© Excellent backgrounds/Shutterstock.com
Java Magazin
nPA auslesen leicht gemacht mit Java und JAX-WS

Neues vom Personalausweis

„Gast, wer du bist, wüßt ich gern“, fragt Sieglinde den unbekannten Flüchtling im ersten Akt von Richard Wagners Walküre, nicht ahnend, dass dieser ihr eigener Bruder Siegmund ist. Manche Webanwendung dürfte vor derselben Frage stehen, wenn sie einen Identitätsnachweis ihrer Nutzer benötigt. Einen möglichen Weg dazu bietet die eID-Funktion des neuen Personalausweises.

Frank Eichfelder


Seit dem 1. November 2010 wird der neue Personalausweis (nPA) ausgegeben und sollte somit bis 2020 den Weg in die Brieftaschen aller Bundesbürger gefunden haben. Für Java-Entwickler von besonderem Interesse ist dabei die Frage, wie man die eID-Funktion des Personalausweises in Webanwendungen einsetzen kann. Ein Artikel im Java Magazin 5.2012 [1] erläuterte bereits die erforderlichen Voraussetzungen und stellte anhand eines Beispiels die SAML-basierte Integration in eigene Onlineanwendungen vor.

In der Zwischenzeit hat sich einiges getan: Seit 01.11.2014 befindet sich die AusweisApp2 in der öffentlichen Erprobungsphase und kann von jedermann heruntergeladen und verwendet werden [2]. Die alte AusweisApp steht zwar noch für einen Übergangszeitraum zur Verfügung, wird aber über kurz oder lang komplett durch die AusweisApp2 ersetzt werden.

Für Integratoren von besonderer Wichtigkeit ist, dass der Mechanismus, über den die AusweisApp aktiviert wird, komplett geändert wurde. Diese Änderung ist in der Technischen Richtlinie TR-03124 [3] des BSI (Bundesamt für die Sicherheit in der Informationstechnik) beschrieben und soll im Folgenden näher erläutert werden.

eID-Client

Der eID-Client nimmt eine wichtige Rolle im Beziehungsgeflecht zwischen Browser, Anwender, Personalausweis und eID-Server ein (Abb. 1). Er implementiert die zur Kommunikation zwischen den einzelnen Komponenten benötigten Protokolle nach den in diversen Technischen Richtlinien festgelegten Vorgaben [3], [4], [5]. Bei der vom Bund zur Verfügung gestellten AusweisApp2 handelt es sich um eine der möglichen Implementierungen eines eID-Clients; es gibt aber auch alternative Implementierungen wie etwa die Open-eCard-App.

Abb. 1: Beziehungen des eID-Clients

Bislang wurde der eID-Client über ein Browser-Plug-in aktiviert, das mittels -Tag in die HTML-Seite integriert werden musste. Dieser Mechanismus hat sich in der Vergangenheit als problematisch erwiesen, da das Plug-in nur für bestimmte Browser (IE, Firefox) verfügbar war und zudem nur mit bestimmten Versionen funktionierte (IE nur 32 Bit, Firefox nur ESR-Versionen), sodass schon bald der Ruf nach einer Alternative laut wurde. Daher wurde ein neuer Aktivierungsmechanismus vorgesehen, bei dem durch Klick auf einen in die Webseite integrierten Link ein HTTP-GET-Request zum lokalen Port 24727 ausgelöst wird. In der alten AusweisApp (ab Version 1.10) sowie in der AusweisApp2 läuft auf diesem Port ein lokaler Dienst, der bei Empfang eines entsprechenden R...

Java Magazin
nPA auslesen leicht gemacht mit Java und JAX-WS

Neues vom Personalausweis

„Gast, wer du bist, wüßt ich gern“, fragt Sieglinde den unbekannten Flüchtling im ersten Akt von Richard Wagners Walküre, nicht ahnend, dass dieser ihr eigener Bruder Siegmund ist. Manche Webanwendung dürfte vor derselben Frage stehen, wenn sie einen Identitätsnachweis ihrer Nutzer benötigt. Einen möglichen Weg dazu bietet die eID-Funktion des neuen Personalausweises.

Frank Eichfelder


Seit dem 1. November 2010 wird der neue Personalausweis (nPA) ausgegeben und sollte somit bis 2020 den Weg in die Brieftaschen aller Bundesbürger gefunden haben. Für Java-Entwickler von besonderem Interesse ist dabei die Frage, wie man die eID-Funktion des Personalausweises in Webanwendungen einsetzen kann. Ein Artikel im Java Magazin 5.2012 [1] erläuterte bereits die erforderlichen Voraussetzungen und stellte anhand eines Beispiels die SAML-basierte Integration in eigene Onlineanwendungen vor.

In der Zwischenzeit hat sich einiges getan: Seit 01.11.2014 befindet sich die AusweisApp2 in der öffentlichen Erprobungsphase und kann von jedermann heruntergeladen und verwendet werden [2]. Die alte AusweisApp steht zwar noch für einen Übergangszeitraum zur Verfügung, wird aber über kurz oder lang komplett durch die AusweisApp2 ersetzt werden.

Für Integratoren von besonderer Wichtigkeit ist, dass der Mechanismus, über den die AusweisApp aktiviert wird, komplett geändert wurde. Diese Änderung ist in der Technischen Richtlinie TR-03124 [3] des BSI (Bundesamt für die Sicherheit in der Informationstechnik) beschrieben und soll im Folgenden näher erläutert werden.

eID-Client

Der eID-Client nimmt eine wichtige Rolle im Beziehungsgeflecht zwischen Browser, Anwender, Personalausweis und eID-Server ein (Abb. 1). Er implementiert die zur Kommunikation zwischen den einzelnen Komponenten benötigten Protokolle nach den in diversen Technischen Richtlinien festgelegten Vorgaben [3], [4], [5]. Bei der vom Bund zur Verfügung gestellten AusweisApp2 handelt es sich um eine der möglichen Implementierungen eines eID-Clients; es gibt aber auch alternative Implementierungen wie etwa die Open-eCard-App.

Abb. 1: Beziehungen des eID-Clients

Bislang wurde der eID-Client über ein Browser-Plug-in aktiviert, das mittels -Tag in die HTML-Seite integriert werden musste. Dieser Mechanismus hat sich in der Vergangenheit als problematisch erwiesen, da das Plug-in nur für bestimmte Browser (IE, Firefox) verfügbar war und zudem nur mit bestimmten Versionen funktionierte (IE nur 32 Bit, Firefox nur ESR-Versionen), sodass schon bald der Ruf nach einer Alternative laut wurde. Daher wurde ein neuer Aktivierungsmechanismus vorgesehen, bei dem durch Klick auf einen in die Webseite integrierten Link ein HTTP-GET-Request zum lokalen Port 24727 ausgelöst wird. In der alten AusweisApp (ab Version 1.10) sowie in der AusweisApp2 läuft auf diesem Port ein lokaler Dienst, der bei Empfang eines entsprechenden R...

Neugierig geworden?


    
Loading...

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang