3. Testovací konfigurace CAAIS s JIP/KAAS protokolem

Příprava: Vygenerování autentizačního certifikátu AIS

Nejjednodušší cesta je poslat nám žádost o certifikát (certificate signing request) jako soubor csr. Alternativně můžete použít komerční certifikát stejného typu jako na produkčním prostředí, anebo testovací certifikát týchž certifikačních autorit (nabízí se zejména PostSignum).

Vytvoření CSR pomocí openssl

Nejprve vygenerujte privátní klíč. Můžete využít algoritmus RSA (1a) o délce klíče 2048, 3072 či 4096 bitů, anebo ECDSA (1b) o délce klíče 256, 383 či 521 bitů.

(1a) $ openssl genrsa -out key.pem 2048
(1b) $ openssl genpkey -algorithm ec -pkeyopt ec_paramgen_curve:P-256 -out key.pem

Následně vygenerujte (2) žádost o vystavení certifikátu (CSR soubor):

(2)  $ openssl req -new -key key.pem -out server.csr \
         -subj "/C=CZ/O=Ministerstvo administrativních záležitostí/CN=forms.example.gov.cz"

Hodnotu parametru -subj upravte podle svého (testovacího) AIS; CN by mělo odpovídat plně kvalifikovanému doménovému jménu (FQDN) serveru AIS, se kterým bude testovací prostředí CAAIS komunikovat. Zkontrolujte vytvořenou žádost (3).

(3)  $ openssl req -text -noout -in server.csr | grep Subject:

Soubor server.csr nám pošlete, abychom vám mohli vytvořit testovací certifikát. Alternativně jej můžete použít k získání (testovacího) certifikátu od komerční certifikační autority.

Alternativa: Testovací certifikát od PostSignum

Žádost o certifikát (CSR soubor) nahrajte na stránkách PostSignum. Vyberte možnost Komerční serverový certifikát (VCA). Vyplňte název certifikátu jako plně kvalifikované doménové jméno (FQDN) serveru AIS, se kterým bude testovací prostředí CAAIS komunikovat. V našem příkladu forms.example.gov.cz. Dále vyplňte e-mail, kam bude následně odkaz ke stažení testovacího certifikátu doručen a formulář odešlete.

Poznámka: Generování certifikátu PostSignum pro ECDSA klíče aktuálně (listopad 2024) selhává.

Založení AIS

Pro založení minimálního AIS jsou potřeba tyto údaje:

  • název a unikátní kód (zkratka)

  • subjekt správce

  • návratová URL

  • autentizační certifikát

V našem příkladu vytváříme aplikaci pro schvalování formulářů spravovanou Ministerstvem administrativních záležitostí, jehož lokální administrátorem je Humphrey Appleby.

Přihlášení

Přihlásíte se to systému jako Humphrey Appleby a vybereme jeho profil na Ministerstvu administrativních záležitostí.

../_images/fig02.webp

Základní údaje

Na záložce AIS klepneme na přidat nový AIS (+AIS). Vyplníme základní údaje.

Zkratka je jedinečný kód (identifikátor) AIS v CAAIS. Důrazně doporučujeme volit pouze bezpečné ASCII znaky bez mezery a jiných bílých znaků.

Jako povolenou doménu zvolíme gov.cz.

Návratovou URL po autentizaci necháme prázdnou – slouží pouze pro AIS využívající legacy protokol JIP/KAAS. Návratovou URL po autentizaci vyplníme dle vlastní aplikace – na tuto adresu je uživatel po autentizaci přesměrován spolu s tokenem (sessionId) přihlášení.

../_images/fig03.jip.webp

Správce konfigurace AIS

V dalším kroku přiřadíme AIS správce. Může jím být jakýkoli uživatel provozovatele. Pro jednoduchost volíme sami sebe. Po založení má správce pravomoc dokončit nastavení AIS.

../_images/fig04.webp

Autentizační certifikát

V dalším kroku do systému nahrajeme veřejnou část certifikátu pro autentizaci, jak jsme ji obdrželi od (testovací) certifikační autority. AIS může od CAAIS vyžadovat ověření přihlášení a údaje o uživateli jen tehdy, naváže-li TLS spojení s některým svým registrovaným certifikátem, jinak je spojení odmítnuto.

Certifikát musí být unikátní

Stejný certifikát nesmí být použit jako autentizační u jiné konfiguraci AIS na daném prostředí CAAIS.

../_images/fig05.webp

Výběr Identity Providera

Po založení AIS musíme ještě bezpodmínečně vybrat alespoň jednu službu, proti které budeme uživatele ověřovat. Na záložce LoA vybereme CAAIS_IDP, neb ta jediná je na testovacím prostředí aktivní a změnu nastavení uložíme.

../_images/fig06.webp

Otestování konfigurace

Nyní můžeme úspěšné založení AIS v CAAIS otestovat. Na adrese https://externalauthapi.caais-test-ext.gov.cz/login?atsId=MAZ_FORMS, kde místo MAZ_FORMS uvedete kód vlastního AIS, by se měla zobrazit přihlašovací stránka včetně CAAIS-IdP jako zdroje pro ověření uživatele.

../_images/fig07.oidc.webp

Založení rolí AIS

V AIS vybereme záložku Přístupové role a zvolíme přidat přístupovou roli (+ Přístupová role). Zkratka je jedinečný kód (identifikátor) v rámci AIS. Pokud má váš AIS velké množství rolí, můžete použít například tečkovou notaci v kódu k vytvoření jejich hierarchie. Název by pak měl být plně srozumitelný pro lokální administrátory na jednotlivých subjektech (úřadech), které budou role uživatelům přidělovat. V našem příkladu vytvoříme role Navrhovatele a Schvalovatele.

../_images/fig08.webp

Přiřazení rolí subjektům

Dalším krokem je přiřazení subjektů, které mohou tyto role svým uživatelům přidělovat. Děje se tak z detailu role. S výhodou můžeme v tomto kroku použít filtraci. Roli navrhovatele umožníme přiřazovat všem ministerstvům, zatímco roli schvalovatele ponecháme na Ministerstvu pro administrativní záležitosti.

../_images/fig09.webp

Přiřazení rolí uživatelům

Pro dokončení nastavení prostředí testovacího scénáře ještě musíme roli přidělit konkrétním uživatelům. Přihlásíme se do CAAIS jako lokální administrátor subjektu, kterému jsme svěřili v předchozím kroku pravomoc ty které role přiřazovat. Lokálním administrátorem na Ministerstvu pro administrativní záležitosti, který se stará o správu uživatelů, je Bernard Woolley. Po přihlášení vybere z menu uživatelů spadajícím pod jeho subjekt – Ministerstvo pro administrativní záležitosti – konkrétního uživatele, kterému chce role svěřit. Pro jednoduchost vybírá sám sebe a na záložce správa rolí si přiřazuje přístupovou roli Navrhovatele a Schvalovatele.

../_images/fig11.webp

Kam dál?

Další podrobnosti jsou uvedeny v dokumentaci pro vývojáře JIP/KAAS legacy API.