das Tool zur sicheren Authentifizierung für digitale Anwendungen des Gesundheitswesens
Suchen Sie etwas Bestimmtes?
Häufig gestellte Fragen
Der Authenticator kommuniziert mit dem IDP-Dienst je nach Anwendung über die TI und über das Internet:
IDP-Dienst TI-Endpunkt: https://idp.zentral.idp.splitdns.ti-dienste.de/
IDP-Dienst Internet-Endpunkt: https://idp.app.ti-dienste.de/
Die Entscheidung, welcher Endpunkt genutzt wird, obliegt der Fachanwendung und nicht dem Authenticator!
Für eine manuelle Erreichbarkeitsprüfung kann das Discovery-Document heruntergeladen werden: https://idp.app.ti-dienste.de/.well-known/openid-configuration
curl -v https://idp.app.ti-dienste.de/.well-known/openid-configuration
Der Fehlerstatus-Code gibt an, dass der Request nicht erfolgreich abgesetzt werden konnte.
Grund hierfür könnte sein, dass gültige Authentifizierungsdaten für eine Proxy-Authentifizierung zwischen Browser und Server fehlen.
Bitte vergewissern Sie sich, dass Sie entsprechende Proxy-Autorisierungsdaten oder eine entsprechende Firewallfreischaltung zur Kommunikation mit entsprechendem Endpunkt hinterlegt haben.
Mit folgendem Curl können Sie überprüfen, ob Sie die jeweiligen Endpunkte erreichen:
IDP Internet-Endpunkt:
curl -v https://idp.app.ti-dienste.de/.well-known/openid-configuration
IDP PU TI Endpunkt:
curl -v https://idp.zentral.idp.splitdns.ti-dienste.de/.well-known/openid-configuration
Der gematik Authenticator wird im Zusammenspiel mit weiteren Anwendungen der TI (WANDA) eingesetzt, die für die Nutzerinteraktion einen Web-Browser verwenden (eine sogenannte Web-Anwendung). Je nach Anwendung und Konnektor-Konfiguration kann es hierbei erforderlich sein, ein IP Routing für diese Anwendung zu konfigurieren, damit die Anwendung über die TI erreichbar ist. Die Einrichtung des IP-Routings kann hierbei am Arbeitsplatz selbst oder zentral am Gateway konfiguriert werden.
Achten Sie daher darauf, dass ein entsprechendes IP-Routing zu der jeweiligen Fachanwendung eingerichtet wurde.
Dies können Sie mittels folgendem Befehl in der Windows-Kommandozeile (Kommandozeile CMD mit Admin-Rechten) ausführen:
route add <Netzwerk> MASK <Mask> <IP-Konnektor > –p
Nach Einrichtung des Routings können sie mit folgenden Befehlen innerhalb der Kommandozeile testen, ob die Fachwendung erreicht werden kann:
- traceroute <Netzwerk>
- ping <DNS Fachanwendung>
- Bsp. ZVR: ping zvr-ae.bnotk.de
Weitere Informationen hierzu finden Sie innerhalb unseres Installationshandbuchs unter dem Punkt "Zugriff auf Fachanwendung ermöglichen".
Des Weiteren sollte auch geprüft werden, dass die Firewall die Kommunikation mit der Fachanwendung nicht blockiert. Schauen Sie daher bitte auch die eingestellten Firewallfreischaltungen an.
Welche Firewall-Freischaltungen vorgenommen werden sollten, finden Sie in unter unseren Voraussetzungen. [Klick mich]
Überprüfen Sie, ob die eingesetzte Karte (eHBA/SMC-B) vollständig aktiviert wurde.
Zur Nutzung einer Karte bedarf es einer vollständigen Aktivierung. Diese besteht zum einen in der Änderung des Transport-Pins sowie einer Aktivierung in Richtung OCSP. In der jeweiligen Dokumentation bei Aushändigung wird das explizit erwähnt.
Der Fehler deutet auf einen Fehler mit der Kommunikation mit OCSP hin, welcher durch vollständige Aktivierung der Karte behoben wird.
Hierbei handelt es sich um kein Problem mit dem Authenticator selbst.
Grundsätzlich ist die gelbe Meldung im Funktionstest nur ein Hinweis, das kein HBA gefunden wurde.
Der naheliegendste Grund hierfür ist, dass die Karte im Terminal nicht oder nicht richtig gesteckt wurde.
Insbesondere bei der Verwendung von mehreren Kartenterminals, kann der Fehler durch eine fehlerhafte Zuordnung auftreten.
Je nach Konnektor kann in den Einstellungen (Infomodell) angegeben werden, welches Kartenterminal / Karte im Anrufkontext genutzt werden soll - wichtig ist, dass dem Aufrufkontext, der im Authenticator angegeben wird, ein Kartenterminal sowie Karten zugewiesen sind.
Bitte prüfen Sie die Einstellungen im Konnektor – ggf. können Sie die Einstellungen mit der SMC-B-Karte vergleichen.
Dieser Fehler erscheint in der Regel wenn die PIN für den eHBA falsch eingegeben wurde.
Es hat sich herausgestellt, dass die Meldung auch ausgelöst wird, weil die Web Seite der Anwendung den Login im Cache gespeichert hat.
Löschen Sie daher Cache und Cookies. Sobald die Info gelöscht wird, funktioniert der Login wieder einwandfrei.
Ab der Version 4.12.0 des Authenticators kann die PIN der SMC-B nicht mehr mithilfe des Authenticators eingegeben werden.
Diese Meldung bedeutet, dass die PIN der SMC-B noch über das Kartenterminal eingegeben werden muss und hat nichts mit dem Registrierungs- oder Aktivierungsworkflow der Karte selbst zu tun (beispielsweise das Ändern der Transport PIN - hier würden Sie eine andere Meldung angezeigt bekommen).
Benötigt die von Ihnen genutzte Fachanwendung eine SMC-B und Sie erhalten eine solche Meldung, dann muss die PIN von dem für Ihre SMC-B Karte Verantwortlichen innerhalb des Konnektors oder Ihres Kartenverwaltungssystem eingegeben werden. Der Authenticator löst keine PIN Abfrage mehr für die SMC-B Karte im Kartenterminal aus. (Nur noch für die HBA, hier bleibt alles wie gewohnt)
Innerhalb des Authenticators ist die PIN Abfrage für SMC-B Karten ab der Version 4.12.0 nicht mehr möglich, da es in der Vergangenheit aufgrund von Verwechslungen vermehrt zu Sperrungen der SMC-B Karten kam.
| RU Internet | idp-ref.app.ti-dienste.de |
| RU TI-Endpunkt | idp-ref.zentral.idp.splitdns.ti-dienste.de |
| PU Internet | idp.app.ti-dienste.de |
| PU TI-Endpunkt | idp.zentral.idp.splitdns.ti-dienste.de |
Die notwendigen Zertifikate müssen im Verzeichnis:
C:\Program Files\gematik Authenticator\resources\certs-idp
hinterlegt werden.
Ab der Version 4.14.0 des gematik Authenticators werden die Zertifikate ebenfalls aus dem Truststore ausgelesen, so dass die Zertifikate nicht gesondert unter *\certs-idp hinterlegt werden müssen.
Ihre Frage ist nicht dabei? Versuchen Sie doch einmal die Dokumentation in unseren Kategorien
