DEV STS nefunkcny

Snazim sa ziskat SAML token z DEV STS. Zatial to len skusam a neviem ani presne ako sa prihlasuje a co vsetko k tomu potrebujem.

No zacal som len vlastne skusat, ze co sa mi vrati ak poslem request na DEV STS.
V manualoch je adresa https://authws.vyvoj.upvs.globaltel.sk/sts/wss11x509 ale akykolvek request na tu adresu skonci s 404. Skusal som GET, POST, HEAD, TRACE, …

A v portaly nie je spominana ziadna odstavka. Neviete o tom viac? Prebieha odstavka, alebo sa ta adresa zmenila?

Navyse by som asi potreboval aspon zrhruba nejaky popis toho co sa posiela na tu adresu. Alebo aspon ma nasmerovat kde by som to mohol zistit.

(na vytvorenie requestu pouzivam tuto kniznicu: https://github.com/mattbaird/gosaml)

Len otazka, NASES o tom vie, ze to skusas? Mas u nich zaregistrovane certifikaty na podpisovanie requestov?

Pravdaze o tom vie. Len mam dost nekompletne informacie.
Dostal som vlastne len pritupove udaje do toho partner framework portal a nerozumiem preco tie manualy pisu o tom, ze ako rozbehat STS server na .net a java.

Nestaci si len vypytat SAML token z STS a potom ho pripojit k soap requetu do niektoreho z modulov, s ktorym chcem komunikovat?

Takze mam vygenerovat certifikaty a poslat im ich na registraciu? A potom dalej? Nie je to DEV prostredie spravene tak, ze zatial tie certifikaty nepotrebujem a pouzivam tie v pf portal?

Ano, s tym, ze ten request treba podpisovat. Urcite to nie su tie kredenciale co sa pouzivaju pre nejaky PF portal. Resp. nerozumiem co su certifikaty v pf portali.

Je to standardizovany STS protokol nad SOAP-om z WS-Trust - http://docs.oasis-open.org/ws-sx/ws-trust/v1.4/ws-trust-1.4-spec-ed-01.html aj ked verzia moze byt ina, treba pozret WSDL.
Poziadavky na vydanie tokenu su popisane v WSDL jednotlivych sluzieb (pozri cast policy a IssuedToken), ktore ten token potrebuju, ale v principe su rovnake pre vsetky sluzby a pre kazdu sluzbu treba zvlast token, lebo je viazany na endpoint sluzby (url).
Naposledy ked som sa tomu venoval, tak mali dake chyby vo wsdl ta ich java implementacia tiez nebola moc funkcna, preto som napisal: UPVS - ukazkova integracia z javy

1 Like

Ani ja neviem presne naco tam su. A su tam bez akeho kolvek popisu.

/Integracia na UPSV/PO/certifikaty, je tam ca.slovensko.sk.zip a thawte.zip

@peterk pise ze to je protokol nad soapom, tj na HTTP request by to malo odpovedat. Neviete preto ta url nefunguje?

Tieto verejne certifikaty tam su aby tvoja aplikacia verila certifikatom, ktore su na deve, ktore su/boli podpisane prave tou ca.slovensko.sk. Ty potrebujes tvoje certifikaty aby si mohol podpisovat tvoje poziadavky na STS - nie https ale cez XML-DSig.

Ak ti mozem odporucit, zober si existujucu implementaciu ci uz tu moju javu alebo c# a pozeraj ake requesty sa posielaju. Podla toho skus namodelovat tvoje requesty - ja som to tak robil pre tu moju java implementaciu. Cele slovensko.sk je postavene nad c# a tam to funguje bez problemov, lebo c# ignoruje dake chyby vo wsdl, resp zle implementuje veci zo wsdl.

Ano je to HTTP, ak sa nemylim tak HTTPS, ale musis mat spravny soap request (cez POST), alebo tam bola moznost stiahnut wsdl. Teraz to skusam, ale ma to redirectuje na slovensko.sk tak neviem ci sa linka nezmenila.

Uz som si pozeral tie zrojaky co si prilozil tomu postu. tam sa tiez odkazujes na tu url v UpvsIntegrationApplication.java:

factory.setStsEndpointLocation("https://authws.vyvoj.upvs.globaltel.sk/sts/wss11x509");

Funguje ti este ta aplikacia? Ako sa to da spustit?

Ak sa ta linka zmenila, tak by to asi mohlo byt niekde v tych manualoch. Mozno tam nie su aktualne verzie tych dokumentov.

Spustit sa to da cez “mvn spring-boot:run”, ale neviem ake mas skusenosti s javou.

Ja som sa odstahoval z slovenska a upvs som pustil z hlavy, tak som stratil prehlad… Naposledy som to skusal v aprili a vtedy to slo.
Ak poziadas o integraciu, tak kedysi posielali taky celkom dlhy email aj s urlkami na sluzby, tak skus este to pozriet (ak to poslali), a boli tam informacie ako kontaktovat ich helpdesk (email). To bolo pred pol rokom, vtedy sme mali aj jedno stretnutie v NASES-e s @jsuchal a slubili dake zmeny, bohuzial neviem ako to dopadlo, lebo ako som pisal som sa odstahoval doprec.

Diki, s javou som uz dlho nic nerobil. Naposledy ked sa este veci buildovali len s javac.

No neide to spustit. Asi tam niekde treba dat moj certifikat ze?

[ERROR] Failed to execute goal org.springframework.boot:spring-boot-maven-plugin:1.4.1.
RELEASE:run (default-cli) on project upvsintegration-cxf: An exception occurred while running. null: 
InvocationTargetException: Failed to execute CommandLineRunner: 
No certificates for user "tech.xxxx.upvsdev.ext.xxxx" were found for signature -> [Help 1]

No a problem je v tom, ze nie ja som vybavoval integraciu. Mne dali len pristupove udaje do toho portalu a mam nejak rozbehat komunikaciu s eDeskom.

@jsuchal Ale aj tak si myslim, ze ta url by mala aspon odpovedat s 400 Bad Request, a nie 404. Skusal som aj komunikaciu s EKR a odtial mi to normalne odpovedalo (len to bol SOAP fault, pretoze som nebol autentifikovany, ale aspon nie 404)

Pristup do PF nestaci, je potrebne formalne zacat integraciu, potom si vygenerujes certifikat pre technickeho pouzivatela a posles im verejnu cast.
Privatnu potom potrebujes na to spominane podpisanie, ta chyba z javy, je presne to ze chyba privatna cast - ked ju budes mat treba ju cez java keytool importnut do .jks suboru, ktory ta appka cita.

K vypadkom na deve, dev prostredie je prevadzkovane nie nasesom ale globaltelom (officialny dodavatel). Sluzi to ako na vyvoj novych intergracii tak aj na vyvoj UPVS samotneho, takze tam su casto vypadky a nikde nie zarucena dostupnost, takze tam sa vypadky ani neoznamuju. Dokonca tam niektore veci funguju trocha inak alebo vobec (podpisovanie cez CEP modul napr)

2 Likes

ano, potvrdzujem ze potrebujes mat zaregistrovaneho tech. pouzivatela naparovaneho na konkretnu identitu. voci STS sa potom autentifikujes klientskym certifikatom (private key).

Skusam to teraz s inou kniznicou, (na certifikatoch sa pracuje a hadam ich za nedlho dostanem), zatial pouzivam len vlastne certifikaty, ktore som si vygeneroval. Dufal som ze mi endpoint odpovie aspon, ze nepozna taky certifikat. Davam tej kniznici url na metadata https://auth.vyvoj.upvs.globaltel.sk/fed/idp/metadata

Tam je tento element:

<md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://auth.vyvoj.upvs.globaltel.sk/fed/idp/samlv20"/>

Cize endpoint: https://auth.vyvoj.upvs.globaltel.sk/fed/idp/samlv20
Ale ani tento endpoint nefunguje. Sice neodpovie 404 ale cokolvek tam poslem skonci s 500. To je v poriadku? Nemal by skor odpovedat 400 Bad Request?

IDP sluzi len na WebSSO - prihlasenie pouzivatelov. To nema s STS skoro nic spolocne - okrem vydania SAML tokenu.

Pri UPVS som si proste zvykol, ze veci nie vzdy funguju ako maju - ci 400 alebo 500, to nie je dolezite, lebo robis nieco zle. Ako som spominal je to cele robene pre C#, tam to funguje, vsade inde to treba ladit a hrat sa s tym (ako ta java napr). Je to take na… no proste nie vyvojarsky prijemne a je dost tazke stym zacat normalne pracovat, obzlast bez ziadnej pomoci. A to si zatial videl len STS, respektive nevidel :slight_smile:

Ale vseobecne ak si presiel vsetko z integracnych scenarov a relevatnych integracnych manualov a nenachadzas v nich odpovede, tak najlepsie co mozes pre seba spravit je kontaktovat helpdesk nasesu. Inak prijdes o dusevne zdravie, cas a zdravy pohlad na svet. Kontakt je to bud v integracnych scenaroch alebo vo vseobecnom popise integracie.

myslim, ze bez korektnych certifikatov sa nepohnes dalej. a na to ci je status kod korektny nehlad.

takze problemom je IAM modul na DEV prostredi UPVS, ktory sa uz vyse tyzdna migruje na novu verziu.

1 Like