Elster Authentifikator Plugin
Plugin-Download (erfordert Anmeldung)
Min. Xima® Formcycle-Version: 6.6.11+
Hinweis: Für Verwendung der Postkorb-Funktionalität werden mindestens die Xima® Formcycle-Version 7 und mindestens die Pluginversion 2.1.0+ benötigt.
Über das kostenpflichtige ELSTER Service Plugin ist es möglich authentifizierte ELSTER-Accountdaten in Formularen zu erfassen. Dies geschieht indem dem Formular ein ELSTER-Login vorgeschaltet wird. Um den ELSTER-Login zu ermöglichen, muss der Xima® Formcycle-Server vorerst bei ELSTER registriert werden. Details hierzu finden Sie im Abschnitt Setup.
Setup
Das Plugin kann nur als Mandantplugin installiert werden. Eine Anleitung zur Installation von Plugins finden Sie hier. Nach Installation des Plugins gibt es einen neuen Menüeintrag ELSTER-Konfiguration in der Verwaltungsoberfläche. Sollten Sie diesen Menüeintrag nicht sehen, stellen Sie sicher, dass der angemeldete Benutzer die Rollenberechtigung "Externe Benutzer" sowie "ELSTER-Konfiguration" besitzt. Über die ELSTER-Konfigurationsseite kann nun ein neuer ELSTER-Login erstellt werden und der sog. Entity-Descriptor für diesen Login erstellt werden. Diese Schritte sind notwendig um den ELSTER-Login bei ELSTER zu registrieren.
ELSTER-Login erstellen
Mit einem Klick auf ELSTER-Login erstellen in der Konfigurationsoberfläche kann ein neuer ELSTER-Login erstellt werden. Hierzu sind nun folgende Informationen nötig:
Allgemeine Informationen
- Name
- Wie soll der ELSTER-Login heißen? Dieser Name wird für den Anmeldebutton im Formular verwendet. (Soll ein alternativer Name verwendet werden, kann dies am ELSTER-Login nach der Erstellung konfiguriert werden)
- Beschreibung
- Eine optionale Beschreibung
Zertifikatsinformationen
Für die Kommunikation mit der ELSTER-Schnittstelle sind Zertifikate für die Verschlüsselung & Signierung der Nachrichten nötig. Sie haben die Möglichkeit bei der Erstellung des ELSTER-Logins einen Zertifikatsspeicher automatisch erstellen zu lassen oder einen Zertifikatsspeicher (einen sog. KeyStore) hochzuladen. Für die automatische Generierung des Zertifikatsspeichers sind folgende Angaben nötig:
- Allgemeiner Name (CN)
- Der sog. Common name des Zertifikats. Z.B.: ELSTER-Login
- Organisationseinheit (OU)
- Bezeichnung der Abteilung, z.B. IT-Abteilung
- Organisationsname (O)
- Name des Unternehmens bzw. der Behörde
- Ortsbezeichnung (L)
- Stadt oder Ort, in dem das Unternehmen bzw. die Behörde ansässig ist
- Bundesland (ST)
- Bundesland, in dem das Unternehmen bzw. die Behörde ansässig ist
- Land (C)
- Der aus zwei Buchstaben bestehende Ländercode im ISO-Format desjenigen Landes, in dem das Unternehmen bzw. die Behörde rechtmäßig registriert ist z.B. DE
Mit diesen Informationen wird bei der Erstellung des ELSTER-Logins ein Zertifikatsspeicher für die Signierung & Verschlüsselung erstellt. Möchten Sie einen eigenen Zertifikatsspeicher verwenden, ist darauf zu achten, dass das darin enthaltene Zertifikat eine Schlüssellönge von 4096 Bit hat und den Algorithmus RSA (SHA-256) verwendet.
Entity-Descriptor erstellen
Nachdem der ELSTER-Login erstellt wurde, kann für diesen der Entity-Descriptor erstellt werden. Der Entity-Descriptor enthält Metadaten zum Xima® Formcycle-Server und das SChlüsselmaterial für die Signierung & Verschlüsselung der Kommunikation. Diesen Entity-Descriptor müssen Sie an ELSTER senden, damit der Xima® Formcycle-Server für die Authentifizierungen registriert werden kann.
Werden Frontend-Server verwendet, dann muss für jeden Frontend-Server, für den der ELSTER-Login zur Verfügung stehen soll, ein Entity-Descriptor erstellt und bei ELSTER registriert werden.
Einbindung des ELSTER-Logins in Formularen
Um den ELSTER-Login in Formularen zu aktivieren, muss dieser über die Zugriffseinstellungen des Formulars aktiviert werden. Nachdem dies geschehen ist, werden Nutzer nun beim Aufruf des Formulars nun aufgefordert sich bei ELSTER anzumelden.
Zur Darstellung der ELSTER-Accountdaten gibt es eine Formularvorlage im Designer, welche in das Formular gezogen werden kann. Diese Formularvorlage enthält Datenfelder für perönliche sowie Organisationsaccounts. Je nachdem, welcher Nutzer sich angemeldet hat, wird das passende Fieldset dargestellt. Die Formularfelder können nach der Nutzerauthentifizierung nicht mehr geändert werden und haben festgelegte Namen:
| Formularfeldname | Bemerkung | optional | für Zertifikatstyp |
|---|---|---|---|
| tfDatenkranzTyp | StNr (bei einem Organisationszertifikat) oder IdNr (bei einem persönlichen Zertifikat) | nein | beide |
| tfPersTyp | NATPERS (Der Inhaber des Steuerkontos ist eine natürliche Person - z.B. ein Einzelunternehmer) oder NNATPERS (nichtnatürliche Person - z.B. eine GmBH) | nein | Organisationszeitifikat |
| tfTrustLevelIdentifizierung | "SUBSTANZIELL" für alle, die per Brief oder persönlich Identifiziert wurden. "HOCH" für die mit nPA | nein | beide |
| tfTrustLevelAuthentifizierung | "SUBSTANZIELL" für alle | nein | beide |
| tfAccountPseudonymId | Pseudonymisierte ELSTERAccountID. Pro ELSTERZertifikat eine eigene ID, auch wenn die ELSTER Zertifikate zu ein und derselben Organisation gehören. | nein | beide |
| tfDatenuebermittlerPseudonymId | für den jeweiligen ServiceProvider pseudonymisierte ID der Organisation, der der Account angehört | nein | Organisationszeitifikat |
| tfAntragstellerAdressTyp | INLAND oder AUSLAND | nein | persönliches Zertifikat |
| tfAntragstellerStrasse | Inland 5-stellig | nein | persönliches Zertifikat |
| tfAntragstellerHausnummer | Werte 0-9999, mit Zusatz | nein | persönliches Zertifikat |
| tfAntragstellerPLZ | nein (bei INLAND) ja (bei AUSLAND) | persönliches Zertifikat | |
| tfAntragstellerOrt | ja | persönliches Zertifikat | |
| tfAntragstellerOrtsteil | ja | persönliches Zertifikat | |
| tfAntragstellerErgaenzung | Nicht gesetzt bei Auskunftssperre | ja | persönliches Zertifikat |
| tfAntragstellerLand | ALPHA-2 Länderkürzel nach ISO 3166-1. DE bei Inlandsadressen. Nicht gesetzt bei Auskunftssperre | nein | persönliches Zertifikat |
| tfAntragstellerVorname | nein | persönliches Zertifikat | |
| tfAntragstellerName | nein | persönliches Zertifikat | |
| tfAntragstellerGeburtsdatum | nein | persönliches Zertifikat | |
| tfAntragstellerGeburtsname | ja | persönliches Zertifikat | |
| tfAntragstellerGeburtsort | ja | persönliches Zertifikat | |
| tfAntragstellerGeburtsland | ja | persönliches Zertifikat | |
| tfAntragstellerAkademischerGrad | ja | persönliches Zertifikat | |
| tfOrgAdressTyp | nein | Organisationszertifikat | |
| tfOrgStrasse | Inland 5-stellig | nein | Organisationszeitifikat |
| tfOrgHausnummer | Werte 0-9999, mit Zusatz | nein | Organisationszeitifikat |
| tfOrgPLZ | nein (bei INLAND) ja (bei AUSLAND) | Organisationszeitifikat | |
| tfOrgOrt | ja | Organisationszeitifikat | |
| tfOrgOrtsteil | ja | Organisationszeitifikat | |
| tfOrgErgaenzung | Nicht gesetzt bei Auskunftssperre | ja | Organisationszeitifikat |
| tfOrgLand | ALPHA-2 Länderkürzel nach ISO 3166-1. DE bei Inlandsadressen. Nicht gesetzt bei Auskunftssperre | nein | Organisationszeitifikat |
| tfOrgFirmenname | Der Name der Organisation. Bei NatPers kann dies auch der konkatenierte Vor- und Nachname des Steuerkontoinhabers sein. | nein | Organisationszeitifikat |
| tfOrgRechtsformText | Für PersTyp NNATPERS | nein | Organisationszertifikat |
| tfOrgRechtsform | Für PersTyp NNATPERS | nein | Organisationszertifikat |
| tfOrgTaetigkeitText | Für PersTyp NATPERS | nein | Organisationszertifikat |
| tfOrgTaetigkeit | Für PersTyp NATPERS | nein | Organisationszertifikat |
| tfOrgRegisternummer | ja | Organisationszeitifikat | |
| tfOrgRegisterart | ja | Organisationszeitifikat | |
| tfOrgRegistergericht | ja | Organisationszeitifikat | |
| tfOrgGruendungsDatum | ja | Organisationszeitifikat | |
| tfOrgBetriebsbeendigungsdatum | ja | Organisationszeitifikat | |
| tfOrgUStId | ja | Organisationszeitifikat |
Protokollierung
Für jedes abgesendete Formular, an welchem sich per ELSTER authentifiziert wurde, wird ein Protokolleintrag am Vorgang erstellt. Diese beinhaltet die AccountPseudonym-ID (sowie die DatenübermittlerPseudonym-ID), die ID der SAML-Response, die IssueInstant der SAML-Response und die InResponseTo-ID der SAML-Response.
Optional kann für jede ELSTER-Anmeldung (ohne Formularabsendung) eine solche Protkollierung aktiviert werden (siehe Konfiguration des Plugins). Dies ist standardmäßig deaktiviert.
Konfiguration des Plugins
In den Plugineinstellungen können Parameter zu Konfiguration angegeben werden:
| Parameter | Bemerkung | Standardwert |
|---|---|---|
| elster.bundle.param.supported.issuer.ids | Semikolon-separierte Liste der unterstützten Issuer-IDs | https://idp.een.elster.de;https://www.elster.de |
| elster.bundle.param.protocol.preserve | Ob die angelegten Protokolleinträge löschbar (false) oder nicht löschbar (true) sein sollen | true |
| elster.bundle.param.protocol.login.callbacks | Gibt an ob für jede Anmeldung bei ELSTER ein Mandantprotokolleintrag erstellt werden soll | false |
Versionshistorie
1.0.3
- Fehlerbehebung bei der Erstellung/Aktualisierung der Formularvorlage für die ELSTER-Accountdaten.
1.0.2
- Erste öffentliche Version des Plugins. Beinhaltet:
- neue Konfigurationsoberfläche zum Anlegen eines ELSTER-Logins und Erstellung des Entity-Descriptors
- Formularelementvorlage mit sämtlichen vorbefüllten persönlichen bzw. organisationsbezogenen Formularelementen
- Protokollierung eines ELSTER-Logins nach Absenden eines Formulars