eID, stat ako IdentityProvider a OAuth2

Idem off-topic (k tomuto vlaknu, hodi sa viac do ÚPVII Pracovná skupina K9.2 Governance - Nákup IKT (podskupina)): Velke monoliticke projekty boli jednym z konstatovanych negativ OPIS-u, kedze maju velky “failure rate” a/alebo “primaly pomer cena/vykon” (okrem mnohych dalsich nedostatkov).

Ak ale nadalej nechcu robit viac mensich obstaravani, ako sa chcu vyhnut opakovaniu zlych vysledkov OPIS-u? Spajanie X nesuvisiacich veci do velkych projektov skratka nabada na “zle riesenia”: lebo jasne ze “vsetko so vsetkym suvisi”, potom ale rastie komplexita do neudrzatelnych rozmerov a prave preto bola vymyslena modularizacia, vid napr. https://en.wikipedia.org/wiki/Modular_programming#History .

a tam to narazi na realitu vo. vies si predstavit ze spustis viacero vo, pricom staci aby zlyhalo jedno a cely projekt skonci neuspechom? a to pokracuje pri dodavke, cele riziko neuspechu sa prenesie na objednavatela,

1 Like

Mam to teda brat tak, ze sa obstaravanie a VO nijako nepouci z OPIS-u?

no mozno ano, ale tam treba zacat. Len dodam ze VO je problem zdaleka nie len v IT, a navyse to nie je dnes ani cisto slovensky problem.
A VO reagovalo na OPIS, metodicke usmernenia su prave dosledkom kontrol auditu z EU. Len nikto netusi ako vlastne spravne obstaravat, rizika skor narastli.

V niektorych krajinach uz vidno aj ine reakcie na obdobne problemy - Obstarávanie agilných IT kontraktov v US

  • UVO neposobi proaktivne
  • UPVII nie je lidrom ktory by mal volu a schopnost tento problem riesit

Je angazovana odborna verejnost schopna vyriesit to aj bez politickej podpory?
Obavam sa, ze nie.

Ozivim to tu. Trochu sme to zacali posuvat a ozvali sa NASES aj MV ohladom tejto veci. Ponukli sme im dve veci:

  1. spravime opensource komponent, ktory bude pripraveny s komplet dokumentaciou + “papiermi” na rychle zbehnutie v NASES/MV. Komponent bude len nejake lahke oauth “proxy”, ktore zabali tu SAML enterprisovinu pod tym.
  2. tento komponent by sme zaroven chceli prevadzkovat ako sluzbu (pre ludi co nechcu udrziavat potrebnu infrastrukturu na to potrebnu - nie je to uplne sranda aj keby sme vsetky papiere pripravili).

NASES:

Poslali nam, ze od MV maju toto stanovisko, ale ze zistia viac:

„ Ak komerčné subjekty majú záujem o poskytovanie služieb, ku ktorým sa občan autentifikuje pomocou eID, majú osloviť Ministerstvo vnútra Slovenskej republiky so žiadosťou o ich zaregistrovanie na systém eID AS ako poskytovateľa služby. Týmto postupom je zabezpečená ich prezentácia používateľovi a voľba používateľa, ktoré osobné údaje poskytne pri vykonávaní autentifikácie a súlad s vyššie uvedenými princípmi.

K integrácii systémov eID AS a ÚPVS IAM bola podpísaná dohoda o integračnom zámere.

Subjektami dohody sú Ministerstvo vnútra Slovenskej republiky a Národná agentúra pre sieťové a elektronické služby. Presmerovanie možnosti autentifikácie na tretí subjekt nie je povolené“

Na co som sa ich spytal, ze ci vedia poskytnut WebSSO pre (pravnicke osoby) PO aspon pre pripad 1)

Odpoved:

V prípade že máte na mysli klasickú portálovú integráciu na WebSSo v roli Serviceprovidera táto sa PO poskytuje.

Uvediete do DIZ, otestujete v UAT a na produkcii Vám zaregistrujeme metadáta SP.

Priznam sa, ze v tomto momente som uplne zmateny, pre koho vlastne ta integracia pre pravnicke osoby ma sluzit. Zistujeme dalej:

MV:

Expresne odpovedali, ze im to mame prijst prezentovat v stredu 9.5. na MV. Tak tam teda pojdeme.

Nejake zelania?

4 Likes

4 posts were merged into an existing topic: GovBox

A post was merged into an existing topic: GovBox

NASES:

Aktuálny stav je taký že štandardné webSSo poskytujeme aj pre PO, no je možné že po vyjadrení MV SR na ktoré čakáme sa zmení možnosť poskytovania.
Z tohto dôvodu Vám momentálne nevieme poskytnúť jednoznačné stanovisko.

No zasa raz sme asi nieco pokazili lebo sa moc pytame. :frowning:

stare pravnicke pravidlo: nepytaj sa ak nepoznas odpoved :slight_smile:

Dnes sme boli s @lubor na MV.

Mala prezentacia co som tam dal je tu:

Kratke zhrnutie:

  • Pocet komercnych subjektov, co MV takto zapojilo doteraz je - wait for it - nula.
  • Nie su si vlastne isti, ci to mozu spravit. Hladaju legislativu za ci proti.
  • Zjednodusit integraciu a cely proces by vlastne chceli aj oni. Mozeme si zazelat.
  • Dostaneme stanovisko pre 1) standardne zapojenie tretej strany 2) ze by sme boli proxy auth sluzba my ako SD
  • NASES toto co poskytuje (WebSSO) robit podla nich pre tretie strany nemoze. :popcorn:
  • Ked toto budeme vediet potom riesme technicke detaily

Pre mna osobne je toto teda velmi prekvapive:

  1. Minimalne od januara roku 2016, tam od nas maju toto eID - objednávka na dorobenie
  2. Rozni politici tu neustale omielaju ako eID moze pouzivat aj komercia. To, ze nikoho este nezapojili mi pride velmi divne. Naozaj to nikto nechce?

Zaspominajme si na prezentacie k projektu https://www.minv.sk/?EID_MV

Studia k projektu EID z roku 2009

Dalsie kroky:

  • ak niekto najde niekde zmienku v legislative preco by to museli poskytovat, sem s nou.
  • tak tu integraciu teda ideme skusit prejst celu ako prvi pionieri
  • bude to asi na dlhsie

Poznamka pod ciarou pre @robert.kuchar :

Základnými kritériami pre voľbu riešenia boli bezpečnosť, jednoduchosť ich použitia z pohľadu
držiteľov (FO) a možnosť integrácie s občianskym preukazom a s preukazom poistenca.

cast_a_eid_kpmg.pdf (664.7 KB)

4 Likes

Amen tma …

Dakujem :smiley: (:blush::blush:) … ale vies, to mas tak, ze tam je taka fluktuacia a taka miera nezodpovednosti, ze o polroka si uz nik nepamata co bolo a preco bolo a rozvija vlastnu strategiu ,…

Zaujímavé, ale normálne api na eid nič.

1 Like

Kedze prisiel COVID19 a vsetci maju sediet doma, celkom by sa hodilo doriesit podpisovanie zmluv cez web a eID… Zakaznik si pozrie na webe navrh zmluvy, zvoli Podpisat, strci do citacky eID, zada kod, podpise PDF vyhotovenie zmluvy. Dodatocne prida podobnym postupom druha strana. V principe ked dobre citam, tento thread bol o tom, a zamrzlo to pred 2 rokmi na mrtvom bode kvoli nepruznosti NASES. Medzitym tam maju nove vedenie, neslo by to znovu rozbehnut? Alebo nejak inak vyriesit? Som ochotny prispiet na opensource projekt…

1 Like

Na toto nepotrebujes ziadnu sucinnost s NASES, komercne podpisovace funguju, staci ich vyuzit. Len potrebujes, aby to obe strany akceptovali a boli pripravene na archivaciu a tak.

1 Like

Ahojte, tiež sa vraciam k tomuto vláknu, lebo zdielam ideu eID ako IdentityProvider cez OAuth2. A v týchto časoch koronakrizy, sa ukazuje potreba tohto centralneho ID uzlu potrebnejši viac, ako kedykolvek predtým.
Rád by som s týmto pomohol

Technicky vzate OAuth2 je iba na autorizaciu. Takze by to mal byt Identity Provider kompatibilny az s Open ID Connect (OIDC) standardom (ktory je postaveny nad OAuth2), ktory je uz urceny na autentifikaciu a poskytne sirsie moznosti oproti OAuth2. Taktiez by bolo vhodne podporovat zaroven aj SAML, kedze je to (zial) este stale najpouzivanejsi SSO protokol pre “enterprise” aplikacie.

1 Like

Funkcia umožňujúca zdieľať dokument z elektronickej schránky s inou osobou za účelom podpisu je od minulého roka k dispozícii, viď návod:

1 Like

OAuth2 s Open ID Connect na slovensko.sk je už vo vývoji v NASES. Je to aj vo zverejnenom release pláne na slovensko.sk

3 Likes