Beiträge von zchris

Wenn ich das mit einem Server teste bekomme ich die sourceID aus dem SAML Artifact (wie von Ihnen beschrieben).

Sobald ich jedoch zwei Server hinter den Reverse Proxy haenge habe ich folgendes Verhalten:

node 1:

node 2:

Fehler im MOA Log bei Node 2:

Der Reverse Proxy sollte den zweiten Request wohl zur gleichen Node weiterleiten - aber woran kann ich das erkennen? Ich finde hier keine sourceID.

OK, danke fuer die Information!

Danke fuer die rasche Antwort! Ich habe die Zertifikate nochmals installiert (im Trustprofile war es zumindest schon vorhanden), leider bleibt die Fehlermeldung aber gleich.

Wenn ich zum Testen

setze funktioniert alles (aber eben ohne CRL check).

Da sich unser Server hinter einem Proxy befindet der kein CRL erlaubt haben wir RevocationChecking auf OCSP gesetzt:

Lt. log sagt er auch "MSG=OCSP response successfully received", am Ende kommt dann aber "OCSP response not trusted thus setting revocation status to unknown".

Wo kann der Fehler liegen?

Auszug aus dem Log:

In der MOA-ID history steht:

Zitat

- MOA-ID erlaubt ab sofort Load-Balancing. Dies wird durch die Konfigurations-
möglichkeit der Source-ID für das SAML-Artifact gewährleistet. Das Border-
Gateway kann dann anhand dieser Kennung an den zuständigen Server zur Abholung
der SAML-Assertion weiterleiten. Über den Konfigurationsparameter
<GenericConfiguration name="AuthenticationServer.SourceID" value="Cluster-A"/>
kann die authURL bei der Kodierung des SAML-Artifakts durch eine fix
definierte URI (z.B. "Cluster-A") ersetzt werden.

Alles anzeigen

Gibt es evt. eine kurze Beschreibung zur Verwendung dieser Funktionalitaet in Verbindung mit der Handy-Signatur?

Ich habe den Parameter gesetzt. Beim Redirect zurueck zur OA haette ich die sourceID erwartet - dort bekomme ich aber weiterhin nur den SAMLArtifact.

Danke, funktioniert!

Danke, funktioniert jetzt. (Editor hat Whitespace entfernt)

Das File habe ich angepasst, den Redirect macht aber bereits https://www.handy-signatur.at/…equest/response.aspx?sid=... bevor er noch zum PDF-AS kommt.

Bei MOA-ID konnte man diesen Redirect per template_handyBKU.html abschalten.

Zitat

Um die Assertion zu prüfen, muss diese aus der MOA-ID Antwort entnommen werden und als eigene Datei via pruefung.signatur.rtr.at geprüft werden.

OK, aber welcher Teil?

Ich bekomme von MOA-ID (gekuerzt):

Ich habe schon versucht verschiedene Teile (wie saml:Assertion) in ein eigenes XML zu geben (ohne die Formatierung zu aendern), der Test ist aber immer negativ.

Gibt es evt. ein Sample XML?

Ich versuche die von MOA-ID erzeugte saml:Assertion auf https://pruefung.signatur.rtr.at/ zu prüfen.

Das Service erkennt die Zertifikate, gibt mir aber immer folgenden Fehler:

Zitat

Bei der Überprüfung des Hash-Werts zumindest einer Referenz der Signatur ist ein Fehler aufgetreten. Der Wert der Signatur wurde nicht überprüft.

Das XML wird 1:1 von MOA-ID uebernommen. Was kann die Ursache sein?

Wir wollen das Signieren von PDFs via Handy-Signatur in unserer Webapp ermöglichen.

Der Prozess funktioniert, nur wird am Ende von

ein Redirect auf _top durchgefuehrt (die iframe wird dadurch verlassen).

Beim Login kann man das mit dem redirecttarget Parameter in template_handyBKU.html umgehen (damit die Single Page Application im Browser nicht verlassen wird).

Wie kann man diesen Parameter in PDF-AS definieren?

OK, danke fuer die Information!

Ist es korrekt dass ich fuer den Test auch ein SSL Certificate benoetige?

Ich habe es inzwischen (ueber http auf einer Cloud VM) installiert, bekomme aber wieder den gleichen Fehler.

Ist es moeglich moa-id auf http://localhost:8080 zu testen?

Da wir derzeit keinen tomcat im web rennen haben wollte ich die Konfiguration lokal testen.

Lt. log startet es:

Wenn ich aber mit "HANDY" das Login starte (http://localhost:8080/moa-id-auth/index.html) bekomme ich nach Tel/Pwd folgenden Fehler:

Der Fehler 4126 ist leider nicht dokumentiert: http://www.buergerkarte.at/kon…rrorcodes/errorcodes.html