eID, stat ako IdentityProvider a OAuth2

Smelo to tam zarad, na to to tam je.

Na IdeaHack boli minimálne 3 projekty týkajúce sa identifikácie/autentifikácie/autorizácie. (Jeden z nich môj.) Je teda jasné, že v tejto oblasti viacerí vidia nedostatok + sú tam ľahko dosiahnuteľné riešenia.
Aj preto by bola škoda ak sa to vyrieši systémom “kto vyhrá”. Táto téma by si zaslúžila - na začiatok - samostatný workshop, kde môže zaznieť každý relevantný názor/návrh. Toto som aj po akcii hovoril ľuďom z ÚPVII.

Ono však oblasť eID je doména najmä MV SR, ktoré je nadštandardne neochotné komunikovať o svojich zámeroch a riešenia nejako neprichádzajú. Pokiaľ viem, už aj začali pracovať na novej štúdii uskutočniteľnosti pre pokračovanie eID … interne, v štýle OPIS.

V pohode napíš konkrétne, najlepšie tu:

Pre mňa však akcia typu hackathon je práve o takých trocha uletených / naivných nápadoch - ktoré snáď pomôžu osviežiť pohľad na “ťažké” riešenia eGov, a teda hlavne o networkingu.

nebudem menovat konkretne, to nieje konstruktivny pristup. Ja som sa tu nechcel stazovat. Len ked sa ta no pozriem z hladiska value-for-money, tak mi je luto, ze to zapada prachom.

Ok, beriem.

Presne tak. Toto je rozhodne kľúčová téma pre ďalšie zmysluplné projekty a vyžadovalo by si to väčší tlak na zodpovedných čo sedia na prameni (informácie nie peniaze :slight_smile: ).

Nenasla som tu moznost zaradit tam priamo tento topic, tak som tam teda spravila novy:
Proof of Concept pre OAuth s eID

Tento ich vlastny clanok dava slusny nahlad na to co dodali Plaut - HP - Atos ku koncu roka 2013:
https://silicontrust.files.wordpress.com/2013/11/sn_the_vault_13_20131108_screen.pdf#page=7

Ja tomu rozumiem tak, ze sa moze sirit len za ucelom integracie s vedomim NASES.
Nestaci teda NASES upovedomit, ze ho tu chcete za ucelom integracie sirit?

Komplet opensource.

2 Likes

Oživím toto, kedže nám úplne paralelne došlo emailom návrh na toto:

Problém:
Každý kto by chcel využiť vo svojom systéme občiansky preukaz pre prihlasovanie, musí niečo naprogramovať a zároveň sa integrovať na ÚPVS. Teda musí:

  • naprogramovať komponenty komunikujúce s ÚPVS
  • vypracovať DIZ
  • absolvovať UAT
  • podpísať SLA
    Pritom 99% toho je v podstate stále dokola to isté. A komunikácia s ÚPVS je nočná mora.

Riešenie:
Vyrobiť a publikovať:

  • sadu knižníc ako opensource
  • vypracovať vzorový DIZ, SLA, UAT a ostatné dokumenty
  • zverejniť postup ako komunikovať s ÚPVS
  • dotlačiťť ÚPVS k tomu, aby takéto štandardizované riešenie pripájali „na bežiacom páse”

Cieľ:
Skoro ktokoľvek bude môcť do svojho systému zapracovať prihlasovanie cez eID. Mohlo by to dopomôcť k penetrácii eID medzi obyvateľstvo.

2 Likes

Z mojho pohladu je toto zaujimave, su dva smery:

  1. Vacsina casu je naozaj neuveritelna byrokracia s NASESom. To je naozaj no-go pre ludi co su zvyknuti na komercne API a zapajanie. Tu by malo zmysel proxy API, kde by sme napr. my vedeli poskytovat tuto sluzbu tak, ze naozaj “kliknes a mas”.
  2. Vyrobit OS balicek s papiermi, ktory by potom sa dal pouzit a NASES by ho expresne akceptoval. Tu vsak vidim trosku problem, lebo to bude minimalne zavisle od prog. jazyka v ktorom sa to napise. Cestou von by to bolo nejake lokalne oauth proxy, co si rozbehne clovek lokalne napr. v kontaineri a dalej funguje uz cez Oauth vo svojom oblubenom jazyku.

Co vy na to?

Ja by som len opätovne upozornil, že sú dva úplne odlišné scenáre:

  1. Autentifikácia pomocou eID vo svojom IS, ktorý s eGov nemá nič spoločné.
  2. Pripojiť sa k SSO pre eGov

.2. sa robí cez IAM ÚPVS
.1. sa robí cez AS MVSR

2.) Auth proxy je celkom standardne riesenie. Ak je podporovany OIDC standard, tak priklad kontajnerovo priatelskej auth proxy je https://github.com/gambol99/keycloak-proxy. Staci iba OIDC konfiguracia (client id, client secret, …) a zabezpecena aplikacia za proxy, moze citat udaje o autentifikovanom/autorizovanom pouzivatelovi z hlaviciek requestov. Je dostupna nejaka public OIDC client konfiguracia urcena na testovanie?

Iniciativa to nieje zla, ale ja si naozaj myslim, ze toto musi spravit poriadne stat. Jednoducho aby developer prisiel na slovensko.sk, prihlasil sa cez eID, vyplnit ziadol a obratom dostal svoje AppId na integraciu s eID identity providerom. Aspon testovaci pristup by takto mohol dostat. Vsetko ostatne je take malovanie na splesnetu stenu.

1 Like

Bod 2 je navrhnuty v SU PaaS co robi MVSR ako jeden z komponentov, ktory ma byt dodany v kontajneri a zaroven aj ako open source.

IAM ako OpenID, SAML2 a oAuth2 komponenty pre portálovú / webovú službu (napojiteľné na autentifikáciu pomocou eID) budú k dispozícii formou open source zdrojového kódu pre natívny PaaS, ktorý je k dispozícii na využitie či už vo forme zdrojového kódu alebo ako aplikačného komponentu poskytujúceho služby cez relevantné API (pričom aplikácia samotná bude k dispozícii vo forme kontajneru, ktorý si odberateľ služieb spustí). Bude integrované s centrálnymi bezp. prvkami cloudu (ako kontrola prestupov služieb, prístupov a IAM ktoré budú povinne používané každou vrstvou cloudu – IaaS, PaaS, SaaS)

https://wiki.finance.gov.sk/display/SU/SU-MD-PaaS-su_111

1 Like

Bude sa to obstaravat v jednom baliku? Lebo toto mi pride ako krasny komponentik co by vedeli dodat aj male firmy, bez nejakej brutalnej zabezpeky. Resp. keby MV / NASES k tomu niekoho pustili, tak to podla mna nemusia podla reakcii tu ani obstaravat ale vznikne to “samo”.

1 Like

Neviem povedat ako sa to bude obstaravat, nasa dodavka bola iba studia a tam sa takato informacia nenachadza. Ak mam povedat zo skusenosti, tak pocet obstaravani sa bude minimalizovat, lebo vela obstaravani = vela administrativy.

Idem off-topic (k tomuto vlaknu, hodi sa viac do MIRRI Pracovná skupina Verejné obstarávanie IKT): Velke monoliticke projekty boli jednym z konstatovanych negativ OPIS-u, kedze maju velky “failure rate” a/alebo “primaly pomer cena/vykon” (okrem mnohych dalsich nedostatkov).

Ak ale nadalej nechcu robit viac mensich obstaravani, ako sa chcu vyhnut opakovaniu zlych vysledkov OPIS-u? Spajanie X nesuvisiacich veci do velkych projektov skratka nabada na “zle riesenia”: lebo jasne ze “vsetko so vsetkym suvisi”, potom ale rastie komplexita do neudrzatelnych rozmerov a prave preto bola vymyslena modularizacia, vid napr. Modular programming - Wikipedia .

a tam to narazi na realitu vo. vies si predstavit ze spustis viacero vo, pricom staci aby zlyhalo jedno a cely projekt skonci neuspechom? a to pokracuje pri dodavke, cele riziko neuspechu sa prenesie na objednavatela,

1 Like

Mam to teda brat tak, ze sa obstaravanie a VO nijako nepouci z OPIS-u?

no mozno ano, ale tam treba zacat. Len dodam ze VO je problem zdaleka nie len v IT, a navyse to nie je dnes ani cisto slovensky problem.
A VO reagovalo na OPIS, metodicke usmernenia su prave dosledkom kontrol auditu z EU. Len nikto netusi ako vlastne spravne obstaravat, rizika skor narastli.