In diesem Katalog werden bereits vorab wichtige Kriterien festgehalten, die für die Einführung, Installation und Nutzung des Authenticators unterstützen sollen.

Die beschriebenen Kriterien dienen als reine Informationen für potentielle Nutzer des Authenticators.


Überblick:




Fragen zum Produkt

Kurzbeschreibung
Die Hauptaufgabe des Authenticators ist die sichere Authentisierung von Nutzern zur Anmeldung an digitalen Gesundheitsanwendungen.
Er authentisiert berechtigte Ärzte oder medizinisches Personal und gewährt diesen Zugriff auf die jeweilige Anwendung. Damit stellt der Authenticator für eine Vielzahl von TI-Anwendungen die Möglichkeit zur sicheren Authentifizierung bereit.

Allgemeine Voraussetzung

Was ist notwendig für die Nutzung des Authenticators?

Aus Sicht eines Nutzenden (LE (Leistungserbringer)/LEI (Leistungserbringerinstitution)) einer Anwendung

Anwendungsszenario:
Sie sind ein Leistungserbringer oder eine Leistungserbringerinstitution und Sie möchten sich an einer Fachanwendung wie beispielsweise dem Organspenderegister, DEMIS oder dem TI-Score per Authenticator anmelden. Für diesen Fall müssen Sie diesen Schritt durchführen.
Es ist hierzu KEINE IDP-Registrierung notwendig.

Damit der Authenticator für entsprechende Anwendungen betrieben werden kann, ist die Installation der Software sowie die einmalige Administration der Einstellungen durch einen Dienstleister vor Ort (DVO) oder einen Administrator Ihrer Institution notwendig.
Die entsprechenden Einstellungen entnehmen Sie bitte vom Anwendungsverantwortlichen.

Aus Sicht eines Anbieters einer (Fach-)Anwendung

Anwendungsszenario:
Sie sind ein Anbieter einer (neuen) (Fach-)Anwendung und Sie möchten den Authenticator in Ihre Anwendung integrieren, um den Nutzenden eine Anmeldung per Authenticator zu ermöglichen.
Hier ist eine Registrierung notwendig.

Damit der Authenticator für eine neue Anwendung auch erfolgreich genutzt werden kann, muss im Vorfeld eine jeweilige Registrierung beim entsprechenden IDP erfolgt sein.
Sie erhalten bei der Registrierung die notwendigen Parameter, die für die Konfiguration des Authenticators sowie die Requests aus der Fachanwendung heraus notwendig sind.

Für eine initiale Registrierung wenden Sie sich bitte an folgende Adresse: IDP-Registrierung@gematik.de.


Fragen zur Hardware

Welche Hardware-Voraussetzungen sind bekannt?

Auszug aus Installationshandbuch (https://wiki.gematik.de/display/GAKB/Installationshandbuch+Authenticator)

  • Microsoft Windows (10)
  • Freier Speicherplatz (ca. 150MB)
  • Netzwerk bzw. Internetverbindung
  • Konnektor: RISE, Secunet, Koco
  • Kartenterminals: Cherry, Ingenico
  • Internet-Browser:
    • Chrome (aktuelle Version)
    • Firefox (aktuelle Version)
    • Opera (aktuelle Version) 
    • Edge (aktuelle Version)
    • Es wird kein Internet Explorer unterstützt
  • Hinweis: Für eine bessere Usability sollte der vom Nutzer verwendete Browser dem im System hinterlegten default-Browser entsprechen.
  • Administratorrechte für die Installation sowie erstmaliger Start (aufgrund Setzen von Firewallregeln) 

Welche Komponenten sind für die Nutzung des Authenticators notwendig?

  • Windows Client/Workstation
  • Konnektor
  • Kartenterminal

Welche Komponenten sind Hardware-technisch wie miteinander verbunden?

Netzwerkschnittstelle > Client/Workstation > Konnektor > Kartenterminal > Karte

Fragen zur Software

Welche Betriebssysteme werden unterstützt?
  • Windows 10

Werden auch Server-Betriebssysteme unterstützt?

Ja, allerdings ist der Authenticator nicht für einen Serverbetrieb konzipiert.

  • Der Authenticator ist eine Clientanwendung (siehe Produktbeschreibung).

Unterstützt der Authenticator den Betrieb innerhalb einer Virtualisierung?

Falls ja, welche Produkte werden unterstützt?

Ja, Virtualisierung wird unterstützt.

Produkte:

  • Citrix
  • VMware

Sind zusätzliche Software-Lizenzen für die Lauffähigkeit des Authenticators erforderlich?

Nein, alle notwendigen Lizenzen/Zertifikate zur Nutzung des Authenticators werden mitgeliefert.

Von wem und wie wird die Software installiert?

Wem: DVO (Dienstleister vor Ort) / interne IT der Einrichtung (Praxis/KH)

Wie: Der Authenticator wird nach aktuellem Stand direkt auf dem Client/Workstation installiert.

Sind für den laufenden Betrieb der Anwendung lokale Administratorrechte erforderlich?

Für den laufenden Betrieb sind keine Administratorrechte notwendig.
Für die initiale Installation sind Administratorrechte notwendig.

Speichert die Software Daten lokal ab?

Installationsverzeichnis:

 WindowsC:\\Program Files\gematik Authenticator\resources

 macOS/Applications/gematik Authenticator/


Config-Files:

 WindowsC:/Users/{Nutzerverzeichnis}/AppData/Local/gematik Authenticator/config.json

 macOS/Users/{Nutzerverzeichnis}/Library/Application Support/gematik Authenticator/config.json

 

Logfiles:

 WindowsC:/Users/{Nutzerverzeichnis}/AppData/Local/Temp/authenticator-logging/authenticator-${datum}.log

 macOS/Users/{Nutzerverzeichnis}/Library/Logs/authenticator-${datum}.log

Sind Datensicherungen (Backups) zur Wiederherstellung der Software notwendig?

Der Authenticator ist eine Clientanwendung mit grafischer Benutzerschnittstelle. Die Installation und Deinstallation finden manuell statt.
Der Authenticator selbst ist an keiner Datenbank angebunden, daher ist grundsätzlich auch keine Sicherung notwendig.

Es wird allerdings empfohlen, die config.json Files, im Falle bei Durchführung einer Wiederherstellung (Neuinstallation) zu sichern.

Werden Recovery-Files mitgeliefert?

Nein, der Authenticator wird ausschließlich in einem Downloadportal bereitgestellt.

Wird eine Datenbank verwendet?

Nein

Gibt es ein Berechtigungskonzept?

Der Authenticator beschränkt sich lediglich auf die initiale Installation sowie die eingerichteten Einstellungen.

Fragen zur IT-/Netzwerkarchitektur

Welche Voraussetzungen hat der Authenticator zur Einbindung in eine Netzwerkdomäne?

Der Authenticator setzt eine Berechtigung auf das lokale- sowie Netzwerk-Dateisystem voraus.

Wird eine automatisierte Patchverteilung unterstützt?

Die Initialeinrichtung des Authenticators erfolgt durch DVO (Dienstleister vor Ort) oder interne IT.

Eine Auto-Update-Funktion ist grundsätzlich möglich/vorhanden. Hierzu wird eine Freischaltung bzw. Zugriff auf ein GitHub-Repo (https://github.com/gematik/app-Authenticator) vorausgesetzt.

Sind während der Nutzung Einschränkungen von Antivirensoftware bekannt?

Es sind keine Einschränkungen oder negative Einflüsse bei Virenscanner bekannt.

Wird der Authenticator mit einer vorgeschalteten Firewall betrieben?

Nein, eine vorgeschaltete Firewall wird nicht mitgeliefert.

Kann das Produkt mit Betriebssystem-interner Firewall betrieben werden?

Ja, eine Freigabe der Internet-/TI-Endpunkte des IDPs wird vorausgesetzt
(siehe FAQ: Fragen & Antworten (FAQs))

Welche Protokolle und Ports werden zur Kommunikation benötigt?

HTTPS (443)

Kommunikationsmatrix

DescriptionSourceDestinationPortProtokoll
Verbindung zum IDP via InternetLokaler Client/Workstation (localhost)idp.app.ti-dienste.de443https
Verbindung zum IDP via TI EndpunktLokaler Client/Workstation (localhost)idp.zentral.idp.splitdns.ti-dienste.de443https

Verbindung zu WANDA Applikationen

Bsp.: Zentrales Vorsorgerister

Lokaler Client/Workstation (localhost)

Bsp.: Lokaler Client/Workstation (localhost)

X.X.X.X / 15

Bsp.: https://zvr-ae.bnotk.de/

443

Bsp.: 443

https

Bsp.: https

Auto-UpdatefunktionLokaler Client/Workstation (localhost)https://github.com/gematik/app-Authenticator443https
KonnektorLokaler Client/Workstation (localhost)internes Netzwerk443https
KartenterminalLokaler Client/Workstation (localhost)internes Netzwerk443https
  • No labels