Erläuterungen zur verwendeten Terminologie analog sind zentral für alle Flows hier abgelegt.
Exemplarische Beschreibung des Ablaufs einer Dienstnutzung sowie der Vor und Nachbedingungen
Schritt | Gerät | Beschreibung | |
---|---|---|---|
0 | 1 |
| |
1 | 1 | Schnittstellendetails analog Web-zu-App Flow (1) | |
1-a | Schnittstellendetails analog App-zu-App Flow (1a) | ||
1-b | Schnittstellendetails analog App-zu-App Flow (1b) | ||
1-c | Schnittstellendetails analog App-zu-App Flow (1c) | ||
1-d | Schnittstellendetails analog App-zu-App Flow (1d) | ||
2 | Schnittstellendetails analog App-zu-App Flow (2) | ||
2-a | Schnittstellendetails analog App-zu-App Flow (2a) | ||
2-b | Schnittstellendetails analog App-zu-App Flow (2b) | ||
2-c | Schnittstellendetails analog App-zu-App Flow (2c) | ||
2-d | Schnittstellendetails analog App-zu-App Flow (2d) | ||
3 | Schnittstellendetails analog App-zu-App Flow (3) | ||
4 | Der Autorisierungsserver antwortet dem Web-Backend mit Request-URI und Client ID zur Weiterleitung über das Anwendungsfrontend an die Adresse des Authenticator des IDP. | ||
5 | 1 | Das Web-Backend leitet den Redirect an das Anwendungsfrontend weiter. | |
6 | 1 | Das Anwendungsfrontend öffnet die Web-Anwendung des IDP für den Authetifikationsprozess. | |
6a | 1 | Das Web-Frontend des IDP erfragt die Zugangsinformationen und ggf. Consent-Freigabe für die anfragende Anwendung beim Nutzer (1. Faktor, z.B. user/password) | |
6b | Der Nutzer übermittelt seine Credentials an den IDP. | ||
6c | 2 | Der IDP kann das Authenticator-Modul des IDP (z.B. 2FA) mit in den Prozess einbinden. Dazu sendet der IDP entweder eine push-Nachricht an die Autheticator-App oder fordert den Nutzer zum Start der Autheticator-App auf. | |
6d | Der Nutzer tätigt die notwendigen Aktivitäten zur Authetifizierung über das Authenticator-Modul des IDP. | ||
7 | 1 | Der Authorization-Endpunkt des IDP antwortet dem Aufruf des Anwendungsfrontend (Schritt 6) mit dem "AUTHORIZATION_CODE" und einem Redirect zum Fachdienst. | |
8 | 1 | Die Anwendungsfrontend leitet den "AUTHORIZATION_CODE(IDP)" an sein Web-Backend weiter. | |
9 | Das Web-Backend leitet den "AUTHORIZATION_CODE(IDP)" an den Autorisierungsserver (redirected uri) | ||
10 | Schnittstellendetails analog App-zu-App Flow (10) | ||
11 | Schnittstellendetails analog App-zu-App Flow (11) | ||
12 | 1 | Schnittstellendetails analog Web-zu-App Flow (11) |
Exemplarische Beschreibung des Ablaufs einer Dienstnutzung sowie der Vor und Nachbedingungen
Der Abruf der Schlüssel des Federation Master erfolgt analog dem App-zu-App Flow (Federation Master)
IDP Liste
Beschreibung zur IDP-Liste ist im Web-zu-App Flow (IDP-Liste) hinterlegt.
Request analog App-zu-App Flow (1a):
Response analog App-zu-App Flow (1b)
Die Werte sind analog zu App-zu-App Flow (1b-signed_jwks)
Request analog App-zu-App Flow (1c)
Response analog zu App-zu-App Flow (1d)
HTTP-POST analog App-zu-App Flow (2) inclusive TLS Clientauthentisierung.
Request analog App-zu-App Flow (2a)
Response analog App-zu-App Flow (2b)
Die Werte sind analog zu App-zu-App Flow (2b-signed_jwks)
Request analog App-zu-App Flow (2c)
Response analog App-zu-App Flow (2d)
Response analog App-zu-App Flow (3)
Der Autorisierungsserver antwortet dem Web-Backend mit Request-URI und Client ID zur Weiterleitung über das Anwendungsfrontend an die Adresse des Authenticator des IDP.
Das Web-Backend leitet den Redirect an das Anwendungsfrontend weiter.
HTTP-GET analog App-zu-App Flow (5) - allerdings gibt es in diesem Fall eben kein Authenticator Modul des sektoralen IDP auf dem Gerät und daher wird unter der Adresse eine Authentifizierungsseite im Browser geöffnet.
Der Anwender authentifiziert sich nach dem Verfahren des IDP. Dabei kann als 2. Faktor eine Authenticator-App auf einem 2. Gerät verwendet werden.
Beispielablauf:
6a) IDP Login-Seite im Browser Gerät 1 → Identifikation des Nutzers (möglicherweise/ratsam über ersten Faktor z.B. Name/Passwort)
6b) IDP → Prüfung der Credentials (Optional wenn 1 Faktor genutzt)
6c) Initiierung des 2. Faktor durch Aufforderung an den Anwender zum Öffnen des Authenticator-Modul auf einem 2. Gerät oder durch ein push des IDP auf das Gerät mit der Authenticator-Modul
6d) Authenticator-Modul Gerät 2 → IDP → Abschluß der Authentisierung
Der Nutzer könnte auch im Schritt 6a einen Code vom IDP gezeigt bekommen und tippt/scant diesen im Authenticator-Modul ein. Auch dies kann eine Kopplung der App zum Prozess beim IDP herstellen.
Varianten gibt es verschiedene aber es muss klar sein zu welcher Session (Request URI) beim IDP diese Authentisierung gehört.
Die Authentifizierungsseite des Authorization-Endpunkt des sektoralen IDP reagiert und sendet dem Web-Frontend einen Redirect zum Fachdienst und den "AUTHORIZATION_CODE".
Redirect analog App-zu-App Flow (7)
Das Anwendungsfrontend gibt die Information mit dem "AUTHORIZATION_CODE" an das Web-Backend der Anwendung weiter.
HTTP-POST analog App-zu-App Flow (9)
HTTP-POST analog App-zu-App Flow (10) inclusive TLS Clientauthentisierung.
Response analog App-zu-App Flow (11)