A. Datenmodell Teil 2 - E
Werbung
Zur A nzeige wird der QuickTi me™ Dekompressor „T I FF (LZW)“ benöti gt. Datenmodell Teil 2 Datenmodell des Verzeichnisdienstes LDAP-gv.at TEIL 2 Version: 1.21 (bezieht sich auf Teil 1 Version 2.3) Datum: 2006-03-09 Autoren: Harald Hahn ([email protected]), Peter Pichler ([email protected]), Rainer Hörbe ([email protected]) Kurzbeschreibung: Datenmodell für das PVP Standard-Portal (einschließlich Revisionsabfrage und Rechteverwaltung im Anwendungsportal) ldap.gv.at Teil 2 – V 1.21 - 2006-03-09 Seite 1/30 Zur A nzeige wird der QuickTi me™ Dekompressor „T I FF (LZW)“ benöti gt. Datenmodell Teil 2 A. Datenmodell Teil 2 ................................................................................................................. 3 1. Einleitung ............................................................................................................................ 3 2. Anwendungsfälle ................................................................................................................. 3 2.1. Anwendungsfälle AWP ................................................................................................... 3 2.2. Anwendungsfälle STP .................................................................................................... 3 2.3. Anwendungsfälle Benutzer- und Rechteverwaltung ......................................................... 3 2.4. Anwendungsfälle Portalverwaltung (AWP) ...................................................................... 4 2.5. Anwendungsfälle Portalverwaltung (STP) ........................................................................ 4 3. Logisches Datenmodell ........................................................................................................ 5 3.1. Verwaltungsdomänen .................................................................................................... 5 3.2. UML-Klassendiagramm Anwendungsportal ...................................................................... 6 3.3. UML-Klassendiagramm Stammportal .............................................................................. 7 4. Physisches Datenmodell ....................................................................................................... 8 4.1. Abbildung logisches auf physisches Datenmodell (AWP) .................................................. 8 4.2. Abbildung logisches auf physisches Datenmodell (STP) ................................................... 8 4.3. Directory Information Tree (DIT) ..................................................................................10 5. LDAP Klassen .....................................................................................................................12 5.1. gvApplication ...............................................................................................................12 5.2. gvApplicationProxy .......................................................................................................14 5.3. gvApplicationRight .......................................................................................................16 5.4. gvParticipant ...............................................................................................................17 5.5. gvPrincipal ...................................................................................................................18 5.6. gvSystem ....................................................................................................................20 5.7. gvUserPortal ................................................................................................................20 5.8. gvX509Certificate .........................................................................................................22 5.9. gvX509CaCertificate .....................................................................................................23 6. LDAP-Schema in formaler Syntax .........................................................................................24 6.1. Attribute ......................................................................................................................24 Klassen 25 B. Referenzen ...........................................................................................................................27 C. Historie .................................................................................................................................27 ldap.gv.at Teil 2 – V 1.21 - 2006-03-09 Seite 2/30 Zur A nzeige wird der QuickTi me™ Dekompressor „T I FF (LZW)“ benöti gt. Datenmodell Teil 2 A. Datenmodell Teil 2 1. Einleitung Zweck dieses Datenmodells ist die Definition einer externen Sicht auf Daten von Portalen im Portalverbund. Die Quelle dieser Daten kann eine interne LDAP-Struktur oder ein RDBMS sein. Im gemeinsamen Verzeichnis ldap.gv.at hat jede Organisation nur im eigenen Teilbaum schreibenden Zugriff. 2. Anwendungsfälle Die Anwendungsfälle für Anwendungs- und Stammportal sind in [Architektur Standardportal] definiert. 2.1. Anwendungsfälle AWP Akteur Operation Stammportal perform HTTP-Request Stammportal perform SOAP-Request 2.2. Anwendungsfälle STP Akteur Operation User/Systemprincipal perform HTTP-Request User Principal Perfom Login/Logout (UserId/Passwort) User Principal Perfom Login (HW-Zertifikat) User Principal Perfom Login (NTLM) User Principal Change Password User Principal Request Menu Revisor Revisionsprotokoll anfordern 2.3. Anwendungsfälle Benutzer- und Rechteverwaltung Akteur Operation Benutzer-Administrator Rechte und Rechteparameter verwalten (aus der Sicht des Portal ist nur das Attribut gvPrincipal.gvRights relevant) Benutzer-Administrator Zertifikat importieren und zuordnen Benutzer-Administrator Zertifikat sperren Benutzer-Administrator Principal für Benutzer einrichten (Uid, Startpasswort) Benutzer-Administrator Passwortsperre rücksetzen, Neues Initial-Passwort vergeben Benutzer-Administrator Principal sperren/entsperren ldap.gv.at Teil 2 – V 1.21 - 2006-03-09 Seite 3/30 Zur A nzeige wird der QuickTi me™ Dekompressor „T I FF (LZW)“ benöti gt. Datenmodell Teil 2 2.4. Anwendungsfälle Portalverwaltung (AWP) 2.4.1. Zertifikatsverwaltung Client-Zertifikate, die zur Authentifizierung am Portal verwendet werden, müssen registriert werden, um vom Client verwendet werden zu können. Der Prozess der Registratur besteht darin, dass Attribute aus dem Zertifikat extrahiert und in das Verzeichnis importiert werden. Für die Registratur sind verschiedene Schnittstellen möglich: einzeln mit manueller Prüfung durch einen Benutzeradministrator, im Batch für mehrere User oder als Selbstregistratur für Inhaber von Zertifikaten mit Personenbindung. Client-Zertifikate, die Schlüssel auf Hardware-Token zertifizieren, sind für eine höhere Sicherheitsklasse qualifiziert. Für diesen Zweck wird eine Liste von gültigen Zertifizierungsstellen geführt, deren Zertifikate diese Bedingung erfüllt (gvConfigUserPortal.gvX509issuerist). Akteur Operation AWP-Administrator Neue Anwendung erstellen AWP-Administrator Anwendungsattribute ändern AWP-Administrator Anwendung vorübergehend sperren AWP-Administrator STP-Benutzer informieren (Banner-Msg) AWP-Administrator Anwendung stilllegen AWP-Administrator Anwendungsrechte administrieren AWP-Administrator Zugriffsberechtigte Stelle erstellen, Rechte verwalten AWP-Administrator Portal-Konfiguration ändern AWP-Administrator Zertifikat importieren und zuordnen AWP-Administrator Zertifikat sperren 2.5. Anwendungsfälle Portalverwaltung (STP) Akteur Operation STP-Administrator Neue Anwendung am Stammportal einrichten STP-Administrator Anwendung vewalten/entfernen STP-Administrator Stammportal definieren STP-Administrator Zuordnung zugriffsberechtigter Stellen zu Stammportal verwalten ldap.gv.at Teil 2 – V 1.21 - 2006-03-09 Seite 4/30 Zur A nzeige wird der QuickTi me™ Dekompressor „T I FF (LZW)“ benöti gt. Datenmodell Teil 2 3. Logisches Datenmodell 3.1. Verwaltungsdomänen Der Verzeichnisdienst ldap.gv.at besteht aus einem zentralen und verschiedenen lokalen Verzeichnissen, die ein einheitliches Grundschema haben und – optional – lokale Erweiterungen. Das Verzeichnis ist in Verwaltungsdomänen unterteilt, die regeln, welche Organisationen und Anwendungsbereiche bestimmte Objekte pflegen. Lokale Verzeichnisse werden in der Regel sämtliche benötigten Daten lokal speichern, wobei die Daten fremder Verwaltungsdomänen über einen Replikationsmechanismus vom zentralen Verzeichnisdienst heruntergeladen werden. Verwaltungsdomänen: zentraler Verzeichnisdienst: führt die oberen Domain-Einträge entsprechend gv.at und or.at sowie die Liste der eingeständigen Organisationen von Bund, Ländern, Gemeinden, Städten, Selbstverwaltungskörpern etc. Stammportal: Objekte, die vom Stammportalbetreiber verwaltet werden. Die Benutzerverwaltung ist nicht Teil der Stammportalverwaltung. Anwendungsportal: Definiert Anwendungen, deren Rechte, und die Delegation an zugriffsberechtigte Stellen. Personal: Über Dienstverhältnisse werden Personen Organisationen zugeordnet. Konten- und Rechte: Benutzerkonten enthalten Authentifizierungsinformationen und Berechtigungen ldap.gv.at Teil 2 – V 1.21 - 2006-03-09 Seite 5/30 Zur A nzeige wird der QuickTi me™ Dekompressor „T I FF (LZW)“ benöti gt. Datenmodell Teil 2 3.2. UML-Klassendiagramm Anwendungsportal ldap.gv.at Teil 2 – V 1.21 - 2006-03-09 Seite 6/30 Zur A nzeige wird der QuickTi me™ Dekompressor „T I FF (LZW)“ benöti gt. Datenmodell Teil 2 3.3. UML-Klassendiagramm Stammportal ldap.gv.at Teil 2 – V 1.21 - 2006-03-09 Seite 7/30 Zur A nzeige wird der QuickTi me™ Dekompressor „T I FF (LZW)“ benöti gt. 4. Datenmodell Teil 2 Physisches Datenmodell Das physische Modell ist als LDAP-Schema formuliert. Beim Design wurde beabsichtigt, dass eine möglichst einfache Abbildung auf andere Schemata (SQL, XML) möglich ist. 4.1. Abbildung logisches auf physisches Datenmodell (AWP) logisches Modell physisches Modell Anwendung ApplID CN URL UrlMapping Banner text Logo Anwendungsstatus Eintragstatus Anwendungsrecht ApplID CN SecClass Parametersyntax Parameterauswahl Eintragstatus Organisation OrgID Zugriffsberechtigte Stelle CN OrgID Anwendungsrechte Stammportal CN erlaubte zugriffsberechtigte Stellen Default-zugriffsber. Stellen Stammportal-Zertifikat Seriennummer Aussteller gvApplication gvApplId cn gvURL gvUrlMapping gvBanner jpegPhoto gvApplicationStatus gvStatus gvApplicationRight gvApplId cn gvSecClass gvRoleSyntax gvRightParameters gvStatus gvOrganisation gvOuId gvParticipant cn gvOuId gvMaxRights gvUserPortal cn gvParticipants gvDefaultParticipant gvX509Certificate x509SerialNumber gvX509issuerCanonical 4.2. Abbildung logisches auf physisches Datenmodell (STP) logisches Modell physisches Modell Anwendungsproxy CN URL Url Mapping Anwendungsreferenz Person Gid OrgID E-Mailadresse Telefonnummer SystemPrincipal CN gvApplicationProxy cn gvUrl gvUrlMapping gvApplication ldap.gv.at Teil 2 – V 1.21 gvGid gvOuId (2.2.9: gvVkz) mail telephonenumber gvSystem cn - 2006-03-09 Seite 8/30 Zur A nzeige wird der QuickTi me™ Dekompressor „T I FF (LZW)“ benöti gt. Datenmodell Teil 2 UserID OrgID Passwort Datum letztes Login Rechte admin. Sicherheitsklasse UserPrincipal UserID OW-bPK Passwort History Passwort Policy Passwort Kontosperre Datum letztes Login Rechte admin. Sicherheitsklasse UserZertifikat Seriennummer Aussteller ldap.gv.at Teil 2 – V 1.21 uid gvOuId (2.2.9: gvVkz) gvUserPassword gvLastLogin gvRights gvSecClass gvPrincipal uid gvOwBpk gvPasswordHistory gvPasswordExp, etc. gvUserPassword gvAccountLocked gvLastLogin gvRights gvSecClass gvX509Certificate x509serialnumber gvX509issuerCanonical - 2006-03-09 Seite 9/30 Zur A nzeige wird der QuickTi me™ Dekompressor „T I FF (LZW)“ benöti gt. Datenmodell Teil 2 4.3. Directory Information Tree (DIT) Folgende Diagramme stellen dar, wie die Objekte in Abhängigkeit von ihren Klassen im DIT positioniert werden. 4.3.1. Stammportal Instanzen der Klasse gvApplicationProxy verweisen auf Einträge der Klasse gvApplication und bilden stammportalspezifische Informationen zu einer Portalverbundapplikation ab. Für das Stammportal sind alle einer gvOrgPerson, einem gvSystem bzw. einer gvPersonFunktion zugeordnete Rechte und Rechteparameter im Attribut gvRights zu speichern. ldap.gv.at Teil 2 – V 1.21 - 2006-03-09 Seite 10/30 Zur A nzeige wird der QuickTi me™ Dekompressor „T I FF (LZW)“ benöti gt. Datenmodell Teil 2 4.3.2. Anwendungsportal Im Verzeichnis eines Anwendungsportals werden Stammportale und deren Authentifizierungsinformationen, die Daten von zugriffsberechtigen Stellen und Meta-Informationen zu Anwendungen verwaltet. ldap.gv.at Teil 2 – V 1.21 - 2006-03-09 Seite 11/30 Zur A nzeige wird der QuickTi me™ Dekompressor „T I FF (LZW)“ benöti gt. 5. Datenmodell Teil 2 LDAP Klassen 5.1. gvApplication Anwendung, wie sie im Anwendungsportal definiert ist. dn: gvApplId=...,ou=Applications, .. (dn: gvApplId=ZMR,ou=Applications,gvOuId=AT:b:164,dc=gv,dc=at) Attribut Beschreibung (Beispiel) Eigenschaft gvApplId Eindeutig Anwendungskennung (ZMR) M, cis(32) cn Name der Anwendung (Zentrales Melderegister) M, L, cis(64) gvURL Startadresse der Anwendung im Anwendungsportal (=Zieladresse des Stammportals) (https://portal.bmi.gv.at/bmi.gv.at/zmr/static/start.htm) uri gvURLMapping Liste von Werte-Tripeln zur Abbildung von Source- und Target-URLs für den Reverse Proxy des Anwendungsportals. Siehe untenstehende Beschreibung L, ces(1024) /unsereorg.gv.at/app1/|https://10.0.0.1/andereorg.gv.at/app1/|check description Anwendungsbeschreibung cis(1024) gvBanner Textnachricht, die Benutzern im Stammportal-Menü zusätzlich zum Namen und Logo der Anwendung angezeigt wird. Kann z.B. verwendet werden um auf Wartungsfenster oder ähnliche betriebsrelevante Sachverhalte hinzuweisen. cis(1024) gvAppOwner Anwendungsverantwortlicher (URL) cis gvAppTechContact technischer Kontakt (URL) cis gvAppAdmin administrativer Kontakt (URL) cis jpegPhoto Applikationslogo. Empfohlene max. Größe: 20 x 60 Pixel. L, JPEG gvMaxConcurrentRequests Maximale Anzahl gleichzeitiger Anfragen für diese Applikation. Ein Anwendungsportal soll Anfragen sofort zurückweisen, wenn dieser Wert überschritten wird. int 0… Anzahl gleichzeitiger Anfragen soll nicht limitiert werden. Diese Konfigurationsmöglichkeit hat den Zweck, andere vom selben Anwendungsportal angebotene Anwendungen, trotz Überlastung einer Anwendung, verfügbar zu halten. gvApplicationStatus Status der Verfügbarkeit: on-line, off-line off-line bedeutet, dass die Anwendung vorübergehend außer Betrieb ist, gvStatus muss daher active sein cis[8] gvDecommissionDate Stilllegungsdatum. Wenn das Datum gesetzt ist, muss gvStatus muss inactive sein. Der Eintrag ist frühestens 3 Jahre nach der Stilllegung zu löschen. Generalized Time gvExtensionItem Implementierungsspezifische Erweiterung, die vom PAL des Portals unterstützt wird. Das Attribut darf nicht vom oder L, cis(1024) ldap.gv.at Teil 2 – V 1.21 - 2006-03-09 Seite 12/30 Zur A nzeige wird der QuickTi me™ Dekompressor „T I FF (LZW)“ benöti gt. Datenmodell Teil 2 zum zentralen VD repliziert werden. gvURLMapping: Jeder Eintrag enthält eine Abbildungsregel von Quell- auf Zieladressen, und ein Attribut, ob für den URL-Bereich eine Berechtigungsprüfung durchgeführt werden muss. Die Syntax ist: SourceURL | TargetURL | Check-Option SourceURL… absolute bzw. serverrelative (führendes Slash) URL TargetURL….absolute URL Das Trennzeichen ist das Zeichen "Vertical Bar" Die Check-Option kann die Werte "check" und "nocheck" haben. "nocheck" bedeutet, dass für Ressourcen in diesem Adressbereich keine Zugriffsprüfung durchgeführt wird. Suchen von gvURLMapping Einträgen mithilfe der SourceURL Um für eine URL aus der Anfrage des Clients den passenden gvUrlMapping Eintrag zu finden, wird wie folgt vorgegangen. 1. Es wird eine Liste mit gvURLMapping Einträge zusammengestellt, deren SourceURL linksbündig mit der URL aus der Client Anfrage übereinstimmt. Wenn mithilfe der absoluten URL keine passenden gvUrlMapping Einträge gefunden werden, wird nach Einträgen gesucht, deren Source URL linksbündig mit der serverrelativen URL übereinstimmt. 2. Aus der in Schritt 1 erstellten Liste wird das gvURLMapping mit der längsten SourceURL ausgewählt. Suchen von gvURLMapping Einträgen mithilfe der TargetURL Um eine URL aus der Zielserver Antwort (z.B. Ziel URL eines Redirects) für den Client zu übersetzen, wird wie folgt vorgegangen: Es wird eine Liste aus gvURLMapping Einträgen zusammengestellt, deren TargetURL linksbündig mit der URL aus der Server Antwort übereinstimmt. Aus dieser Liste wird das gvURLMapping mit der längsten TargetURL ausgewählt. ldap.gv.at Teil 2 – V 1.21 - 2006-03-09 Seite 13/30 Zur A nzeige wird der QuickTi me™ Dekompressor „T I FF (LZW)“ benöti gt. Datenmodell Teil 2 5.2. gvApplicationProxy Anwendungsspezifische Informationen für Stammportale. Das Objekt ist ein Stellvertreter für den Eintrag der Anwendung im Anwendungsportal dn: cn=...,ou=ApplicationProxy,.. (dn: [email protected],ou=ApplicationProxy,gvOuId=AT:b:164,dc=gv,dc=at) Attribut Beschreibung (Beispiel) Eigenschaft cn Eindeutige Bezeichnung in der Form: M, L, cis(64) Application-ID "@" Domainname Z.B.: "[email protected]" gvApplicationReference dn der zugehörigen gvApplication Instanz in kanonisierter Schreibweise dn (gvApplId=ZMR,ou=Applications,gvOuId=AT:b:164,dc=gv,dc=at) gvURL URI, Anwendungsadresse im Stammportal. Wird vom Stammportal als Zieladresse für den der Anwendung zugeordneten Menülink verwendet. Die URI kann absolut oder relativ angegeben werden. uri z.B.: https://portal.ooe.gv.at/bmi.gv.at/eka /bmi.gv.at/eka ../bmi.gv.at/eka gvURLMapping Informationen für URL Mapping im Stammportal. Analog zu gvApplication.gvUrlMapping L, ces(1024) /unsereorg.gv.at/app1/| https://portal.diedort.gv.at/diedort.gv.at/app1/|check gvOpenWindow Steuert, ob eine Anwendung in einem neuen Browserfenster geöffnet wird. Dieses Attribut wird ignoriert, wenn gvOpenWindowJavaScript nicht leer ist. bool gvOpenWindowJavaScript Syntax: String Beschreibung: Dieser JavaScript-Code öffnet das Anwendungsfenster, wenn die Anwendung im Menü ausgewählt wird. Dadurch können Parameter wie die Fenstereigenschaften angegeben werden. self.child=window.open("start.htm","ZMR", "resizable=yes, status=yes"); if(self.child!= null) { if (self.child.opener==null) self.child.opener = self; self.child.moveTo(0,0); self.child.resizeTo( ((screen.width > 1024)?1024:screen.width), ((screen.height > 768)?768:screen.height)); self.child.focus(); } ces gvHideMenuitem Steuert die Anzeige von Anwendungen im Menü. bool Attribut nicht vorhanden oder false .. zeigt Menüeintrag an true .. Menüeintrag wird nicht angezeigt gvExtensionItem ldap.gv.at Teil 2 – V 1.21 Siehe gvApplication - 2006-03-09 L, cis(1024) Seite 14/30 Zur A nzeige wird der QuickTi me™ Dekompressor „T I FF (LZW)“ benöti gt. ldap.gv.at Teil 2 – V 1.21 Datenmodell Teil 2 - 2006-03-09 Seite 15/30 Zur A nzeige wird der QuickTi me™ Dekompressor „T I FF (LZW)“ benöti gt. Datenmodell Teil 2 5.3. gvApplicationRight Rechte und deren Parameter für Objekte der Klassen gvPerson, gvGroup, gvPersonFunction dn: cn=…,gvApplId=…,ou=Applications,.. (cn=ZMR-Anfrage,gvApplId=ZMR,gvOuId=AT:b:164,dc=gv,dc=at) Attribut Beschreibung (Beispiel) Eigenschaft gvApplId Wie in gvApplication M, cis(32) cn Bezeichnung der Berechtigung M, L, cis(64) gvSecClass 0 bis 3 (Mindestens erforderliche SecClass für dieses Recht) int(1) gvRoleSyntax Regulärer Ausdruck in PERL-Syntax, um Rechteparameter im Anwendungsportal zu überprüfen. L, ces(1024) Jeder Parameterstring wird als ganzes gegen dieses Attribut überprüft. Es werden nur jene von einem Stammportal gemeldeten Rechte zugelassen, deren Parameter zumindest einem Eintrag in gvRoleSyntax entsprechen. Diese Prüfung eröffnet die Möglichkeit das Vorhandensein von Rechteparametern zu erzwingen oder zu verhindern. Ist gvRoleSyntax leer, so kann das Recht ohne Parameter verwendet werden. „.*“ bedeutet, dass das Recht mit beliebigen Parametern verwendet werden kann. Da dieses Attribute auch dokumentierenden Charakter hat (welche Parameter gibt es für dieses Recht), wird davon abgeraten „.*“ zu verwenden! Beispiel: (GKZ=\d{5,5}){1,} Das bedeutet, dass mindestens ein Key-Value-Pair vorhanden sein muss, wobei der Key "GKZ" ist und Value eine 5-stellige Ganzzahl. gvDecommissionDate siehe gvApplication Generalized Time description Beschreibung cis(1024) gvExtensionItem Siehe gvApplication L, cis(1024) ldap.gv.at Teil 2 – V 1.21 - 2006-03-09 Seite 16/30 Zur A nzeige wird der QuickTi me™ Dekompressor „T I FF (LZW)“ benöti gt. Datenmodell Teil 2 5.4. gvParticipant Participant (zugriffsberechtige Stelle). Dient zur Rechteverwaltung von zugriffsberechtigen Stellen in Anwendungsportalen. dn: cn=..,ou=Portal,.. (dn: [email protected],ou=Portal,gvOuId=AT:b:164, dc=gv,dc=at) Attribut Beschreibung (Beispiel) Eigenschaft cn Bezeichnung der zugriffsberechtigen Stelle im RFC822Format ([email protected]) M, L, cis(64) gvOuId gvOuId (Org-ID) der Organisationseinheit der zugriffsberechtigen Stelle. Entspricht der PartcipantId eines PVP Requests. (gvOuId= AT:l9:9876) M, cis(32) ldap.gv.at Teil 2 – V 1.21 - 2006-03-09 Seite 17/30 Zur A nzeige wird der QuickTi me™ Dekompressor „T I FF (LZW)“ benöti gt. gvMaxRights Datenmodell Teil 2 Definiert die maximal zulässigen Rechte eines Portalverbundteilnehmers. Ein Recht kann mehrfach eingetragen werden, d.h. dass es mehrere Einträge mit dem selben gvApplicationRight-DN geben kann. L, ces(32767) Format: dn-gvApplicationRight [„$“ (paramName „=“ regularExpression) | „.*“] dn-gvApplicationRight… dn des ApplicationRights, welches für die zugriffsberechtige Stelle zulässig ist dn-gvApplicationRight „$“ (paramName „=“ regExp)… Definiert einen regulären Ausdruck für zulässige Werte eines spezifischen Parameter. dn-gvApplicationRight „$.*“… Wird „$.*“ an den dn angehängt, so bedeutet das, dass der Participant das Recht mit beliebigen Parametern verwenden kann. dn-gvApplicationRight Werden die optionalen Teile weggelassen und nur der dn eines Rechtes angegeben, dann darf das Recht ohne Angabe von Parametern verwendet werden kann. Überprüfung im Anwendungsportal: Jeder Rechteparameter aus dem PVP Parameter AUTHORIZE-Roles wird mithilfe des Attributes gvMaxRight des anfragenden Portalverbundteilnehmers überprüft. Unzulässige Parameter werden entfernt. Danach erfolgt die Überprüfung der Parameter mithilfe des Attributes GvApplicationRight.roleSyntax. Beispiele: cn=ZMR-Anfrage,gvApplId=ZMR,gvOuId=AT:b:164, dc=gv,dc=at$.* (ZMR-Anfrage kann mit beliebigen Parametern verwendet werden) cn=ZMR-Anfrage,gvApplId=ZMR,gvOuId=AT:b:164, dc=gv,dc=at$GKZ=47111 (Für die zugriffsberechtige Stelle ist das Recht "ZMRAnfrage(GKZ=47111)" zulässig) description Entsprechend gvOrgPerson cis(1024) gvExtensionItem Siehe gvApplication L, cis(1024) 5.5. gvPrincipal Auxiliary Klasse als Erweiterung für gvOrgPerson, um für das Stammportal relevante Informationen abzulegen. Attribut Beschreibung (Beispiel) Eigenschaft gvPasswordMust Change 1…Der Benutzer muss beim nächsten Login sein Passwort ändern. 0…Benutzer muss beim nächsten Login sein Passwort nicht ändern. bool gvPasswordExp Beschreibt ob die Gültigkeit eines Passworts verfällt bool ldap.gv.at Teil 2 – V 1.21 - 2006-03-09 Seite 18/30 Zur A nzeige wird der QuickTi me™ Dekompressor „T I FF (LZW)“ benöti gt. Datenmodell Teil 2 1 – Passwort verfällt nach der letzten Änderung zuzüglich passwordMaxAge 0 – Passwort ist ohne zeitliche Begrenzung gültig gvPasswordHistory Beschreibt verwendete Passwörter und deren Ablaufdatum im Format: YYYYMMDDHHMMSS{encryption method}[password] passwordHistory: 20040909190821{SHA}FSG7BH6Aa6LK3UVISIzMytdgtQ8 L, ces gvPassword ExpirationTime Zeitpunkt, nach dem das Passwort dieses Principals abläuft. Generaliz ed Time gvLastLogin Zeitpunkt des letzten erfolgreichen Logins Format: YYYYMMDDHHMMSS Format: YYYYMMDDHHMMSS gvPasswordLocked Kennzeichen, ob durch falsche Eingabe des Passworts die UID/PW-Authentifizierung gesperrt ist. gvRights Liste der dem Benutzer gewährten Rechte pro Anwendung im Stammportal einschließlich der dazugehörigen Parameter. Wird auch zum Aufbau von Menüs verwendet. Das Format ist: Generaliz ed Time bool L, ces(32767) app-dn $ role(role-param[, role-param]..)[; role(role-param)].. Die Schreibweise [Delimiter Token].. bedeutet, dass Token mehrfach wieder holt werden kann, wenn es durch Delimiter getrennt ist. app-dn is ein dn in kanonisierter Schreibweise. gvApplId=ZMR, ou=Applications,gvOuId=AT:b:164, dc=gv, dc=at $ zmr-behoerdenanfrage(GKZ=10101, GKZ=10103); zmr-fremdenbehoerdenanfrage(GKZ=10100) gvParticipantOuId gvOuId der zugriffsberechtigten Stelle (kein dn!) cis(32) gvUserPassword Benutzerpasswort. ces Verwendung: Anmeldung am Portal Syntax: plaintext-password | „{x-sha-1:b64}“ excryptedpassword in base64-Darstellung Ist das Passwort unverschlüsselt gespeichert, so muss das Passwort beim nächsten Login geändert werden. (Initialpasswort) preferredLanguage Für Registratur von Personen: Bevorzugte Sprache als ISO 639-1 Code (de=Deutsch, en=Englisch, fr=Französisch, jv=Javanisch, …) Default=de ia5 gvPasswordRetry Count Anzahl der Fehleingaben bei der Passwort-Authentifizierung. int gvAdditionalName Für Registratur von Personen ohne gvOrgUnit: Firmen- oder Organisationsbezeichnung. ces gvAccountLocked Zum Sperren eines Accounts. Ist ein Account gesperrt, so sind für das Konto keine Anmeldungen mehr möglich. Wird vom Portal gesetzt, wenn ein Account zu lange nicht benutzt wurde. (siehe auch gvPortal.gvMaxDaysWithoutLogin) bool ldap.gv.at Teil 2 – V 1.21 Zweck: Password Policy (Stammportal) - 2006-03-09 Seite 19/30 Zur A nzeige wird der QuickTi me™ Dekompressor „T I FF (LZW)“ benöti gt. Datenmodell Teil 2 gvSecClass administrative Sicherheitsklasse des Systems int(1) gvExtensionItem Siehe gvApplication L, cis(1024) 5.6. gvSystem System Principal. Ein System Principal ist im Gegensatz zu einer Person ein Prozess oder ein System, kann sich aber dennoch authentifizieren und kann berechtigt sein. Im Stammportal können Anwendungen so Credentials und Rechte erhalten, die nicht eindeutig auf einen Endbenutzer zurückführbar sind. dn: cn=.., ou=Systems,.. (dn: [email protected],ou=Systems,gvOuId=AT:b:164,dc=gv,dc=at) Attribut Beschreibung (Beispiel) Eigenschaft cn Bezeichnung des System-Principals in der Form Anwendung.Subsystem@domain ([email protected]) M, L, cis(64) uid Innerhalb der Domäne eindeutige abgekürzte Bezeichnung des System-Principals in der Form Anwendung.Subsystem + Domain-Suffix im RFC822-Format ([email protected]) ces gvOuId gvOuId (Org-ID) der Organisationseinheit, die für das System datenschutzrechtlich verantwortlich ist (kein dn) (gvOuId= AT:l9:9876) cis(32) gvUserPassword Entsprechend gvPrincipal ces gvRights Entsprechend gvPrincipal L, gvSecClass administrative Sicherheitsklasse des Systems int(1) gvParticipantOuId gvOuId der zugriffsberechtigten Stelle (kein dn) cis(32) description Entsprechend gvOrgPerson cis(1024) gvExtensionItem Siehe gvApplication L, cis(1024) 5.7. gvUserPortal ces(32767) User Portal (Stammportal) Definiert für das Anwendungsportal eine Stammportalinstanz mit zugehörigen Zertifikaten und Berechtigungen dn: cn=..,ou=Portal,.. (dn: [email protected],ou=Portal,gvOuId=AT:b:164,dc=gv,dc=at) Attribut Beschreibung (Beispiel) Eigenschaft cn Eindeutige Bezeichnung des Stammportals. Aufbau analog zu gvSystem. (z.B: [email protected]) M, L, cis(64) ldap.gv.at Teil 2 – V 1.21 - 2006-03-09 Seite 20/30 Zur A nzeige wird der QuickTi me™ Dekompressor „T I FF (LZW)“ benöti gt. Datenmodell Teil 2 gvParticipants Liste der zugriffsberechtigten Stelle (gvOrganisation), die das Stammportal benutzen, als OrgID L, cis(32) gvDefaultParticipant DN des Organisationseintrags der zugriffsberechtigten Stelle des Stammportals als OrgID, wenn nur eine defniert ist (für Zugriffe mit PVP-Version vor 1.8) cis(32) Ab PVP 1.8 muss die zugriffsberechtigte Stelle durch den PVP Parameter participantId explizit angegeben werden. Zweck: Kompatibilität zu PVP 1.7. description Entsprechend gvOrgPerson cis(1024) gvExtensionItem Siehe gvApplication L, cis(1024) Wird von Anwendungsportalen verwendet und repräsentiert ein Stammportal. Instanzen dieser neuen Objektklasse solle unterhalb der neu eingeführten OrganizationalUnit (ou=Portal) geführt werden ldap.gv.at Teil 2 – V 1.21 - 2006-03-09 Seite 21/30 Zur A nzeige wird der QuickTi me™ Dekompressor „T I FF (LZW)“ benöti gt. Datenmodell Teil 2 5.8. gvX509Certificate Auf die Verwendung der Klassen x509base, definiert in [crl-schema] und x509PKC, definiert in [pkcschema] wurde verzichtet, da die Verwendung eines x509issuer mit der distinguished-name Syntax bei LDAP-Servern mit Prüfung der referentiellen Integrität dazu führt, dass umfangreiche Strukturen aufgebaut werden müssen. Weiters wird vermieden, dass ein Issuer im RDN zur Verwendung eines geschachtelten DN führt, was in LDAP komplex und bei einer SQL-Implementierung erst recht nicht trivial ist. Um das Problem zu umgehen, wird der Issuer in einer kanonisierten Form als String verwendet. Dazu wird die allgemeine Regel für die Kanonisierung von DN-Attribute in ldap.gv.at verwendet, und das Resultat dann im Attribut gvX509IssuerCanonical gepeichert. x509PKC wird um die Auxiliary Class gvX509CertExtension erweitert, um den DN zu bilden: gvX509Certificate Zertifikate dn: x509SerialNumber=..+gvX509IssuerDns=..,cn=..,ou=Portal,.. (dn: x509SerialNumber=123+gvX509IssuerDns=Class2PublicPrimaryCA.verisign.com,[email protected],ou=Por tal,gvOuId=AT:b:164,dc=gv,dc=at) Attribut Beschreibung (Beispiel) Eigenschaft X509SerialNumber 1.3.6.1.4.1.10126.1.5.3.2 M, int X509IssuerDnsName 1.3.6.1.4.1.10126.1.5.3.24 M, IA5(76) Dieser Wert dient als Teil des dn dazu für ein Zertifikat einen eindeutigen RDN zu erzeugen. Im Gegensatz zu gvX509IssuerCanonical gibt es mit diesem Attribut Probleme mit Längenbeschränkungen bei manchen Server-Implementierungen gvX509IssuerCanonical Kanonisierte Form von x509Issuer M, cis(1024) x509validityNotBefore 1.3.6.1.4.1.10126.1.5.3.5 x509validityNotAfter 1.3.6.1.4.1.10126.1.5.3.6 x509FullcRLDistributio nPointURI 1.3.6.1.4.1.10126.1.5.3.32 x509userCert 1.3.6.1.4.1.10126.1.5.4.76 x509subject 1.3.6.1.4.1.10126.1.5.3.7 x509keyUsage 1.3.6.1.4.1.10126.1.5.3.15 "digitalSignature" / "nonRepudiation" / "keyEncipherment" / "dataEncipherment" / "keyAgreement" / "keyCertSign" / „cRLSign" / "encipherOnly" / "decipherOnly" x509subjectDnsName 1.3.6.1.4.1.10126.1.5.3.18 (Internet domain name of the entity associated with this public-key) x509extKeyUsage 1.3.6.1.4.1.10126.1.5.3.30 ldap.gv.at Teil 2 – V 1.21 - 2006-03-09 Seite 22/30 Zur A nzeige wird der QuickTi me™ Dekompressor „T I FF (LZW)“ benöti gt. Datenmodell Teil 2 5.9. gvX509CaCertificate Klasse um die Referenzen in gvX509Certificate.x509issuerDns zu prüfen. Ableitung von gvX509Certificate Attribut Beschreibung (Beispiel) Eigenschaft Status: Die genaue Implementierung ist noch nicht diskutiert (Zertifikatsketten, Ableitung von gvX509Certificate, ..) ldap.gv.at Teil 2 – V 1.21 - 2006-03-09 Seite 23/30 Zur A nzeige wird der QuickTi me™ Dekompressor „T I FF (LZW)“ benöti gt. 6. Datenmodell Teil 2 LDAP-Schema in formaler Syntax 6.1. Attribute Match: = bedeutet EQUALITY, sub SUBSTRING, cim CaseInsensitiveMatch, dnm DistinguishedNameMatch, cem CaseExactMatch, int IntegerMatch OID Name Syntax Match 1.2.40.0.10.2.1.1.99 gvAccountLocked Boolean = BooleanMatch 1.2.40.0.10.2.1.1.75 gvAdditionalName Directory String = cim 1.2.40.0.10.2.1.1.23 gvAppAdmin Directory String = cim 1.2.40.0.10.2.1.1.23 gvAppAdmin DN =dnm 1.2.40.0.10.2.1.1.105 gvApplicationReference DN =dnm 1.2.40.0.10.2.1.1.25 gvApplId Directory String = cim 1.2.40.0.10.2.1.1.27 gvAppOwner DN =dnm 1.2.40.0.10.2.1.1.29 gvAppTechContact DN =dnm 1.2.40.0.10.2.1.1.31 gvBanner Directory String = cim 1.2.40.0.10.2.1.1.133 gvDefaultParticipant DN =dnm 1.2.40.0.10.2.1.1.77 gvIdentityLink Directory String = cim 1.2.40.0.10.2.1.1.129 gvIdleTimeOut Directory String = ces 1.2.40.0.10.2.1.1.83 gvLastLogin Generalized Time 1.2.40.0.10.2.1.1.119 gvLockedAccounts Directory String 1.2.40.0.10.2.1.1.101 gvMaxConcurrentRequests Integer = Integer Match 1.2.40.0.10.2.1.1.127 gvMaxDaysWithoutLogin Integer = Integer Match 1.2.40.0.10.2.1.1.135 gvMaxRights Directory String = ces 1.2.40.0.10.2.1.1.79 gvOpenWindow Directory String = cem 1.2.40.0.10.2.1.1.81 gvOpenWindowJavaScript Directory String = cim 1.2.40.0.10.2.1.1.71 gvParticipantOuId Directory String = cim 1.2.40.0.10.2.1.1.131 gvParticipants DN =dnm 1.2.40.0.10.2.1.1.109 gvPasswordCheckTrivial Boolean = BooleanMatch 1.2.40.0.10.2.1.1.93 gvPasswordExp Boolean = BooleanMatch 1.2.40.0.10.2.1.1.97 gvPasswordExpirationTime Generalized Time 1.2.40.0.10.2.1.1.95 gvPasswordHistory Directory String 1.2.40.0.10.2.1.1.85 gvPasswordLocked Boolean =Boolean Match 1.2.40.0.10.2.1.1.91 gvPasswordMaxAge Integer = Integer Match 1.2.40.0.10.2.1.1.121 gvPasswordMinLength Integer = Integer Match 1.2.40.0.10.2.1.1.137 gvPasswordMaxRetryCount Integer = Integer Match 1.2.40.0.10.2.1.1.89 gvPasswordMustChange Boolean = BooleanMatch ldap.gv.at Teil 2 – V 1.21 - 2006-03-09 = generalized Time Match = ces = generalized Time Match = cem Seite 24/30 Zur A nzeige wird der QuickTi me™ Dekompressor „T I FF (LZW)“ benöti gt. Datenmodell Teil 2 OID Name Syntax Match 1.2.40.0.10.2.1.1.123 gvPasswordRequiredToken Directory String 1.2.40.0.10.2.1.1.125 gvPasswordRequiredTokenMin Integer = Integer Match 1.2.40.0.10.2.1.1.113 gvPasswordRetryCount Integer = Integer Match 1.2.40.0.10.2.1.1.111 gvPasswordReuseTime Integer = Integer Match 1.2.40.0.10.2.1.1.103 gvRightParameters Directory String = cis 1.2.40.0.10.2.1.1.87 gvRoleSyntax Directory String = ces 1.2.40.0.10.2.1.1.49 gvUrl Directory String = cem 1.2.40.0.10.2.1.1.69 gvUrlMapping Directory String = cem 1.2.40.0.10.2.1.1.73 gvUserPassword Directory String = cem 1.2.40.0.10.2.1.1.107 gvX509issuerDirectoryName DN =dnm 1.2.40.0.10.2.1.1.139 gvX509issuerCanonicalList Directory String = cis 1.2.40.0.10.2.1.1.141 gvX509IssuerCanonical Directory String = cis 1.2.40.0.10.2.1.1.143 gvParametersKeyValue Directory String = cis 1.2.40.0.10.2.1.1.145 gvApplicationStatus Directory String = cis 1.2.40.0.10.2.1.1.147 gvDecommissionDate Generalized Time 1.2.40.0.10.2.1.1.149 gvbPK Directory String = cem 1.2.40.0.10.2.1.1.151 gvOPK Directory String = cem 1.2.40.0.10.2.1.1.153 gvOuVKZ Directory String = cis 1.2.40.0.10.2.1.1.155 gvHideMenuitem Boolean 1.2.40.0.10.2.1.1.157 gvExtensionItem Directory String = ces = generalized Time Match = BooleanMatch = cis Klassen gvPrincipal 1.2.40.0.10.2.1.0.9 gvAdminExtention 1.2.40.0.10.2.1.0.10 gvApplicationProxy 1.2.40.0.10.2.1.0.12 gvApplication 1.2.40.0.10.2.1.0.3 ldap.gv.at Teil 2 – V 1.21 AUXILIARY MAY (gvPasswordMustChange $ gvPasswordExp $ gvPasswordHistory $ gvPasswordExpirationTime $ gvLastLogin $ gvPasswordLocked $ gvRights $ gvSecClass $ gvParticipantOuId $ gvUserPassword $ preferredLanguage $ gvAdditionalName $ gvIdentityLink $ gvPasswordRetryCount $ gvAccountLocked $ gvExtensionItem) AUXILIARY MUST ( gvStatus $ gvSource $ gvScope ) SUP top STRUCTURAL MUST ( cn ) MAY (gvApplicationReference $ gvURL $ gvUrlMapping $ gvOpenWindow $ gvOpenWindowJavaScript $ gvHideMenuitem $ gvExtensionItem) SUP top STRUCTURAL MUST (gvApplId $ cn ) MAY (gvURL $ gvUrlMapping $ description $ gvBanner $ gvAppOwner $ gvAppTechContact $ gvAppAdmin $ jpegPhoto $ gvMaxConcurrentRequests $ gvApplicationStatus $ gvDecommissionDate $ gvExtensionItem) - 2006-03-09 Seite 25/30 Zur A nzeige wird der QuickTi me™ Dekompressor „T I FF (LZW)“ benöti gt. gvApplicationRight 1.2.40.0.10.2.1.0.3 gvUserPortal 1.2.40.0.10.2.1.0.13 gvParticipant 1.2.40.0.10.2.1.0.14 gvSystem 1.2.40.0.10.2.1.0.15 gvX509Certificate 1.2.40.0.10.2.1.0.18 ldap.gv.at Teil 2 – V 1.21 Datenmodell Teil 2 SUP top STRUCTURAL MUST (gvApplId $ cn ) MAY (gvSecClass $ gvRoleSyntax $ description $ gvRightParameters $ gvDecommissionDate $ uniqueMember $ gvExtensionItem) SUP top STRUCTURAL MUST ( cn ) MAY (gvParticipants $ gvDefaultParticipant $ description $ gvExtensionItem) SUP top STRUCTURAL MUST ( cn $ gvOuId ) MAY (gvMaxRights $ description $ gvExtensionItem) SUP top STRUCTURAL MUST ( cn ) MAY (uid $ gvOuId $ gvUserPassword $ gvRights $ gvSecClass $ gvParticipantOuId $ description $ gvExtensionItem) SUP Top STRUCTURAL MUST ( x509serialNumber $ x509issuerDnsName $ gvX509IssuerCanonical ) MAY ( x509subject x509validityNotBefore $ x509validityNotAfter $ x509FullcRLDistributionPointURI $ x509keyUsage $ x509subjectDnsName $ x509extKeyUsage $ x509userCert) - 2006-03-09 Seite 26/30 Zur A nzeige wird der QuickTi me™ Dekompressor „T I FF (LZW)“ benöti gt. Datenmodell Teil 2 B. Referenzen [crl-schema] http://www.ietf.org/proceedings/03jul/I-D/draft-ietf-pkix-ldap-crl-schema-01.txt [pkc-schema] http://www.rediris.es/ldap/doc/draft-klasen-ldap-x509certificate-schema-03.txt [pvp] Portal Verbund Protokoll; http://reference.e-government.gv.at (Portalverbund, Veröffentlichte Entwürfe, Portalverbundprotokoll) Aktuelle Version: pvp 1.8.9 - Version vom 31.07.2004 [SecClass] http://reference.e-government.gv.at (Portalverbund, Veröffentlichte Entwürfe, Sicherheitsklassen) Aktuelle Version: http://reference.e-government.gv.at/uploads/media/SecClassV1-0-0.pdf [Architektur Standardportal] https://w4.wien.gv.at/Groups/externe/e-government/kommarch/pvp .. /stdpor/spezifikation/architektur_standard (limitier Zugriff) C. Historie Version 0.87 Gliederung in Teil 2 + 3 Überarbeitung der Einleitung Objektklasse gvUserRestriction in gvRightParameter umbenannt, Attribut gvRegionalRestriction in gvParameterKeyValue umbenannt Beispielewerte von Attribute mit dem Typ dn so geändert, dass die Referenz nicht redundant ist, etwa: gvOuId=AT:l9:1508,dc=gv,dc=at statt dc=magWien,gvOuId=AT:l9:1508,dc=gv,dc=at gvSecClass von gvOrgPerson zu gvPrincipal gvSecClass in gvApplication entfernt gvPassowordPaxAge von gvPrincipal zu gvPortal gvApplication um gvApplicationStatus, gvDecommisionDate erweitert gvApplication um gvDecommisionDate erweitert Logisches Model eingefügt Version 0.88 gvPortal: Attribut gvX509issuerDirectioryName -> gvX509issuer, Syntax: ces x509PKC erhält Auxiliary Class gvX509CertExtension, um DN zu bilden, ohne DN zu schachteln ldap.gv.at Teil 2 – V 1.21 - 2006-03-09 Seite 27/30 Zur A nzeige wird der QuickTi me™ Dekompressor „T I FF (LZW)“ benöti gt. Datenmodell Teil 2 gvPortal Eintrag ist kein Singelton, sondern wird in der PEP-Konfig definiert und existiert pro Portal. -> CN ist nicht fix gvPortal wird getrennt in gvConfigUserPortal und gvConfigApplicationPortal Kanonisierung korrigiert Version 0.89 x509PKC durch gvX509Certificate ersetzt Version 0.90 gvX509Certificate: Attribut x509IssuerDn ergänzt und als Teil des RDN definiert, um die Längenbeschränkung von 76 Zeichen m RDN i e-Directory zu umgehen. Version 0.94 gvRightParameters kein Listenfeld, Länge definiert Version 0.95 UML-Schema korrigiert Version 0.96 Beschreibung gvParticipant.gvMaxRights erweitert Referenz auf PVP Spezifikation hinzugefügt gvApplicationProxy.gvURL; Änderung der Beschreibung, relative URI´s sind ebenfalls erlaubt Version 0.96.1 Beschreibung gvConfigUserPortal.gvVhostTrustLevel geändert. Der dn des levels "trusted" referenziert ein gvSystem und kein gvUserPortal. Version 0.97 - gvUserPortalConfig und gvAppPortalConfig entfernt - RDN bei gvX509Certificate auf combined (serial + issuer) geändert - DN-Struktur geändert: statt dc=xxx+gvOuId=yyy,dc=gv,dc=at nur gvOuId=yyy,dc=gv,dc=at Version 0.99 - Inhaltliche Redefinition von gvPasswordRetryCount - gvParticipant und gvDefaultParticipant: Typ von dn auf cis(32) geändert, damit statt dem DN eine OrgID enthalten ist. Dadurch wird das Attribut konsistent mit gvOrgPerson.gvOuId etc. - gvApplicationProxy.gvApplication auf gvApplicationProxy.gvApplicationReference umbenannt, um nicht je ein Attribut und Objekt mit gleichem Namen zu haben. - zusätzliche Attribute gvApplication.gvHideMenuitem und gvExtensionItem definiert Version 0.99.2 gvIdentitiyLink entfernt, Diskussion wird auf später verschoben ldap.gv.at Teil 2 – V 1.21 - 2006-03-09 Seite 28/30 Zur A nzeige wird der QuickTi me™ Dekompressor „T I FF (LZW)“ benöti gt. Datenmodell Teil 2 Änderungswünsche für Teil 1 entfernt ldap.gv.at Teil 2 – V 1.21 - 2006-03-09 Seite 29/30 Zur A nzeige wird der QuickTi me™ Dekompressor „T I FF (LZW)“ benöti gt. Datenmodell Teil 2 Version 1.01 - Beschreibung X509IssuerDnsName ergänzt - Beschreibung gvParticipant.gvMaxRights geändert - gvApplicationRight.gvRightParameters in Teil 3 verschoben. Version 1.02 - Teil 3 aus dem dokument entfernt - Base64-Codierung bei gvUserPassoword ergänzt Version 1.21 - Änderung der Beschreibung von GvParticipant.gvMaxRights und GvApplicationRight.gvRoleSyntax ldap.gv.at Teil 2 – V 1.21 - 2006-03-09 Seite 30/30
