bayernID-Plugin für Keycloak/RH-SSO

Letzte Aktualisierung: 03.09.2024

Die BayernID (ein Service der AKDB im Auftrag des Freistaats Bayern) ist eine digitale Identität, die Bürgerinnen und Bürger sowie Unternehmen und Organisationen im Zusammenhang mit der Abwicklung digitaler Verwaltungsdienste einsetzen können. Sie dient dazu, sich online eindeutig zu identifizieren und bietet verschiedene Authentifizierungsstufen (schwache Authentifizierung per Benutzername und Passwort, substantielle Authentifizierung per ELSTER oder hohe Authentifizierung per eID/nPA). Zudem werden Weiterleitungen zu anderen Länderkonten und dem Nutzerkonto Bund angeboten.

Die direkt Integration der BayernID mit Fachverfahren erfolgt per SAML2-Protokoll.

Da eine direkte Integration jedes Fachverfahrens-Servers aufgrund auszutauschender Zertifikate und Metadaten aufwändig ist, setzt die Landeshauptstadt München einen zwischengeschalteten Identity Provider (IDP) auf Basis der Software Keycloak (bzw. deren größtenteils baugleiches kommerzielles Pendant RedHat Single Sign On (RH-SSO)) ein. Dies hat den Vorteil, dass die angeschlossenen Fachverfahren nur mit diesem IDP eine Vertrauensstellung aufbauen müssen und dafür sowohl OpenID-Connect (OIDC) als auch SAML2 als Protkoll zur Verfügung stehen.

Die Anbindung eines Keycloak/RH-SSO an die BayernID unterstützt aber nicht alle benötigen Funktionalitäten der BayernID. Bspw. muss für die Anforderung eines Mindest-Vertrauensniveaus oder auch für die Anforderung expliziter Attribute in den SAML2-Request eingegriffen werden, was nativ vom Keycloak/RH-SSO nicht unterstützt wird.

Aus diesem Grund wurde von der Landeshauptstadt München ein Plugin entwickelt, das eine entsprechende Erweiterung des Keycloak/RH-SSO bewirkt. Damit ist es für die angebundenen Fachverfahren möglich, ein gewünschtes Mindest-Vertrauensniveau oder spezifische Attribute (per Scopes oder einzeln) explizit anzufordern - sowohl per OIDC als auch per SAML2. Außerdem ermöglicht das Plugin, dass Userdatensätze eindeutig auf den gleichen Datensatz im Keycloak/RH-SSO zu mappen, so dass dort bspw. auch eine Autorisierung angewendet werden kann.

Jetzt Nutzung sichtbar machen!

Sie setzen ein Softwareprojekt von openCode bereits ein? Bestätigen Sie den aktiven Einsatz und unterstützen Sie die Community!

Nutzung einreichen

Badges

Mehr erfahren

Absender & Kontakt

Roland Werner
Alexander Kerscher

Features

Anbindung Bürgerkonto
Explizite Anforderung eines Mindest-Vertrauensniveaus
Explizite Anforderung der zusätzlichen Authentifizierungsmethoden der BayernID (z.B. FINK)
Explizite Anforderung von Einzelattributen oder Gruppierungen von Attributen per Scopes (sowohl für OIDC als auch für SAML2)
Erweiterung des SSO-Mechanismus zur Berücksichtigung des Mindest-Vertrauensniveaus und der angeforderten Attribute
Spezifische Datenmapper

Weitere Informationen

ApplicationSuite

Keycloak/RH-SSO-Plugins

UsedBy

Landeshauptstadt München

URL

https://gitlab.opencode.de/landeshauptstadt-muenchen/bayernid-plugin.git

Software-Details

Erstellt am

03.06.22

Letzte Aktivität

03.09.24

Status

stable

Platform

web

Softwareversion

1.0.0

Lizenz

MIT

Was ist openCode?

openCode ist die zentrale Plattform für eine unabhängige und selbstbestimmte Digitalisierung der deutschen Verwaltung. Jetzt die digitale Zukunft Deutschlands aktiv mitgestalten.

Mehr erfahren