Skip to content

[Epic] Authentifizierung und Willensbekundung von Verwaltungskund:innen (Weiterleitung des Identifikationsnachweises)

Warum?

Aufgrund der grundsätzlichen konzeptionellen Trennung der Systemverantwortlichkeit für EfA-Onlineantragsdienste und Fachverfahren müssen Betreiber von Fachverfahren in bestimmten Szenarien in der Lage sein, die erfolgreiche (schriftformäquivalente) Authentifizierung der Antragssteller:innen prüfen zu können, sofern eine Willenserklärung nicht mit einer qualifizierten Signatur abgebildet ist, sondern mit alternativen Methoden wie der eID oder der bundID erfolgt ist.

Hierfür ist eine standardisierte Architektur als Lösungsmuster für EfA-Onlinedienste und Fachverfahren zu entwickeln.

Relevante Links und Bemerkungen

state/s_hash im OIDC-Standard

State im OIDC Authorization-Request könnte genutzt werden, um documentReferences aus IdentificationReport an OIDC-Server zu schicken. OIDC-Server antwortet dann mit state hash (s_hash).

state
    RECOMMENDED. Opaque value used to maintain state between the request and the callback. Typically, Cross-Site Request Forgery (CSRF, XSRF) mitigation is done by cryptographically binding the value of this parameter with a browser cookie. 

s_hash
    State hash value. Its value is the base64url encoding of the left-most half of the hash of the octets of the ASCII representation of the state value, where the hash algorithm used is the hash algorithm used in the alg header parameter of the ID Token's JOSE header. For instance, if the alg is HS512, hash the state value with SHA-512, then take the left-most 256 bits and base64url encode them. The s_hash value is a case sensitive string.

Akzeptanzkriterien

  1. ...
  2. ...
  3. ...

Durchführungsplan (vom Entwickler bei Storyplanung auszufüllen)

  • Aktuellen Stand bei Onlinedienst-Hersteller und FINK-Beteiligten anfragen (Mail vom 16.5.22)
  • ...
  • ...
  • Definition of Done wurde geprüft
Edited by Marco Holz