id-austria.gv.at – Startseite

Architektur

Die Gesamtarchitektur des ID Austria Systems setzt sich aus mehreren Domains zusammen. Jede Domain stellt eine oder mehrere Komponenten des ID Austria Systems bereit. Der Begriff Domain bezieht sich hierbei auf einen Teil des ID Austria Systems, dessen Komponenten von einer Organisation (BRZ, BMI, etc.) betrieben werden und welcher eine bestimmte Funktionalität des ID Austria Systems kapselt. Die Darstellung auf Domainebenen ermöglicht einen ersten Überblick über die Prozessabläufe innerhalb des ID Austria Systems.

Abb. 1: Gesamtarchitektur Domainebene

Prozessabläufe

Vor Verwendung der ID Austria müssen Benutzer:innen ihre persönliche ID Austria registrieren. Die dafür notwendigen Prozesse und technischen Komponenten sind in der Registration-Domain angesiedelt. Die Registration-Domain verfügt über eine Schnittstelle zur User-Domain, da die Benutzer:innen mit ihren Endgeräten mit Komponenten der Registration-Domain interagieren müssen.

Die Registration-Domain verfügt über weitere Schnittstellen zur Backend-Domain und zur VDA-Domain. Erstere beinhaltet unter anderem eine Anbindung an das für die Registrierung einer persönlichen ID Austria notwendige Stammzahlenregister (SZR). Die VDA-Domain repräsentiert hingegen den Bereich des Vertrauensdienstanbieters (VDA), der im Zuge der Registrierung einer ID Austria ein qualifiziertes Signaturzertifikat für die Benutzer:innen ausstellt.

Nach erfolgter Registrierung können Benutzer:innen ihre persönliche ID Austria für die Anmeldung an Service Providern verwenden. Service Provider sind in der Service-Provider-Domain angesiedelt. Die Service-Provider-Domain verfügt über eine Schnittstelle zur User-Domain, über welche Benutzer:innen bereitgestellte Dienste des Service Providers in Anspruch nehmen können. Der Service Provider nutzt die ID Austria zur Authentifizierung der Benutzer:innen, dementsprechend verfügt die Service-Provider-Domain auch über eine Schnittstelle zur Frontend-Domain.

Die Authentifizierung von Benutzer:innen ist Kernaufgabe der Frontend-Domain. Die Authentifizierung erfolgt über den Vertrauensdiensteanbieter (VDA) oder für Bürger:innen anderer EU-Mitgliedsstaaten über das eIDAS Framework. Dementsprechend verfügt die Frontend-Domain über Schnittstellen zur VDA-Domain und zur eIDAS-Domain. Sowohl VDA-Domain als auch eIDAS-Domain haben eine Schnittstelle zur User-Domain, über welche die Benutzer:innen authentifiziert werden. Auch die Frontend-Domain verfügt über eine Schnittstelle zur User-Domain, da auch hier eine Interaktion mit Benutzer:innen im Zuge der Authentifizierung notwendig ist.

Da sich Benutzer:innen auch mittels einer Vollmacht in Vertretung für eine andere Person anmelden können, benötigt die Frontend-Domain auch eine Anbindung an die Vertretungs-Domain, welche relevante Vollmachten-Informationen bereitstellt.

Zur Bereitstellung von datenschutzrechtlich relevanten Informationen verfügt die Frontend-Domain auch über eine Schnittstelle zur SZRB-Admin-Domain. Über diese Schnittstelle können gezielt datenschutzbezogene Abfragen an die ID Austria gestellt werden.

Während die Frontend-Domain primär für die Authentifizierung von Benutzer:innen verantwortlich ist, liegt es im Verantwortungsbereich der E-ID-Backend-Domain, die im Zuge des Anmeldeprozesses von Service Providern angeforderten Attribute bereitzustellen. Die Frontend-Domain fragt benötigte Attribute dementsprechend über eine Schnittstelle zur Backend-Domain ab.

 

Domänen Detailansicht

Die IDA-Frontend-Domain wird durch das BRZ betrieben und ist primär für die Authentifizierung von Benutzer:innen verantwortlich. Des Weiteren werden die vom Service Provider benötigten Attribute aus der ID Austria Backend-Domain abgefragt. Zusätzlich zur Authentifizierung mittels VDA oder eIDAS bietet die IDA-Frontend-Domain auch Identifikation und Authentifizierung mittels vereinfachter Weiterverwendung der ID Austria (Binding).

Die notwendigen Funktionalitäten werden durch diverse technische Komponenten umgesetzt. Diese sind in der folgenden Abbildung dargestellt und einige werden, gegliedert nach Anwendungsszenarien, folgend näher beschrieben.

  • Basiskomponenten zur Benutzer:innenauthentifizierung
    • Shibboleth Identity Provider, Authentication-Handler und Backend-Proxy bilden die Basiskomponenten, welche in jeden Identifikations- und Authentifizierungsvorgang eingebunden sind und über welche der gesamte Anmeldeprozess in der IDA-Frontend-Domain abgebildet wird.
    • Die HSM-Facade verwaltet kryptografisches Schlüsselmateral, unter Verwendung eines Hardware-Security-Modul, welches im Zuge eines Anmeldeprozesses benötigt wird.
    • Das Audit-Service bildet die Schnittstelle zum ID Austria Verwendungsverlauf.
  • Basiskomponenten zur vereinfachten Weiterverwendung
    • Die vereinfachte Weiterverwendung ist eine Funktion der App "ID Austria" und ermöglicht eine vereinfachte Nutzung der ID Austria.
    • Binding-Service, Persistence-Service und Revocation-Service stellen spezifische Funktionen zur Anmeldung mittels vereinfachter Weiterverwendung bereit und ergänzen somit die zuvor beschriebenen Basiskomponenten zur Benutzerauthentifizierung.
  • Basiskomponenten zur Serice Provider Verwaltung
    • Alle Service Provider müssen am ID Austria System registriert sein, damit diese das ID Austria System zur Identifikation und Authentifizierung nutzen können.
    • SPREG Frontend und die damit verknpüfte Datenbank bilden die Basiskomponenten der Service Provider Verwaltung in der IDA-Frontend-Domain.
  • Basiskomponenten zur Bürger:innen Schnittstelle
    • Mit Mein ID Austria Daten stelt die IDA-Frontend-Domain auch eine Schnittstelle für Bürger:innen bereit, über welche diese Informationen zur persönlichen ID Austria einsehen können.
    • Mein IDA Frontend, Mein IDA SP und Verwendungsverlaufdatenbank bilden die Basiskomponenten für dieses Anwendungsszenario.

Schnittstellen: Service-Provider-Domain, E-ID-Backend-Domain, eIDAS-Domain, VDA-Domain, Vertretungsdomain, SZRB-Admin-Domain

Architektur IDA-Frontend-Domain
Abb. 2: IDA-Frontend-Domain

Die Backend-Domain ist im Bereich des BMI angesiedelt und stellt die angeforderten und durch das System aktuell unterstützen Attributwerte bereit. Die Backend-Domain hält einige der unterstützten Attribute selbst bzw. bezieht diese aus den systemrelevanten BMI Registern oder von der Attribute-Provider-Domain und stellt diese der Frontend-Domain zur Verfügung.

Die notwendigen Funktionalitäten können in zwei Teilbereiche unterteilt werden, welche nachfolgend näher beschrieben werden.

  • Attributauslieferung
    • Das Attribute Handler Service und das Attribute Register bilden die Basiskompontenten zur Abfrage und Auslieferung von Attributen und weiteren Merkmalen aus der Attribute-Provider-Domain.
    • Zusätzlich erstellt und signiert das Attribute Handler Service die Onlinepersonenbindung.
  • Service Provider Akkreditierung
    • Private Service Provider müssten akkreditiert werden damit diese das ID Austria System nutzen können.
    • Application Register Service und Application Register bilden die Basiskompontenten zur Ablage von Akkreditierungsinformationen.

Schnittstellen: Attribute-Provider-Domain, Frontend-Domain, systemrelevante BMI Register

Architektur IDA-Backend-Domain
Abb. 3: IDA-Backend-Domain

 

Die Registration-Domain und ihre Komponenten werden vom Bundesministerium für Inneres (BMI) bereitgestellt. Entsprechend den definierten Registrierungsprozessen sind sowohl technische Komponenten als auch Personen (Registration Officer) Entitäten dieser Domain.

Das Identitätsdokumentenregister (IDR) beinhaltet Daten zur Person, welche zur sicheren Identifikation (z.B. Reisepässe, Personalausweise, ID Austria) benötigt werden.

Schnittstellen: User-Domain, Backend-Domain, VDA-Domain

Architektur Registration-Domain
Abb. 4: Registration-Domain

Die Attribute-Provider-Domain implementiert die Bereitstellung von Attributen, welche im Zuge eines Anmeldeprozessen mittels ID Austria an die Applikation des Service Providers ausgeliefert werden sollen. Die hierfür notwendige Funktionalität wird durch diverse Komponenten umgesetzt. Hierbei handelt es sich im Wesentlichen um Register, die in der betrieblichen Verantwortung des BMI oder unter Kontrolle einer anderen Organisation sind welche Attribute an das ID Austria System bereitstellt. Die Komponenten der Attribute-Provider-Domain sind in Abbildung 5 dargestellt.

Schnittstellen: E-ID-Backend-Domain

Architektur Attribute-Provider-Domain
Abb. 5: Attribute-Provider-Domain

Die VDA-Domain beinhaltet den Vertrauensdienstanbieter (VDA). Der VDA stellt die Infrastruktur für die Authentifizierung von Benutzer:innen mittels qualifizierter elektronischer Signaturen bereit. Die von Benutzer:innen während des Anmeldeprozesses erstelle qualifizierte Signatur dient deren Authentifizierung und Identifikation in der ID Austria Frontend-Domain. Hierfür stellt der VDA sowohl die qualifizierte Signatur als auch einen eindeutigen Personenidentifikator für Benutzer:innen dem ID Austria System zur Verfügung.

Schnittstellen: IDA-Frontend-Domain, Registration-Domain

Architektur VDA-Domain
Abb. 6: VDA-Domain

Alternativ zur VDA-Domain kann die Authentifizierung von Benutzer:innen im Zuge eines Anmeldeprozesses auch über die eIDAS-Domain erfolgen. Der österreichische eIDAS-Knoten bildet die Schnittstelle in das europäische eIDAS-Netzwerk, das für die Identifikation und Authentifizierung von Benutzer:innen aus EU-Mitgliedsstaaten verwendet werden kann.

Schnittstellen: eIDAS-Domain

Architektur eIDAS-Domain
Abb. 7: eIDAS-Domain

Die User-Domain beschreibt die Umgebung der Benutzer:innen, von welcher aus diese das ID Austria System verwenden. Dementsprechend umfasst die User-Domain die Benutzer:innen selbst sowie auch deren Endgeräte. Die Authentifizierung bei Service Providern ist nur unter Verwendung eines mobilen Endgerätes (Smartphone) möglich. Zentrales Element ist dabei die App "ID Austria".

Schnittstellen: VDA-Domain, Service-Provider-Domain, Registration Domain

Architektur User-Domain
Abb. 8: User-Domain

Die Service-Provider-Domain ist relativ einfach gehalten und repräsentiert die Umgebung des Service Owners, der die von Benutzer:innen verwendetet Applikation als Service Provider bereitstellt. Der Service Provider triggert den Anmeldeprozess über das ID-Austria-System. In der Praxis kann es beliebig viele Service Owner und damit auch beliebig viele Service-Owner-Domains geben, auch wenn deren Aufbau und deren Anbindung an das ID-Austria-System konzeptionell stets gleich ist.

Um Dienste der ID Austria nutzen zu können, muss der Service Provider zunächst selbst bei der ID Austria registriert und akkreditiert werden. Dies erfolgt über das IDA Service-Provider-Registrierungssystem (IDA-SPR), welches in der Frontend-Domain angesiedelt ist und die nötige Schnittstelle zur Backend-Domain bereitstellt, wo Akkreditierungsinformationen und erlaubte Attribute hinterlegt werden.

Schnittstellen: IDA-Frontend-Domain, User-Domain

Architektur Service-Provider-Domain
Abb. 9: Service-Provider-Domain

Gesamtarchitektur

Architektur Gesamtübersicht
Abb. 10: Architektur Gesamtübersicht