6. Detaillierte technische Beschreibung

6. Detaillierte technische Beschreibung

Dieser Abschnitt beschreibt die Interaktionen zwischen dem UA, dem Calling Service (CS) und dem Identity Provider (IdP) im Detail.

6.1 Generierung der Identitäts-Assertion

1. Der UA generiert ein DTLS-Zertifikat und einen Fingerabdruck.
2. Der UA fordert eine Identitäts-Assertion vom IdP an und gibt seinen Fingerabdruck an.
3. Der IdP authentifiziert den Benutzer (z.B. per Login).
4. Der IdP signiert eine Assertion, die die Identität des Benutzers an den Fingerabdruck bindet.
5. Der IdP sendet die Assertion an den UA zurück.

6.2 Verifikation der Identitäts-Assertion

1. Der Remote-UA empfängt die Assertion (über Signalisierung).
2. Der Remote-UA verifiziert die Assertion beim IdP (z.B. durch Abrufen des öffentlichen Schlüssels des IdP oder Abfragen einer API).
3. Der Remote-UA überprüft, ob der Fingerabdruck in der Assertion mit dem Fingerabdruck der DTLS-Verbindung übereinstimmt.
4. Bei Erfolg zeigt der UA dem Benutzer die verifizierte Identität an.

6.3 IdP-Proxying

Um Fälle zu behandeln, in denen der IdP vom verifizierenden UA nicht direkt erreichbar ist (z.B. aufgrund von Firewalls oder getrennten Netzwerken), unterstützt das Protokoll IdP-Proxying, bei dem der verifizierende UA die Verifizierungsanfrage an seinen eigenen IdP oder einen vertrauenswürdigen Proxy delegiert.