eID, stat ako IdentityProvider a OAuth2

Ozivim to tu. Trochu sme to zacali posuvat a ozvali sa NASES aj MV ohladom tejto veci. Ponukli sme im dve veci:

  1. spravime opensource komponent, ktory bude pripraveny s komplet dokumentaciou + “papiermi” na rychle zbehnutie v NASES/MV. Komponent bude len nejake lahke oauth “proxy”, ktore zabali tu SAML enterprisovinu pod tym.
  2. tento komponent by sme zaroven chceli prevadzkovat ako sluzbu (pre ludi co nechcu udrziavat potrebnu infrastrukturu na to potrebnu - nie je to uplne sranda aj keby sme vsetky papiere pripravili).

NASES:

Poslali nam, ze od MV maju toto stanovisko, ale ze zistia viac:

„ Ak komerčné subjekty majú záujem o poskytovanie služieb, ku ktorým sa občan autentifikuje pomocou eID, majú osloviť Ministerstvo vnútra Slovenskej republiky so žiadosťou o ich zaregistrovanie na systém eID AS ako poskytovateľa služby. Týmto postupom je zabezpečená ich prezentácia používateľovi a voľba používateľa, ktoré osobné údaje poskytne pri vykonávaní autentifikácie a súlad s vyššie uvedenými princípmi.

K integrácii systémov eID AS a ÚPVS IAM bola podpísaná dohoda o integračnom zámere.

Subjektami dohody sú Ministerstvo vnútra Slovenskej republiky a Národná agentúra pre sieťové a elektronické služby. Presmerovanie možnosti autentifikácie na tretí subjekt nie je povolené“

Na co som sa ich spytal, ze ci vedia poskytnut WebSSO pre (pravnicke osoby) PO aspon pre pripad 1)

Odpoved:

V prípade že máte na mysli klasickú portálovú integráciu na WebSSo v roli Serviceprovidera táto sa PO poskytuje.

Uvediete do DIZ, otestujete v UAT a na produkcii Vám zaregistrujeme metadáta SP.

Priznam sa, ze v tomto momente som uplne zmateny, pre koho vlastne ta integracia pre pravnicke osoby ma sluzit. Zistujeme dalej:

MV:

Expresne odpovedali, ze im to mame prijst prezentovat v stredu 9.5. na MV. Tak tam teda pojdeme.

Nejake zelania?

4 Likes

4 posts were merged into an existing topic: GovBox

A post was merged into an existing topic: GovBox

NASES:

Aktuálny stav je taký že štandardné webSSo poskytujeme aj pre PO, no je možné že po vyjadrení MV SR na ktoré čakáme sa zmení možnosť poskytovania.
Z tohto dôvodu Vám momentálne nevieme poskytnúť jednoznačné stanovisko.

No zasa raz sme asi nieco pokazili lebo sa moc pytame. :frowning:

stare pravnicke pravidlo: nepytaj sa ak nepoznas odpoved :slight_smile:

Dnes sme boli s @lubor na MV.

Mala prezentacia co som tam dal je tu:

Kratke zhrnutie:

  • Pocet komercnych subjektov, co MV takto zapojilo doteraz je - wait for it - nula.
  • Nie su si vlastne isti, ci to mozu spravit. Hladaju legislativu za ci proti.
  • Zjednodusit integraciu a cely proces by vlastne chceli aj oni. Mozeme si zazelat.
  • Dostaneme stanovisko pre 1) standardne zapojenie tretej strany 2) ze by sme boli proxy auth sluzba my ako SD
  • NASES toto co poskytuje (WebSSO) robit podla nich pre tretie strany nemoze. :popcorn:
  • Ked toto budeme vediet potom riesme technicke detaily

Pre mna osobne je toto teda velmi prekvapive:

  1. Minimalne od januara roku 2016, tam od nas maju toto eID - objednávka na dorobenie
  2. Rozni politici tu neustale omielaju ako eID moze pouzivat aj komercia. To, ze nikoho este nezapojili mi pride velmi divne. Naozaj to nikto nechce?

Zaspominajme si na prezentacie k projektu https://www.minv.sk/?EID_MV

Studia k projektu EID z roku 2009

Dalsie kroky:

  • ak niekto najde niekde zmienku v legislative preco by to museli poskytovat, sem s nou.
  • tak tu integraciu teda ideme skusit prejst celu ako prvi pionieri
  • bude to asi na dlhsie

Poznamka pod ciarou pre @robert.kuchar :

Základnými kritériami pre voľbu riešenia boli bezpečnosť, jednoduchosť ich použitia z pohľadu
držiteľov (FO) a možnosť integrácie s občianskym preukazom a s preukazom poistenca.

cast_a_eid_kpmg.pdf (664.7 KB)

4 Likes

Amen tma …

Dakujem :smiley: (:blush::blush:) … ale vies, to mas tak, ze tam je taka fluktuacia a taka miera nezodpovednosti, ze o polroka si uz nik nepamata co bolo a preco bolo a rozvija vlastnu strategiu ,…

Zaujímavé, ale normálne api na eid nič.

1 Like

Kedze prisiel COVID19 a vsetci maju sediet doma, celkom by sa hodilo doriesit podpisovanie zmluv cez web a eID… Zakaznik si pozrie na webe navrh zmluvy, zvoli Podpisat, strci do citacky eID, zada kod, podpise PDF vyhotovenie zmluvy. Dodatocne prida podobnym postupom druha strana. V principe ked dobre citam, tento thread bol o tom, a zamrzlo to pred 2 rokmi na mrtvom bode kvoli nepruznosti NASES. Medzitym tam maju nove vedenie, neslo by to znovu rozbehnut? Alebo nejak inak vyriesit? Som ochotny prispiet na opensource projekt…

1 Like

Na toto nepotrebujes ziadnu sucinnost s NASES, komercne podpisovace funguju, staci ich vyuzit. Len potrebujes, aby to obe strany akceptovali a boli pripravene na archivaciu a tak.

1 Like

Ahojte, tiež sa vraciam k tomuto vláknu, lebo zdielam ideu eID ako IdentityProvider cez OAuth2. A v týchto časoch koronakrizy, sa ukazuje potreba tohto centralneho ID uzlu potrebnejši viac, ako kedykolvek predtým.
Rád by som s týmto pomohol

Technicky vzate OAuth2 je iba na autorizaciu. Takze by to mal byt Identity Provider kompatibilny az s Open ID Connect (OIDC) standardom (ktory je postaveny nad OAuth2), ktory je uz urceny na autentifikaciu a poskytne sirsie moznosti oproti OAuth2. Taktiez by bolo vhodne podporovat zaroven aj SAML, kedze je to (zial) este stale najpouzivanejsi SSO protokol pre “enterprise” aplikacie.

1 Like

Funkcia umožňujúca zdieľať dokument z elektronickej schránky s inou osobou za účelom podpisu je od minulého roka k dispozícii, viď návod:

1 Like

OAuth2 s Open ID Connect na slovensko.sk je už vo vývoji v NASES. Je to aj vo zverejnenom release pláne na slovensko.sk

3 Likes

Toto je davno hotove, “staci prejst” integraciou na UPVS. Ked sa clovek prihlasuje cez eid a pozera requesty vidi, ze to je klasicky SAML login.

Teoreticky by sa to mohlo dat ohackovat cez SAML a Identity broker:


5. je SAML request/7. SAML Response avsak 2./9. je OIDC. Asi vsetky OIDC flows by to nezvladlo kvoli SAML, ale na tie najpouzivanejsie OIDC flows by to mohlo teoreticky ist.

Ak ma niekto “integraciou na UPVS” (co je dufam SAML client) tak to mozme vyskusat.

1 Like

My mame. https://slovensko-sk-api.ekosystem.slovensko.digital/login?callback=http://example.com/login

Dokonca sme to chceli poskytovat ako sluzbu smerom von, len ze MV nas (resp. NASES) stoplo, ze toto teda nie.

To by bola uzitocna sluzba cez slovensko.digital. Preco NASES priamo neposkytne OIDC? Ked uz nedovoli identity brokering u pouzivatela, tak on by OIDC mohol poskytnut priamo cez identity brokering on sam. ¯_(ツ)_/¯.

Vyzera ze pouzivaju Oracle Access Management ako IdP, tak to by mohli zvladnut. Identity brokering mi pride ako “lacny”, efektivny hack ako poskytnut OIDC, bez potreby “drahej”, casovo narocnej implementacie vsetkych tych citaciek nad OIDC protokolom.

@jsuchal, je niekde argumentacia MV pristupna? Resp. mohol by si ju niekde zdielat?