eID, stat ako IdentityProvider a OAuth2


#81

Z mojho pohladu je toto zaujimave, su dva smery:

  1. Vacsina casu je naozaj neuveritelna byrokracia s NASESom. To je naozaj no-go pre ludi co su zvyknuti na komercne API a zapajanie. Tu by malo zmysel proxy API, kde by sme napr. my vedeli poskytovat tuto sluzbu tak, ze naozaj “kliknes a mas”.
  2. Vyrobit OS balicek s papiermi, ktory by potom sa dal pouzit a NASES by ho expresne akceptoval. Tu vsak vidim trosku problem, lebo to bude minimalne zavisle od prog. jazyka v ktorom sa to napise. Cestou von by to bolo nejake lokalne oauth proxy, co si rozbehne clovek lokalne napr. v kontaineri a dalej funguje uz cez Oauth vo svojom oblubenom jazyku.

Co vy na to?


#82

Ja by som len opätovne upozornil, že sú dva úplne odlišné scenáre:

  1. Autentifikácia pomocou eID vo svojom IS, ktorý s eGov nemá nič spoločné.
  2. Pripojiť sa k SSO pre eGov

.2. sa robí cez IAM ÚPVS
.1. sa robí cez AS MVSR


#83

2.) Auth proxy je celkom standardne riesenie. Ak je podporovany OIDC standard, tak priklad kontajnerovo priatelskej auth proxy je https://github.com/gambol99/keycloak-proxy. Staci iba OIDC konfiguracia (client id, client secret, …) a zabezpecena aplikacia za proxy, moze citat udaje o autentifikovanom/autorizovanom pouzivatelovi z hlaviciek requestov. Je dostupna nejaka public OIDC client konfiguracia urcena na testovanie?


#84

Iniciativa to nieje zla, ale ja si naozaj myslim, ze toto musi spravit poriadne stat. Jednoducho aby developer prisiel na slovensko.sk, prihlasil sa cez eID, vyplnit ziadol a obratom dostal svoje AppId na integraciu s eID identity providerom. Aspon testovaci pristup by takto mohol dostat. Vsetko ostatne je take malovanie na splesnetu stenu.


#85

Bod 2 je navrhnuty v SU PaaS co robi MVSR ako jeden z komponentov, ktory ma byt dodany v kontajneri a zaroven aj ako open source.

IAM ako OpenID, SAML2 a oAuth2 komponenty pre portálovú / webovú službu (napojiteľné na autentifikáciu pomocou eID) budú k dispozícii formou open source zdrojového kódu pre natívny PaaS, ktorý je k dispozícii na využitie či už vo forme zdrojového kódu alebo ako aplikačného komponentu poskytujúceho služby cez relevantné API (pričom aplikácia samotná bude k dispozícii vo forme kontajneru, ktorý si odberateľ služieb spustí). Bude integrované s centrálnymi bezp. prvkami cloudu (ako kontrola prestupov služieb, prístupov a IAM ktoré budú povinne používané každou vrstvou cloudu – IaaS, PaaS, SaaS)

https://wiki.finance.gov.sk/display/SU/SU-MD-PaaS-su_111


#86

Bude sa to obstaravat v jednom baliku? Lebo toto mi pride ako krasny komponentik co by vedeli dodat aj male firmy, bez nejakej brutalnej zabezpeky. Resp. keby MV / NASES k tomu niekoho pustili, tak to podla mna nemusia podla reakcii tu ani obstaravat ale vznikne to “samo”.


#87

Neviem povedat ako sa to bude obstaravat, nasa dodavka bola iba studia a tam sa takato informacia nenachadza. Ak mam povedat zo skusenosti, tak pocet obstaravani sa bude minimalizovat, lebo vela obstaravani = vela administrativy.


#88

Idem off-topic (k tomuto vlaknu, hodi sa viac do ÚPVII Pracovná skupina K9.2 Governance - Nákup IKT (podskupina)): Velke monoliticke projekty boli jednym z konstatovanych negativ OPIS-u, kedze maju velky “failure rate” a/alebo “primaly pomer cena/vykon” (okrem mnohych dalsich nedostatkov).

Ak ale nadalej nechcu robit viac mensich obstaravani, ako sa chcu vyhnut opakovaniu zlych vysledkov OPIS-u? Spajanie X nesuvisiacich veci do velkych projektov skratka nabada na “zle riesenia”: lebo jasne ze “vsetko so vsetkym suvisi”, potom ale rastie komplexita do neudrzatelnych rozmerov a prave preto bola vymyslena modularizacia, vid napr. https://en.wikipedia.org/wiki/Modular_programming#History .


#89

a tam to narazi na realitu vo. vies si predstavit ze spustis viacero vo, pricom staci aby zlyhalo jedno a cely projekt skonci neuspechom? a to pokracuje pri dodavke, cele riziko neuspechu sa prenesie na objednavatela,


#90

Mam to teda brat tak, ze sa obstaravanie a VO nijako nepouci z OPIS-u?


#91

no mozno ano, ale tam treba zacat. Len dodam ze VO je problem zdaleka nie len v IT, a navyse to nie je dnes ani cisto slovensky problem.
A VO reagovalo na OPIS, metodicke usmernenia su prave dosledkom kontrol auditu z EU. Len nikto netusi ako vlastne spravne obstaravat, rizika skor narastli.


#92

V niektorych krajinach uz vidno aj ine reakcie na obdobne problemy - Obstarávanie agilných IT kontraktov v US

  • UVO neposobi proaktivne
  • UPVII nie je lidrom ktory by mal volu a schopnost tento problem riesit

Je angazovana odborna verejnost schopna vyriesit to aj bez politickej podpory?
Obavam sa, ze nie.


#93

Ozivim to tu. Trochu sme to zacali posuvat a ozvali sa NASES aj MV ohladom tejto veci. Ponukli sme im dve veci:

  1. spravime opensource komponent, ktory bude pripraveny s komplet dokumentaciou + “papiermi” na rychle zbehnutie v NASES/MV. Komponent bude len nejake lahke oauth “proxy”, ktore zabali tu SAML enterprisovinu pod tym.
  2. tento komponent by sme zaroven chceli prevadzkovat ako sluzbu (pre ludi co nechcu udrziavat potrebnu infrastrukturu na to potrebnu - nie je to uplne sranda aj keby sme vsetky papiere pripravili).

NASES:

Poslali nam, ze od MV maju toto stanovisko, ale ze zistia viac:

„ Ak komerčné subjekty majú záujem o poskytovanie služieb, ku ktorým sa občan autentifikuje pomocou eID, majú osloviť Ministerstvo vnútra Slovenskej republiky so žiadosťou o ich zaregistrovanie na systém eID AS ako poskytovateľa služby. Týmto postupom je zabezpečená ich prezentácia používateľovi a voľba používateľa, ktoré osobné údaje poskytne pri vykonávaní autentifikácie a súlad s vyššie uvedenými princípmi.

K integrácii systémov eID AS a ÚPVS IAM bola podpísaná dohoda o integračnom zámere.

Subjektami dohody sú Ministerstvo vnútra Slovenskej republiky a Národná agentúra pre sieťové a elektronické služby. Presmerovanie možnosti autentifikácie na tretí subjekt nie je povolené“

Na co som sa ich spytal, ze ci vedia poskytnut WebSSO pre (pravnicke osoby) PO aspon pre pripad 1)

Odpoved:

V prípade že máte na mysli klasickú portálovú integráciu na WebSSo v roli Serviceprovidera táto sa PO poskytuje.

Uvediete do DIZ, otestujete v UAT a na produkcii Vám zaregistrujeme metadáta SP.

Priznam sa, ze v tomto momente som uplne zmateny, pre koho vlastne ta integracia pre pravnicke osoby ma sluzit. Zistujeme dalej:

MV:

Expresne odpovedali, ze im to mame prijst prezentovat v stredu 9.5. na MV. Tak tam teda pojdeme.

Nejake zelania?


Proof of Concept pre OAuth s eID
#94

4 posts were merged into an existing topic: GovBox


#95

A post was merged into an existing topic: GovBox


#96

NASES:

Aktuálny stav je taký že štandardné webSSo poskytujeme aj pre PO, no je možné že po vyjadrení MV SR na ktoré čakáme sa zmení možnosť poskytovania.
Z tohto dôvodu Vám momentálne nevieme poskytnúť jednoznačné stanovisko.

No zasa raz sme asi nieco pokazili lebo sa moc pytame. :frowning:


#97

stare pravnicke pravidlo: nepytaj sa ak nepoznas odpoved :slight_smile:


#98

Dnes sme boli s @lubor na MV.

Mala prezentacia co som tam dal je tu:

Kratke zhrnutie:

  • Pocet komercnych subjektov, co MV takto zapojilo doteraz je - wait for it - nula.
  • Nie su si vlastne isti, ci to mozu spravit. Hladaju legislativu za ci proti.
  • Zjednodusit integraciu a cely proces by vlastne chceli aj oni. Mozeme si zazelat.
  • Dostaneme stanovisko pre 1) standardne zapojenie tretej strany 2) ze by sme boli proxy auth sluzba my ako SD
  • NASES toto co poskytuje (WebSSO) robit podla nich pre tretie strany nemoze. :popcorn:
  • Ked toto budeme vediet potom riesme technicke detaily

Pre mna osobne je toto teda velmi prekvapive:

  1. Minimalne od januara roku 2016, tam od nas maju toto eID - objednávka na dorobenie
  2. Rozni politici tu neustale omielaju ako eID moze pouzivat aj komercia. To, ze nikoho este nezapojili mi pride velmi divne. Naozaj to nikto nechce?

Zaspominajme si na prezentacie k projektu https://www.minv.sk/?EID_MV

Studia k projektu EID z roku 2009

Dalsie kroky:

  • ak niekto najde niekde zmienku v legislative preco by to museli poskytovat, sem s nou.
  • tak tu integraciu teda ideme skusit prejst celu ako prvi pionieri
  • bude to asi na dlhsie

Poznamka pod ciarou pre @robert.kuchar :

Základnými kritériami pre voľbu riešenia boli bezpečnosť, jednoduchosť ich použitia z pohľadu
držiteľov (FO) a možnosť integrácie s občianskym preukazom a s preukazom poistenca.

cast_a_eid_kpmg.pdf (664.7 KB)


Proof of Concept pre OAuth s eID
#99

Amen tma …


#100

Dakujem :smiley: (:blush::blush:) … ale vies, to mas tak, ze tam je taka fluktuacia a taka miera nezodpovednosti, ze o polroka si uz nik nepamata co bolo a preco bolo a rozvija vlastnu strategiu ,…