E POSTIDENT Handbuch Für Diensteanbieter. Version 2.6.1 Release 2.6

E‑POSTIDENT
Handbuch für Diensteanbieter

Version 2.6.1 Release 2.6
Impressum
Handbücher und Software sind urheberrechtlich geschützt und dürfen nicht ohne schriftliche
Genehmigung der Deutschen Post AG kopiert, vervielfältigt, gespeichert, übersetzt oder an-
derweitig reproduziert werden. Dies gilt sinngemäß auch für Auszüge. Alle Rechte bleiben
vorbehalten.
Die Deutsche Post AG ist berechtigt, ohne vorherige Ankündigungen Änderungen vorzuneh-
men oder die Dokumente/Software im Sinne des technischen Fortschritts weiterzuentwi-
ckeln.
Warennamen werden ohne Gewährleistung der freien Verwendbarkeit benutzt. Alle Waren-
und Produktnamen sind Warenzeichen oder eingetragene Warenzeichen der jeweiligen Ei-
gentümer.
© 2014 Deutsche Post AG
Version 2.6.1 Release 2.6 E‑POSTIDENT Handbuch für Diensteanbieter

Inhalt
1 Einführung 1
1.1 Zweck des Dokuments 1
1.2 Zielgruppe 1
1.3 Leistungsbeschreibung und AGB 1
2 E‑POSTIDENT: Überblick 2
2.1 Prozessübersicht 2
2.2 Fachliche Beschreibung 3
2.3 Auslöser 3
2.4 Authentisierung 4
2.5 Authentisierung mit hohem Identitätsnachweis 4
2.6 Autorisierung der Datenfreigabe 4
2.7 Übermittlung der Daten, Datenabruf 4
2.8 Technischer Überblick 5
2.8.1 OAuth 2.0 5
2.8.2 HTTPS-Verschlüsselung 6
2.9 Browserkompatibilität 6
3 E‑POSTIDENT beauftragen und konfigurieren 7

3.1 Selbstadministrationsbereich im E‑POSTBRIEF Portal aufrufen 7
3.2 E‑POSTIDENT beauftragen 7
3.3 Domain konfigurieren und aktivieren 8
3.4 Logo hochladen 12
3.5 Firmenstammdaten im öffentlichen Adressverzeichnis freigeben 12
4 E‑POSTIDENT implementieren 14
4.1 E‑POSTIDENT Link konfigurieren 14
4.2 Authorization Code auslesen 16
4.3 Access Ticket anfordern 17
4.4 Access Ticket entgegennehmen 18
4.5 Identitätsdaten abrufen 18
4.6 Daten entgegennehmen 19
4.7 Fehlercodes auslesen 19
5 E‑POSTIDENT ID-CARDS 20
6 E‑POSTIDENT schema (XML) 22
7 Fehlercodes 24
7.1 Mögliche Fehler vor Anmeldung 24
7.2 Fehler, die zu einem unspezifizierten Zeitpunkt auftreten können 25

7.3 Mögliche Fehler vor Datenübergabe 25
7.4 Umgang mit Fehlern 25
7.5 Bekannte Fehlerquellen 26
8 Textbausteine zur Moderation im Fehlerfall 28

8.1 Textbausteine für mögliche Fehler vor Anmeldung 28
8.2 Textbausteine für mögliche Fehler zu einem unspezifiziertem Zeitpunkt 28
8.3 Textbausteine für mögliche Fehler vor Datenübergabe 29
9 Transaktionshistorie 30
9.1 Transaktionshistorie Kunde 30
9.2 Transaktionshistorie Diensteanbieter 30
10 E‑POSTIDENT testen 31
10.1 Check-Connect 31
10.1.1 Parameter für den Aufruf von Check Connect 31
10.1.2 Beispiele für Check-Connect Aufrufe 32
10.1.3 Mögliche Antworten des Services Check-Connect 32
10.2 E‑POSTIDENT-Implementierung kostenlos im Produktionssystem testen 32
11 Änderungen der Schnittstelle sowie dieses Nutzerhandbuchs 35
12 Glossar 36
Glossar 38

1 Einführung
1 Einführung
Der E‑POSTIDENT Service der Deutschen Post AG ermöglicht es Ihnen als Diensteanbieter
im Internet (z. B. Webshop-Betreiber), die Identität und das Alter Ihrer Kunden online zu prü-
fen. Ihre Kunden identifizieren sich Ihnen gegenüber mit Daten, die im Rahmen der E‑POST-
BRIEF Registrierung von der Deutschen Post AG erhoben und verifiziert wurden.
Sie können den E‑POSTIDENT Service beispielsweise für folgende Zwecke nutzen:
▪ Erstidentifikation von Kunden, die einem Diensteanbieter unbekannt sind, z. B. bei der
Registrierung oder vor Abschluss eines Online-Einkaufs.
▪ Authentifizierung eines Kunden zur Wiedererkennung in einem Geschäftsprozess.
▪ Überprüfung des Mindestalters, z. B. ob ein Kunde das vorgeschriebene Alter für die be-
absichtigte Transaktion erreicht hat (Ü18, Ü21).
▪ Vergabe eines speziellen Kundenstatus an E‑POSTIDENT geprüfte Kunden durch den
Diensteanbieter, z. B. durch ein E‑POSTIDENT Gütesiegel im Profil des Kunden, das die
geprüfte Identität und damit die höhere Verlässlichkeit gegenüber anderen Kunden sicht-
bar macht.
HINWEIS
Alle im Handbuch verwendeten Parameter unterscheiden Groß- und Kleinschreibung.
1.1 Zweck des Dokuments

Das Nutzerhandbuch E‑POSTIDENT versetzt Sie in die Lage,
▪ gegen die E‑POSTIDENT Schnittstelle zu programmieren, und
▪ das Selbstadministrationsportal einzurichten.
1.2 Zielgruppe
Das vorliegende Dokument richtet sich an:
▪ Webentwickler
▪ Portaladministratoren
▪ Systemarchitekten
1.3 Leistungsbeschreibung und AGB

Die AGB E‑POSTIDENT sowie die E‑POSTIDENT Leistungsbeschreibung definieren in ihrer
jeweils aktuellen Fassung die Nutzung und die Integration des E‑POSTIDENT Services.
Sie finden die Dokumente im Download-Center unter http://www.epost.de > Hilfe > Für Un-
ternehmen > Download-Center > E‑POSTIDENT..
Version 2.6.1 Release 2.6 E‑POSTIDENT Handbuch für Diensteanbieter 1

2 E‑POSTIDENT: Überblick
E‑POSTIDENT ist Teil der E‑POST Internetplattform der Deutschen Post AG. E‑POSTBRIEF
Kunden werden im Rahmen der Registrierung durch die Deutsche Post AG über verschiede-
ne Verifizierungsverfahren identifiziert. Die erhobenen Daten stellen die Datenbasis von
E‑POSTIDENT dar. Die Grafik Abbildung 2-1 zeigt die Einbettung von E‑POSTIDENT im
Kontext der E‑POST Plattform und die Anbindung Ihrer Infrastruktur an das E‑POST Sys-
tem:
Abbildung 2-1 E‑POSTIDENT im Kontext von E‑POST
2.1 Prozessübersicht
Nachdem der E‑POSTIDENT Prozess auf der Website des Diensteanbieters aufgerufen
wurde, wird der Kunde auf die E‑POST Website der DPAG umgeleitet. Hier loggt sich der
Kunde mit seinen E‑POSTBRIEF Anmeldedaten ein (E‑POSTBRIEF Adresse und -Pass-
wort). Im zweiten Schritt erfolgt die Eingabe der übermittelten HandyTAN und im dritten
Schritt werden ihm vom E‑POST System, die vom Diensteanbieter angeforderten Daten zur
Freigabe und Bestätigung angezeigt. Nachdem der Kunde die Daten freigibt, werden die Da-
ten dem Diensteanbieter für eine Dauer von 5 Minuten zur Abholung bereitgestellt. Je nach
Geschäftsvorfall kann der Kunde mit seiner Transaktion fortfahren oder der Diensteanbieter
verwehrt ihm die Transaktion abhängig vom Ergebnis der Datenabfrage bei E‑POSTIDENT,
z. B. Ü18 nicht erfüllt. Das nachfolgende Sequenzdiagramm (Abbildung 2.1-1) veranschau-
licht die Anfrage/Antwort (Request/Response) Beziehungen während der Authentisierungs-
und Autorisierungsphasen von E‑POSTIDENT :

Abbildung 2.1-1 Ablaufdiagramm E‑POSTIDENT: Übersicht
2.2 Fachliche Beschreibung

Folgende Transaktionen werden innerhalb von E‑POSTIDENT unterschieden:
▪ Authentisierungsanfrage
▪ Authentisierung mit hohem Identitätsnachweis
▪ (E‑POSTBRIEF Adresse und Passwort sowie HandyTAN)
▪ Autorisierung, Freigabe der Daten durch den Kunden
▪ Abruf der freigegebenen Identitätsdaten des Kunden
2.3 Auslöser
Der Kunde klickt auf Ihrer Diensteanbieter-Portalseite (Web-Applikation) auf die E‑POST-
IDENT Schaltfläche, um sich für einen bestimmten Geschäftsvorfall zu authentisieren; dabei
wird er auf die Seite des E‑POSTIDENT Systems geleitet.

HINWEIS
Verwenden Sie ausschließlich die von der Deutsche Post AGim Web-Integrations-Pack-
age zur Verfügung gestellten E‑POSTIDENT Schaltflächen. Alle Informationen zur Integ-
ration der E‑POSTIDENT Schaltflächen finden Sie im Web-Integrations-Package.
Sie finden das Web-Integrations-Package im Download-Center unter http://
www.epost.de > Hilfe > Für Unternehmen > Download-Center > E‑POSTIDENT.
2.4 Authentisierung
Auf der E‑POSTIDENT Seite meldet sich der Kunde mit seiner E‑POSTBRIEF Adresse und
seinem E‑POSTBRIEF Passwort an. Zur Erreichung des hohen Authentisierungsniveaus
wird ihm eine HandyTAN zugesendet.
2.5 Authentisierung mit hohem Identitätsnachweis

Der Kunde gibt die ihm zugesendete HandyTAN auf der Eingabemaske ein. Wurde die
HandyTAN korrekt eingegeben, erscheint eine Seite mit den vom Diensteanbieter angefor-
derten Identitätsdaten. Der Kunde wird aufgefordert, die angezeigten Daten freizugeben.
Weitere Informationen finden Sie unter 4.1 E‑POSTIDENT Link konfigurieren.
2.6 Autorisierung der Datenfreigabe

Stimmt der Kunde der Datenfreigabe zu, wird er zurück auf die Diensteanbieter-Portalseite
geleitet. Der Kunde wird mit einem Redirect (siehe Kapitel 4.1 E‑POSTIDENT Link konfigu-
rieren) auf die mitgelieferte Callback URI (Uniform Resource Identifier) zurückgeleitet. Wenn
Sie einen SSL-Proxy nutzen, kann die Callback URI z. B. dem Schema https://
ssl.webpack.de/example.com/back). folgen. Dabei ersetzen Sie example.com durch Ihre
jeweilige Domain und ggf. /back durch Ihre eigene Erweiterung.
Im Redirect wird ein Authorization Code mitgeliefert, den Sie als Diensteanbieter zum an-
schließenden Datenabruf benötigen. Widerspricht der Kunde der Freigabe seiner Identitäts-
daten oder bricht er den Vorgang ab, erfolgt die Weiterleitung auf die Redirect URL (Uniform
Resource Locator) im Fehlerfall.
2.7 Übermittlung der Daten, Datenabruf

Um die freigegebenen Identitätsdaten des Kunden vom E‑POSTIDENT Server abzurufen,
muss auf Diensteanbieterseite ein POST Request ausgeführt werden. Mit dem POST Requ-
est wird der authorization code in ein access ticket umgewandelt. Mit dem access
ticket können durch einen GET Request die freigegebenen und bereitgestellten Identitäts-
daten auf dem E‑POSTIDENT Server abgerufen werden. Zurückgeliefert wird eine XML-Da-
tei mit den angeforderten und vom Kunden freigegebenen Identitätsdaten.

HINWEIS
Nach Datenabruf sollte dem Kunden ein Bestätigungstext angezeigt werden, der aussagt,
dass er erfolgreich authentifiziert wurde und nun mit seinem Geschäftsvorfall fortfahren
kann.
Im Web-Integrations-Package finden Sie Textbeispiele zur Moderation sowie detaillierte
Integrationsanweisungen.
Sie finden das Web-Integrations-Package im Download-Center unter http://
www.epost.de > Hilfe > Für Unternehmen > Download-Center > E‑POSTIDENT.
2.8 Technischer Überblick

Im Folgenden werden die im E‑POSTIDENT System verwendeten Standards beschrieben.
2.8.1 OAuth 2.0

E‑POSTIDENT verwendet für die Identifikation und Freigabe von vorher verifizierten Daten
das OAuth 2.0-Protokoll. OAuth 2.0 ist ein offenes Protokoll, das eine standardisierte API-
Autorisierung für Desktop-, Web- und Mobile-Applikationen erlaubt, die einen Zugriff auf bzw.
die Weitergabe von persönlichen Daten erfordern. Der Kunde kann dem Zugriff auf seine
persönlichen Identitätsdaten zustimmen oder die Weiterleitung der Daten erlauben, ohne da-
bei Zugangsberechtigungen oder Passwörter bekannt zu geben. Folgende OAuth 2.0-Begrif-
fe werden bei E‑POSTIDENT verwendet:
OAuth 2.0 Bedeutung E‑POSTIDENT
protected resource Geschützte Ressource Identitätsdaten des Privatkunden
resource owner Eine Entität, die Zugriff auf ei- Privatkunde

ne geschützte Ressource er-
lauben kann.
resource server Der Server, der die geschütz- E‑POSTIDENT Server

ten Ressourcen enthält (spei-
chert).
client Eine Software, die geschützte Die Web-Applikation des Dienstean-

Ressourcen im Namen des bieters
Resource Owners anfordert.
authorization server Der Server, der Access-To- E‑POSTIDENT Server

kens an den Client ausgibt
Tabelle 2.8-1 Tabelle 1. OAuth 2.0-Terminologie
OAuth 2.0 definiert den gesamten Prozess, d. h. von der Anmeldung bis hin zur Datenüber-
mittlung. Es ist absolut notwendig, diesen Prozess auf Seiten des Diensteanbieters vollstän-
dig zu implementieren.

HINWEIS
Ein impliziter Rückschluss beispielsweise auf die Volljährigkeit eines Kunden nur auf Basis
eines übermittelten authorization codes ist unzulässig. Der authorization code wird
über den Browser des Diensteanbieters übermittelt und kann daher zu diesem Zeitpunkt
nicht als gesicherte Information gelten. Erst durch den Tausch des authorization codes
gegen das access ticket wird bestätigt, dass es sich um einen validen authorization
code handelt. Weitere Informationen finden Sie unter 4.2 Authorization Code auslesen.
Weitere Informationen zum OAuth 2.0-Standard finden Sie unter http://tools.ietf.org/html/

draft-ietf-oauth-v2-23.
2.8.2 HTTPS-Verschlüsselung
E‑POSTIDENT verwendet ausschließlich HTTPS Verbindungen. Die Identifikationsdaten der
Kunden werden seitens E‑POSTBRIEF und E‑POSTIDENT nach derzeitigem Stand der
Technik sicher behandelt. Im gesamten Prozess wird ausschließlich über HTTPS kommuni-
ziert. Zur Abholung der Identifikationsdaten auf der E‑POSTBRIEF Plattform muss der im
E‑POSTIDENT Selbstadministrationsportal abgelegte Parameter client_secret übergege-
ben werden.
2.9 Browserkompatibilität
Das Frontend für den Privatkunden ist für folgende Browser optimiert:
Browser Version
Microsoft Internet Explorer Version 8
Mozilla Firefox ab Version 3.6
Safari ab Version 5

3 E‑POSTIDENT beauftragen und konfigurieren

Im Selbstadministrationsbereich des E‑POST Portals können Sie die Nutzung von E‑POST-
IDENT beauftragen, sowie verschiedene Einstellungen zum Produkt E‑POSTIDENT vorneh-
men.
Der Selbstadministrationsbereich steht Ihnen nach Anmeldung am E‑POST Portal zur Verfü-
gung.
3.1 Selbstadministrationsbereich im E‑POSTBRIEF Portal aufru-

fen
Um den Selbstadministrationsbereich aufzurufen, gehen Sie wie folgt vor:
Vorgehen
Vorgehen 1. Melden Sie sich im E‑POST Portal mit der E‑POSTBRIEF Adresse des Adminstrators
an.
2. Wählen Sie im linken, oberen Bildschirmbereich "Administration". Sie erhalten eine
HandyTAN auf Ihre hinterlegte Mobilfunknummer.
3. Geben Sie die HandyTAN im dafür vorgesehenen Feld ein. Je nach Portalkonfiguration
haben Sie bereits nach der Anmeldung eine TAN erhalten und mitgegeben; in dem Fall
überspringen Sie diesen Schritt.
3.2 E‑POSTIDENT beauftragen
Voraussetzung ü Sie befinden sich im Selbstadministrationsbereich des E‑POST Portals.
Vorgehen 1. Wählen Sie im Auswahlmenü auf der linken Seite E‑POSTIDENT (siehe Abbildung
3.2-1, Position 1).
Abbildung 3.2-1 E‑POSTIDENT im Selbstadministrationsbereich beauftragen

2. Klicken Sie im oberen Bildschirmbereich auf das Symbol E‑POSTIDENT beauftragen

(siehe Abbildung 3.2-1, Position 2).
Ein Dialogfenster erscheint.
3. Markieren Sie das Kontrollkästchen zum Bestätigen der AGB, und wählen Sie die
Schaltfläche E‑POSTIDENT beauftragen.
Ein kostenfreier E‑POSTBRIEF wird an den Kundenservice der Deutschen Post AG ver-
sendet, in dem die Beauftragung von E‑POSTIDENT enthalten ist. Diesen E‑POST-
BRIEF finden Sie in Ihrem „Gesendet“-Ordner.
Der Kundenservice der Deutschen Post AG schaltet Sie innerhalb von 3 Werktagen für
den Dienst E‑POSTIDENT frei. Sie erhalten einen E‑POSTBRIEF, sobald der Dienst frei-
geschaltet ist.
Den aktuellen Status Ihres Auftrags können Sie jederzeit unter Administra-
tion > E‑POSTIDENT anzeigen (siehe Abbildung 3.2-1, Position 3).
4. Konfigurieren Sie nach Ihrer Freischaltung für den Dienst E‑POSTIDENT Service die
Parameter wie in den folgenden Abschnitten beschrieben.
HINWEIS
Sie können E‑POSTIDENT jederzeit im Selbstadministrationsbereich des E‑POST Portals

kündigen. Der Vertrag wird innerhalb von drei Werktagen beendet.
3.3 Domain konfigurieren und aktivieren

Bevor Sie den E‑POSTIDENT Service nutzen, müssen Sie als Diensteanbieter (Webshop-
Betreiber) die folgenden Parameter im Selbstadministrationsbereich des E‑POST Portals
hinterlegen. Sie können den E‑POSTIDENT Service für mehrere Domains verwenden.
Voraussetzung ü Sie befinden sich im Selbstadministrationsbereich von E‑POSTIDENT .

ü E‑POSTIDENT ist freigeschaltet.
Vorgehen 1. Wählen Sie das Symbol Domain hinzufügen.

Sie gelangen auf die Registerkarte Domain anlegen (siehe Abbildung 3.3-1).

Abbildung 3.3-1 Domain anlegen
2. Erfassen Sie die erforderlichen Informationen wie in Tabelle 3.3-1 Konfigurationspara-

meter Selbstadministration Diensteanbieter dargestellt.
ACHTUNG
Identitätsdiebstahl
Um Missbrauch mit Ihrem Dienst E‑POSTIDENT vorzubeugen, stellen Sie Folgendes
sicher:
▪ Das Passwort (ClientSecret) ist geheim, es ist nur Ihnen als Diensteanbieter
persönlich bekannt.
▪ Sie ändern das Passwort, wenn das Passwort unautorisierten Personen bekannt
geworden ist.
Empfehlung: Erfassen Sie alle 3 Monate ein neues Passwort.
3. Um die Domain und damit den E‑POSTIDENT Service zu aktivieren, markieren Sie un-
ter E‑POSTIDENT Status den Auswahlknopf Aktiv.
Die Domain wird auf der Registerkarte E‑POSTIDENT (Abbildung 3.3-2) angezeigt.

Abbildung 3.3-2 Registerkarte E‑POSTIDENT
4. Um die Parameter einer Domain zu ändern, wählen Sie auf der Registerkarte E‑POST-
IDENT das Symbol Bearbeiten (Abbildung 3.3-2, Position 1).
HINWEIS
Die automatisch generierte Client ID lässt sich nicht ändern.
Feldname System-Parame- Beispiel-Einga- Beschreibung

ter ben
Domain domain_uri Typisch ist die Mit der domain_uri wird der Kunde
Konfiguration oh- vom Server der Deutschen Post AG
ne ssl-Proxy: zu einer korrekten URL (Uniform Re-
https:// source Locator) zurückgeleitet. Dazu
www.exam- muss sichergestellt sein, dass die
ple.com. später bei jedem Request mitgesen-
dete redirect_uri die domain_uri
Hinweis: Sie
können auch ei- enthält, z. B. (HTTPS):
nen SSL-Proxy ▪ domain_uri: https://
verwenden, etwa www.example.com
nach folgendem ▪ redirect_uri:https://
Schema:
www.example.com/back.
https://
ssl.web- Wenn Sie mehrere Domains anle-
pack.de/exam- gen, beachten Sie, dass die Domains
eindeutig sein müssen, d. h. jede Do-
ple.com.
main darf nur genau einmal verwen-
det werden.
Alias alias Shop 1 Der Alias-Name wird während des

Logins und der Datenfreigabe und in
der Transaktionsübersicht angezeigt.


ter ben
Der Alias hat maximal 16 Zeichen
und ist in UTF-8 kodiert. Leerzeichen
sind erlaubt.
ClientSecret, Be- client_secret Erfassen Sie ein Passwort nach fol-

stätigung Client- genden Regeln:
Secret ▪ Zeichenlänge 10 - 20 Zeichen
▪ Erlaubte Zeichen: a‑z, A‑Z, 0‑9
▪ Keine Sonderzeichen
Hintergrund: Gemäß OAuth 2.0 wird
das client_secret vom Dienstean-
bieter gemeinsam mit dem Authori-
zation Code gegen das Access Ti-
cket eingetauscht.
Client ID client_id Die Client ID ist die Identifikations-

nummer jeder Domain eines Dienst-
eanbieters und wird bei der Anlage
einer Domain automatisch erzeugt.
Die Client-ID lässt sich nicht ändern.
Hinweis: Die im Selbstadministrati-
onsbereich des E‑POST Portals an-
gezeigte Client-ID hat das Format:
xxxxxxxx-xxxx-4xxx-yxxx-
xxxxxxxxxxxx, z. B.: 93bc22b4-
efeb-4e84-b7ce-c169c29ea79f.
Dabei wird für jedes x ein hexadezi-
males Zeichen und für y eines der
folgenden Zeichen verwendet: 0‑9,
a‑b.
Kostenstelle cost_center Kostenstelle Optional: Erfassen Sie den Namen

0815 Ihrer (internen) Kostenstelle. Die
Kostenstelle wird später in Ihrer
Rechnung angezeigt und ermöglicht
Ihnen so die Zuordnung von
E‑POSTIDENT Vorgängen in Ihrer
Buchhaltung.
Die Bezeichnung der Kostenstelle
hat maximal 256 Zeichen. Er ist in
UTF-8 kodiert. Leer- und Sonderzei-
chen sind erlaubt.
Serverstandort in- Ja/Nein Geben Sie an, ob sich der Standort

nerhalb der EU der Server, auf denen die Identitäts-
daten gespeichert und verarbeitet
werden, innerhalb oder außerhalb
der EU/EWG befindet. Aus rechtli-
chen Gründen erhält jeder Kunde vor
seiner Zustimmung zur Übertragung
der Daten einen Hinweis, wenn sich


ter ben
der Standort der Server außerhalb
der EU/EWG befindet.
Tabelle 3.3-1 Konfigurationsparameter Selbstadministration Diensteanbieter
HINWEIS
Löschen einer Domain

Um eine Domain zu löschen, deaktivieren Sie die Domain zunächst. Sie können eine Do-
main erst löschen, wenn mindestens 60 Tage seit der letzten Transaktion vergangen sind.
3.4 Logo hochladen

Um die Kunden-Ansicht auf E‑POSTIDENT zu personalisieren, können Sie Kunden Ihr ei-
genes Logo im rechten, oberen Bildbereich präsentieren. Das Hochladen eines Logos er-
setzt ein evtl. schon vorhandenes Logo.
Voraussetzung ü Die Bild-Datei für das Logo

ü ist maximal 2 MB groß
ü hat das Dateiformat jpg, gif oder png
ü Sie sind im E‑POSTBRIEF Portal angemeldet.
Um die Kunden-Ansicht auf E‑POSTIDENT zu personalisieren, können Sie Ihr eigenes Logo
im rechten, oberen Bildbereich präsentieren.
Das Hochladen eines Logos ersetzt ein evtl. bereits vorhandenes Logo.
HINWEIS
Das Bild wird hochkant im Format 3:4 angezeigt.
Vorgehen 1. Wählen Sie im linken, oberen Bildschirmbereich Administration.

Sie erhalten eine TAN auf Ihre hinterlegte Mobilfunknummer. Geben Sie diese Handy-
TAN im dafür vorgesehenen Feld ein. Je nach Portal-Konfiguration haben Sie bereits
nach der Anmeldung eine TAN erhalten und eingegeben. In dem Fall überspringen Sie
diesen Schritt.
2. Wählen Sie im Auswahlmenü auf der linken Seite Firmenstammdaten.
3. Klicken Sie im oberen Bildschirmbereich auf die Schaltfläche Bearbeiten.
4. Laden Sie auf der rechten Seite die Bilddatei für Ihr Logo hoch.
3.5 Firmenstammdaten im öffentlichen Adressverzeichnis freige-

ben
Ihre Kunden können Sie nur dann im öffentlichen E‑POSTBRIEF Adressverzeichnis finden,
wenn Sie Ihre Einträge dafür freigegeben haben.
Voraussetzung ü Sie sind am E‑POST Portal angemeldet.

Vorgehen 1. Wählen Sie im linken, oberen Bildschirmbereich Administration.

Sie erhalten eine HandyTAN auf Ihre hinterlegte Mobilfunknummer.
2. Geben Sie die HandyTAN im dafür vorgesehenen Feld ein. Je nach Portal-Konfiguration
haben Sie bereits nach der Anmeldung eine TAN erhalten und eingegeben. In dem Fall
überspringen Sie diesen Schritt.
3. Wählen Sie im Auswahlmenü auf der linken Seite Firmenstammdaten.
4. Klicken Sie im oberen Bildschirmbereich auf die Schaltfläche Freigabe Adressver-
zeichnis.
5. Nehmen Sie Ihre individuellen Freigabe-Einstellungen vor.

4 E‑POSTIDENT implementieren
Als Diensteanbieter müssen Sie folgende Vorgänge implementieren:
▪ 4.1 E‑POSTIDENT Link konfigurieren
▪ 4.2 Authorization Code auslesen
▪ 4.3 Access Ticket anfordern
▪ 4.4 Access Ticket entgegennehmen
▪ 4.5 Identitätsdaten abrufen
▪ 4.6 Daten entgegennehmen
▪ 4.7 Fehlercodes auslesen
Folgende Voraussetzungen müssen vor Implementierung der E‑POSTIDENT Vorgänge er-

füllt sein:
▪ Damit Sie sich beim fachlichen Test Ihrer Implementierung über E‑POSTIDENT authenti-
fizieren können, besitzen Sie ein aktives E‑POSTBRIEF Konto (siehe auch AGB
E‑POSTIDENT ).
▪ Sie haben im Selbstadministrationsportal eine Domain für Ihre Website angelegt, alle er-
forderlichen Parameter zu dieser Domain mit zulässigen Werten gefüllt und die Domain
aktiviert (siehe Kapitel 3.3 Domain konfigurieren und aktivieren).
▪ Alle vertraglichen Voraussetzungen, die in den AGB E‑POSTIDENT aufgeführt sind, sind
erfüllt.
Sie findne die E-POSTIDENT AGBs im Download-Center unter http://www.epost.de > Hil-
fe > Für Unternehmen > Download-Center > E‑POSTIDENT
4.1 E‑POSTIDENT Link konfigurieren

Der Kunde wird auf Ihrer Website aufgefordert, sich über die E‑POSTIDENT Schaltfläche zu
authentifizieren. Klickt der Kunde auf die E‑POSTIDENT Schaltfläche, wird er durch den hier
beschriebenen Link auf das E‑POSTIDENT System geleitet. Der Link enthält unter anderem
die Callback URI (redirect_uri mit https-Schema), auf die der Kunde nach Abschluss der
Datenfreigabe im E‑POSTIDENT System zurück auf Ihre Diensteanbieter Portalseite geleitet
wird.
HINWEIS
Verwenden Sie ausschließlich die von der Deutschen Post AG im Web-Integrations-Pack-

age zur Verfügung gestellten E‑POSTIDENT Schaltflächen. Alle Informationen zur Inte-
gration der E‑POSTIDENT Schaltflächen sind im Web-Integrations-Package beschrieben.
Sie finden das Web-Integrations-Package im E‑POSTBRIEF PORTAL unter
www.epost.de/epostident Einbindung > Zum Download-Center.
Voraussetzung ü Sie haben eine Domain konfiguriert und aktiviert (siehe Kapitel 3.3 Domain konfigurieren
und aktivieren).

Vorgehen ‣ Programmieren Sie einen Link auf die E‑POSTIDENT Seite mit folgenden Parametern:
Parameter Wert Beschreibung Pflicht/

Optional
redirect https:// Weiterleitung auf E‑POSTIDENT Seite Pflicht

ident.epost.de/
oauth2/login
client_id 123example456 Identifikationsnummer Ihrer Domain, die Pflicht

Sie vom E‑POSTIDENT System bekom-
men haben und die im Selbstadministra-
tionsportal angezeigt wird. Hinweis: Er-
setzen Sie 123example456 durch Ihre je-
weilige Client ID.
redirect_uri https:// Zurückleitung vom E‑POSTIDENT Serv- Pflicht

www.example.com er auf die Diensteanbieterportalseite.Hin-
weis: Die redirect_uri (Uniform Re-
source Identifier) muss die Domain-URI
enthalten.
Hinweis: Die redirect_uri muss URL
encoded sein und darf aus Sicherheits-
gründen eine max. Länge von 155 Zei-
chen nicht überschreiten.
Hinweis: Ersetzen Sie example.com
durch Ihre Domain und ggf. in der Redi-
rect-URI /back durch Ihre eigene Erwei-
terung.
scope 10 Im scope-Parameter wird die ID der ID- Pflicht

Card mitgegeben, deren Datensätze
übermittelt werden sollen. Die Auswahl
einer bestimmten ID-Card bestimmt den
Umfang der zurück gelieferten Daten.
Die ID-Card definiert die vom Dienstean-
bieter angeforderten Identitätsdatenfeld-
er eines Kunden, die übermittelt werden
sollen (siehe Kapitel 5. E‑POSTIDENT
ID-CARDS). Eine Übersicht über alle
derzeit verfügbaren ID-Cards und die je-
weils zur Abfrage zu verwendenden
Werte finden Sie im Dokument „Daten-
pakete“ im Download-Center unter http://
www.epost.de > Hilfe > Für Unterneh-
men > Download-Center > E‑POSTI-
DENT.
reason Verifikation, z. B.: Der hier übermittelte Freitext wird dem Pflicht
Der Verkauf Kunden angezeigt:
Ihres Mobilte- ▪ bei der Anmeldung an den E‑POSTI-
lefons DENT Server
▪ in der SMS-Nachricht
▪ während der Datenfreigabe


Optional
Hinweis: Der Text darf eine max. Länge
von 66 Zeichen nicht überschreiten. Die
Zeichen müssen URL-encoded sein.
Hinweis: Enthält der Parameter zu viele
oder unerlaubte Zeichen, kann die Dar-
stellung des Texts in der SMS-Nachricht
unvollständig sein.
response_type code Muss immer den Wert „code“ enthalten. Pflicht
state <Kunden-Be- In diesem Parameter übermitteln Sie den Pflicht

zeichner> von Ihnen zugeordneten dedizierten
Kunden Bezeichner. Der Wert wird vom
E‑POSTIDENT System unverändert zur-
ück gegeben. Damit können Sie diesen
Kunden im weiteren Prozess eindeutig
zuordnen (z. B. Warenkorb).
Tabelle 4.1-1 Parameterliste Aufbau Redirect URL (Uniform Resource Locator)
Beispiel:
https://ident.epost.de/oauth2/login?
client_id=123example456&
redirect_uri=https://ssl.webpack.de/example.com/back&
scope=10&
reason=”Der%20Verkauf%20Ihres%20Mobiltelefons“&
response_type=code&
state=meinKunde_4711
HINWEIS
Nach Aufbau des Redirect findet eine E‑POSTIDENT interne Prüfung statt, bei der alle
notwendigen Voraussetzungen geprüft werden. Falls die Prüfung fehlt schlägt oder ein
negatives Ergebnis geliefert wird, wird der Kunde entsprechend der in Kapitel 7. Feh-
lercodes beschriebenen Fehlermeldungen zurückgeleitet, ohne dass ihm seitens
E‑POSTIDENT eine Login-Maske oder Fehlermeldung angezeigt wird.
4.2 Authorization Code auslesen

Hat der Kunde der Datenfreigabe zugestimmt, wird der Authorization Code im Redirect an
die Diensteanbieter-Portalseite mitgeliefert.
Vorgehen 1. Identifizieren Sie den Kunden anhand des Werts im Parameter state und lesen Sie den
beim Redirect mitgelieferten der Authorization Code im Parameter code aus. Der Au-
thorization Code hat eine Größe von 4096 Byte.
2. Ersetzen Sie den Wert example.com durch den Namen Ihrer Domain und ggf. /back
durch Ihre eigene Erweiterung.

https://www.example.com/back?
code=<123code456>&
Ergebnis Mit dem Authorization Code können Sie im nächsten Schritt das Access Ticket anfordern,
um die Daten abzurufen.
4.3 Access Ticket anfordern

Vorgehen 1. Programmieren Sie mit folgenden Parametern einen POST Request, um das Access
Ticket anzufordern:
Parameter Wert
token endpoint POST /oauth2/token HTTP/1.1
Host https://ident.epost.de
content-type application/x-www-form-urlencoded
code Fügen Sie den ausgelesener Authorisierungs-

code ein. Im Beispiel in Kap. 4.2 Authorization
Code auslesen: 123authorization_code456.
client_id Fügen Sie die von Ihnen konfigurierte Client-ID

ein. Im Beispiel in Kapitel 3.3 Domain konfigur-
ieren und aktivieren: 123authoriza-
tion_code456: 123example456.
client_secret Fügen Sie das von Ihnen konfigurierte Passwort

für Sie als Diensteanbieter ein. Im Beispiel in
Kapitel 3.3 Domain konfigurieren und aktivieren:
example_s_e_c_r_e_t.
redirect_uri https://example.com/back
Ersetzen Sie example.com durch Ihre Domain
und ggf. /back durch Ihre eigene Erweiterung.
grant_type authorization_code
Tabelle 4.3-1 Parameterliste Access Ticket anfordern
2. Schicken Sie den folgenden POST Request an den E‑POSTIDENT Token Endpoint:
https://ident.epost.de/oauth2/token wie im folgenden Beispiel dargestellt.
POST /oauth2/token HTTP/1.1

Host: https://ident.epost.de
Content-Type: application/x-www-form-urlencoded ; charset=UTF-8
code=123authorization_code456&
client_id=123example456&
client_secret=example_s_e_c_r_e_t&
redirect_uri=https://example.com/back&
grant_type=authorization_code

4.4 Access Ticket entgegennehmen

Vorgehen ‣ Lesen Sie das Access Ticket aus.
Das kurzlebige Access Ticket wird ohne Refresh Token base64-codiert im JSON For-
mat zurückgeliefert.
HINWEIS
Das Access Ticket hat eine Gültigkeit von 5 Minuten (300 sec.)
HTTP/1.1 200 ok
Content-Type:
application/json;charset=UTF-8Cache-Control:
no-storePragma:no-cache
{
"access_token":
"123access_token456",
"token_type":"Bearer",
"expires_in":300
}
Ergebnis Mit dem Access Ticket können Sie im nächsten Schritt die Identitätsdaten abrufen.
Mit erfolgreicher Übertragung des Access Tickets von der Deutsche Post AG an den Di-
ensteanbieter erfolgt die Berechnung des Transaktionsentgelts für die angeforderte ID-Card
entsprechend dem vertraglich vereinbarten Tarif (siehe AGB E‑POSTIDENT ).
4.5 Identitätsdaten abrufen

Mit dem Access Ticket rufen Sie die vom Kunden freigegebenen Identitätsdaten über ei-
nen GET Request Befehl ab. Das Access Ticket wird im Authorization Header des Re-
quests übergeben. Verwenden Sie dazu das unveränderte base64-codierte Access Ticket,
dessen Entgegennahme in Kapitel 4.4 Access Ticket entgegennehmen beschrieben ist.
Vorgehen ‣ Programmieren Sie einen GET request zur Datenabholung mit folgenden Parametern:
Parameter Wert
Host https://ident.epost.de
Authorization Bearer 123access_token456
Tabelle 4.5-1 Parameterliste Identitätsdaten abrufen
Beispiel
GET /oauth2/identdata
Host: https://ident.epost.de
Authorization: Bearer 123access_token456
Accept: application/xml
Accept-Charset:utf-8

4.6 Daten entgegennehmen

Die http-Rückgabe an Sie als Diensteanbieter enthält ein Dokument im XML Format.
Vorgehen ‣ Nehmen Sie die XML-Datei mit den Daten entgegen.
HTTP/1.1 200 OK
Content-Type: text/xml; charset=utf-8
<?xml version="1.0" encoding="utf-8"?>
<identdata>
<epostaddress>hans.schmidt@epost.de</epostaddress>
<givenname>Hans</givenname>
<familyname>Schmidt</surname>
<zipcode>50937</zipcode>
<city>Köln</city>
<dateofbirth>1966-08-26 00:00:00.0</dateofbirth>
</identdata>
HINWEIS
Die XML-Datei genügt dem in Kapitel 6. E‑POSTIDENT schema (XML) beschriebenen

XML Schema.
4.7 Fehlercodes auslesen

Im Fehlerfall wird der Kunde per Redirect (via http 302) samt Fehlercode auf die konfigur-
ierte callback_uri (redirect_uri) geleitet, z. B. wenn der Kunde seine Identitätsdaten
NICHT freigibt oder schon vorher die Verbindung zum E‑POSTIDENT Service abbricht.
Vorgehen ‣ Zeigen Sie dem Kunden die im Kapitel 8. Textbausteine zur Moderation im Fehlerfall an-
gegebenen Textbausteine an. Anhand des Werts im Parameter state identifizieren Sie
den Kunden und leiten ihn durch Ihren Folgeprozess.
https://www.example.com/back?
error=<ErrorCode>&
HINWEIS
Ersetzen Sie example.com durch Ihre Domain und ggf. /back durch Ihre eigene Er-
weiterung.
HINWEIS
Implementieren Sie die dem Kunden angezeigte Folgeseite in Abhängigkeit von der
übermittelten Fehlersituation und Fehlernachricht. Berücksichtigen Sie dabei die Mod-
erationsempfehlungen aus dem Web-Integration-Package und die in Kapitel 8. Text-
bausteine zur Moderation im Fehlerfall angegebenen Textbausteine für die Moderation
im Fehlerfall.
Eine Liste der gültigen Fehlercodes finden Sie im Kapitel 7. Fehlercodes.

5 E‑POSTIDENT ID-CARDS
ID-Cards sind Identitätsdatensätze von Kunden innerhalb von E‑POSTIDENT. Jede ID-Card
stellt eine Teilmenge der innerhalb von E‑POSTIDENT vorliegenden beziehungsweise abge-
leiteten Kundenstammdaten dar. Bei jeder Nutzung von E‑POSTIDENT muss die Anwen-
dung des Diensteanbieters (client) die ID der jeweils angeforderten ID-Card im Parameter
scope beim initialen Link mitgegeben werden.
ID-Cards setzen sich derzeit aus folgenden Datenfeldern zusammen; alle Werte sind UTF-8
kodiert:
Technischer Be- Attribut Format Gültigkeitsregeln

zeichner
givenname Vorname String(29)
additionalgivennames Weitere Vornamen String(50)
familyname Nachname String(29)
birthname Geburtsname String(40)
dateofbirth Geburtsdatum Date yyyy-MM-dd HH:mm:ss.S
placeofbirth Geburtsort String(80)
nationality Staatsangehörigkeit String(2) 2-buchstabiges Länder-

kennzeichen, (nach
ISO 3166), z. B. DE
street Straße String(50)
housenumber Hausnummer String(10)
addressaddon Adresszusatz String(40)
zipcode Postleitzahl String(5)
city Ort String(80)
country Staat String(2) 2-buchstabiges Länder-

kennzeichen, (nach
ISO 3166-1 ALPHA 2),
z. B. DE
mobilephone Mobilfunknummer String(20) Mobilfunknummer inklusi-

ve Länderkennung
epostaddress E‑POSTBRIEF Adres- String(128)

se
over18 Ü18 {true|false}
salutation Anrede String(10) Bemerkung: Prüfen Sie

{mr|mrs} oder auf Gleichheit mit „mr“
{Herr|Frau} oder „Herr“ bzw. auf „mrs“
oder „Frau“
Tabelle 5-1 ID-Card-Parameter
Tabelle 5-2 Ident-Check Plus zeigt beispielhaft eine E‑POSTBRIEF-Card.

HINWEIS
Ergänzungen sind jederzeit möglich.
ID-Card-Num- ID-Card Name Enthaltene Attribute (Kunden-Identitäts-

mer Produktbezeichnung daten)
90/XL Ident-Check Plus Anrede
Vorname
Nachnahme
Geburtsname
Weitere Vornamen
Geburtsdatum
Geburtsort
Straße
Hausnummer
Adresszusatz
Postleitzahl
Ort
Länderkennzeichen
E‑POSTBRIEF Adresse
Mobiltelefon-Nr.
Ü18
Staatsangehörigkeit
Tabelle 5-2 Ident-Check Plus
HINWEIS
Eine Übersicht über alle derzeit verfügbaren ID-Cards und die jeweils zur Abfrage zu ver-
wendenden Werte finden Sie im Dokument „Datenpakete“ im Download-Center unter
http://www.epost.de > Hilfe > Für Unternehmen > Download-Center > E‑POSTIDENT.

6 E‑POSTIDENT schema (XML)
HINWEIS
Das nachstehende XML-Schema ist als Referenz-Information zu sehen. Dieses Schema

ist nicht für Validierungszwecke zu verwenden. Zusätzliche Elemente können jederzeit
hinzugefügt werden.
<?xml version="1.0" encoding="UTF-8"?>

<xsd:schema xmlns:xsd="http://www.w3.org/2001/XMLSchema"
xmlns:tns="http://www.epost.de/schema/e-postident"
targetNamespace=" www.epost.de/schema/e-postident"
elementFormDefault="qualified" attributeFormDefault="unqualified">
<xsd:annotation>
<xsd:documentation xml:lang="en">
ID-Card schema for E-POSTIDENT. Copyright 2011-2012 Deutsche Post
AG. All rights reserved.
</xsd:documentation>
</xsd:annotation>
<xsd:element name="identdata" type="tns:idcardType" />
<xsd:complexType name="idcardType">
<xsd:all>
<xsd:element name="salutation" type="xsd:string" minOccurs="0"
maxOccurs="1" />
<xsd:element name="familyname" type="xsd:string" minOccurs="0"
maxOccurs="1" />
<xsd:element name="givenname" type="xsd:string" minOccurs="0"
maxOccurs="1"/>
<xsd:element name="birthname" type="xsd:string" minOccurs="0"
maxOccurs="1"/>
<xsd:element name="additionalgivennames" type="xsd:string"
minOccurs="0" maxOccurs="1"/>
<xsd:element name="dateofbirth" type="xsd:date" minOccurs="0"
maxOccurs="1"/>
<xsd:element name="placeofbirth" type="xsd:string" minOccurs="0"
maxOccurs="1"/>
<xsd:element name="nationality" type="xsd:string" minOccurs="0"
maxOccurs="1"/>
<xsd:element name="street" type="xsd:string" minOccurs="0"
maxOccurs="1"/>
<xsd:element name="housenumber" type="xsd:string" minOccurs="0"
maxOccurs="1"/>
<xsd:element name="addressaddon" type="xsd:string" minOccurs="0"
maxOccurs="1"/>
<xsd:element name="zipcode" type="xsd:string" minOccurs="0"
maxOccurs="1"/>
<xsd:element name="city" type="xsd:string" minOccurs="0"
maxOccurs="1"/>
<xsd:element name="country" type="xsd:string" minOccurs="0"
maxOccurs="1"/>

<xsd:element name="mobilephone" type="xsd:string" minOccurs="0"

maxOccurs="1"/>
<xsd:element name="epostaddress" type="xsd:string" minOccurs="0"
maxOccurs="1"/>
<xsd:element name="over18" type="xsd:boolean" minOccurs="0"
maxOccurs="1"/>
<xsd:element name="over21" type="xsd:boolean" minOccurs="0"
maxOccurs="1"/>
<xsd:all/>
</xsd:complexType>
</xsd:schema>

7 Fehlercodes
7 Fehlercodes
Während eines E‑POSTIDENT Prozesses können Fehler auftreten. Mögliche Fehlerszenari-
en sind:
▪ Fehler, die vor einem Kunden-Login auftreten können
▪ Fehler, die zu einem unspezifizierten Zeitpunkt auftreten können
▪ Fehler, die vor dem Abrufen der Identitätsdaten des Kunden auftreten können, also vor
Abholung der Daten durch den Diensteanbieter.
HINWEIS
Beachten Sie, dass bei den in Kapitel 7.1 Mögliche Fehler vor Anmeldung aufgeführten
möglichen Fehlern weder eine Fehlermeldung noch eine Login-Seite angezeigt wird.
Textbausteine zur Moderation im Fehlerfall finden Sie in Kapitel 8. Textbausteine zur Mo-
deration im Fehlerfall.
7.1 Mögliche Fehler vor Anmeldung

Fehlerfälle Fehlernachricht im E‑POSTIDENT Redirect
E‑POSTIDENT temporarily_unavailable (falls Portal noch

nicht verfügbar verfügbar)

global deaktiviert verfügbar)

Technische Störung verfügbar)
Diensteanbieter gesperrt unauthorized_client
E‑POSTIDENT unauthorized_client
ist derzeit für Sie deaktiviert
E‑POSTIDENT invalid_request
ist derzeit für Sie nicht freigeschaltet
ID-Card nicht bekannt invalid_scope
Bonitätsprüfung negativ unauthorized_client
Preis der ID-Card konnte nicht ermittelt wer- unauthorized_client

den
Nicht alle Parameter vorhanden invalid_request
Response_type lautet nicht "code" unsupported_response_type
Fehlerhafte client_id und/oder redi- –

rect_uri: Redirect konnte nicht ausgelöst
werden.
Tabelle 7.1-1 E‑POSTIDENT Fehlercodes vor Anmeldung

7 Fehlercodes
HINWEIS
Die hier definierten Fehlerwerte werden dem Kunden im Parameter error mit dem Redi-
rect mitgegeben. Weitere Informationen finden Sie unter 4.7 Fehlercodes auslesen.
7.2 Fehler, die zu einem unspezifizierten Zeitpunkt auftreten kön-

nen
Kunde bricht Freigabeprozess an beliebiger access_denied

Stelle ab.
Kunde widerspricht der Freigabe seiner access_denied

Identitätsdaten.
Kunde schließt Browser. –
Verbindung zwischen Kunde und E‑POST- –

IDENT bricht ab.
Browser des Kunden stürzt ab. –
Unerwarteter Fehler im E‑POSTIDENT Ser- server_error

vice
Tabelle 7.2-1 E‑POSTIDENT Fehlercodes, zu einem unspezifizierten Zeitpunkt
7.3 Mögliche Fehler vor Datenübergabe

Beim Tausch des Authorization Code ge- invalid_client, HTTP-Statuscode 400 (Bad
gen das Access Ticket: Für die übergebene Request)
client_id existiert kein Kunde
Beim Tausch des Authorization Code ge- invalid_client, HTTP-Statuscode 400 (Bad
gen das Access Ticket: Redirect-URI ent- Request)
spricht nicht der im initialen Request überge-
benen Redirect-URI
Beim Tausch des Authorization Code ge- invalid_grant, HTTP-Statuscode 400 (Bad
gen das Access Ticket: Fehlerhafter Autho- Request)
rization Code.
Fehlerhaftes Access Ticket beim Abholen keine Fehlerklasse, HTTP-Statuscode 404 (Not
der Identitätsdaten Found)
Tabelle 7.3-1 Fehlercodes E‑POSTIDENT vor Daten-Übergabe
7.4 Umgang mit Fehlern

Im Falle des Auftretens von Fehlern beachten Sie folgende Hinweise:

7 Fehlercodes
▪ Implementieren Sie die dem Kunden angezeigte Folgeseite in Abhängigkeit von der
übermittelten Fehlersituation und Fehlernachricht. Berücksichtigen Sie dabei die Design-
richtlinien aus dem Web-Integration-Package, siehe auch Kapitel 8. Textbausteine zur
Moderation im Fehlerfall.
▪ Sollten in der Produktionsumgebung Fehler auftreten, tun Sie Folgendes:
1. Notieren Sie die minutengenaue Fehlerzeit sowie den Fehlerreferenzcode auf der
Fehlermaske (im Browser).
2. Erstellen Sie einen Screenshot des Fehlers.
3. Kopieren Sie den kompletten Inhalt des URL (Uniform Resource Locator) als Text in
eine Datei.
4. Notieren Sie, welche Aktionen durchgeführt wurden unmittelbar bevor der Fehler auf-
trat.
5. Senden Sie die gesammelten Informationen an den Kundenservice der Deutschen
Post AG.
7.5 Bekannte Fehlerquellen

In diesem Kapitel erhalten Sie Hinweise auf Fehler, die bei einer fehlerhaften Implementie-
rung von E‑POSTIDENT auftreten können.
Erhält der Nutzer nach Betätigen der E‑POSTIDENT Schaltfläche auf Ihrer Website die hier
abgebildete Fehlermeldung, so notieren Sie die angezeigte Referenznummer und die minu-
tengenaue Fehlerzeit.
Abbildung 7.5-1 Fehlermeldung
Mögliche Ursachen könnten sein:

▪ Die Client-ID enthält einen Tippfehler.
▪ Sie verwenden die Client-ID aus der Test-Umgebung für die Produktion oder umgekehrt.
▪ Der Parameter redirect_uri enthält einen Tippfehler.

7 Fehlercodes
▪ Sie verwenden die redirect_uri aus der Test-Umgebung für die Produktion oder umge-
kehrt.
▪ Sie verwenden eine fehlerhafte Parameterbezeichnung, etwa redirect_url anstelle
von redirect_uri.

8 Textbausteine zur Moderation im Fehlerfall

Verwenden Sie nachstehende Textbausteine zur Moderation im Fehlerfall.
8.1 Textbausteine für mögliche Fehler vor Anmeldung

Fehlerfall Zu verwendende Textbausteine
temporarily_unavailable „Leider steht der Service momentan nicht zur

Verfügung.“
ACHTUNG
In diesem Fall darf der Name des

E‑POSTIDENT Service nicht namentlich
genannt werden!
unauthorized_client „Leider ist uns ist ein Fehler unterlaufen. Wir

invalid_request
arbeiten bereits an der Fehlerbehebung. Bitte
versuchen Sie es später noch einmal.“
invalid_scope
unauthorized_client ACHTUNG
invalid_request In diesem Fall darf der Name des
unsupported_response_type E‑POSTIDENT Service nicht namentlich
genannt werden!
8.2 Textbausteine für mögliche Fehler zu einem unspezifiziertem

Zeitpunkt
access_denied, server_error „Leider konnten Sie nicht erfolgreich identifi-

ziert werden“.
ACHTUNG
In diesem Fall darf der Name des

E‑POSTIDENT Service nicht namentlich
genannt werden!

8.3 Textbausteine für mögliche Fehler vor Datenübergabe

invalid_client (HTTP-Statuscode 400) „Leider uns ist ein Fehler unterlaufen. Wir arbeiten
invalid_grant (HTTP-Statuscode 400)
bereits an der Fehlerbehebung. Bitte versuchen
Sie es später noch einmal.“
HTTP-Statuscode 404
ACHTUNG
In diesem Fall darf der Name des E‑POST-

IDENT Service nicht namentlich genannt
werden!
TIPP
Zeigen Sie Ihrem Kunden alternative Möglichkeiten auf, den entsprechenden Geschäfts-
prozess im Fehlerfall weiterzuführen. Bieten Sie Ihrem Kunden z. B. ein alternatives Zah-
lungsverfahren an.

9 Transaktionshistorie
9 Transaktionshistorie
E‑POSTIDENT Transaktionen werden im E‑POST Portal sowohl dem Diensteanbieter als
auch dem Kunden in der Historie angezeigt. Transaktionen sind für 60 Tage sichtbar und
werden danach automatisch gelöscht.
9.1 Transaktionshistorie Kunde

Der Kunde sieht in der Historie für jede erfolgreich durchgeführte Transaktion:
▪ Datum und Uhrzeit der Transaktion
▪ Alias des Diensteanbieters, der die Identitätsdaten abgerufen hat
▪ Wert des Parameters reason (Anlass)
▪ Domain-URI, für welche der Kunde seine Daten freigegeben hat
Der Kunde hat die Möglichkeit, sich in einer Detailansicht die freigegebenen Identitätsdaten
zu jeder Transaktion anzusehen (z. B. Name, Geburtsdatum, Adresse).
9.2 Transaktionshistorie Diensteanbieter

Der Diensteanbieter sieht in der Historie für jede erfolgreich durchgeführte Transaktion:
▪ Transaktionsnummer
▪ Datum und Uhrzeit der Transaktion
▪ Wert des Parameters reason (Anlass)
▪ Produktbezeichnung der ID-Card (inkl. der enthaltenen Attribute ohne Werte)
▪ Ergebnis (Status) jeder angelegten Transaktion
▪ Domain-URI, für welche der Kunde seine Daten freigegeben hat
Der Diensteanbieter kann eine Auswahl von Transaktionen als CSV-Datei herunterladen.

10 E‑POSTIDENT testen
Dieses Kapitel beschreibt, wie Sie ihren E‑POSTIDENT Service testen können. Sie haben
folgende Möglichkeiten:
▪ Mit Check Connect die Anbindung an E‑POSTIDENT prüfen.
▪ Als Administrator, die Implementierung aus der Sicht eines Privatkunden kostenlos in der
Produktionsumgebung zu testen.
Um die Anbindung an E‑POSTIDENT zu prüfen:
Vorgehen 1. Rufen Sie den Service Check-Connect in der Produktionsumgebung auf. Verwenden
Sie den Host https://ident.epost.de. Weitere Informationen finden Sie in Kapitel
10.1.1 Parameter für den Aufruf von Check Connect
2. Testen Sie Ihre Implementierung solange kostenlos in der Produktionsumgebung, bis die
Implementierung technisch erfolgreich ist. Ihr Administrator-Konto fungiert dabei als
Test-Benutzer (siehe Kapitel 10.1.2 Beispiele für Check-Connect Aufrufe).
Um Ihre Implementierung fachlich zu testen, führen Sie mit einem Privatkunden-Account
Ihrer Wahl mindestens eine Identifizierung aus.
Um den Dienst E‑POSTIDENT Ihren Kunden zugänglich zu machen, laden Sie Ihre Imple-
mentierung z. B. aus Ihrem Entwicklungs- oder Testsystem in Ihr Produktionssystem hoch.
10.1 Check-Connect
E‑POSTIDENT stellt Ihnen den Service Check-Connect zur Verfügung. Gegen diese Schnitt-
stelle können Sie Ihre grundsätzliche Anbindung an E‑POSTIDENT sowie die korrekte Zu-
sammensetzung aus Client-ID und Domain-URI überprüfen. Check-Connect liefert im Feh-
lerfall Details, die Ihnen Hinweise auf anzupassende Einstellungen geben können.
10.1.1 Parameter für den Aufruf von Check Connect

Sie rufen den Service Check-Connect auf, indem Sie einen GET request mit folgenden Pa-
rametern erstellen:

Optional
clientId 123example456 Identifikationsnummer Ihrer Domain, die Pflicht

Sie vom E‑POSTIDENT System bekom-
men haben und die im Selbstadministra-
tionsportal angezeigt wird.
Ersetzen Sie 123example456 durch Ihre
jeweilige Client ID.
domainUri https:// Die Domain-URI (Uniform Resource Pflicht

ssl.webpack.de/ Identifier) des Diensteanbieters wird in
example.com der Selbstadministration gepflegt.
Ersetzen Sie example.com durch Ihre ei-
gene Domain.
Achtung: Der Parameter enthält an die-
ser Stelle keinen Unterstrich!
Tabelle 10.1-1 Parameter für den Aufruf von Check Connect

10.1.2 Beispiele für Check-Connect Aufrufe

Nachfolgend finden Sie Konfigurationsbeispiele für Aufruf und Response von Check-Con-
nect.
https://ident.epost.de/oauth2/clientverification?
clientId=123example456&
domainUri=https://www.example.com
Als Antwort liefert der Service Check-Connect ein JSON-Objekt mit den Attributen status
und message. Die möglichen Antworten sind in der Tabelle Tabelle 10.1-2 Mögliche Antwor-
ten des Services Check-Connect dargestellt.
10.1.3 Mögliche Antworten des Services Check-Connect

status message Bedeutung
200 clientId and domainUri match- Die angegebene Client-ID

ed existiert und die Domain-URI
ist zu dieser Client-ID hinter-
legt.
400 clientId matched but domainU- Die Client-ID existiert, aber der
ri mismatched Domain-URI passt nicht zur
Client-ID. Prüfen Sie die in der
Selbstadministration hinterleg-
te Domain-URI.
403 clientservice activation state is Die angegebene Client-ID

false existiert, die Client Konfigurati-
on wurde aber nicht aktiviert.
Aktivieren Sie E‑POSTIDENT
in diesem Fall in der Selbstad-
ministration des Portals.
404 clientId mismatched Die angegebene Client-ID

existiert nicht.
Tabelle 10.1-2 Mögliche Antworten des Services Check-Connect
Antwort HTTP/1.1 200 OK

Content-Type: text/plain;charset=UTF-8
{
"status": "200",
"message": "clientId and domainUri matched"
}
10.2 E‑POSTIDENT-Implementierung kostenlos im Produktions-

system testen
Sie können als Administrator Ihre Implementierung von E‑POSTIDENT in der Rolle als Pri-
vatkunde kostenlos im Produktionssystem testen. Dazu steht die kostenlose ID-Card 1304
zur Verfügung. Diese ID-Card für gewerbliche Nutzer erlaubt den Zugriff auf folgende Infor-
mationen:

▪ Vorname
▪ Nachname
▪ Geburtsdatum
▪ E‑POSTBRIEF-Adresse
▪ Mobil-Tel.-Nummer
Voraussetzung Sie haben E‑POSTIDENT in der Selbstadministration des Portals aktiviert.
Vorgehen 1. Stellen Sie beim Programmieren des E‑POSTIDENT-Links sicher, dass der Parameter
scope den Wert 1304 hat. Weitere Informationen finden Sie unter 4.1 E‑POSTIDENT
Link konfigurieren.
Die Anmeldemaske zeigt Eingabefelder für den localpart und die Subdomain für eine An-
meldung als Geschäftskunde an (Abbildung 10.2-1).
Abbildung 10.2-1 Anmeldebildschirm für Diensteanbieter-Administrator
2. Melden Sie sich mit Ihrer E‑POSTIDENT Adresse als Administrator an.
3. Erfassen Sie Ihre HandyTAN.
Auf der Seite Zustimmung zur Übermittlung Ihrer Angaben werden folgende Angaben zu
Ihrer Identität angezeigt:
▪ Vorname
▪ Nachname
▪ Geburtsdatum
▪ E‑POSTBRIEF-Adresse
▪ Mobil-Tel.-Nummer
4. Stimmen Sie der Übermittlung zu.

5. Testen Sie Ihre E‑POSTIDENT Implementierung

Voraussetzung:
Sie verfügen über ein E‑POSTBRIEF Privatkundenkonto.
a. Stellen Sie beim Programmieren des E‑POSTIDENT -Links sicher, dass der Parame-
ter scope den Wert für die benötigte ID-Card hat. Weitere Informationen finden Sie im
Kapitel 5. E‑POSTIDENT ID-CARDS.
b. Melden Sie sich als Privatkunde mit Ihrer E‑POSTBRIEF Adresse an und stimmen
Sie der Identifizierung zu.
c. Prüfen Sie, ob die entgegengenommenen Daten zur Identifizierung vollständig sind.
Weitere Informationen finden Sie unter .

11 Änderungen der Schnittstelle sowie dieses Nutzerhandbuchs
11 Änderungen der Schnittstelle sowie dieses Nutzer-

handbuchs
Für Änderungen der Schnittstelle sowie der Inhalte in diesem Handbuch gelten folgende Re-
gelungen:
▪ Release-Updates: Die Dokumentation wird im Rahmen von neuen Releases aktualisiert.
Die zu überliefernden XML Dokumente enthalten die Versionsinformationen als Element.
Das Nutzerhandbuch enthält ebenfalls eine Referenz auf die gültige Software Version.
▪ Fehlerbehebung: Die Deutsche Post AG behält sich vor, unverzüglich auf bekannt ge-
wordene Sicherheitslücken zu reagieren. Änderungen, die daraus resultieren, sind vom
Kunden zu akzeptieren, siehe auch AGB E‑POSTIDENT .
▪ Software Updates: Die Deutsche Post AG stellt im Rahmen der Produktpflege Minor-
bzw. Major- Releases zur Verfügung. Minor Releases liegen immer dann vor, wenn die
E‑POSTIDENT Schnittstelle nur um Felder erweitert wird, was im Normalfall nicht zu
Fehlern beim Kunden führen sollte, sofern der Kunde nicht gegen die XSD-Datei validiert
(siehe Kapitel 6. E‑POSTIDENT schema (XML)) sondern ausschließlich, die für ihn rele-
vanten Felder ausliest. Major Releases können weitergehende Änderungen beinhalten.
Major Releases werden dem Kunden mit einer Vorlaufzeit von 6 Monaten in geeigneter
Form angekündigt, z. B. per E‑POSTBRIEF. Die Deutsche Post AG ist nicht verpflichtet,
Änderungen im Rahmen bestimmter Release-Zyklen zu veröffentlichen, siehe auch AGB
E‑POSTIDENT .
▪ Versionierung wird auf Ebene der übertragenen Dokumente durchgeführt.
Sie finden die AGB im E‑POST Portal unter www.epost.de/epostident > Einbindung > Zum
Download-Center.

12 Glossar
12 Glossar
Authentifizierung Nachweis einer behaupteten Eigenschaft einer

Partei. Diese Partei führt dabei Ihre Authenti-
sierung durch.
Authentisierung Das primäre Ziel der Authentisierung ist der

Beweis und die Glaubwürdigkeit einer Identität
der in einem Prozess agierenden Entitäten an-
hand bestimmter Merkmale.
Autorisierung Einräumung von Rechten gegenüber Anderen,

beispielsweise Zuweisung und Überprüfung
von Zugriffsrechten auf Daten.
ClientSecret Eine beliebige, druckbare Bytefolge, mit der

sich der Diensteanbieter gegenüber dem
E‑POSTIDENT System bei der Abholung der
vom End-Kunden freigegebenen Daten identifi-
ziert. Im E‑POSTIDENT System wird das
ClientSecret wie ein Passwort behandelt, siehe
hierzu Kapitel 3. E‑POSTIDENT beauftragen
und konfigurieren.
Client ID Die Client ID entspricht der Identifikationsnum-

mer jeder Domain eines Diensteanbieters und
wird bei der Anlage einer Domain automatisch
vergeben.
Diensteanbieter Diensteanbieter sind Geschäftskunden (GK)

oder Gewerbekunden (GWK). Diensteanbieter
werden im Rahmen von OAuth 2.0 als client
bezeichnet.
HandyTAN Zufälliger, mindestens 6-stelliger alphanumeri-

scher Code, der nach erfolgreicher Eingabe
der Login-Credentials an das Mobiltelefon des
Kunden gesendet wird.Der (physische) Besitz
des Mobiltelefons stellt den zweiten Faktor der
Authentisierung dar.
Identität Im juristischen Kontext bedeutet Identität die

Übereinstimmung der personenbezogenen Da-
ten mit einer natürlichen Person. Diese Identi-
tät kann formal durch eine rechtsverbindliche
Identitätsfeststellung bestimmt werden.

12 Glossar
Login-Credentials Anmeldedaten für das E‑POST Portal

(E‑POSTBRIEF Adresse plus Passwort). Mit
diesen Anmeldedaten kann ein Privatkunde
beim E‑POSTIDENT den ersten von zwei not-
wendigen Authentisierungsschritten durchfüh-
ren (siehe HandyTAN).
OAuth Ein offenes Protokoll, in dem ein Benutzer ei-

ner (Web-) Anwendung (hier: Diensteanbieter-
Portal) den beschränkten Zugriff auf Teile sei-
ner Identitätsdaten erlaubt (Autorisierung). Die-
se Identitätsdaten werden vom E‑POSTIDENT
Server. Der Benutzer gibt dabei dem Dienst-
eanbieter keine Details seiner Zugangsberech-
tigung preis. Siehe [OAUTH-2]
SSL Secure Socket Layer

Glossar
AdressTAN Die AdressTAN ist eine Transaktionsnummer zur Bestätigung eines Unternehmenssitzes im
E‑POST Portal. Die AdressTAN wird nach der Registrierung eines Kunden und nach jeder
Adressänderung in Form eines klassischen Briefes automatisch an die Geschäftsführung
des Unternehmens versandt. Dadurch wird sichergestellt, dass alle Adressangaben für die
E‑POST Anwendung korrekt sind.
[ANMERKUNG Autor:cpr Datum:23.01.2014 13:01]
Die AdressTAN ist eine Transaktionsnummer um Ihren Unternehmenssitz im E-POST Portal
zu bestätigen. Diese wird nach Ihrer Registrierung und nach jeder Adressänderung in Form
eines klassischen Briefes automatisch an die Geschäftsführung des Unternehmens versen-
det. Da die eindeutige Identifizierung aller Nutzer ein wichtiger Bestandteil für die sichere
und vertrauliche Kommunikation per E-POSTBRIEF und alle weiteren E-POST Services ist,
dient die Bestätigung Ihres Unternehmenssitzes als ergänzendes Identitätsmerkmal. Wie Sie
die AdressTAN im E-POST Portal eingeben, erklären wir Ihnen hier. Bitte beachten Sie: Die
nach der Registrierung zugesandte AdressTAN bleibt 28 Tage lang gültig. Falls Sie sie in
dieser Zeit nicht eingeben konnten, erhalten Sie von uns automatisch eine neue AdressTAN.
Bitte geben Sie daher immer nur die neueste bzw. zuletzt zugesandte AdressTAN ein.
HandyTAN Die HandyTAN ist ein Einmalpasswort, das vom E‑POST System per SMS versendet wird.
Es dient neben der Eingabe des persönlichen Passworts zur Authentifizierung. Das Handy-
TAN-Verfahren ist auch der Grund, warum bei der Registrierung eine persönliche Mobilfun-
knummer mit angegeben werden muss.
[ANMERKUNG Autor:cpr Datum:23.01.2014 13:01]
Weitere Informationen:
Mit dem HandyTAN-Verfahren stellen wir die Authentizität der E-POST Nutzer sicher. Wir
überprüfen damit während der Nutzung des E-POST Portals, ob Sie tatsächlich die Person
sind für die Sie sich ausgeben. Um also bestimmte Aktionen im Portal ausführen zu dürfen,
senden wir Ihnen eine Transaktionsnummer – die sogenannte HandyTAN – als SMS an Ihr
Mobiltelefon. Diese müssen Sie dann nur noch online in das entsprechende Feld eintragen.
Mehr Sicherheit durch Trennung von „Wissen“ und „Besitz“: selbst wenn Ihnen Ihr Passwort
(also das was Sie „Wissen“) abhanden kommt, kann niemand in Ihrem Namen E-POST-
BRIEFE versenden, da Sie zusätzlich immer eine HandyTAN von Ihrem Mobiltelefon einge-
ben müssen, das Sie „besitzen“. Außerdem erhöhen Sie so die Verbindlichkeit Ihrer Aktio-
nen: Sie haben im juristischen Sinne durch die kombinierte Eingabe von verschiedenen Ken-
nungen über getrennte Kanäle einen eindeutigen Identitätsnachweis erbracht. Wir nennen
das „hoher Ident-Nachweis“. Das HandyTAN-Verfahren ist auch der Grund, warum Sie bei
Ihrer Registrierung Ihre Mobilfunknummer mit angeben müssen. Die HandyTAN wird immer
an die bei der initialen Registrierung des Administrators angegebene Mobilfunknummer ge-
sendet. Man braucht diese: Bei der Anmeldung als Administrator Beim erstmaligen Anmel-
den am Portal zum Ändern des Passworts.
Ident-Nachweis Es gibt für die Authentifizierung am E‑POST Portal zwei verschiedene Nachweisstufen.
Zum einen gibt es den normalen Ident-Nachweis, bei dem ein Nutzer sich mit seinem Pass-
wort anmeldet.
Zum anderen gibt es den hohen Ident-Nachweis, der aus einer kombinierten Eingabe von
zwei Kennungen (Passwort und HandyTAN) besteht. Beim hohen Ident-Nachweis wird si-
chergestellt, dass die sich anmeldende Person durch getrennte Kanäle einen eindeutigen
Identitätsnachweis erbringt.

Individualkom- Mit dem Individualkommunikations-Gateway ist es möglich, E‑POSTBRIEFE per E‑Mail-Pro-
munikations- gramm zu senden und zu empfangen. Das Individualkommunikations-Gateway zeichnet sich
Gateway dadurch aus, dass dieses nicht über das E‑POST Portal aufrufbar ist, sondern ausschließlich
über die zugeordnete E‑Mail-Adresse. Die Zuordnung zwischen Firmen-E‑Mail-Adressen
und E‑POSTBRIEF Adressen erfolgt bei der Registrierung für die E‑POST Anwendung.
Eine Änderung der Zuordnung der Firmen-E‑Mail-Adresse zur E‑POSTBRIEF Adresse er-
folgt über den Kundenservice der Deutschen Post AG (Mapping-Auftrag). Für einen Gate-
way-Zugang darf kein gleichlautendes (Portal-)Nutzerkonto angelegt werden, da sonst
E‑POSTBRIEFE im Portal-Postfach ankommen (das Portal-Postfach hat Vorrang vor dem
Individualkommunikations-Gateway).
MasterTAN Die Geschäftsführung eines für die E‑POST registrierten Unternehmens erhält mit dem Be-
grüßungsschreiben zur Registrierung eine MasterTAN. Diese verleiht jener die weitestgeh-
enden Rechte im E‑POST Portal. Zur Anwendung kommt die MasterTAN, wenn kein Zugriff
mehr auf ein Administratorkonto besteht: Es ist damit möglich, über den Kundenservice ei-
nen Administrator neu zu benennen oder einem Konto die Adminsitrationsrechte zu entzie-
hen.
Portal-Postfach Das Portal-Postfach ist ein Benutzerkonto, das über die E‑POST Portaloberfläche unter
http://portal.epost.de zu erreichen ist. Für administrative Aufgaben wird zwingend ein Portal-
Postfach benötigt. Dieses wird initial bei der Registrierung für Sie angelegt. Wenn Sie zu-
sätzliche Administrator-Konten anlegen, ist dafür ebenfalls das Anlegen eines Portal-Post-
fachs notwendig.
Zugriffsberech- Es ist möglich, mit einem Portal-Postfach auf andere Portal-Postfächer zuzugreifen. Dabei
tigung ist die Anzahl der auf ein Postfach zugreifenden Postfächer nicht beschränkt und es können
mehrere Postfächer auf ein einzelnes Postfach zugreifen. Der Zugriff auf ein Postfach kann
in unterschiedliche Berechtigungen unterteilt werden: Lesen, Lesen und Schreiben, Lesen
und Schreiben sowie Löschen. Das Postfach, auf das Zugriffsberechtigungen vorliegen, wird
nach dem Einloggen am Portal unter dem eigenen Postfach angezeigt.

Deutsche Post DHL - The Mail & Logistics Group
Deutsche Post AG
Zentrale
53250 Bonn
www.deutschepost.de
Stand 07/2014

Sprache

E POSTIDENT Handbuch Für Diensteanbieter. Version 2.6.1 Release 2.6

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

E POSTIDENT Handbuch Für Diensteanbieter. Version 2.6.1 Release 2.6

Hochgeladen von

Copyright:

Verfügbare Formate

E‑POSTIDENT

Handbuch für Diensteanbieter

Version 2.6.1 Release 2.6 E‑POSTIDENT Handbuch für Diensteanbieter

3 E‑POSTIDENT beauftragen und konfigurieren 7

6 E‑POSTIDENT schema (XML) 22

Version 2.6.1 Release 2.6 E‑POSTIDENT Handbuch für Diensteanbieter

8 Textbausteine zur Moderation im Fehlerfall 28

11 Änderungen der Schnittstelle sowie dieses Nutzerhandbuchs 35

Version 2.6.1 Release 2.6 E‑POSTIDENT Handbuch für Diensteanbieter

Alle im Handbuch verwendeten Parameter unterscheiden Groß- und Kleinschreibung.

1.1 Zweck des Dokuments

1.3 Leistungsbeschreibung und AGB

Version 2.6.1 Release 2.6 E‑POSTIDENT Handbuch für Diensteanbieter 1

Abbildung 2-1 E‑POSTIDENT im Kontext von E‑POST

Version 2.6.1 Release 2.6 E‑POSTIDENT Handbuch für Diensteanbieter 2

Abbildung 2.1-1 Ablaufdiagramm E‑POSTIDENT: Übersicht

2.2 Fachliche Beschreibung

Version 2.6.1 Release 2.6 E‑POSTIDENT Handbuch für Diensteanbieter 3

2.5 Authentisierung mit hohem Identitätsnachweis

2.6 Autorisierung der Datenfreigabe

2.7 Übermittlung der Daten, Datenabruf

Version 2.6.1 Release 2.6 E‑POSTIDENT Handbuch für Diensteanbieter 4

2.8 Technischer Überblick

2.8.1 OAuth 2.0

OAuth 2.0 Bedeutung E‑POSTIDENT

protected resource Geschützte Ressource Identitätsdaten des Privatkunden

resource owner Eine Entität, die Zugriff auf ei- Privatkunde

resource server Der Server, der die geschütz- E‑POSTIDENT Server

client Eine Software, die geschützte Die Web-Applikation des Dienstean-

authorization server Der Server, der Access-To- E‑POSTIDENT Server

Tabelle 2.8-1 Tabelle 1. OAuth 2.0-Terminologie

Version 2.6.1 Release 2.6 E‑POSTIDENT Handbuch für Diensteanbieter 5

Weitere Informationen zum OAuth 2.0-Standard finden Sie unter http://tools.ietf.org/html/

Microsoft Internet Explorer Version 8

Mozilla Firefox ab Version 3.6

Version 2.6.1 Release 2.6 E‑POSTIDENT Handbuch für Diensteanbieter 6

3 E‑POSTIDENT beauftragen und konfigurieren

3.1 Selbstadministrationsbereich im E‑POSTBRIEF Portal aufru-

3.2 E‑POSTIDENT beauftragen

Voraussetzung ü Sie befinden sich im Selbstadministrationsbereich des E‑POST Portals.

Abbildung 3.2-1 E‑POSTIDENT im Selbstadministrationsbereich beauftragen

Version 2.6.1 Release 2.6 E‑POSTIDENT Handbuch für Diensteanbieter 7

2. Klicken Sie im oberen Bildschirmbereich auf das Symbol E‑POSTIDENT beauftragen

Sie können E‑POSTIDENT jederzeit im Selbstadministrationsbereich des E‑POST Portals

3.3 Domain konfigurieren und aktivieren

Voraussetzung ü Sie befinden sich im Selbstadministrationsbereich von E‑POSTIDENT .

Vorgehen 1. Wählen Sie das Symbol Domain hinzufügen.

Version 2.6.1 Release 2.6 E‑POSTIDENT Handbuch für Diensteanbieter 8

Abbildung 3.3-1 Domain anlegen

2. Erfassen Sie die erforderlichen Informationen wie in Tabelle 3.3-1 Konfigurationspara-

Version 2.6.1 Release 2.6 E‑POSTIDENT Handbuch für Diensteanbieter 9

Abbildung 3.3-2 Registerkarte E‑POSTIDENT

Die automatisch generierte Client ID lässt sich nicht ändern.

Feldname System-Parame- Beispiel-Einga- Beschreibung

Alias alias Shop 1 Der Alias-Name wird während des

Version 2.6.1 Release 2.6 E‑POSTIDENT Handbuch für Diensteanbieter 10

Feldname System-Parame- Beispiel-Einga- Beschreibung

ClientSecret, Be- client_secret Erfassen Sie ein Passwort nach fol-

Client ID client_id Die Client ID ist die Identifikations-

Kostenstelle cost_center Kostenstelle Optional: Erfassen Sie den Namen

Serverstandort in- Ja/Nein Geben Sie an, ob sich der Standort

Version 2.6.1 Release 2.6 E‑POSTIDENT Handbuch für Diensteanbieter 11

Feldname System-Parame- Beispiel-Einga- Beschreibung