[Epic] ELSTER + Accountverwaltung

Ausgangslage

Momentan erfolgt für die Freischaltung auf der STAGING- und PROD-Umgebung eine manuelle Prüfung der Identität von Nutzer:innen (Länder, Kommunen, beauftragte IT-Dienstleister). Eine solche manuelle Prüfung ist fehleranfällig. Zudem verursacht die manuelle Freischaltung von Accounts Aufwände auf Seiten der FITKO.

Lösung

Zukünftig sollen sich Nutzer:innen über das ELSTER-Organisationskonto im FIT-Connect Self-Service-Portal registrieren können. Beim Login mittels des ELSTER-Orgnisationskonto werden auch der Name und eine eindeutige ID der Organisation der sich einloggenden Person übermittelt und gespeichert. Der Login mittels des ELSTER-Organisationskontos stellt sicher, dass nur vertretungsberechtigte Personen der Organisation einen Account im FIT-Connect-Self-Service-Portal erstellen können.

Relevante Links und Bemerkungen

Technische Doku zu Elster: https://nextcloud.fitko.net/index.php/f/145719

Aktuell besitzt nur @Alexander_Hoose einen Account für die Konfig der Elster Umgebung.

Anforderungen & Akzeptanzkriterien

1. Das Umsetzungskonzept wurde mit RuC (Rechtsabteilung FITKO) abgestimmt und für gut befunden.
2. Beim Login mittels ELSTER-Organisationskonto werden die im ELSTER-Organisationskonto hinterlegten Kontaktdaten erfasst, um die betroffene Organisation oder den Nutzer bei Bedarf für technische Rückfragen kontaktieren zu können.
3. Beim Login mittels ELSTER-Organisationskonto wird anhand der im ELSTER-Organisationskonto hinterlegten Daten eindeutig ermittelt, ob es sich bei der Organisation, zu der die sich einloggende Person gehört, um eine Behörde oder eine andere Organisationsform handelt.
4. Die im ELSTER-Organisationskonto hinterlegten Informationen zur Organisation werden inkl. eindeutiger ID und Organisationstyp vom SSP gespeichert. -> #993 (closed)
5. Die erfassten Kontaktdaten werden bei jedem erneuten Login aktualisiert, falls sie sich geändert haben sollten. -> Daten werden im Keycloak gespeichert (Veraltet #993 (closed))
6. Es liegt ein Konzept für einen Migrationspfad für die auf der PROD-Umgebung bestehenden Accounts vor. Eine Umsetzung kann beispielsweise im Rahmen von (#1546 (closed)) erfolgen.
7. Bis zur Umsetzung von #197 (closed) muss zwangsläufig eine manuelle Freischaltung durch die FITKO erfolgen, um sicherzustellen, dass unterzeichnete Nutzungsbedingungen und AVVs vorliegen. --> nicht notwendig, da jeder der ein Elster-Unternehmenskonto hat sich anmelden kann
8. Bis zur Umsetzung von #330 (closed) muss für Organisationen, die keine Behörde sind, zwangsläufig eine manuelle Freischaltung durch die FITKO erfolgen, um sicherzustellen, dass ein berechtigtes Interesse vorliegt (Grund: Bis zur Umsetzung von #330 (closed) können registrierte Nutzer:innen sowohl Sender, als auch Subscriber anlegen). --> nicht notwendig, da jeder der ein Elster-Unternehmenskonto hat sich anmelden kann
9. Nach Umsetzung von #197 (closed) und #330 (closed) wird eine Registrierung ohne manuelle Freischaltung der FITKO angestrebt.
10. Es gibt eine Möglichkeit, Nutzer:innen manuell zu sperren.
11. Es gibt eine Möglichkeit, API-Clients (und Zustellpunkte?) beliebige Nutzer:innen manuell zu sperren. #1007 wird zu einem späteren Punkt gelöst
12. Die Datenschutzerklärung des SSP und ggf. die Nutzungsbedingungen wurden angepasst. #1002 (closed)

Hinweise zur Umsetzung von Stories

Fachadministration für die Accountverwaltung

Hier wäre folgende Story die Basis für die anderen Stories:

• #1005 (closed)

Alle anderen Stories weisen keine zwingende Priorisierung auf.

Abschließend ist die Nutzung der Fachadministration (einschließlich Prozesse und Verantwortlichkeiten) für den Support, Betrieb und das Entwicklerteam zu dokumentieren: #1009 (closed)

Alte Beschreibung vor Umbau des Epics

Zu klären

1. Soll der ELSTER-Login auch auf der Testumgebung umgesetzt werden?
   • Alex: Ich würde sagen ja. Für viele Organisationen macht das Sinn und ist juristische Organisation einfacher als die alternativen Logins. Zudem
2. Ist eine Migration von bestehenden GitLab-Accounts auf ELSTER-Accounts teil dieses Epics oder erst Teil von #330 (closed)?
   • Alex: Ich würde sagen erst später. Aber man könnte vorsehen, neue Zugänge nur noch auf Elster Basis zu schalten.

Relevante Links und Bemerkungen

• Eine technische Umsetzung kann mittels ID Mercury erfolgen.
• Alterantiv existiert folgendes Keycloak-Plugin: https://gitlab.opencode.de/landeshauptstadt-muenchen/ELSTER_NEZO_Plugin
• Ergebnisse der Evaluierung der ELSTER-Anbindung finden sich im Wiki-Artikel Anbindung ELSTER.

Software und Handbücher für ID-Mercury und den Elster Client: https://nextcloud.fitko.net/index.php/f/145796

Technische Doku zu Elster: https://nextcloud.fitko.net/index.php/f/145719

Sammlung von Architektur Skizzen: https://nextcloud.fitko.net/index.php/f/148160

Für alle Story werden standardisierte Testaccounts von Elster benutzt. Diese müssen noch final beschafft werden (its complicated).

Anforderungen & Akzeptanzkriterien

1. Das Umsetzungskonzept wurde mit RuC (Rechtsabteilung FITKO) abgestimmt und für gut befunden.
2. Beim Login mittels ELSTER-Organisationskonto werden die im ELSTER-Organisationskonto hinterlegten Kontaktdaten erfasst, um die betroffene Organisation oder den Nutzer bei Bedarf für technische Rückfragen kontaktieren zu können.
3. Beim Login mittels ELSTER-Organisationskonto wird anhand der im ELSTER-Organisationskonto hinterlegten Daten eindeutig ermittelt, ob es sich bei der Organisation, zu der die sich einloggende Person gehört, um eine Behörde oder eine andere Organisationsform handelt.
4. Die im ELSTER-Organisationskonto hinterlegten Informationen zur Organisation werden inkl. eindeutiger ID und Organisationstyp vom SSP gespeichert. -> #993 (closed)
5. Die erfassten Kontaktdaten werden bei jedem erneuten Login aktualisiert, falls sie sich geändert haben sollten. -> #993 (closed)
6. Es liegt ein Konzept für einen Migrationspfad für die auf der PROD-Umgebung bestehenden Accounts vor. Eine Umsetzung kann beispielsweise im Rahmen von #330 (closed) erfolgen.
7. Bis zur Umsetzung von #197 (closed) muss zwangsläufig eine manuelle Freischaltung durch die FITKO erfolgen, um sicherzustellen, dass unterzeichnete Nutzungsbedingungen und AVVs vorliegen.
8. Bis zur Umsetzung von #330 (closed) muss für Organisationen, die keine Behörde sind, zwangsläufig eine manuelle Freischaltung durch die FITKO erfolgen, um sicherzustellen, dass ein berechtigtes Interesse vorliegt (Grund: Bis zur Umsetzung von #330 (closed) können registrierte Nutzer:innen sowohl Sender, als auch Subscriber anlegen).
9. Nach Umsetzung von #197 (closed) und #330 (closed) wird eine Registrierung ohne manuelle Freischaltung der FITKO angestrebt.
10. Es gibt eine Möglichkeit, Nutzer:innen manuell zu sperren.
11. Es gibt eine Möglichkeit, API-Clients (und Zustellpunkte?) beliebige Nutzer:innen manuell zu sperren.
12. Die Datenschutzerklärung des SSP und ggf. die Nutzungsbedingungen wurden angepasst.
13. Nach umgezogener Elster-Migration ist der Menüpunkt "Elster Migration" nicht mehr zu sehen
14. Die ID etc werden aus der Angabe von der Elster-Migration herausgenommen.

Hinweise zur Umsetzung von Stories

Zunächst ist folgende Story umzusetzen, um die Betriebsarchitektur zu finalisieren (hieraus ergeben sich ggf. Anpassungen an Stories):

#990 (closed)

Danach gibt es zwei Stränge, die (größtenteils) unabhängig von einander umsetzbar sind:

• Umsetzung des Elster Logins
• Fachadministration für die Accountverwaltung (zwingend notwendig, um Elster praktisch umzusetzen)

Umsetzung des Elster Logins

Zunächst wären folgende Stories umzusetzen:

• #996 (closed)
• #934 (closed)

Alle anderen Stories weisen keine zwingende Priorisierung auf.

Abschließend ist die Nutzung des neuen Logins (einschließlich von Migrationen) für Endnutzer zu dokumentieren: #934 (closed)

Fachadministration für die Accountverwaltung

Gesamte Dokumentation läuft unter: #1546 (closed)