A_27567 - Beschränkung der Fachdienst für ein SSO (befristet)

Der sektorale IDP MUSS sicherstellen, dass ein Single-Sign-On nur für im ePA-FdV gebundene Fachdienste erfolgen kann.
Hinweis 1: Die ClientID (iss) der im ePA-FdV gebundenen Fachdienste können beispielsweise als allow-list im sektoralen IDP hinterlegt sein.  
Hinweis 2: Die Anforderung gilt für die zeitlich befristete Übergangslösung. Diese wird von einer ePA-FdV unabhängigen SSO-Lösung nach Abnahme durch das BSI abgelöst. [<=]

A_27568 - Widerruf und Reaktivierung der SSO-Präferenzen separater Authenticator-APP (befristet)

Ein Hersteller von sektoralen IDP, der ein SSO auf Anwendungsebene implementiert, MUSS sicherstellen, dass ein Nutzer die initial im ePA-FdV erstellte Präferenzen zur SSO-Nutzung ausschließlich über sein Authenticator Modul widerrufen und reaktiviert werden kann.
Hinweis: Die Anforderung gilt für die zeitlich befristete Übergangslösung. Diese wird von einer ePA-FdV unabhängigen SSO-Lösung nach Abnahme durch das BSI abgelöst. [<=]

A_27570 - Annahme des Parameter Instance-ID im URI-PAR bei separater Authenticator-APP (befristet)

Authenticator-Module von sektoralen IDP für mobile Endgeräte MÜSSEN den Parameter sso_instance_id  bei Vorhandensein aus einem  URI-PAR Aufruf entgegennehmen und auswerten können.  Wird eine sso_instance_id übergeben, so MUSS der Authenticator eine Nutzerauthentifizierung über Single-Sign-On beim sektoralen IDP initiieren. 

Hinweis: Die Anforderung gilt für die zeitlich befristete Übergangslösung. Diese wird von einer ePA-FdV unabhängigen SSO-Lösung nach Abnahme durch das BSI abgelöst.
[<=]

A_27571 - Sicherstellung der Kommunikation zu bekannten Clients

Fachdienste, die eine Nutzerauthentifizierung über SSO auf Anwendungsebene unterstützen,  MÜSSEN sicherstellen, dass sie nur mit Clients kommunizieren, die sich über geeignete technische Maßnahmen ("automatic") oder einen vom Fachdienstanbieter zur Verfügung gestellten organisatorischen Prozess ("explicit") bei ihnen registriert haben. [<=]

A_27569 - Erzeugung einer Instance-ID durch eine ePA-FdV Instanz bei separater Authenticator-APP (befristet)

Das ePA-FdV MUSS, wenn eine Nutzerauthentifizierung über SSO erfolgen soll, eine Instance-ID erzeugen und diese beim Aufruf der URI-PAR an das Authenticator-Modul als Parameter sso_instance_id übergeben. Die Instance-ID MUSS ein UUID V4 [RFC9562.html#name-uuid-version-4] generierter Wert und unique für den Anwendungskontext sein. Die Instance-ID MUSS nach Beendigung der App (Beenden des Anwendungskontextes durch Nutzer oder Betriebssystem) ungültig sein.

Hinweis 1: Der Anwendungskontext ist die Laufzeit des ePA-FdV vom Start bis zum Beenden auf dem Gerät des Nutzers.
Hinweis 2: Die Anforderung gilt für die zeitlich befristete Übergangslösung. Diese wird von einer ePA-FdV unabhängigen SSO-Lösung nach Abnahme durch das BSI abgelöst. [<=]