19.12.2024 - behoben - Störung sektoraler Identity Provider (sek IDP KTR) - T-Systems International GmbH:
Mehr erfahren

18.12.2024 - Wartungsarbeiten im Bereich der elektronischen Patientenakte (ePA), Versicherten Stammdaten Management (VSDM) und Trust Service Provider (TSP) des Betreibers BITMARCK Technik:
Mehr erfahren

12.12.2024 - Wartungsarbeiten DWH & TI-Lagebild, 19.12 ab 14 Uhr: Aufgrund von Wartungsarbeiten steht das Data Warehouse und TI-Lagebild der gematik am 19.12.2024 ab 14:00 Uhr nur eingeschränkt zur Verfügung.
Mehr erfahren

12.12.2024 - Wartungsarbeiten im Bereich Kommunikation im Medizinwesen (KIM): Die akquinet health service GmbH wird vom Dienstag, den 17.12.2024 auf Mittwoch 18.12.2024 in der Zeit von 22:00 Uhr bis 02:00 Uhr Wartungsarbeiten am KIM-Fachdienst durchführen.
Mehr erfahren

Komponenten & Dienste

Authenticator

Das Tool zur sicheren Authentifizierung für digitale Anwendungen des Gesundheitswesens

Was ist der Authenticator?

Seine Hauptaufgabe ist die sichere Authentisierung von Nutzern zur Anmeldung an digitalen Gesundheits-Anwendungen.
Er authentisiert berechtigte Ärzte oder medizinisches Personal und gewährt diesen Zugriff auf die jeweilige Anwendung. Damit stellt der Authenticator für eine Vielzahl von TI-Anwendungen die Möglichkeit zur sicheren Authentifizierung bereit.    

Der Authenticator erhöht somit die Möglichkeiten, die Telematikinfrastruktur im gesamten Gesundheitssektor in Anspruch zu nehmen.

Er ist das Bindeglied zwischen TI 1.0-Komponenten und webbasierten Fach-Anwendungen und bildet ebenso die Brückentechnologie zu einer offenen TI 2.0.

Der Authenticator wird neben WANDA – also den Weiteren Anwendungen für den Datenaustausch – auch bei Anwendungen wie dem TI-Messenger oder dem Deutschen Elektronischen Melde- und Informationssystem für den Infektionsschutz (kurz DEMIS) als Produktfeature integriert. 

Welche Anwendungen mit Authenticator-Einsatz sind aktuell im Einsatz? 

Anwendung

Betreiber

Einsatzoption

Primär-Sektor (Nutzer)

Karte

Scope

Links

Zentrales Vorsorgeregisters

Bundesnotarkammer

Freiwillig

Ambulant + Stationär

HBA

Das Zentrale Vorsorgeregister dient dazu, Betreuungsgerichte über das Vorhandensein von Vorsorgeverfügungen zu informieren. Dadurch sollen unnötige Betreuungsverfahren effektiv vermieden werden. Im Zentralen Vorsorgeregister können Vorsorgevollmachten , Betreuungsverfügungen und Patientenverfügungen registriert werden. Zur berechtigungsspezifischen Authentifizierung der Web-Anwendung des Zentralen Vorsorgeregisters wird auf den gematik Authenticator zurückgegriffen.

https://www.vorsorgeregister.de/

Betäubungsmittelrezept (eBTM)

BfArM

Freiwillig

Ambulant

HBA

Die Bundesoptiumstelle des BfArM überwacht den legalen Betäubungsmittelverkehr. Berechtigte Ärzte(-Praxen) können aktuell entsprechende Rezeptvordrucke via Formular beim BfArM bestellen. Ein neu gestalteter Prozess bietet die Möglichkeit, die Bestellung der Rezeptvordrucke auch digital vorzunehmen. Berechtigte Praxen müssen dann eine entsprechende Authentifizierung via eHBA und SMC-B vornehmen. Hierzu wird der gematik Authenticator als Lösungsoption in die Web-Anwendung (WANDA) integriert.

https://www.bfarm.de/DE/Bundesopiumstelle/Betaeubungsmittel/BtM-Rezepte-Verschreibung/_node.html

DEMIS

RKI

Pflicht

Ambulant + Stationär

SMC-B

Mit dem Deutschen Elektronischen Melde- und Informationssystem für den Infektionsschutz (DEMIS) wird das existierende Meldesystem für Infektionskrankheiten gemäß Infektionsschutzgesetz (IfSG) weiterentwickelt und verbessert. Insbesondere wird – beginnend bei den Meldenden (Ärztinnen und Ärzte, Labore, andere) – eine durchgängig elektronische Informationsverarbeitung ermöglicht. Dadurch soll der Aufwand für die Meldenden und die zuständigen Behörden reduziert werden und Informationen zu auftretenden Infektionskrankheiten können künftig schneller bei den Verantwortlichen in den Gesundheitsämtern, den zuständigen Landesbehörden und am RKI vorliegen. Weiterhin werden die Zusammenarbeit der Beteiligten und der Datenaustausch zwischen ihnen besser unterstützt, sodass auch große Infektionsereignisse effektiver bearbeitet werden können. 

https://www.rki.de/DE/Content/Infekt/IfSG/DEMIS/DEMIS_node.html

Organspenderegister

BfArM

Pflicht

Stationär (Entnahmekrankenhäuser)

HBA + SMC-B

Das Register für Erklärungen zur Organ- und Gewebespende (Organspende-Register) ist ein zentrales elektronisches Verzeichnis, in dem die Entscheidung für oder gegen eine Organ- und Gewebespende festgehalten werden kann. Der Eintrag ist freiwillig und kostenlos. Er kann jederzeit geändert oder widerrufen werden. Zur Authentifizierung bei der Web-Anwendung wird auf die Authentifizierungslösung der gematik zurückgegriffen. 

https://organspende-register.de/erklaerendenportal/

Implantateregister

BMG

Pflicht

Stationär

SMC-B

Das Gesetz zur Errichtung des Implantateregister Deutschland (Implantateregister-Errichtungsgesetz – EIRD) schafft die rechtlichen Voraussetzungen für die Errichtung eines verbindlichen bundesweiten Implantateregister (IRD) geschaffen. Die gematik unterstützt das Vorhaben durch Fachlich-technische Expertise, damit eine erfolgreiche Nutzung der Telematikinfrastruktur gegeben ist. Ferner wird für die Anmeldung an der Web-Anwendung auf die Authentifizierungslösung der gematik zurückgegriffen.

https://www.bundesgesundheitsministerium.de/implantateregister-deutschland

 

Was ist notwendig für die Nutzung des Authenticators?

Damit der Authenticator für entsprechende Anwendungen betrieben werden kann, ist die Installation der Software sowie die einmalige Administration der Einstellungen durch einen Dienstleister vor Ort oder Administrator des Instituts notwendig.

Wie funktioniert der Authenticator

Der Authenticator ist eine Desktop-Anwendung mit grafischer Benutzerschnittstelle, welche aktuell unter Windows lauffähig ist und aus Anwendungen (typisch: Web-Anwendungen) heraus aufgerufen wird. Der Authenticator ist somit eine Anwendung für das Authentifizierungsverfahren und muss daher als Schnittstelle fest in die Fachanwendung eingebunden werden.

  1. Über einen Anmeldeprozess innerhalb der Web-Anwendung wird der Authenticator gestartet, um für den Nutzer den Anmeldeprozess durchzuführen.
  2. Die Anfrage in der Fachanwendung löst den Authentifizierungsprozess aus.
  3. Je nachdem, ob die Anmeldung über HBA oder SMC-B erfolgt, wird via Konnektor ein entsprechendes Zertifikat abgefragt.
  4. Prüfung, ob die entsprechende Karte gesteckt ist. Falls nicht, wird aufgefordert, die Karte zu stecken.
  5. Der Nutzer muss eine PIN eingeben, die ihm eindeutig zugeordnet ist.
  6. Daraufhin erfolgt eine Überprüfung durch einen externen Identitäts-Dienst.
  7. Ist die Überprüfung erfolgreich, kehrt der Nutzer in die Fachanwendung zurück und kann darin arbeiten.

Roadmap

Download

Die neue Version des Authenticators steht über das gematik Sharepoint zum Download bereit. Dort finden Sie die Binärdistribution (Installer) sowie das Installationshandbuch und weitere Informationen.

Hinweis: In jeder Authenticator Version finden Sie zusätzlich eine Test-Version des Authenticators. Die Test-Version ist für Entwickler und nicht für den Produktivbetrieb zugelassen. Bei dieser Test-Version findet keine Zertifikatsprüfung statt.

Authenticator @ GitHub

Das Repository für den gematik Authenticator

zur Seite

Hinweis: Sie möchten zukünftig über Versionsupdates des Authenticators automatisch per Mail benachrichtigt werden? Dann nutzen Sie einfach die neue Abonnement-Funktion über das Fachportal, welches sie innerhalb dieser Seite über den Button im oberem rechten Fenster "Seite abonnieren" auffinden können.

Releasenotes

VersionÄnderungenDatum
4.13.2

fixed

  • Certificate repair functionality
  • Using own trust store
26.11.2024
4.13.1

fixed

  • Read and copy certificates correctly in the UI
18.10.2024
4.13.0

fixed

  • Added CLIENTNAME to the exposed environment variables
  • Change certificate retrieval logic
  • Remove Konnektorfarm-Code from the production version
  • Pending card insert dialog is now closed when more than one smartcard is found

Security

  • Add patch file in dot-object because of security vulnerability
09.10.2024
4.12.0

Added

  • ECC support for HBA and SMC-B (starting from G2.1), ECC signing in Mock-Mode, No support for ECC TLS to the connector
  • Improved logging messages for SMC-B card login
  • SMC-B PIN verification without requesting it in the authenticator
  • Use Windows and Mac OS certificate stores for certificate validation
  • Display invalid certificates in function tests
  • Enhanced user experience by indicating unsaved changes in the settings form
  • Automatic copying of test-cases.json and certificates to appropriate locations on macOS

fixed

  • Implemented hard-coded log steps to avoid duplication
  • Timeout parameter now accepts only positive values
  • Authentication flow now cancels pending second flow if the first flow encounters an error
  • Default timeout parameter set to 30 seconds (30000ms)
  • Reduced auto-update log entries
  • Relevant error messages now displayed when connector connection fails
  • Fixed bug related to directory creation during save actions

security

  • Replaced dependency is-fqdn with is-valid-domain to prevent security vulnerabilities
  • Limited exposure of environment variables to only the necessary ones
  • Updated dependencies for enhanced security
19.08.2024
4.11.0

added

  • Action-Buttons on the Settings-Screen now stay in the view while scrolling in order to enhance our UX
  • Set default connector port to 443
  • Default-configuration feature

fixed

  • Prioritize the read environment variable logic to read the correct config.json file on startup
  • Clean application files properly after uninstalling

security

  • Prevent starting Authenticator with remote-debugging parameters
03.05.2024
4.10.0

added

  • Hover-Effect to the navigation bar and renaming "Anmeldung" to "Home" for an improved UX
  • New certificate for connectors
  • Functionality test for HBA usage
  • Option to disable IdP TLS verification in Mock Mode

fixed

  • The "ClientView-Machine-Name"-variable is now being read properly
  • Error handling improved for incorrectly formatted config files
  • Save target directory for certificates has been fixed for central configuration
  • Disable Devtool for production
  • Prevent multiple entries in the Credential Manager
07.03.2024
4.9.0

added

  • Migration for credentials from config.json to windows Credential Manager (only Standalone Installation)
  • UserConsent dialog
  • Input validation for proxy settings and allow-list
  • FQDN support for proxy settings
  • Authenticator checksum hash value for prod and mock versions
  • SBOM (Software Bills of Material)
  • Prod and Mock Version now both are signed
  • Customisable timeout option for HTTP requests

fixed

  • Using axios as the HTTP client instead of fetch
  • Config.json is now more readable
  • Log-File is now more readable

security

  • change Nodejs to Version 20
  • Prod version no longer contains mock codes
  • New signing certificate for Windows
13.02.2024
4.8.1

bugfix

  • Fixed Proxy Validation
  • Fixed Logging issue
13.12.2023
4.8.0

added

  • Deactivation of OS proxy settings now requires mandatory Proxy Address and Port fields entries
  • IP Validation added for Proxy Ignore List in Settings Page
  • Sensitive data is now stored using the Credential Manager
  • New Help page with informative links for better understanding

bugfix

  • SMC-B flow crash after successful HBA flow issue fixed
  • Improved URL parsing mechanism for accurate identification of host and path in IDP service
  • Config.json storage path adjusted for specified ENV parameters
  • Empty environment variable changes are now ignored
  • Function tests now include only PU IDP endpoints
  • Enhanced logic for IDP domain name definition
05.12.2023
4.7.0

added

  • Introduced XenDesktop support
  • Added asterisks support for the Proxy setting "kein Proxy für"
  • Introduced manual proxy settings
  • Integrated VueJs 3 across the entire project
  • Introduced a Save button after functional tests
  • Opted out of creating a desktop icon during installation
  • Made the app MacOS compatible (for development only)
  • Prevented auto-updates on mock-versions

bugfix

  • Streamlined "environment variables check" for more efficient handling
  • Enhanced logic for retrieving the config path
  • Refined deeplink validation mechanism
  • Ensured case sensitivity handling for card types
  • Correctly parsed string boolean values to actual booleans
  • Removed redundant vue.config.js file from the project

security

  • Each HBA now has a unique UserID
01.11.2023
4.6.0

added

  • Implemented a new card type "MULTI" to login via HBA & SMC-B with one click
  • The Authenticator now handles multiple authentication requests properly
  • User-friendly error messages with hints to solve the problem

bugfix

  • The deinstallation process now works in all known cases

security

  • Include a security.md file
  • Updated the packages
06.09.2023
4.5.0

added

  • Support of windows server ( >= 2016 )
  • P12-Certificates support combination of ECC & RSA
  • New error message, if HBA smart card is in use

bugfix

  • Clean deinstallation of authenticator
  • Increased timeout of PU IDP TI

security

  • Updated packages
08.08.2023
4.4.1

bugfix

  • Added CA Certificates for IDP internet and TI endpoint to Authenticator truststore (RU & PU)
18.07.2023
4.4.0

added

  • Support for the new cardType parameter in Challenge Path
  • Using the OS Truststore for auto redirect call

deprecated

  • Using the Person_ID and Institution_ID information for defining cardType in scope parameter of Challenge Path

fixed

  • Solve Jest bug with node 18
  • The Authenticator appears in the foreground when multiple cards are found
  • Fixed multiple instance issue
07.07.2023
4.3.0

added

  • Packages and dependencies were updated

fixed

  • Bugfix in back- and foreground function of the Authenticator
  • Bugfix function test while using TLS certificates
08.06.2023
4.2.1

Fehlerbehebung

  • Behebung eines Fehlers in der Mock-Mode-Lokalisierung
  • Behebung eines Fehlers innerhalb des Log-Levels
  • Korrektur der erlaubten Protokolle
25.05.2023
4.2.0

Features

  • Unterstützung von P12-Dateien (RSA) für die TLS-Authentifizierung
  • Logs erweitert im Mock Modus
  • VMWare Environment Variablen "VIEWCLIENT_MACHINE_NAME" werden aus der Registry gelesen
  • Gestarteter Funktionstests kann abgebrochen werden
  • Funktionstest kann ohne Abspeichern ausgeführt werden

Fehlerbehebung

  • Logging für Multi-Card-Szenarien reduziert + Fehlerhaftes Logging korrigiert
  • Unterstützung "wandernde session" korrigiert (Refresh)
  • User-Agent für auto-redirect wird mitgegeben
  • Falsches ErroLog für Muli-Cards entfernt
  • Zertifikatspfade beim Upload werden korrekt in config-File übernommen
  • Laden von Default-Settings bei Erstinstallation
  • Obsoleter Auth flow Prozess "OGR Flow" entfernt
15.05.2023
4.1.0

added

  • Unterstützung von mehreren parallel gesteckten HBAs
  • Überarbeitung/Optimierung des Loggings
  • Updates von Dependencies
  • Content Security Policy hinzugefügt
  • Optimierung der Sicherheitsaspekte des Authenticators (Electron-Anwendung)

fixed

  •  Korrekte Kodierung der Parameter eines Callbacks
11.04.2023
4.0.0

added

  • Neuer Button im Einstellungs-Dialog für die Erstellung eines ZIP-Files mit allen Logs des Authenticators
  • Multi-SMC-B Unterstützung mit Auswahl-Dialog für die zu verwendende SMC-B des Auth.Flow
  • Verbesserter Umgang mit HBAs, deren Transport Pin aktiv ist. Eine neue Fehlermeldung wird angezeigt, die dabei hilft,  Karten mit aktiver Transport-Pin zu identifizieren.
  • Tooltips für Felder im Einstellungs Dialog
  • Localhost als Schnittstelle / Einstiegspunkt entfernt
  • Link zur "Wissensdatenbank" im Funktionstest Dialog
  • Redirect an Webapplication als Alternative zu BrowserOpen
  • OAuth2 konforme Behandlung von IDP-Fehlern
  • Mitsenden der error_uri und state im Fehlerfall
  • Funktionstest logging der not valid Zertifikate

fixed

  • User Zertifikate gehen nicht mehr verloren nach einem Update
  • UX : Spinner im Verbindungstest und bei Einfügen der Karte / Pin-Eingabe
  • Fehlerkorrektur bei Citrix "wandernde sessions"
  • Einstellungsdialog Fehlermeldungen optimiert
  • Fix bei Installationsprozess
23.03.2023
3.1.0

added

  • Unterstützung eigener Proxy-Ignore Listen
  • Prüfung hinzugefügt ob Zertifikate in Zertifikatspeicher gültig sind (C:\Programme\gematik Authenticator\resources\certs-idp & C:\Programme\gematik - Authenticator\resources\certs-konnektor)  
  • Ausblenden der Versionsnummer in der Autenticator App und Anzeige nur per Tooltip
  • Deaktivierung des deprecated lokalen Endpunkt (Port)


fixed 

  • Bugfix zu "selbst signiertes Zertifikat in Zertifikatskette"
  • Citrix: App stürzt ab, wenn das Konfigurationsverzeichnis nicht vorhanden war
  • Citrix: Wenn die Speicheraktion wegen fehlender Schreibberechtigung fehlschlug, erhielt der Benutzer keine Reaktion
  • Fehlerprotokollierung schlug bei HTTP-Fehlerfällen fehl
  • UX: Konnektor-Einstellungen im Authenticator gingen in einer Sitzung verloren ( wenn der Mock-Modus aktiviert war )
  • Deep Link Uri - Konformität zu RFC3986
  • Abbrechen eines laufenden Auto-Update-Prozesses, wenn der Benutzer die Einstellungen ändert
  • Fehlerhafte Kartenhandle-Verarbeitung bei nicht gesteckten Karten (HBA oder SMC-B)
  • Umschalten zwischen der Auswahl "Zertifikat" und "Benutzername/Passwort" und umgekehrt sorgte dafür, dass die json-config nicht ausgelesen wurde
  • Falscher Fehlercode beim Ändern der Einstellungen ClientID
  • Die Mock-Version sollte alle bekannten IDPs erreichen und die Prod-Version die PU-IDP(s) im Funktionstest
  • Falscher Ablauf nach Drücken der Schaltfläche "Abbrechen" im Dialog "PIN-Eingabe" bei Z-IDP
  • Proxy PAC Files mit n Proxies für eine Url → den Proxy mit der höchsten Priorität verwenden
  • Falscher ProxyAgent für Zieladresse
  • Falscher http 302 Redirect zum Browser deaktiviert
  • Telefonnummer im Impressum angepasst

security

  • Keine Protokollierung sensibler Daten in der Mock-Version
  • Unauthentifizierte Beeinträchtigung der lokalen Verfügbarkeit (z.B.: DoS mit CURL)
09.02.2023
3.0.1

fixed 

  • userAgent zu Request Headern an IDP hinzugefügt
08.12.2022
3.0.0

added

  • Zentrale Konfigurationsmöglichkeit für dezentrale Installationen
  • Konfigurierbare Auto-Update Funktion
  • Nutzung von Port 39000 anstelle von Port 8000
  • Konformitätsprüfung bei zertifikatsbasierter Authentisierung

fixed 

  • Besserer Schutz vor Man-In-The-Middle Angriffen
  • Domänenspezifisches Fehlermanagement
30.11.2022
2.4.0

added

  • UI/UX Optimierung:
    • Ausbau der Scroll-Funktion
    • Abfrage per Dialog vor Speicherung der Settings
  • Optimierung und Bereitstellung der Logs für die Mock-Variante bei der Kommunikation zwischen Authenticator und Konnektor bzw. IDP
  • Optimierte Logausgaben für das Error-Loglevel
  • Verbesserung der Funktionstests

fixed 

  • Unterbindung der Option zum Öffnen einer neuen Instanz des Authenticators per Tastenbefehl
17.10.2022
2.3.0

added

  • UI/UX Verbesserung für den Funktionstest und prüfen der Eingabefelder
  • UI/UX Pfade des Schlüssels und des Zertifikats per Mouseover lesbar
  • Verbesserte Ausgaben beim Funktionstest für ein erleichterte Fehleranalyse
  • Bereitstellung einer Mock-Variante für Entwickler und Tester zusätzlich zur bisherigen Produktivversion mit höherem Loglevel (debug)
  • Konfiguration der Zertifikate im Mockmodus per GUI
  • Optimierte Logausgaben: u.a. ISO-Format für Zeitstempel
  • Tailwind zu package.json hinzugefügt

fixed 

  • Kein dauerhaftes caching der connector.sds
  • missing User-Agent
  • sonstige Bugfixes

security

  • Schema Validierung der redirect_uri
15.09.2022
2.2.0

added

  • Proxy-Agent
  • Bugfix Fokuswechsel
  • User-Agent
  • Code-Refactoring
  • Bugfix bei Fehlercodeanzeige
29.07.2022
2.1.0
  • Mockmodus für Organspenderegister-IDP und zentralen-IDP für Entwickler und Tester
  • Erweiterung des Authenticators um einen lokalen Webserverendpunkt als Alternative zum Deeplink
  • Die FQDN-Prüfung des Authenticators gegen das Konnektorzertifikat ist in der aktuellen Version deaktiviert
  • Fehlerbehebung bei der Zertifikatsverarbeitung.
  • Der Authenticator nutzt ab dieser Version die Library GOT für die Netzwerkkommunikation.
08.07.2022
2.0.0
  • Unterstützung des zentralen IDP-Dienst: https://idp-ref.app.ti-dienste.de
  • Unterstützung der Brainpool-Kurve (brainpoolP256r1)
  • Verbesserung der UI
  • Aktualisierung der Dependencies
  • Allgemeine Fehlerbehebungen
20.06.2022
1.0.1

Für OGR

  • verbesserte Fehlerbehandlung im Zusammenhang mit Konnektoren
  • Liste für die Zuordnung von Fehlercodes erstellt
  • es erscheint jetzt ein Hinweis beim Speichern der Einstellungen
  • Formatierung des Impressums optimiert
  • sensitive Userdaten erscheinen nicht mehr im Log
  • unnötige SOAP-Responses erscheinen nicht mehr im Log
  • Bezeichnungen der Eingabefelder im Einstellungsmenü verbessert
  • Bugfix: Remote VerifyPIN
04.03.2022

Weiterführende Dokumente

Weiterführende Informationen

Sie haben Fragen zum Authenticator?

Für die Klärung technischer Fragen ist das Expertenteam des gematik Authenticator Ihr kompetenter Ansprechpartner.

Gern beantwortet die gematik Ihre Fragen. Sie erreichen uns über das Anfrageportal oder per Mail.

Um Ihnen bei ihren Fragen oder Störungen am schnellsten weiterhelfen zu können, bitten wir Sie (falls möglich), folgende Informationen in der E-Mail zu hinterlegen:

  • Welche Version des Authenticators ist im Einsatz?
  • Für welche Anwendung wird der Authenticator genutzt?
  • Kurze Problembeschreibung.
  • Falls möglich, direkt Screenshots und/oder ein Logauszug in der Mail anhängen.