Authenticator

added

• Hover-Effect to the navigation bar and renaming "Anmeldung" to "Home" for an improved UX
• New certificate for connectors
• Functionality test for HBA usage
• Option to disable IdP TLS verification in Mock Mode

fixed

• The "ClientView-Machine-Name"-variable is now being read properly
• Error handling improved for incorrectly formatted config files
• Save target directory for certificates has been fixed for central configuration
• Disable Devtool for production
• Prevent multiple entries in the Credential Manager

added:

• Migration for credentials from config.json to windows Credential Manager (only Standalone Installation)
• UserConsent dialog
• Input validation for proxy settings and allow-list
• FQDN support for proxy settings
• Authenticator checksum hash value for prod and mock versions
• SBOM (Software Bills of Material)
• Prod and Mock Version now both are signed
• Customisable timeout option for HTTP requests

fixed:

• Using axios as the HTTP client instead of fetch
• Config.json is now more readable
• Log-File is now more readable

security

• change Nodejs to Version 20
• Prod version no longer contains mock codes
• New signing certificate for Windows

bugfix

• Fixed Proxy Validation
• Fixed Logging issue

added

• Deactivation of OS proxy settings now requires mandatory Proxy Address and Port fields entries
• IP Validation added for Proxy Ignore List in Settings Page
• Sensitive data is now stored using the Credential Manager
• New Help page with informative links for better understanding

bugfix

• SMC-B flow crash after successful HBA flow issue fixed
• Improved URL parsing mechanism for accurate identification of host and path in IDP service
• Config.json storage path adjusted for specified ENV parameters
• Empty environment variable changes are now ignored
• Function tests now include only PU IDP endpoints
• Enhanced logic for IDP domain name definition

added

• Introduced XenDesktop support
• Added asterisks support for the Proxy setting "kein Proxy für"
• Introduced manual proxy settings
• Integrated VueJs 3 across the entire project
• Introduced a Save button after functional tests
• Opted out of creating a desktop icon during installation
• Made the app MacOS compatible (for development only)
• Prevented auto-updates on mock-versions

bugfix

• Streamlined "environment variables check" for more efficient handling
• Enhanced logic for retrieving the config path
• Refined deeplink validation mechanism
• Ensured case sensitivity handling for card types
• Correctly parsed string boolean values to actual booleans
• Removed redundant vue.config.js file from the project

security

• Each HBA now has a unique UserID

added:

• Implemented a new card type "MULTI" to login via HBA & SMC-B with one click
• The Authenticator now handles multiple authentication requests properly
• User-friendly error messages with hints to solve the problem

bugfix:

• The deinstallation process now works in all known cases

security:

• Include a security.md file
• Updated the packages

added:

• Support of windows server ( >= 2016 )
• P12-Certificates support combination of ECC & RSA 
• New error message, if HBA smart card is in use

bugfix:

• Clean deinstallation of authenticator
• Increased timeout of PU IDP TI

security:

• Updated packages

Bugfixes:

• Added CA Certificates for IDP internet and TI endpoint to Authenticator truststore (RU & PU)

added:

• Support for the new cardType parameter in Challenge Path
• Using the OS Truststore for auto redirect call

deprecated:

• Using the Person_ID and Institution_ID information for defining cardType in scope parameter of Challenge Path

fixed:

• Solve Jest bug with node 18
• The Authenticator appears in the foreground when multiple cards are found
• Fixed multiple instance issue

added:

• Packages and dependencies were updated

fixed:

• Bugfix in back- and foreground function of the Authenticator
• Bugfix function test while using TLS certificates

Fehlerbehebung:

• Behebung eines Fehlers in der Mock-Mode-Lokalisierung
• Behebung eines Fehlers innerhalb des Log-Levels
• Korrektur der erlaubten Protokolle

Features:

• Unterstützung von P12-Dateien (RSA) für die TLS-Authentifizierung
• Logs erweitert im Mock Modus
• VMWare Environment Variablen "VIEWCLIENT_MACHINE_NAME" werden aus der Registry gelesen
• Gestarteter Funktionstests kann abgebrochen werden
• Funktionstest kann ohne Abspeichern ausgeführt werden

Fehlerbehebung:

• Logging für Multi-Card-Szenarien reduziert + Fehlerhaftes Logging korrigiert
• Unterstützung "wandernde session" korrigiert (Refresh)
• User-Agent für auto-redirect wird mitgegeben
• Falsches ErroLog für Muli-Cards entfernt
• Zertifikatspfade beim Upload werden korrekt in config-File übernommen
• Laden von Default-Settings bei Erstinstallation
• Obsoleter Auth flow Prozess "OGR Flow" entfernt

• Unterstützung von mehreren parallel gesteckten HBAs

• Überarbeitung/Optimierung des Loggings

• Updates von Dependencies

• Content Security Policy hinzugefügt

• Optimierung der Sicherheitsaspekte des Authenticators (Electron-Anwendung)

Fehlerbehebung:

•  Korrekte Kodierung der Parameter eines Callbacks

• Neuer Button im Einstellungs-Dialog für die Erstellung eines ZIP-Files mit allen Logs des Authenticators 
• Multi-SMC-B Unterstützung mit Auswahl-Dialog für die zu verwendende SMC-B des Auth.Flow
• Verbesserter Umgang mit HBAs, deren Transport Pin aktiv ist. Eine neue Fehlermeldung wird angezeigt, die dabei hilft,  Karten mit aktiver Transport-Pin zu identifizieren.
• Tooltips für Felder im Einstellungs Dialog
• Localhost als Schnittstelle / Einstiegspunkt entfernt
• Link zur "Wissensdatenbank" im Funktionstest Dialog
• Redirect an Webapplication als Alternative zu BrowserOpen
• OAuth2 konforme Behandlung von IDP-Fehlern
• Mitsenden der error_uri und state im Fehlerfall
• Funktionstest logging der not valid Zertifikate

Fehlerbehebungen: 

• User Zertifikate gehen nicht mehr verloren nach einem Update
• UX : Spinner im Verbindungstest und bei Einfügen der Karte / Pin-Eingabe
• Fehlerkorrektur bei Citrix "wandernde sessions"
• Einstellungsdialog Fehlermeldungen optimiert
• Fix bei Installationsprozess

• Unterstützung eigener Proxy-Ignore Listen
• Prüfung hinzugefügt ob Zertifikate in Zertifikatspeicher gültig sind (C:\Programme\gematik Authenticator\resources\certs-idp & C:\Programme\gematik - Authenticator\resources\certs-konnektor)  
• Ausblenden der Versionsnummer in der Autenticator App und Anzeige nur per Tooltip
• Deaktivierung des deprecated lokalen Endpunkt (Port)

Fehlerbehebungen: 

• Bugfix zu "selbst signiertes Zertifikat in Zertifikatskette"
• Citrix: App stürzt ab, wenn das Konfigurationsverzeichnis nicht vorhanden war
• Citrix: Wenn die Speicheraktion wegen fehlender Schreibberechtigung fehlschlug, erhielt der Benutzer keine Reaktion
• Fehlerprotokollierung schlug bei HTTP-Fehlerfällen fehl
• UX: Konnektor-Einstellungen im Authenticator gingen in einer Sitzung verloren ( wenn der Mock-Modus aktiviert war )
• Deep Link Uri - Konformität zu RFC3986
• Abbrechen eines laufenden Auto-Update-Prozesses, wenn der Benutzer die Einstellungen ändert
• Fehlerhafte Kartenhandle-Verarbeitung bei nicht gesteckten Karten (HBA oder SMC-B)
• Umschalten zwischen der Auswahl "Zertifikat" und "Benutzername/Passwort" und umgekehrt sorgte dafür, dass die json-config nicht ausgelesen wurde
• Falscher Fehlercode beim Ändern der Einstellungen ClientID
• Die Mock-Version sollte alle bekannten IDPs erreichen und die Prod-Version die PU-IDP(s) im Funktionstest
• Falscher Ablauf nach Drücken der Schaltfläche "Abbrechen" im Dialog "PIN-Eingabe" bei Z-IDP
• Proxy PAC Files mit n Proxies für eine Url → den Proxy mit der höchsten Priorität verwenden
• Falscher ProxyAgent für Zieladresse
• Falscher http 302 Redirect zum Browser deaktiviert
• Telefonnummer im Impressum angepasst

Sicherheitsprobleme behoben:

• Keine Protokollierung sensibler Daten in der Mock-Version
• Unauthentifizierte Beeinträchtigung der lokalen Verfügbarkeit (z.B.: DoS mit CURL)

Bugfixes:

• userAgent zu Request Headern an IDP hinzugefügt

Features:

• Zentrale Konfigurationsmöglichkeit für dezentrale Installationen
• Konfigurierbare Auto-Update Funktion
• Nutzung von Port 39000 anstelle von Port 8000
• Konformitätsprüfung bei zertifikatsbasierter Authentisierung

Bugfixes:

• Besserer Schutz vor Man-In-The-Middle Angriffen
• Domänenspezifisches Fehlermanagement

Features:

• UI/UX Optimierung:
  • Ausbau der Scroll-Funktion
  • Abfrage per Dialog vor Speicherung der Settings
• Optimierung und Bereitstellung der Logs für die Mock-Variante bei der Kommunikation zwischen Authenticator und Konnektor bzw. IDP
• Optimierte Logausgaben für das Error-Loglevel
• Verbesserung der Funktionstests

Bugfixes:

• Unterbindung der Option zum Öffnen einer neuen Instanz des Authenticators per Tastenbefehl

Features:

• UI/UX Verbesserung für den Funktionstest und prüfen der Eingabefelder
• UI/UX Pfade des Schlüssels und des Zertifikats per Mouseover lesbar
• Verbesserte Ausgaben beim Funktionstest für ein erleichterte Fehleranalyse
• Bereitstellung einer Mock-Variante für Entwickler und Tester zusätzlich zur bisherigen Produktivversion mit höherem Loglevel (debug)
• Konfiguration der Zertifikate im Mockmodus per GUI
• Optimierte Logausgaben: u.a. ISO-Format für Zeitstempel
• Tailwind zu package.json hinzugefügt

Bugfixes:

• Kein dauerhaftes caching der connector.sds
• missing User-Agent
• sonstige Bugfixes

Fixed Security Issues:

• Schema Validierung der redirect_uri

• Proxy-Agent
• Bugfix Fokuswechsel
• User-Agent
• Code-Refactoring
• Bugfix bei Fehlercodeanzeige

• Mockmodus für Organspenderegister-IDP und zentralen-IDP für Entwickler und Tester
• Erweiterung des Authenticators um einen lokalen Webserverendpunkt als Alternative zum Deeplink
• Die FQDN-Prüfung des Authenticators gegen das Konnektorzertifikat ist in der aktuellen Version deaktiviert
• Fehlerbehebung bei der Zertifikatsverarbeitung.
• Der Authenticator nutzt ab dieser Version die Library GOT für die Netzwerkkommunikation.

• Unterstützung des zentralen IDP-Dienst: https://idp-ref.app.ti-dienste.de
• Unterstützung der Brainpool-Kurve (brainpoolP256r1)
• Verbesserung der UI
• Aktualisierung der Dependencies
• Allgemeine Fehlerbehebungen

Für OGR

• verbesserte Fehlerbehandlung im Zusammenhang mit Konnektoren
• Liste für die Zuordnung von Fehlercodes erstellt
• es erscheint jetzt ein Hinweis beim Speichern der Einstellungen
• Formatierung des Impressums optimiert
• sensitive Userdaten erscheinen nicht mehr im Log
• unnötige SOAP-Responses erscheinen nicht mehr im Log
• Bezeichnungen der Eingabefelder im Einstellungsmenü verbessert
• Bugfix: Remote VerifyPIN