21.06.2024 - Nutzerumfrage Fachportal: Liebe Besucherinnen und Besucher des gematik-Fachportals,

wir möchten unser Fachportal verbessern und brauchen Ihre Unterstützung. Teilen Sie uns Ihre Meinung mit und helfen Sie uns, noch besser zu werden!

Klicken Sie auf "Mehr erfahren", um zur kurzen Umfrage zu gelangen.

Für Rückfragen erreichen Sie uns unter fachportal@gematik.de.

Vielen Dank für Ihre Teilnahme!
Mehr erfahren

Komponenten & Dienste

Authenticator

Das Tool zur sicheren Authentifizierung für digitale Anwendungen des Gesundheitswesens

Was ist der Authenticator?

Seine Hauptaufgabe ist die sichere Authentisierung von Nutzern zur Anmeldung an digitalen Gesundheits-Anwendungen.
Er authentisiert berechtigte Ärzte oder medizinisches Personal und gewährt diesen Zugriff auf die jeweilige Anwendung. Damit stellt der Authenticator für eine Vielzahl von TI-Anwendungen die Möglichkeit zur sicheren Authentifizierung bereit.

Neben WANDA – also den Weiteren Anwendungen für den Datenaustausch – kann der Authenticator auch bei Anwendungen wie dem TI-Messenger oder dem Deutschen Elektronischen Melde- und Informationssystem für den Infektionsschutz (kurz DEMIS) als Produktfeature integriert werden.

Der Authenticator erhöht somit die Möglichkeiten, die Telematikinfrastruktur im gesamten Gesundheitssektor in Anspruch zu nehmen.

Er ist das Bindeglied zwischen TI 1.0-Komponenten und webbasierten Fach-Anwendungen und bildet ebenso die Brückentechnologie zu einer offenen TI 2.0.

Was ist notwendig für die Nutzung des Authenticators?

Damit der Authenticator für entsprechende Anwendungen betrieben werden kann, ist die Installation der Software sowie die einmalige Administration der Einstellungen durch einen Dienstleister vor Ort oder Administrator des Instituts notwendig.

Wie funktioniert der Authenticator

Der Authenticator ist eine Desktop-Anwendung mit grafischer Benutzerschnittstelle, welche aktuell unter Windows lauffähig ist und aus Anwendungen (typisch: Web-Anwendungen) heraus aufgerufen wird. Der Authenticator ist somit eine Anwendung für das Authentifizierungsverfahren und muss daher als Schnittstelle fest in die Fachanwendung eingebunden werden.

  1. Über einen Anmeldeprozess innerhalb der Web-Anwendung wird der Authenticator gestartet, um für den Nutzer den Anmeldeprozess durchzuführen.
  2. Die Anfrage in der Fachanwendung löst den Authentifizierungsprozess aus.
  3. Je nachdem, ob die Anmeldung über HBA oder SMC-B erfolgt, wird via Konnektor ein entsprechendes Zertifikat abgefragt.
  4. Prüfung, ob die entsprechende Karte gesteckt ist. Falls nicht, wird aufgefordert, die Karte zu stecken.
  5. Der Nutzer muss eine PIN eingeben, die ihm eindeutig zugeordnet ist.
  6. Daraufhin erfolgt eine Überprüfung durch einen externen Identitäts-Dienst.
  7. Ist die Überprüfung erfolgreich, kehrt der Nutzer in die Fachanwendung zurück und kann darin arbeiten.

Roadmap

Download

Die neue Version des Authenticators steht über das gematik Sharepoint zum Download bereit. Dort finden Sie die Binärdistribution (Installer) sowie das Installationshandbuch und weitere Informationen.

Hinweis: In jeder Authenticator Version finden Sie zusätzlich eine Test-Version des Authenticators. Die Test-Version ist für Entwickler und nicht für den Produktivbetrieb zugelassen. Bei dieser Test-Version findet keine Zertifikatsprüfung statt.

Authenticator @ GitHub

Das Repository für den gematik Authenticator

zur Seite

Hinweis: Sie möchten zukünftig über Versionsupdates des Authenticators automatisch per Mail benachrichtigt werden? Dann nutzen Sie einfach die neue Abonnement-Funktion über das Fachportal, welches sie innerhalb dieser Seite über den Button im oberem rechten Fenster "Seite abonnieren" auffinden können.

Releasenotes

Version Änderungen Datum
4.11.0

added

  • Action-Buttons on the Settings-Screen now stay in the view while scrolling in order to enhance our UX
  • Set default connector port to 443
  • Default-configuration feature

fixed

  • Prioritize the read environment variable logic to read the correct config.json file on startup
  • Clean application files properly after uninstalling

security

  • Prevent starting Authenticator with remote-debugging parameters
03.05.2024
4.10.0

added

  • Hover-Effect to the navigation bar and renaming "Anmeldung" to "Home" for an improved UX
  • New certificate for connectors
  • Functionality test for HBA usage
  • Option to disable IdP TLS verification in Mock Mode

fixed

  • The "ClientView-Machine-Name"-variable is now being read properly
  • Error handling improved for incorrectly formatted config files
  • Save target directory for certificates has been fixed for central configuration
  • Disable Devtool for production
  • Prevent multiple entries in the Credential Manager
07.03.2024
4.9.0

added

  • Migration for credentials from config.json to windows Credential Manager (only Standalone Installation)
  • UserConsent dialog
  • Input validation for proxy settings and allow-list
  • FQDN support for proxy settings
  • Authenticator checksum hash value for prod and mock versions
  • SBOM (Software Bills of Material)
  • Prod and Mock Version now both are signed
  • Customisable timeout option for HTTP requests

fixed

  • Using axios as the HTTP client instead of fetch
  • Config.json is now more readable
  • Log-File is now more readable

security

  • change Nodejs to Version 20
  • Prod version no longer contains mock codes
  • New signing certificate for Windows
13.02.2024
4.8.1

bugfix

  • Fixed Proxy Validation
  • Fixed Logging issue
13.12.2023
4.8.0

added

  • Deactivation of OS proxy settings now requires mandatory Proxy Address and Port fields entries
  • IP Validation added for Proxy Ignore List in Settings Page
  • Sensitive data is now stored using the Credential Manager
  • New Help page with informative links for better understanding

bugfix

  • SMC-B flow crash after successful HBA flow issue fixed
  • Improved URL parsing mechanism for accurate identification of host and path in IDP service
  • Config.json storage path adjusted for specified ENV parameters
  • Empty environment variable changes are now ignored
  • Function tests now include only PU IDP endpoints
  • Enhanced logic for IDP domain name definition
05.12.2023
4.7.0

added

  • Introduced XenDesktop support
  • Added asterisks support for the Proxy setting "kein Proxy für"
  • Introduced manual proxy settings
  • Integrated VueJs 3 across the entire project
  • Introduced a Save button after functional tests
  • Opted out of creating a desktop icon during installation
  • Made the app MacOS compatible (for development only)
  • Prevented auto-updates on mock-versions

bugfix

  • Streamlined "environment variables check" for more efficient handling
  • Enhanced logic for retrieving the config path
  • Refined deeplink validation mechanism
  • Ensured case sensitivity handling for card types
  • Correctly parsed string boolean values to actual booleans
  • Removed redundant vue.config.js file from the project

security

  • Each HBA now has a unique UserID
01.11.2023
4.6.0

added

  • Implemented a new card type "MULTI" to login via HBA & SMC-B with one click
  • The Authenticator now handles multiple authentication requests properly
  • User-friendly error messages with hints to solve the problem

bugfix

  • The deinstallation process now works in all known cases

security

  • Include a security.md file
  • Updated the packages
06.09.2023
4.5.0

added

  • Support of windows server ( >= 2016 )
  • P12-Certificates support combination of ECC & RSA 
  • New error message, if HBA smart card is in use

bugfix

  • Clean deinstallation of authenticator
  • Increased timeout of PU IDP TI

security

  • Updated packages
08.08.2023
4.4.1

bugfix

  • Added CA Certificates for IDP internet and TI endpoint to Authenticator truststore (RU & PU)
18.07.2023
4.4.0

added

  • Support for the new cardType parameter in Challenge Path
  • Using the OS Truststore for auto redirect call

deprecated

  • Using the Person_ID and Institution_ID information for defining cardType in scope parameter of Challenge Path

fixed

  • Solve Jest bug with node 18
  • The Authenticator appears in the foreground when multiple cards are found
  • Fixed multiple instance issue
07.07.2023
4.3.0

added

  • Packages and dependencies were updated

fixed

  • Bugfix in back- and foreground function of the Authenticator
  • Bugfix function test while using TLS certificates
08.06.2023
4.2.1

Fehlerbehebung

  • Behebung eines Fehlers in der Mock-Mode-Lokalisierung
  • Behebung eines Fehlers innerhalb des Log-Levels
  • Korrektur der erlaubten Protokolle
25.05.2023
4.2.0

Features

  • Unterstützung von P12-Dateien (RSA) für die TLS-Authentifizierung
  • Logs erweitert im Mock Modus
  • VMWare Environment Variablen "VIEWCLIENT_MACHINE_NAME" werden aus der Registry gelesen
  • Gestarteter Funktionstests kann abgebrochen werden
  • Funktionstest kann ohne Abspeichern ausgeführt werden

Fehlerbehebung

  • Logging für Multi-Card-Szenarien reduziert + Fehlerhaftes Logging korrigiert
  • Unterstützung "wandernde session" korrigiert (Refresh)
  • User-Agent für auto-redirect wird mitgegeben
  • Falsches ErroLog für Muli-Cards entfernt
  • Zertifikatspfade beim Upload werden korrekt in config-File übernommen
  • Laden von Default-Settings bei Erstinstallation
  • Obsoleter Auth flow Prozess "OGR Flow" entfernt
15.05.2023
4.1.0

added

  • Unterstützung von mehreren parallel gesteckten HBAs

  • Überarbeitung/Optimierung des Loggings

  • Updates von Dependencies

  • Content Security Policy hinzugefügt

  • Optimierung der Sicherheitsaspekte des Authenticators (Electron-Anwendung)

fixed

  •  Korrekte Kodierung der Parameter eines Callbacks
11.04.2023
4.0.0

added

  • Neuer Button im Einstellungs-Dialog für die Erstellung eines ZIP-Files mit allen Logs des Authenticators 
  • Multi-SMC-B Unterstützung mit Auswahl-Dialog für die zu verwendende SMC-B des Auth.Flow
  • Verbesserter Umgang mit HBAs, deren Transport Pin aktiv ist. Eine neue Fehlermeldung wird angezeigt, die dabei hilft,  Karten mit aktiver Transport-Pin zu identifizieren.
  • Tooltips für Felder im Einstellungs Dialog
  • Localhost als Schnittstelle / Einstiegspunkt entfernt
  • Link zur "Wissensdatenbank" im Funktionstest Dialog
  • Redirect an Webapplication als Alternative zu BrowserOpen
  • OAuth2 konforme Behandlung von IDP-Fehlern
  • Mitsenden der error_uri und state im Fehlerfall
  • Funktionstest logging der not valid Zertifikate

fixed

  • User Zertifikate gehen nicht mehr verloren nach einem Update
  • UX : Spinner im Verbindungstest und bei Einfügen der Karte / Pin-Eingabe
  • Fehlerkorrektur bei Citrix "wandernde sessions"
  • Einstellungsdialog Fehlermeldungen optimiert
  • Fix bei Installationsprozess
23.03.2023
3.1.0

added

  • Unterstützung eigener Proxy-Ignore Listen
  • Prüfung hinzugefügt ob Zertifikate in Zertifikatspeicher gültig sind (C:\Programme\gematik Authenticator\resources\certs-idp & C:\Programme\gematik - Authenticator\resources\certs-konnektor)  
  • Ausblenden der Versionsnummer in der Autenticator App und Anzeige nur per Tooltip
  • Deaktivierung des deprecated lokalen Endpunkt (Port)


fixed 

  • Bugfix zu "selbst signiertes Zertifikat in Zertifikatskette"
  • Citrix: App stürzt ab, wenn das Konfigurationsverzeichnis nicht vorhanden war
  • Citrix: Wenn die Speicheraktion wegen fehlender Schreibberechtigung fehlschlug, erhielt der Benutzer keine Reaktion
  • Fehlerprotokollierung schlug bei HTTP-Fehlerfällen fehl
  • UX: Konnektor-Einstellungen im Authenticator gingen in einer Sitzung verloren ( wenn der Mock-Modus aktiviert war )
  • Deep Link Uri - Konformität zu RFC3986
  • Abbrechen eines laufenden Auto-Update-Prozesses, wenn der Benutzer die Einstellungen ändert
  • Fehlerhafte Kartenhandle-Verarbeitung bei nicht gesteckten Karten (HBA oder SMC-B)
  • Umschalten zwischen der Auswahl "Zertifikat" und "Benutzername/Passwort" und umgekehrt sorgte dafür, dass die json-config nicht ausgelesen wurde
  • Falscher Fehlercode beim Ändern der Einstellungen ClientID
  • Die Mock-Version sollte alle bekannten IDPs erreichen und die Prod-Version die PU-IDP(s) im Funktionstest
  • Falscher Ablauf nach Drücken der Schaltfläche "Abbrechen" im Dialog "PIN-Eingabe" bei Z-IDP
  • Proxy PAC Files mit n Proxies für eine Url → den Proxy mit der höchsten Priorität verwenden
  • Falscher ProxyAgent für Zieladresse
  • Falscher http 302 Redirect zum Browser deaktiviert
  • Telefonnummer im Impressum angepasst

security

  • Keine Protokollierung sensibler Daten in der Mock-Version
  • Unauthentifizierte Beeinträchtigung der lokalen Verfügbarkeit (z.B.: DoS mit CURL)
09.02.2023
3.0.1

fixed 

  • userAgent zu Request Headern an IDP hinzugefügt
08.12.2022
3.0.0

added

  • Zentrale Konfigurationsmöglichkeit für dezentrale Installationen
  • Konfigurierbare Auto-Update Funktion
  • Nutzung von Port 39000 anstelle von Port 8000
  • Konformitätsprüfung bei zertifikatsbasierter Authentisierung

fixed 

  • Besserer Schutz vor Man-In-The-Middle Angriffen
  • Domänenspezifisches Fehlermanagement
30.11.2022
2.4.0

added

  • UI/UX Optimierung:
    • Ausbau der Scroll-Funktion
    • Abfrage per Dialog vor Speicherung der Settings
  • Optimierung und Bereitstellung der Logs für die Mock-Variante bei der Kommunikation zwischen Authenticator und Konnektor bzw. IDP
  • Optimierte Logausgaben für das Error-Loglevel
  • Verbesserung der Funktionstests

fixed 

  • Unterbindung der Option zum Öffnen einer neuen Instanz des Authenticators per Tastenbefehl
17.10.2022
2.3.0

added

  • UI/UX Verbesserung für den Funktionstest und prüfen der Eingabefelder
  • UI/UX Pfade des Schlüssels und des Zertifikats per Mouseover lesbar
  • Verbesserte Ausgaben beim Funktionstest für ein erleichterte Fehleranalyse
  • Bereitstellung einer Mock-Variante für Entwickler und Tester zusätzlich zur bisherigen Produktivversion mit höherem Loglevel (debug)
  • Konfiguration der Zertifikate im Mockmodus per GUI
  • Optimierte Logausgaben: u.a. ISO-Format für Zeitstempel
  • Tailwind zu package.json hinzugefügt

fixed 

  • Kein dauerhaftes caching der connector.sds
  • missing User-Agent
  • sonstige Bugfixes

security

  • Schema Validierung der redirect_uri
15.09.2022
2.2.0

added

  • Proxy-Agent
  • Bugfix Fokuswechsel
  • User-Agent
  • Code-Refactoring
  • Bugfix bei Fehlercodeanzeige
29.07.2022
2.1.0
  • Mockmodus für Organspenderegister-IDP und zentralen-IDP für Entwickler und Tester
  • Erweiterung des Authenticators um einen lokalen Webserverendpunkt als Alternative zum Deeplink
  • Die FQDN-Prüfung des Authenticators gegen das Konnektorzertifikat ist in der aktuellen Version deaktiviert
  • Fehlerbehebung bei der Zertifikatsverarbeitung.
  • Der Authenticator nutzt ab dieser Version die Library GOT für die Netzwerkkommunikation.
08.07.2022
2.0.0
  • Unterstützung des zentralen IDP-Dienst: https://idp-ref.app.ti-dienste.de
  • Unterstützung der Brainpool-Kurve (brainpoolP256r1)
  • Verbesserung der UI
  • Aktualisierung der Dependencies
  • Allgemeine Fehlerbehebungen
20.06.2022
1.0.1

Für OGR

  • verbesserte Fehlerbehandlung im Zusammenhang mit Konnektoren
  • Liste für die Zuordnung von Fehlercodes erstellt
  • es erscheint jetzt ein Hinweis beim Speichern der Einstellungen
  • Formatierung des Impressums optimiert
  • sensitive Userdaten erscheinen nicht mehr im Log
  • unnötige SOAP-Responses erscheinen nicht mehr im Log
  • Bezeichnungen der Eingabefelder im Einstellungsmenü verbessert
  • Bugfix: Remote VerifyPIN
04.03.2022

Weiterführende Dokumente

Weiterführende Informationen

Sie haben Fragen zum Authenticator?

Für die Klärung technischer Fragen ist das Expertenteam des gematik Authenticator Ihr kompetenter Ansprechpartner.

Gern beantwortet die gematik Ihre Fragen. Sie erreichen uns über das Anfrageportal oder per Mail.

Um Ihnen bei ihren Fragen oder Störungen am schnellsten weiterhelfen zu können, bitten wir Sie (falls möglich), folgende Informationen in der E-Mail zu hinterlegen:

  • Welche Version des Authenticators ist im Einsatz?
  • Für welche Anwendung wird der Authenticator genutzt?
  • Kurze Problembeschreibung.
  • Falls möglich, direkt Screenshots und/oder ein Logauszug in der Mail anhängen.