Vacsina casu je naozaj neuveritelna byrokracia s NASESom. To je naozaj no-go pre ludi co su zvyknuti na komercne API a zapajanie. Tu by malo zmysel proxy API, kde by sme napr. my vedeli poskytovat tuto sluzbu tak, ze naozaj “kliknes a mas”.
Vyrobit OS balicek s papiermi, ktory by potom sa dal pouzit a NASES by ho expresne akceptoval. Tu vsak vidim trosku problem, lebo to bude minimalne zavisle od prog. jazyka v ktorom sa to napise. Cestou von by to bolo nejake lokalne oauth proxy, co si rozbehne clovek lokalne napr. v kontaineri a dalej funguje uz cez Oauth vo svojom oblubenom jazyku.
2.) Auth proxy je celkom standardne riesenie. Ak je podporovany OIDC standard, tak priklad kontajnerovo priatelskej auth proxy je https://github.com/gambol99/keycloak-proxy. Staci iba OIDC konfiguracia (client id, client secret, …) a zabezpecena aplikacia za proxy, moze citat udaje o autentifikovanom/autorizovanom pouzivatelovi z hlaviciek requestov. Je dostupna nejaka public OIDC client konfiguracia urcena na testovanie?
Iniciativa to nieje zla, ale ja si naozaj myslim, ze toto musi spravit poriadne stat. Jednoducho aby developer prisiel na slovensko.sk, prihlasil sa cez eID, vyplnit ziadol a obratom dostal svoje AppId na integraciu s eID identity providerom. Aspon testovaci pristup by takto mohol dostat. Vsetko ostatne je take malovanie na splesnetu stenu.
Bod 2 je navrhnuty v SU PaaS co robi MVSR ako jeden z komponentov, ktory ma byt dodany v kontajneri a zaroven aj ako open source.
IAM ako OpenID, SAML2 a oAuth2 komponenty pre portálovú / webovú službu (napojiteľné na autentifikáciu pomocou eID) budú k dispozícii formou open source zdrojového kódu pre natívny PaaS, ktorý je k dispozícii na využitie či už vo forme zdrojového kódu alebo ako aplikačného komponentu poskytujúceho služby cez relevantné API (pričom aplikácia samotná bude k dispozícii vo forme kontajneru, ktorý si odberateľ služieb spustí). Bude integrované s centrálnymi bezp. prvkami cloudu (ako kontrola prestupov služieb, prístupov a IAM ktoré budú povinne používané každou vrstvou cloudu – IaaS, PaaS, SaaS)
Bude sa to obstaravat v jednom baliku? Lebo toto mi pride ako krasny komponentik co by vedeli dodat aj male firmy, bez nejakej brutalnej zabezpeky. Resp. keby MV / NASES k tomu niekoho pustili, tak to podla mna nemusia podla reakcii tu ani obstaravat ale vznikne to “samo”.
Neviem povedat ako sa to bude obstaravat, nasa dodavka bola iba studia a tam sa takato informacia nenachadza. Ak mam povedat zo skusenosti, tak pocet obstaravani sa bude minimalizovat, lebo vela obstaravani = vela administrativy.
Idem off-topic (k tomuto vlaknu, hodi sa viac do MIRRI Pracovná skupina Verejné obstarávanie IKT): Velke monoliticke projekty boli jednym z konstatovanych negativ OPIS-u, kedze maju velky “failure rate” a/alebo “primaly pomer cena/vykon” (okrem mnohych dalsich nedostatkov).
Ak ale nadalej nechcu robit viac mensich obstaravani, ako sa chcu vyhnut opakovaniu zlych vysledkov OPIS-u? Spajanie X nesuvisiacich veci do velkych projektov skratka nabada na “zle riesenia”: lebo jasne ze “vsetko so vsetkym suvisi”, potom ale rastie komplexita do neudrzatelnych rozmerov a prave preto bola vymyslena modularizacia, vid napr. Modular programming - Wikipedia .
a tam to narazi na realitu vo. vies si predstavit ze spustis viacero vo, pricom staci aby zlyhalo jedno a cely projekt skonci neuspechom? a to pokracuje pri dodavke, cele riziko neuspechu sa prenesie na objednavatela,
no mozno ano, ale tam treba zacat. Len dodam ze VO je problem zdaleka nie len v IT, a navyse to nie je dnes ani cisto slovensky problem.
A VO reagovalo na OPIS, metodicke usmernenia su prave dosledkom kontrol auditu z EU. Len nikto netusi ako vlastne spravne obstaravat, rizika skor narastli.
Ozivim to tu. Trochu sme to zacali posuvat a ozvali sa NASES aj MV ohladom tejto veci. Ponukli sme im dve veci:
spravime opensource komponent, ktory bude pripraveny s komplet dokumentaciou + “papiermi” na rychle zbehnutie v NASES/MV. Komponent bude len nejake lahke oauth “proxy”, ktore zabali tu SAML enterprisovinu pod tym.
tento komponent by sme zaroven chceli prevadzkovat ako sluzbu (pre ludi co nechcu udrziavat potrebnu infrastrukturu na to potrebnu - nie je to uplne sranda aj keby sme vsetky papiere pripravili).
NASES:
Poslali nam, ze od MV maju toto stanovisko, ale ze zistia viac:
„ Ak komerčné subjekty majú záujem o poskytovanie služieb, ku ktorým sa občan autentifikuje pomocou eID, majú osloviť Ministerstvo vnútra Slovenskej republiky so žiadosťou o ich zaregistrovanie na systém eID AS ako poskytovateľa služby. Týmto postupom je zabezpečená ich prezentácia používateľovi a voľba používateľa, ktoré osobné údaje poskytne pri vykonávaní autentifikácie a súlad s vyššie uvedenými princípmi.
K integrácii systémov eID AS a ÚPVS IAM bola podpísaná dohoda o integračnom zámere.
Subjektami dohody sú Ministerstvo vnútra Slovenskej republiky a Národná agentúra pre sieťové a elektronické služby. Presmerovanie možnosti autentifikácie na tretí subjekt nie je povolené“
Na co som sa ich spytal, ze ci vedia poskytnut WebSSO pre (pravnicke osoby) PO aspon pre pripad 1)
Odpoved:
V prípade že máte na mysli klasickú portálovú integráciu na WebSSo v roli Serviceprovidera táto sa PO poskytuje.
Uvediete do DIZ, otestujete v UAT a na produkcii Vám zaregistrujeme metadáta SP.
Priznam sa, ze v tomto momente som uplne zmateny, pre koho vlastne ta integracia pre pravnicke osoby ma sluzit. Zistujeme dalej:
MV:
Expresne odpovedali, ze im to mame prijst prezentovat v stredu 9.5. na MV. Tak tam teda pojdeme.
Aktuálny stav je taký že štandardné webSSo poskytujeme aj pre PO, no je možné že po vyjadrení MV SR na ktoré čakáme sa zmení možnosť poskytovania.
Z tohto dôvodu Vám momentálne nevieme poskytnúť jednoznačné stanovisko.
No zasa raz sme asi nieco pokazili lebo sa moc pytame.
Základnými kritériami pre voľbu riešenia boli bezpečnosť, jednoduchosť ich použitia z pohľadu
držiteľov (FO) a možnosť integrácie s občianskym preukazom a s preukazom poistenca.
Dakujem () … ale vies, to mas tak, ze tam je taka fluktuacia a taka miera nezodpovednosti, ze o polroka si uz nik nepamata co bolo a preco bolo a rozvija vlastnu strategiu ,…
(