FAQ
| Schlagwort / Stichwort | Frage / Beschreibung | Antwort / Ergebnis |
|---|---|---|
| Identifikator | Ist ein Identifikator für Organisationen nötig und möglich? | Der Integrationspartner (i.d.R. eine digitale Verwaltungsleistung) erhält ein Pseudonym für die Organisation und den ELSTER-Account vom ELSTER-IdP. Gegenüber dem Autorisierungsmodul werden dei Organisation und der Account über das Bausteinpseudonym identifiziert. Dieses Bausteinpseudonym erhält der Integrationspartner vom ELSTER-IdP. |
| Registrierung einer Verwaltungsleistung | Ich habe einen EfA-Online-Dienst, der durch verschiedene Bundesländer genutzt und verwaltet wird. Wofür ist die Registrierung, was kann und sollte man tun? | Jede digitale Verwaltungsleistung muss beim Autorisierungsmodul registriert werden. Dies dient dazu, dem Autorisierungsmodul die Leistung bekanntzumachen. Anschließend kann die Verwaltungsleistung von Organisationen gefunden werden. Außerdem hinterlegt die verantwortliche Stelle bei der Registrierung, auf welchen Nutzerkreis die Verwaltungsleistung beschränkt werden soll. Dies kann auch bedeuten, dass alle Organisationen diese Verwaltungsleistung nutzen dürfen. Die Registrierung ist ein notwendiger Schritt bei der Anmeldung. |
| OAuth Client | Ist die Einrichtung eines Knotenpunktes, also eines zentralen OAuth Clients, für mehrere Verwaltungsleistungen sinnvoll? | Es gibt für die Integration zwei Möglichkeiten: Die Einrichtung eines zentralen Knotenpunktes, an dem die Autorisierung durchgeführt wird. Jede Verwaltungsleistung nimmt die Integration selbst vor. Wir unterstützen beide Möglichkeiten. Eine Integration in einem Knotenpunkt (z.B. Verwaltungsportal) kann den Aufwand reduzieren. Wir kennen allerdings die Architektur der Verwaltungsleistung und des Portals nicht, diese muss in die Entscheidung mit einbezogen werden. Es ist denkbar, dass Verwaltungsleistungen mit besonderen Anforderungen (z.B. Autorisierung nach vorgelagerten Schritten) direkt integriert werden müssen. |
| Feinkonzept | Wo findet man eine aktuelle Version des Feinkonzeptes? | Das Feinkonzept wurde nicht weiter fortgeschrieben, da sich das Projekt aktuell in der Entwicklung befindet und wird somit nicht bereitgestellt. |
| Möglichkeiten der Berechtigung von Organisationen (bei Zugangsbeschränkung) | Wie unterstützt mich die Berechtigungssteuerung dabei, Organisationen zu berechtigen, wenn ich den Zugang zu meinem Online-Dienst beschränkt habe? | Die Berechtigungen können auf folgende Arbeiten erteilt werden: - explizite Berechtigung bestimmter Organisationen (selbst vergeben, oder von Organisation angefragt & anschließend selbst geprüft) - Zugriff basierend auf zugewiesenen Eigenschaft en („übergreifende Rollen“) - Zugriff basierend auf unveränderlicher Eigenschaften (z.B. „Rechtsform“, „Inland“ oder „Ausland“ Organisationen, denen der Zugriff verweigert wird, werden über unseren Berechtigungsassistenten darüber aufgefklärt, welche Vorraussetzung nicht erfüllt ist. Wenn der Online-Dienst explizite Berechtigungen vorsieht, kann die Organisation einen Berechtigungsantrag stellen. |
| Möglichkeiten der Zugangsbeschränkungen für Onlinedienste | Welche zusätzlichen Möglichkeiten der Beschränkungen seitens der dienstanbietenden Behörden gibt es? | Es gibt zwei unterschiedliche Konzepte: 1. Explizite Berechtigung, proaktive Freischaltung oder per Antrag an Behörde --> Dies wird als erstes umgesetzt 2. Qualifizierende Stelle (Organisation, definiert übergreifende Rolle) eine übergreifenden Rolle kann an Organisationen zugewiesen werden, Dienste können anhand der übergreifenden Rolle berechtigen. Zukünftig können die übergreifende Rollen in mehreren Onlinediensten verwendet werden. |
| Behörden ohne Steuernummer | Müssen Behörden zwingend ein Zertifikat haben, da Behörden oftmals keine Steuernummer haben? | Voraussetzung für die Beantragung eines ELSTER-Organisationszertifikats als Grundlage des Unternehmenskontos ist die betriebliche Steuernummer eines Unternehmens. Grund hierfür ist, dass es ein Kriterium geben muss, um tagesaktuelle Informationen aus den Zentralregistern der Steuer verifiziert übermitteln zu können. |
| Definition von Funktionsrollen | Definiert die Dienstanbietende Behörde die Funktionsrollen? Wird eine Codeliste (z.B. Kerndatenmodell XUnternehmen) für die Rollen zugrunde gelegt? | Die dienstanbietende Stelle kann Rollen vorgeben/modellieren. Die Rollendefinition je Onlinedienst oder übergreifend ist frei, es wird nichts vorgegeben. Prozess für die Rollenfindung muss sich etablieren. Für manche Dienste sind spezifische Rollen/Berechtigungen sehr wichtig. Etablierung eines Governance-Prozesses kann von DP begleitet werden. Für organisationsübergreifende Rollen braucht es eine Liste, für Rollen innerhalb der Organisation gestaltet/verteilt werden, diese können aber auch grundlegend von der DaB vorgegeben werden. Es können Organisationintern auch Rollengruppen definiert werden, der Mitarbeitende zugeordnet werden und Rechte zugewiesen werden können. Es gibt kein Rollenmodell als Grundlage. |
| Personengebundene ELSTER-Organisationszertifikate | Können die ELSTER-Organisationszertifikate personengebunden sein? | Beantragte Zertifikate sollten einer Person zugeordnet sein. Es gibt Fälle, in der Zertifikate innerhalb einer Organsiation von mehreren Personen geteilt werden. Neuerung ab Dezember (Elster): Konten können einer Person dediziert zugeordnet werden, der Inhaber des Organisationszertifikats muss ich einmal mit seinem privaten ELSTER-Zertifikat Authentisieren. Erst dann ist das Organisationszertifikat personengebunden. Es sollte angestrebt sein, dass Organisationszertifikat nur von einer Person genutzt werden. |
| Mandatur/Bevollmächtigung | Können innerhalb des Autorisierungsmoduls Bevollmächtigungen erteilt werden? | Eine Mandatur in der rechtlich möglichen Form würde der Berechtigung nicht genüge tun. Die Mandatur wird zugunsten anderer wichtiger Kernfunktionen (expl. Organisationsausschluss) zurückgestellt. |
| Bevollmächtigung vs. personenbezogene Konten | Gibt es einen Unterschied zwischen Bevollmächtigung und personenbezogene Konten? | Für eine Bevollmächtigung muss nicht explizit eine Rolle zugewiesen werden. |
| Leistungen und Einschränkungen | Für welche Leistungen seitens Behörden eignet sich das Modul? Gibt es hier Einschränkungen? | Das Autorisierungsmodul eignet sich für alle digitalisierten Verwaltungsleistungen mit der Zielgruppe Organisationen (also Unternehmen, Vereine, …). Unser Ziel ist hier eine möglichst flächendeckende Anbindung dieser Verwaltungsleistungen an das Autorisierungsmoduls, um so den Verwaltungskunden den größtmöglichen Mehrwert zu bieten. |
| Funktionalitäten und Vorteile | Welche Funktionalitäten hat das Autorisierungsmodul für Behörden? Welche Vorteile bietet es? | Das Autorisierungsmodul ermöglicht es Behörden einzuschränken, welche Organisationen eine digitalisierte Verwaltungsleistung nutzen können. Außerdem unterstützen wir die Behörden bei der Bearbeitung von Berechtigungsanträgen. Gibt es seitens der Behörde keinen Bedarf, den Zugriff einzuschränken, kann der Zugriff allen Organisationen gewährt werden. Auch in diesem Fall wird die Anforderung der Wirtschaft, Berechtigungen innerhalb der Unternehmen autark steuern zu können erfüllt. |
| Nutzungsmöglichkeiten Kunden/Unternehmen | Wie können Kunden/Unternehmen das Autorisierungsmodul nutzen? | Die Organisationen können über das Autorisierungsmodul den Zugriff der Mitarbeiter auf digitale Verwaltungsleistungen steuern. Die Organisationen haben so den größtmöglichen Überblick, welcher ELSTER-Account im Namen der Organisation was machen darf. Außerdem können Organisationen fehlende Rechte sehr einfach bei der anbietenden Behörde beantragen. |
| Aufwand in der Berechtigungssteuerung | Welche Aufwände kommen auf mich zu, wenn wir keine Zugangsbeschränkung für unsere Verwaltungsleistung einrichten wollen? | Nach der initialen Anbindung und Registrierung der Dienstleistung hat die Behörde keine Berührungspunkte mit der Berechtigungsteuerung, wenn sie nicht zugangsbeschränkt ist. |
| Funktionsrollen | Wofür werden Funktionsrollen genutzt, wer muss/kann die für welchen Zweck definieren? | Funktionsrollen werden von der Berechtigungssteuerung NICHT bei der Zugriffsentscheidung ausgewertet. Im Acces Token, der an den Online-Dienst weitergegeben wird, sind die Funktionsrollen des Benutzerkontos enthalten. Diese kann dann im Onlinedienst ausgewertet werden. |
| Funktionsrollen | Wie funktioniert die Vergabe von Funktionsrollen? | Funktionsrollen werden pro Onlinedienst durch die deinstanbietende Behörde definiert. Im Anschluss können die Funktionsrollen von der dienstanbietenden Behörde an Organisationen zugewiesen werden. Die Vergabe der Funktionsrollen innerhalb der Organisation erfolgt durch den Administrator der Organisation. |
| Registrierung | Ist eine Mehrfachregisteriung von Leistungen oder Onlinediensten möglich? | Jede Onlinedienst-Registrierung repräsentiert genau eine konkrete Online-Bereitstellung einer Verwaltungsleistung. Die Registrierung generiert eine Dienst-ID, die bei der Berechtigungsanfrage verwendet wird. Jedoch können für eine Verwaltungsleistung durchaus mehrere Online-Bereitstellungen (unterschiedlicher Gebietskörperschaften/Behörden) existieren, die jeweils separat registriert werden. |
| Zugriffsbeschränkung auf Leistungen | Wie wird sichergestellt, dass bestimmte Konten nur auf eine Leistung zugreifen ? | Als Administrator einer Organisation kann ich mich entscheiden, ob Onlinedienste per "Organisationsberechtigung" oder "Kontenberechtigung" genutzt werden können. Bei der Organisationsberechtigung werden alle Rechte der Organisation auf alle Konten übertragen. Dies ist die Default-Einstellung. Bei der Kontenberechtigung muss der Administrator jedes einzelne Konto explizit für die Nutzung von Onlinediensten berechtigen. |
| Berechtigung - Organisation kann nicht gefunden werden | Ich möchte eine Organisation für meinen zugangsbeschränkten Online-Dienst berechtigen. Ich kann die Organisation jedoch nicht finden. Woran liegt das? | Das Autorisierungsmodul muss eine Organisation "kennenlernen", bevor diese gefunden werden kann. Das passiert automatisch, wenn sich ein Mitarbeiter der Organisation das erste Mal am Autorisierungsmodul anmeldet oder wenn ein Mitarbeiter der Organisation das erste mal einen Online-Dienst benutzt, der an das Autorisierungsmodul angeschlossen ist. |
| Zugriffsmöglichkeiten mit ELSTER-Zertifikat ohne Anbindung an das Autorisierungsmodul | Könnte eine Person, die ein Elster-Zertifikat von einem Betrieb zum Login erhält, solange das Berechtigungsmanagement des Unternehmens über das Autorisierungsmodul noch nicht möglich ist, auch dessen Steuererklärung anschauen? | Solange das Autorisierungsmodul nicht verfügbar ist und nicht flächendeckend angebunden ist, kann jeder Mitarbeitende einer Organisation mit Zugang zu einem Organisationszertifikat alle Steuerangelegenheiten der eigenen Organisation einsehen. Wenn die Steuererklärung zu den angebotenen Diensten gehört, so kann diese auch mit eingesehen werden. |
| Pilotierungszeitraum und Release 1 | An welchem Datum soll die Pilotierung desAutorisierungsmoduls enden? Der Produktionsregelbetrieb des Autorisierungsmoduls (für alle Dienste) soll nach meinen Infos im Juni 2023 starten. Gibt es dazu im Juni 2023 bereits ein konkretes Datum? | Der Zeitraum für die Pilotierung mit eingeschränkten Teilnehmerkreis in Integrations- und Produktivumgebung ist vom 30.01.2023 bis 30.06.2023 angesetzt. Mit Abschluss der Pilotierung wird zum 30.06.2023 Release 1 in der Produktivumgebung bereitgestellt, ab diesem Zeitpunkt ist das Autorisierungsmodul für alle Dienste verfügbar. |
| Verknüpfung von Konto und ELSTER-Zertifikat | Handelt es sich um eine 1:1 Verknüpfung zwischen "Konto" und Elster Zertifikat? st das Konto das Zertifikat? | Richtig ist der Begriff "Benutzerkonto". Mit einem ELSTER-Organisationszertifikat loggt sich ein Nutzer in sein Benutzerkonto ein. Grundsätzlich kann ein ELSTER-Organisationszertifikat kopiert und durch mehrere Personen genutzt werden. Dies ist allerdingsnicht empfohlen. |
| Einladung externer Personen | Kann ich jemand einladen, der tatsächlich nicht in meinem Betrieb tätig ist? | Benutzerkonten mit abweichender Steuer-ID (bzw. Bausteinpseudonym) werden für den Admin einer Organisation nicht sichtbar. Externe Personen können demnach nicht eingeladen werden. Wenn Sie eine Person einladen, die sich dann mit einem ELSTER-Organisationszertifikat anmeldet, das nicht zu Ihrer Organisation gehört, erscheint eine Fehlermeldung. |
| Notwendigkeit OAuth Client bei nicht zugangsbeschränkten Online-Diensten | Wenn der Dienst auf "nicht zugangsbeschränkt" eingestellt ist, muss dann der OAuth-Request vom Dienst überhaupt gestellt werden? | Selbst wenn der Online-Dienst nicht zulassungsbeschränkt ist, muss die Autorisierungsanfrage über den OAuth Client gestellt werden. Nur so wird ermöglicht, dass Organisationen auch für nicht zugangsbeschränkte Online-Dienste steuern können, welche Konten diese Dienste in ihrem namen nutzen dürfen. |
| Auffindbarkeit von Organisationen | Werden alle Organisationen, die ein ELSTER-Organisationskonto haben, angezeigt? | Es werden nur Organisationen angezeigt, die sich einmal am Autorisierungsmodul angemeldet haben oder einen Online-Dienst genutzt haben, der an das Autorisierungsmodul angeschlossen ist. |
| Berechtigungsteuerung bei Diensten ohne Anbindung ans AM | Funktioniert die Berechtigungssteuerung innerhalb einer Organisation auch ohne die explizite "Registrierung" der Onlinedienste durch die bereitstellende Behörde am Unternehmenskonto? | Die Berechtigungssteuerung funktioniert nur dann, wenn für einen expliziten Online-Dienst eine Autorisierungsanfrage (über OAuth Client) gestellt wird. Ohne die Registrierung eines Online-Dienstes entsteht für Admins der Organisation gar nicht erst die Möglichkeit, für diesen Online-Dienst Zugriffsbeschränkungen für einzelne Mitarbeitende einzurichten. Durch die Anbindung der Online-Dienste an das Unternehmenskonto (an NEZO) durch die Behörden erhält jeder Inhaber eines gültigen ELSTER-Organisationszertifikat zunächst Zugriff auf diesen Online-Dienst. Lediglich durch die Anbindung an und die Registrierung des Dienstes in der Berechtigungssteuerung kann dieser Zugriff eingeschränkt werden. |
| Zugangsbeschränkung Autorisierungsmodul | Wie ist der Zugang zum Autorisierungsmodul beschränkt? Gibt es ein Admin-Zertifikat und nur dieses Konto ist berechtigt, Berechtigungen zu erteilen? | Zunächst sind alle Benutzerkonten einer Organisation gleichberechtigt. Eine angemeldete Person kann sich selbst zum ersten Administrator ihrer Organisation machen. In diesem Fall wird eine Info inkl. Widerrufs-Code an die Geschäftsadresse versendet, um Missbrauch zu vermeiden. Jeder Administrator (also auch der erste) kann weitere Konten zu Administratoren machen. |
| Berechtigung von Organisationen nach Antrag | Wenn eine Organisation für einen Online-Dienst berechtigt wird, bekommt der jeweilige beantragende Mitarbeiter die Berechtigung oder bekommt die Organisation des Mitarbeiters die Berechtigung? | Der Antrag an die Anbieter von Online-Diensten bezieht sich immer auf die Berechtigung der Organisation, nie auf einzelne Benutzerkonten. Die Berechtigung der Organisation übertragen sich auf die Konten der Organisation, wenn die Organisation sich nicht dazu entschieden hat, jedes Konto einzeln zu berechtigen. Wenn eine Organisation sich dazu entschieden hat, muss ein Administrator das Konto des Antragstellers noch berechtigen, bevor dieser den Online-Dienst nutzen kann. |
| Antrag auf Berechtigung über Berechtigungsassistent | Dürfen alle Mitarbeiter einer Organisation im Berechtigungsassistenten einen Antrag stellen, auch wenn nur ein ELSTER-Organisationszertifikat vorhanden ist? | Jedes Konto einer Organisation hat die Möglichkeit, im Berechtigungsassistenten Berechtigungen für ihre Organisation zu beantragen. |
| Verknüpfung Organisation, Konten, Zertifikaten und Personen | Wie sind Organisation, Konten, Zertifikaten und Personen miteinander verknüpft? | Eine Organisation ist die Klammer um alle Benutzerkonten der gleichen Steuer-ID. Ein ELSTER-Organisationszertifikat ist das Authentisierungsmittel für den Login zu einem Benutzerkonto. Es wird empfohlen die ELSTER-Organisationszertifikate und damit die Benutzerkonten nicht mit mehreren Personen zu teilen. Idealerweise hat jede Person einer Organisation, die im Namen der Organisation Online-Dienste nutzt, ein eigenes ELSTER-Organisationzertifikat. Es kann allerdings sinnvoll sein, dass eine Person mehrere ELSTER-Zertifikate nutzt, wenn diese für unterschiedliche Organisationen/Steuer-IDs tätig ist. |
| Nutzung von Rollen zu Online Diensten | Können Rollen zu Online-Diensten schon während der Pilotierung genutzt werden? | Nein. Während der Pilotierung können zu einem Online-Dienst noch keine Rollen definiert werden. Es gibt nur unbeschränkte Online-Dienste und Online-Dienste auf die Organisationen explizit berechtigt werden müssen. |
| Client Registrierung vs. Online-Dienst-Registrierung | Ersetzt die Client Registrierung die Registrierung der Online Dienste im Autorisierungsmodul? | Nein. Die Client-Registrierung ist ein technischer Vorgang, um die technische Anbindung umzusetzen. Hierbei werden technische Parameter (z.B. Credentials) ausgetauscht. Bei der Registrierung des Dienstes wird der Dienst dem Autorisierungsmodul bekannt gemacht. Dabei werden u.a. Namen, Beschreibung und die Zugriffsregel konfiguriert. Bei der Registrierung des Online-Dienstes entsteht außerdem ein eindeutiger Name (URN) für den Online-Dienst, der beim Stellen einer Autorisierungsanfrage benötigt wird. Diese Trennung ist gut, da so - z.B. wenn der OAuth-Client zentral in einem Portal realisiert wird - eine Client-Registrierung für mehrere Online-Dienste Autorisierungsanfragen stellen kann. |
| Berechtigunssteuerung innerhalb der Organisation | Wie können Organisationen ihre Berechtigungen administrieren, wenn sie für einen zugangsbeschränkten Online Dienst berechtigt wurden? | Jede Organisation kann wählen, ob sie Berechtigungen an einzelne Konten vergeben möchte oder ob alle Konten der Organisation alle Rechte der Organisation haben (Standard). Wenn eine Organisation sich dazu entscheidet, ihre Konten einzeln zu berechtigen, kann diese autark steuern, welches Konto welchen Online-Dienst im Namen der Organisation nutzen darf. Dies ist für alle an das Autorisierungsmodul angebundenen Online-Dienste möglich. Dienstanbietende Behörden können ihren Online-Diensten mit einer Zugangsbeschränkung versehen. Damit müssen die nutzenden Organisationen von der dienstanbietenden Behörde auf diesen Online-Dienst explizit berechtigt werden. |
| Assoziation Nutzerkonten und Personen | Müssen Personen explizit eingeladen werden, damit ihr Name einem Konto zugeordnet werden kann? | Ja. Die Zuordnung der Namen und der E-Mail-Adresse zu einem Benutzerkonto erfolgt über einen Einladungs-Mechanismus. Dies kann jederzeit, also auch nach der erstmaligen Nutzung, gemacht werden. |
| Liste von nutzenden Personen | Werden die nutzenden Personen einer Organisation, die auf das Autorisierungsmodul zugreifen, in einer Liste aufgeführt? | Das Autorisierungsmodul stellt den Administratoren der nutzenden Organisationen eine Liste der Konten ihrer Organisation zur Verfügung. In dieser Liste sind alle Konten der Organisation enthalten, die schon mal am Autorisierungsmodul angemeldet haben oder einen an das Autorisierungsmodul angeschlossenen Online-Dienst genutzt haben. Für Organisationen ist es nicht notwendig, dass jedes Konto mit Zertifikat angemeldet wird, dies geschieht automatisch bei Nutzung eines Online Dienstes. Die Konten sind nicht personalisiert, wir bieten den Administratoren allerding die Möglichkeit, die Konten ihrer Organisation mit sprechenden Bezeichnungen zu versehen. |
| Berechtigung von Organisationen | in welchem Fall müssen Organisationen für einen Online-Dienst freigeschaltet werden? Wann werden Anträge auf Berechtigung verschickt? | Eine explizite Berechtigung muss nur erfolgen, wenn Online-Dienste zugangsbeschränkt sind. Gibt es keine Einschränkung, so muss keine explizite Berechtigung vorgenommen werden und es werden ebenfalls keine Anträge generiert. Diese Einstellung nimmt die Dienstanbietende Behörde je Online-Dienst vor. Bei fehlender Berechtigung hat jedes Konto einer Organisation die Möglichkeit, die fehlenden Rechte zu beantragen. Dies wird durch einen Dialog unterstützt, der dem Benutzer im Falle eines verweigerten Zugriffs gezeigt wird. |
| Rückkanal bei hohem/signifikaten Vertrauensniveau | Wie ist der Rückkanal konzipiert, wenn eine Rückmeldung an den Nutzer mit dem Vertrauensniveau "hoch" oder "signifikat" versendet werden muss? Wie spielt dies mit der Berechtigungssteuerung zusammen? | Das Vertrauensniveau für Mein UK ist substanziell. Die Bescheidzustellung erfolgt nicht im Autorisierungsmodul, sondern über eines der angeschlossenen Postfächer. Der Schritt des Rückkanals ist mitgedacht, Bayern hat hierzu das Postfach 2.0 entwickelt. Ein weiteres Postfach befindet sich in der Entwicklung und wird die bidirektionale Kommunikation ermöglichen. |
| Stiftungen mit untergeordneten Trägern - Berechtigungsvergabe | Ist es möglich, dass Stiftungen für ihre untergeordneten Träger und Einrichtungen die Admin-Rolle übernehmen? | Diese Thematik ist grundsätzlich bekannt. Die gestafflete Struktur stellt eine Herausforderung dar, aktuell wird jede Organisation mit Steuernummer als selbstständige Organisation gehandelt. Dieses Problem gibt es sowohl im Behörden- als auch Organisationsuumfeld. Im Rahmen des MVPs kann dies nicht abgebildet werden. Wann dies umgesetzt wird, kann zum jetzigen Zeitpunkt nicht gesagt werden, die Anforderung ist bekannt und seitens Dataport hoch priorisiert. |
| Berechtigungssteuerung bei nicht angebundenen Online-Diensten | Wie kann eine Berechtigungssteuerung für einen Online-Dienst erfolgen, der nicht an das Autorisierungsmodul angebunden ist? | Für einen Dienst, der nicht im Autorisierungsmodul registriert ist, kann keine Berechtigungssteuerung über das Autorisierungsmodul stattfinden. Es ist eine Anbindungverpflichtung geplant. Während der Übergangszeit kann ab Release 1 im Juli 2023 jeder nicht registrierte Dienst mit einem Organisationszertifikat uneingeschränkt genutzt werden. |
| Autorisierung über definierte Rollen | Können Organisationen anhand von vordefinierten Rollen berechtigt werden? | Eine Berechtigung über Rollen steht während der Pilotieruung nicht zur Verfügung. Für später ist das Konzept der diensteigenen Rollen geplant. Diese können im Kontext eines Online-Dienstes definiert und dann An Organisationen vergeben werden. Administratoren geben diese Rollen dann innerhalb ihrer Organisation an die Benutzerkonten weiter. Diese Rollen werden bei der Autorisierungsentscheidung nicht beachtet und werden im Online-Dienst ausgewertet. Für später sind auch die übergreifenden Rollen geplant. Diese werden unabhängig von Online-Dienst definert und können so in mehreren Online-Diensten zur Zugangsbeschränkung verwendet werden. Übergreifende Rollen attestieren einer Organisation eine bstimmte Eigenschaft. |
| Schulungen, Infoveranstaltungen, Hilfe | Gibt es Schulungs- und Infomaterialien? Sind weitere Informationsveranstaltunden geplant? | Schulungen sind für den Pilotierungszeitraum nicht geplant. Pilotteilnehmer werden direkt durch das Projekt betreut, Infomaterialien entstehen aus dem direkten Feedback und Erfahrungen der Pilotteilnehmer. Zum Start der Produktivumgebung ist ein Hilfesystem geplant, hier wird eine Knowledge Base hinterlegt, dass sich aus dem Handbuch und hinterlegten FAQs speist. Bei der ersten Bedienung des Moduls ist ein Termin für einen gemeinsamen Schulterblick geplant, hier gann ggf. unterstützt und Fragen beantwortet werden. |
| Schlüsselmaterial | Wann wird das Schlüsselmaterial (Secret) zur Verfügung gestellt? | Das Schlüsselmaterial (Secret) wird während der Client Registrierung generiert und spätestens zum Anbindungstermin über die dDatabox zur Verfügung gestellt. Sollte die Registrierung seitens Dataport früher abgeschlossen werden, kann es entsprechend vor dem Anbindungstermin bereitgestellt. In beiden Fällen erhalten Sie eine Benachrichtigung mit dem entsprechenden Link. |
| Parameter | Wird der Parameter „State“ beim Redirect angehängt? | Ja, der Parameter „State“ ist als Query-Parameter in der Redirect-URL enthalten. |
| Bausteinpseudonym | Was repräsentiert das Bausteinpseudonym im Gegensatz zur Identifizierung über die URN? | Während die URN die eindeutige Identifikation des Clients ist, kann das Autorisierungsmodul über das Bausteinpseudonym den Benutzer/Account identifizieren. Ohne das Bausteinpseudonym wäre dies nicht möglich, da jeder Service-Provider und damit auch das Autorisierungsmodul aus Datenschutzgründen von Elster nur eine pseudonymisierte Benutzer-ID erhält. Jeder Service-Provider erhält von Elster unter anderem das Bausteinpseudonym für das Autorisierungsmodul, welches die Benutzer-ID enthält und so verschlüsselt ist, dass nur das Autorisierungsmodul die Informationen entschlüsseln kann. Bei jeder Autorisierungsanfrage überträgt der Service-Provider das Bausteinpseudonym, damit das Autorisierungsmodul erkennen kann, welcher Benutzer autorisiert werden soll. |
| Bausteinpseudonym | Kann der Service-Provider davon ausgehen, dass die Elster-Assertion nur ein Bausteinpseudonym enthält? | Pro Modul von MeinUK können mehrere Bausteinpseudonyme enthalten sein, wobei jedes Modul (1-6) hat sein eigenes besitzt. Je nach Umgebung können mehrere enthalten sein, da mehrere Umgebungen seitens ELSTER zur Verfügung gestellt werden. Aktuell sind fünf Bausteinpseudonyme für die Integrationsumgebung, und zwei für die Produktivumgebung mitgeliefert (OZG+Postfach und Autorisierungsmodul). Nein, die Assertion enthält in der Regel mindestens zwei Bausteinpseudonyme. Eins für das Autorisierungsmodul und eins für das OZG+Postfach. In der Integrationsumgebung von Elster können ggf. auch weitere Bausteinpseudonyme für andere Test-Umgebungen enthalten sein. Das entsprechende Bausteinpseudonym muss über das empfaenger-Attribut ermittelt werden, Die Werte sind im Integrationshandbuch 6.1 dokumentiert. |
| Clientregistrierung | Müssen nach erfolgreicher Clientregistrierung und Anbindung am Autorisierungsmodul Änderungen am Online Diens oder der Software durchgeführt werden? Oder kann der Online Dienst direkt genutzt werden? | Ein Policy Enforcement Point muss vorhanden sein. Für das OZG+ Postfach müssen die handles gegebenenfalls angepasst werden. Da SAML lediglich mit NEZO/ELSTER spricht, muss eine weitere Schnittstelle (OAuth Client) für das Autorisierungsmodul implementiert werden. Ohne OAuth-Client können Unternehmen zwar Mitarbeitende verwalten, es kann allerdings keine Berechtigungsprüfung durchgeführt werden. |
| Rollen: Rückgabe bei Berechtigungsprüfung | Werden, wenn der Online Dienst registriert ist und keine Zugangsbeschränkung ein gerichtet wurde, Rollen (bei der Berechtigungsprüfung) zurückgegeben? | Es werden nur die Rollen zurückgegeben, die der Onlinedienst selbst definiert oder in seiner Zugangsbeschränkung (Policy) referenziert und die dem Account/Unternehmen zugewiesen sind. Die Pilotierung startet zunächst noch ohne Rollen, so dass der Rollen-Claim im Token immer leer ist. |
| Online Dienst: Fehlende Berechtigung | Wie sieht der Fehlerfall aus, wenn ein Nutzer nicht auf einen Online Dienst berechtigt ist? | Wenn Nutzer im Online Dienst nicht berechtigt ist, bekommt er im Autorisierungsmodul einen Antragsdialog angezeigt. Über diesen Dialog kann ein Antrag an die dienstanbietende Behörde gestellt werden, in dem die fehlende Rolle oder Berechtigungsvergabe angefordert werden kann. Im Antragsdialog wird zusätzlich der Grund für fehlende Berechtigung angezeigt. Der Nutzer kann vom Antragsformular wieder zurück in den Online Dienst springen. Dazu muss der Online Dienst eine ungeschützte Startseite anbieten, auf die das Autorisierungsmodul den Benutzer umleiten kann. Der Online Dienst erhält in diesem Fall keinen Access-Token. |
| Funktionsrollen: Ableitung aus Registeranbindung | Können Funktionsrollen aus der Registeranbindung abgeleitet werden? Kann eine Mandaturisierung aus den Registern heraus erfolgen, sodass nicht auf das Konzept der Handelnden Person zurückgegriffen werden muss? | Dieses Thema ist dem Projekt bekannt. Damit dies zukünftig in der weiteren Entwicklung berücksichtigt werden kann, muss diese Anforderung formal an HB/BY gegeben werden. |
| Token | Besteht eine Notwendigkeit, den Token nach Erhalt weiterhin aufzubewahren, wie wird mit dem Ablaufdatum umgegangen? | Der Token ist lediglich eine Momentaufnahme, er wird nicht verlängert und kann weggeworfen werden. |
| Berechtigungsvergabe: Delegation | Können portalseitig Kommunen mit Diensten (und Rollen) ausgestattet werden? Kann die Berechtigungsvergabe der über im Portal angebotenen Dienste an Kommunen delegiert werden? | Aktuell ist dies nicht möglich, eine Delegation der Rechtevergabe ist bisher nicht vorgesehen. Es können bisher auch keine komplexeren Unternehmensstrukturen abgebildet werden. Prinzipiell kann jede Behörde (Kommune) alle Online Dienste für sich selber registrieren, hierfür wird eine Template-basierte Lösung angedacht. Damit dies zukünftig in der weiteren Entwicklung berücksichtigt werden kann, muss diese Anforderung formal an HB/BY gegeben werden. |
| Nutzer: erste Schritte | Was muss der Nutzer machen, damit das Modul genutzt werden kann? Wie sehen die ersten Schritte zur Administrierung weiterer Nutzer aus? | Jeder Nutzer kann jeden Online Dienst frei nutzen, auf den die Organisation berechtigt wird. Jeder erste Nutzer wird provisioniert, es erfolgt eine erste Referenz auf ELSTER. Nachd er initialen Anmeldung kann über das Autorisierungsmodul der Admin-Status beantragt werden. Wenn OD zugangsbeschränkt ist, würde der erste Nutzer zur Beantragung der expliziten Berechtigung auf den Antragsassistent laufen. Bei einer größeren Organisation mit ausgeschalteter Rechtevererbung würde jeder Nutzer ebenfalls auf den Antragsassistent stoßen, damit würde ein Antrag auf Berechtigung innerhalb der Organisation gestellt. Ist ein Dienst behördenseitig zugangsbeschränkt, so muss im ersten Schritt an eines der Konten die Rolle "Admin" gehängt werden. Erst dann kann innerhalb der Organisation die weitere Berechtigungssteuerung vorgenommen werden. Um Medienbrüche zu vermeiden, wurde der Antragsassistent eingerichtet. |
| Online Dienste: Einfach vs. Mehrfachtregistrierung | Können mehrere Online Dienste als ein und derselbe Online Dienst im Autorisierungsmodul registriert werden, wenn die Online Dienste alle von der selben Nutzergruppe benutzt werden sollen? | Technisch ist dies möglich. Dazu muss jeder Online Dienst im Autorisierungsmodul als OAuth-Client hinterlegt werden. Zusätzlich muss ein Online Dienst mit generischer Beschreibung registriert werden. Die OAuth-Clients können dann alle die gleiche Ressource (Online Dienst) anfragen. Die Berechtigung braucht dann nur für diesen einen Online Dienst erfolgen. Allerdings kann es zu Verständnisproblemen beim Benutzer kommen, da die generische Beschreibung des Onlinedienstes an diversen Stellen (z. B. im Antragsdialog) angezeigt wird und dem Benutzer dann ggf. nicht klar ist, um welchen Online Dienst es sich gerade handelt oder wofür dieser da ist. |
| OAuth Client: Optionale Nutzung | Kann von Seiten der dienstanbietenden Behörde selbst bestimmt werden, wann der OAuth Client im Falle einer Berechtigungsprüfung genutzt wird? | Bei erstmaliger Anmeldung muss der Nutzer muss erst über NEZO identifiziert werden um im nächsten Schritt im Autorisierungsmodul über den OAuth Client autorisiert zu werden. Wenn NEZO für die Provisionierung genutzt wird, wäre dort eine Autorisierung weder notwendig oder hilfreich. |
| Autorisierungsanfrage: Autentifizierung | Muss der Nutzer bei jeder Autorisierungsanfrage neu authentifiziert werden? | Seitens ELSTER wird ein Bausteinpseudonym gesendet, anhand dessen der Nutzer identifiziert und authentisiert werden kann. Dieses Bausteinpseudonym ist signiert und hat einen One-Time-Token-Charakter. Sobald der Nutzer einmalig im Autorisierungsmodul unterwegs war, ist er dem Modul bekannt. Nach Authentifizierung über Elster, kann das Autorisierungsmodul bei der nächsten Autorisierungsanfrage den Benutzer über das Bausteinpseudonym authentifizieren. Bei jeder darauffolgenden Autorisierungsanfrage oder wenn das Bausteinpseudonym abgelaufen ist, muss der Nutzer erneut zu Elster umgeleitet werden, um sich zu authentifizieren. Um dies zu verhindern, könnte bei Elster ein SSO-Session erzeugt werden und vor jeder Autorisierungsanfrage eine Authentifizierungsanfrage an Elster geschickt werden, um eine neues Bausteinpseudonym zu erhalten. Durch die SSO-Session würde der Benutzer davon nichts mitbekommen. |
| Funktionsrollen: Umgehen der Berechtigung des Unternehmens | Bei Funktionsrollen besteht ein logisches/rechtliches Problem, wenn z.B. laut der Gewerbeordnung für die Rechstform „Personengesellschaft“ die Rolle „Gesellschafter“ bereitgestellt werden muss. Wie kann sichergestellt werden, dass in diesem Fall die Berechtigung des Unternehmens nicht greift? | Das Thema der konkludenten Außenvollmacht ist rechtlich komplex. Diese Anforderung ist bereits in vielen Berechen (zb-B. iKFZ 4) bekannt. Hierfür gibt es zahlreiche Lösungsansätze, dies lässt sich wahrscheinlich nicht über Funktionsrollen lösen. Das Konzept der handelnden Person reicht wahrscheinlich nicht aus, weil die Zertifikate kopiert werden können. Ein neuer Ansatz ist, dass der zweite Faktor zur Identifizierung (z.B. der elektronische Personalausweis) genutzt wird. Dies ist aktuell (noch) nicht über das Autorisierungsmodul abbildbar. Behelfsmäßig könnte selbst die Implementierung der Identifizierung im eigenen Online Dienst verankert werden. |
| Allgemeines Mein Unternehmenskonto | Wird es eine Verpflichtung zur Anbindung von „Mein UK“ und dem Autorisierungsmoduls geben? | Eine Unterscheidung zwischen einzelnen Bausteinen des einheitlichen Unternehmenskontos wird vom OZG nicht vorgenommen. In den Mindestanforderungen der EfA-Dienste ist die Anbindungsverpflichtung des einheitlichen Unternehmenskontos festgehalten. Da die Anforderungen an alle Bausteine des Unternehmenskontos explizit von der Wirtschaft formuliert werde, wird zur Zeit eine bundesweite Anbindungsverpflichtung per Verwaltungsvereinbarung angestrebt. |
| Allgemeines Mein Unternehmenskonto | Wie erhält man ein ELSTER-Organisationszertifikat? | Das folgende PDF-Dokument enthält einen Leitfaden zur Verwendung und Verwaltung von ELSTER-Organisationszertifikat im Rahmen von "Mein UK": https://www.dataport.de/fileadmin/user_upload/autorisierungsmodul/2022-03_zertifikatsleitfaden.pdf |
| Allgemeines Mein Unternehmenskonto | Was kann heute schon mit dem Konto gemacht werden? | Aktuell ist vor allem die Authentifizierung über das Unternehmenskonto bei einigen Verwaltungsportalen im Einsatz. Außerdem wird die Authentifizierungskomponente nun mithilfe eines Self-Service Portals für portalbetreibende Behörden flächendeckend ausgerollt. Der Postfach-Rollout und damit die Anbindung der Behörden an das Postfach soll ebenfalls im Laufe des Jahres 2022 erfolgen. |
| Allgemeines Mein Unternehmenskonto | Was ist möglich, wenn das Konto bundesweit mit allen Funktionalitäten zur Verfügung steht? | Sobald das Konto mit all seinen Funktionalitäten im Einsatz ist, können Organisationen bundesweit die zentrale Authentifizierung bei allen möglichen Verwaltungsangeboten, von der kleinen Gemeinde bis hin zur Bundesbehörde, nutzen. Außerdem kann die Kommunikation mit Behörden dann zentral über das Postfach abgewickelt werden. Durch das Autorisierungsmodul werden Organisationen Transparenz über die aktiven ELSTER-Zertifikate ihrer Organisation erlangen und können autark Berechtigungsrollen zuweisen und entziehen. Dienstanbietende Behörden können ebenfalls steuern, welche Rollen Nutzer vorweisen müssen, um die jeweiligen Online-Dienste nutzen zu können. |
| Allgemeines Autorisierungsmodul | Worin liegt der Unterschied zwischen Authentifizierung und Autorisierung? | Ein ELSTER-Organisationszertifikat ist ein Authentifizierungsmittel, es dient zur Identifizierung des Mitarbeitenden sowie der zugeordneten Organisation. Die Berechtigungsbeschränkungen erfolgen dagegen mittels Autorisierungsmodul. |
| Allgemeines Autorisierungsmodul | Muss man sich im Autorisierungsmodul zusätzlich zur Anmeldung bei ELSTER einloggen? | An der Anmeldung bei einer OZG-Leistung ändert sich durch das Autorisierungsmodul nichts, es bleibt bei der Authentifizierung über ELSTER. |
| Allgemeines Autorisierungsmodul | Ist über die Anbindung an NEZO hinaus außerdem eine Anbindung an das Autorisierungsmodul erforderlich? | An der Anmeldung bei einer OZG-Leistung ändert sich durch das Autorisierungsmodul nichts, es bleibt bei der Authentifizierung über ELSTER. |
| Allgemeines Autorisierungsmodul | Wann wird man das Autorisierungsmodul in einer Testumgebung nutzen können? | An der Anmeldung bei einer OZG-Leistung ändert sich durch das Autorisierungsmodul nichts, es bleibt bei der Authentifizierung über ELSTER. |
| Infos für Organisationen | Wie können Organisationen sicherstellen, dass nur ausgewählte Personen „Mein UK“ für ihre Organisation nutzen können? | Zunächst kann jede Person ein ELSTER-Organisationszertifikat mit Angabe der Steuernummer beantragen. Die Zugangsdaten werden per Post an die Organisationsanschrift versendet. Mit der Weitergabe des Aktivierungscodes an denjenigen Mitarbeitenden, der ein ELSTER-Organisationszertifikat beantragt hat, erteilt die Organisation eine konkludente Innenvollmacht, um digitale Verwaltungsleistungen für die Organisation in Anspruch zu nehmen. Eine missbräuchliche Verwendung der Zugangsdaten durch Unternehmenskontoinhaber der Organisation kann durch die Organisation im Nachgang bei Bedarf identifiziert werden. |
| Infos für Organisationen | Entstehen Kosten durch die Nutzung von „Mein UK“? | Zunächst kann jede Person ein ELSTER-Organisationszertifikat mit Angabe der Steuernummer beantragen. Die Zugangsdaten werden per Post an die Organisationsanschrift versendet. Mit der Weitergabe des Aktivierungscodes an denjenigen Mitarbeitenden, der ein ELSTER-Organisationszertifikat beantragt hat, erteilt die Organisation eine konkludente Innenvollmacht, um digitale Verwaltungsleistungen für die Organisation in Anspruch zu nehmen. Eine missbräuchliche Verwendung der Zugangsdaten durch Unternehmenskontoinhaber der Organisation kann durch die Organisation im Nachgang bei Bedarf identifiziert werden. |
| Infos für Organisationen | Kann man mit „Mein UK“ schon jetzt Rollen und Rechte verwalten? | Die Bausteine 1 bis 4 bieten aktuell keine aktive Rollen- und Rechteverwaltung. Die Organisation kann jedoch selbst entscheiden, welchen Mitarbeitenden Zertifikate ausgehändigt werden. Sobald das Autorisierungsmodul verfügbar ist, können Administratoren die Berechtigungen aller "Mein UKs" einer Steuernummer verwalten und steuern damit autark die Berechtigungen einzelner Mitarbeitenden. |
| Infos für Organisationen | Inwiefern werden die unterschiedlichen Anforderungen verschiedener Organisationsgrößen berücksichtigt? | Die Bausteine 1 bis 4 bieten umfangreiche Basisfunktionalitäten für alle Unternehmensgrößen. Im Baustein 6 wird zugunsten der Nutzerfreundlichkeit dafür Sorge getragen, dass sich Organisationen, die kein Interesse an einem Berechtigungsmanagement haben, nicht mit den Funktionalitäten der Autorisierungsmoduls befassen müssen. Für Organisationen mit mehr als einem Unternehmenskonto bedeutet dies, dass per "Default" alle Rollen einer Organisation automatisch an alle weiteren Unternehmenskonten vererbt werden. Aus Sicht des Anwenders ergibt sich damit nicht die Notwendigkeit das Autorisierungsmodul aktiv zu nutzen. |
| Infos für dienstanbietende Behörden | Wer kann die Anbindung der digitalen Verwaltungsleistung an „Mein UK“ vornehmen? | Die Registrierung der Verwaltungsleistung erfolgt im Self Service Portal und kann in der Regel durch die fachlich verantwortlichen Personen selbst erfolgen. Eine dedizierte Freischaltung wird nur dann notwendig, wenn die digitale Verwaltungsleistungen freischaltungspflichtig ist. Wenn eine Verwaltungsleistung nicht zugangsbeschränkt sein soll müssen lediglich wenige Basisdaten erfasst werden. Zum Beispiel der Name und eine Beschreibung der Verwaltungsleistung. |
| Infos für dienstanbietende Behörden | Entstehen durch die Teilnahme am Piloten Kosten für die dienstanbietende Behörde? | Die Kosten für den Pilotbetrieb und die Kosten der Anbindung der Pilotteilnehmenden an das Autorisierungsmodul seitens Dataport sind von dem Projekt abgedeckt. Informationen zu Aufwänden, die für Pilotteilnehmer selbst entstehen können (z.B. Einrichtung eines OAuth-Clients) werden wir in den nächsten Wochen konkretisieren. Diese Kosten wären bei Pilotteilnahme lediglich vorgezogen und würden andernfalls mit der Anbindung im nächsten Jahr anfallen. |
| Allgemeines Mein Unternehmenskonto | Was ist ein ELSTER-Organisationszertifikat? | Als Unternehmer kann man eine Registrierung für ein nicht-persönliches Zertifikat (Organisationszertifikat) durchführen. Im Gegensatz zu den persönlichen Zertifikaten sind sie nicht an einzelne Personen, sondern an eine steuerrechtliche Organisation (Unternehmung, Gesellschaft, Verein) gebunden. Voraussetzungen für ein ELSTER-Organisationszertifikat
|
Sollten sie Anmerkungen haben können sie hier ein Ticket erstellen.