Firewallfreischaltungen an. | |||||||||||||||||||||||||||||||||||
11 | Welche Firewall-Freischaltungen sind für die Nutzung des Authenticators notwendig? |
| |||||||||||||||||||||||||||||||||||
12 | Wie sieht die aktuelle Ablaufkette für die Authentisierung mittels Authenticator aus? |
| |||||||||||||||||||||||||||||||||||
13 | Was muss getan werden, wenn der Zugriff auf das Anfrageportal der gematik nicht funktioniert? | Es kann vorkommen, dass die Useranlage zur Nutzung des Anfrageportals des Authenticators für den jeweiligen Ticketmelder nicht direkt reibungslos funktioniert. In diesem Fall sollte folgender Workaround durchgeführt werden, sodass das Kundenkonto erfolgreich eingerichtet wird:
| |||||||||||||||||||||||||||||||||||
14 | Anmeldung mittels Smartcard nicht erfolgreich Was muss getan werden, wenn zwar alle Funktionstests grün sind, der Login im Browser jedoch mit folgender Fehlermeldung fehlschlägt? "Das AUT Zertifikat ist ungültig" Beispw. Implantateregister: | Überprüfen Sie, ob die eingesetzte Karte (eHBA/SMC-B) vollständig aktiviert wurde. Zur Nutzung einer Karte bedarf es einer vollständigen Aktivierung. Diese besteht zum einen in der Änderung des Transport-Pins sowie einer Aktivierung in Richtung OCSP. In der jeweiligen Dokumentation bei Aushändigung wird das explizit erwähnt. Der Fehler deutet auf einen Fehler mit der Kommunikation mit OCSP hin, welcher durch vollständige Aktivierung der Karte behoben wird. | |||||||||||||||||||||||||||||||||||
15 | Wenn ich den Funktionstest ausführe, erhalte ich die Meldung "Fehler: Hostname/IP does not match certificate´s altnames: IP: XXX.XX.X.XX is not in the cert´s list:" | Hier ist das Problem, dass der FQDN nicht im Serverzertifikat enthalten ist. In einer TLS-Verbindung wird der FQDN (Fully Qualified Domain Name) der URL gegen den SubjectDN (Distinguished Name) des Serverzertifikats geprüft. Während des TLS-Handshakes prüft der Client, ob der FQDN mit dem Common Name im SubjectDN des Serverzertifikats übereinstimmt. Der Fehler kann daher auftreten, wenn im Authenticator die TLS-Überprüfung auf "aktiviert" gesetzt wird. Lösung:
| |||||||||||||||||||||||||||||||||||
16 | Beim Ausführen des Funktionstests, erhalte ich die Meldung: | Grundsätzlich ist die gelbe Meldung im Funktionstest nur ein Hinweis, das kein HBA gefunden wurde. Der naheliegendste Grund hierfür ist, dass die Karte im Terminal nicht oder nicht richtig gesteckt wurde. Insbesondere bei der Verwendung von mehreren Kartenterminals, kann der Fehler durch eine fehlerhafte Zuordnung auftreten. Je nach Konnektor kann in den Einstellungen (Infomodel) angegeben werden, welches Kartenterminal / Karte im Anrufkontext genutzt werden soll - wichtig ist, dass dem Aufrufkontext, der im Authenticator angegeben wird, ein Kartenterminal sowie Karten zugewiesen sind. Bitte prüfen Sie die Einstellungen im Konnektor – ggf. können Sie die Einstellungen mit der SMC-B-Karte vergleichen. | |||||||||||||||||||||||||||||||||||
17 | Der Fehler kann bei der Registrierung vom eHBA auf der Seite des Organspenderegisters (OGR) auftreten. Der Auslöser ist eine Sicherheitsabfrage / Einstellung im genutzten Browser (meist bei 'Edge'). Die automatische Umleitung vom OGR auf den Authenticator wird durch diese Sicherheitseinstellung blockiert. Lösung: Die Registrierung am OGR mit einem anderen Browser (vorzugsweise Firefox) durchführen. | ||||||||||||||||||||||||||||||||||||
18 | Dieser Fehler erscheint in der Regel wenn die PIN für den eHBA falsch eingegeben wurde. Es hat sich herausgestellt, dass die Meldung auch ausgelöst wird, weil die Web Seite der Anwendung den Login im Cache gespeichert hat. Lösung: Cache und Cookies löschen. Sobald die Info gelöscht wird, funktioniert der Login wieder einwandfrei. | ||||||||||||||||||||||||||||||||||||
19 | Meldung im Funktionstest: Meldung ausgelöst durch genutzte Fachanwendung: | Ab der Version 4.12.0 des Authenticators kann die PIN der SMC-B nicht mehr mithilfe des Authenticators eingegeben werden. Diese Meldung bedeutet, dass die PIN der SMC-B noch über das Kartenterminal eingegeben werden muss und hat nichts mit dem Registrierungs- oder Aktivierungsworkflow der Karte selbst zu tun (beispielsweise das Ändern der Transport PIN - hier würden Sie eine andere Meldung angezeigt bekommen). Benötigt die von Ihnen genutzte Fachanwendung eine SMC-B und Sie erhalten eine solche Meldung, dann muss die PIN von dem für Ihre SMC-B Karte Verantwortlichen innerhalb des Konnektors oder Ihres Kartenverwaltungssystem eingegeben werden. Der Authenticator löst keine PIN Abfrage mehr für die SMC-B Karte im Kartenterminal aus. (Nur noch für die HBA, hier bleibt alles wie gewohnt) Innerhalb des Authenticators ist die PIN Abfrage für SMC-B Karten ab der Version 4.12.0 nicht mehr möglich, da es in der Vergangenheit aufgrund von Verwechslungen vermehrt zu Sperrungen der SMC-B Karten kam. |
Für Anwendungen bei der Integration
Frage | Antwort | ||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Welche Fehlercodes gibt es? | Alle aktuellen Fehlercodes können Sie auf folgender Seite einsehen: Authenticator Fehlercodes | ||||||||||||
Woher bekomme ich den Quelltext des Authenticators? | https://github.com/gematik/app-Authenticator | ||||||||||||
Gibt es eine Beispielkonfiguration für nginx oder apache für die OpenID-Authentifizierung mit dem Authenticator und dem IDP der Gematik, insbesondere wegen der zusätzlichen Verschlüsselung? | Es ist kein nginx oder apache im Einsatz - daher gibt es auch keine entsprechende Beispielkonfiguration. | ||||||||||||
Besteht die Möglichkeit, den Authenticator auch lokal ohne jegliche Freischaltungen zu testen? | Ja - hierzu kann der Authenticator ab Version 2.1.0 genutzt werden. Diese Version beinhaltet einen Mockmodus, der zum Testen genutzt werden kann. | ||||||||||||
Woher weiß der Fachdienst, welcher challenge_path im deeplink genutzt werden muss? | Der Dienst bekommt das über den "authorization_endpoint " mit. Zu finden innerhalb des Discovery Document des IDPs (/.well-known/openid-configuration) | ||||||||||||
Was muss der Fachdienst noch machen, wenn er vom Authenticator den Authorization_Code weitergeleitet bekommt? |
| ||||||||||||
Woher weiß der Fachdienst, wohin der Token-Request gesendet werden muss? | Der Dienst bekommt das über den "token_endpoint" mit. Zu finden innerhalb des Discovery Document des IDPs (/.well-known/openid-configuration) | ||||||||||||
Wie muss der Fachdienst den "key_verifier" erstellen? |
| ||||||||||||
Was muss ich als Hersteller einer (Fach-)Anwendung tun, um meine Anwendung erfolgreich für die Nutzung des zentralen IDP's zu registrieren? | Wenn Sie ein Anbieter einer (neuen) (Fach-)Anwendung sind und Sie den Authenticator in Ihre Anwendung integrieren möchten, um den Nutzenden eine Anmeldung per Authenticator zu ermöglichen, müssen Sie sich bezüglich der Anbindung initial an folgende Adresse wenden: IDP-Registrierung@gematik.de. Sie werden anschließend weitere Informationen zur Registrierung Ihrer Anwendung erhalten. | ||||||||||||
Muss ich auch im Voraus Zertifikate beantragen oder registrieren? | Eine Registrierung von Zertifikaten ist nicht notwendig. Der zentrale IDP-Dienst ist mit einem TLS-Server-Zertifikat ausgestattet, welches gegen den Truststore des Authenticators geprüft wird. Eine beidseitige Authentisierung mittels TLS-Client-Zertifikat ist nicht vorgesehen. Die Zertifikate aus den Smartcards (HBA/SMC-B) müssen dem zentralen IDP-Dienst vorab nicht bekannt sein und müssen nicht registriert werden. | ||||||||||||
Bei welchem Endpunkt tausche ich als WANDA den Authorization Code gegen den Access Token ein? | Für das Einlösung des Authorization Code beim Token Endpunkt muss der Endpunkt genommen werden, welcher laut Wanda Basic/Smart erreichbar ist:
| ||||||||||||
Wie heißen die IDP Endpunkte? |
| ||||||||||||
Wo kann ich meine Konnektor-Zertifikate hinterlegen? | Die notwendigen Zertifikate müssen im Verzeichnis: C:\Program Files\gematik Authenticator\resources\certs-konnektor hinterlegt werden. | ||||||||||||
Wo kann ich fachanwendungsspezifische Zertifikate hinterlegen? | Die notwendigen Zertifikate müssen im Verzeichnis: C:\Program Files\gematik Authenticator\resources\certs-idp hinterlegt werden. |
Für Credential Manager
Frage | Antwort |
---|---|
Was ist der Credential Manager im Kontext des Authenticators? | Der Credential Manager ist ein Sicherheitsfeature, das ab Version 4.8.0 im Authenticator integriert ist. Er dient dazu, sensible Informationen wie Passwörter sicher zu speichern und zu verwalten, anstatt sie im Klartext in der Konfigurationsdatei zu hinterlegen. |
Welche Informationen werden im Credential Manager gespeichert? | Im Credential Manager werden folgende Daten gespeichert:
|
Wie wird der Benutzername für das P12-Zertifikat im Credential Manager gespeichert? | Da im P12-Zertifikat keine Benutzerinformationen enthalten sind, wird der Benutzername standardmäßig als "p12Password" im Credential Manager gespeichert. |
Wie funktioniert der Credential Manager in der Standalone-Version des Authenticators? | In der Standalone-Version des Authenticators werden die Einstellungen automatisch gespeichert. Dabei werden sensible Daten im Credential Manager und nicht sensible Daten in der Konfigurationsdatei config.json gespeichert. |
Was passiert, wenn keine Eintragung im Credential Manager möglich ist? | In der Version 4.8.0 des Authenticators ist der Zugriff auf den Credential Manager in vielen Fällen zwingend erforderlich. Sollte ein Fehler beim Zugriff oder bei der Speicherung der Daten im Credential Manager auftreten, wird ein Fehler mit dem Code AUTHCL0010 angezeigt. |
Muss ich bei einer zentralen Konfiguration alle Clients einzeln aktualisieren? | Derzeit arbeiten wir an einem Skript, das die Passwörter in einer Massenaktion für alle Clients in den Credential Manager überträgt. Sie können die Möglichkeiten, die Ihre Systeme bieten, nutzen, um Einstellungen für alle Clients gleichzeitig vorzunehmen. Mit anderen Worten, ist es möglich, die Aktualisierung der Clients zentralisiert zu handhaben, indem Sie die Werkzeuge und Funktionen Ihres Systems verwenden, um die notwendigen Änderungen für alle Clients gleichzeitig durchzuführen. Dies erleichtert den Prozess und spart Zeit, im Vergleich zur individuellen Aktualisierung jedes einzelnen Clients. |