Ústredný portál verejnej správy

Technologická zmena modulu IAM

V súlade s upozornením zo dňa 20. apríla 2018, v ktorom sme Vás ako integračného partnera informovali o úprave v poskytovaní služby web SSO na FIX prostredí, Vás chceme informovať o aktivitách, ktoré nadväzujú na prevedené úpravy. V dňoch 31. augusta 2018 až 2. septembra 2018 prebehne technologický upgrade modulu IAM na Produkčnom prostredí.

Zmena sa dotkne integračných partnerov, ktorí:

  • využívajú službu modulu IAM - SSO a vystupujú v roli Service provider, (Poznámka: zmena sa netýka integračných partnerov, ktorí využívajú len služby STS a GetIdentity)
  • plánujú v danom čase registrovať nové SP metadáta pre web SSO, alebo technické účty (STS),
  • v danom časovom intervale plánujú na rozhranie G2G odosielať SKTalk správy.

Zároveň by sme Vás chceli informovať, že Národná agentúra pre sieťové a elektronické služby bude organizovať technické workshopy v termíne od 16. júla do 27. júla, za účelom zodpovedania prípadných otázok a zabezpečenia plynulej úpravy v poskytovaní služieb WEB SSO na strane integračných partnerov. Pozvánka s termínmi a s prihlasovacím formulárom Vám bude zaslaná v samostatnom e-maile.

Obmedzenia pre používateľov ÚPVS počas prác upgrade IAM

V rámci obmedzenej funkčnosti modulu IAM budú všetky nižšie uvedené požiadavky zaslané od 30. augusta 2018 v čase od 18.30 h odložené na spracovanie neskôr až do ukončenia odstávky, približne 3. septembra 2018 0.00 h:

  • zmeny údajov identít evidovaných v module IAM,
  • zmeny zastupovaní identít evidovaných v module IAM,
  • vytváranie a úprava zamestnaneckých účtov, priraďovanie autentifikačných prostriedkov,
  • pridávanie, resp. úprava rolí identít evidovaných v module IAM,
  • vytváranie, úprava údajov subjektov typu OVM a ich organizačných zložiek,
  • zmeny stavov elektronických schránok (aktivácie/deaktivácie).

Úplná nedostupnosť portálu www.slovensko.sk (vrátane G2G a všetkých integračných a používateľských rozhraní) bude približne od 31. augusta 2018 22.00 h do 1. septembra 2018 08.00 h s tým, že následne bude časový priestor vyhradený pre integračných partnerov na vykonanie potrebných zmien, až do 2. septembra 2018 8.00 h.

Spustenie portálu v plnej prevádzke predpokladáme 2. septembra 2018 približne od 11.00 h v prípade úspešného priebehu.

V prípade nevyhnutného návratu k pôvodnému IAM (rollback), bude plná prevádzka spustená až 3. septembra 2018 približne o 0.00 h.

Detaily zmien a potrebná súčinnosť integračných partnerov

a) Úprava v poskytovaní služby WEB SSO (SAML2) – SERVICE PROVIDER

Na ÚPVS v module IAM dôjde k zmene URL pre IDP metadáta pre jednotlivé integračné prostredia ÚPVS z pôvodných na nové (vid tabuľka nižšie).

V rámci IDP metadát sa mení hodnota atribútu EntityID.

Poznámka: certifikát obsiahnutý v IDP metadátach na podpisovanie SAML assertions zostane pôvodný. 

Pokiaľ v rámci Vášho projektu využívate službu Web-SSO, čiže vystupujete v roli Service Providera (SP), tak si prosím importujte do systému novo publikované (ÚPVS) IDP metadáta.

 

Prostredie

Pôvodná URL na IDP metadáta pre Web SSO

Nová URL na IDP metadáta pre Web SSO

DEV

https://auth.vyvoj.upvs.globaltel.sk/fed/idp/metadata

https://auth.vyvoj.upvs.globaltel.sk/oamfed/idp/metadata (už dostupné)

FIX

https://prihlasenie.upvsfix.gov.sk/fed/idp/metadata

https://prihlasenie.upvsfix.gov.sk/oamfed/idp/metadata (už dostupné)

PROD

https://prihlasenie.slovensko.sk/fed/idp/metadata

https://prihlasenie.slovensko.sk/oamfed/idp/metadata

(aktuálne  dostupné, zároveň ich prikladáme v prílohe tohto mailu)

 

Poznámka:   

  • Táto zmena nemá za následok požiadavku na úpravu Vašich aktuálne používaných SP metadát a nie je potrebné ich nanovo preregistrovať v module IAM.
  • Je vhodné, aby ste si zároveň prekontrolovali platnosť X509 certifikátu obsiahnutého vo Vašich SP metadátach, ktorým podpisujete SAML requesty.
  • V prípade identifikácie potreby jeho aktualizovania, zašlite aktualizované SP metadáta s novým certifikátom na preregistrovanie štandardnou cestou:
  • komunikáciou s integračným oddelením NASES:  integracie[at]nases.gov.sk.

 

Pre zabezpečenie plynulého prechodu SP na využívanie upravených IDP metadát odporúčame vykonať nasledovnú sadu krokov:

 

  1. Vytvoriť zálohu lokálnej pôvodnej kópie metadát (za účelom prípadného rollback-u).
  2. Stiahnutie aktuálnych metadát z distribučnej URL IDP – viď tabuľka vyššie.
  3. Urobiť import stiahnutých metadát do svojho lokálneho SP.
  4. V niektorých prípadoch je potrebná zmena odkazu URL na IDP metadáta v konfigurácii Service Providera, prípadne aj zmena EntityID pre IDP. Poznámka: Pokiaľ SP využíva saml framework, ktorý aktualizuje metadáta IDP automaticky (HTTP pooling), stačí iba skontrolovať, že k aktualizácií naozaj došlo.
  5. Otestovanie úspešného vytváranie SAML requestov voči upravenému IDP.
  6. Prevádzkovatelia SP potvrdia úspešnosť prechodu na nové metadáta IDP odoslaním e-mailovej správy zaslanej na adresu integracie[at]nases.gov.sk

 

Poznámka:

  • Na DEV prostredí je už uvedená zmena realizovaná.
  • Na FIX prostredí je už uvedená zmena realizovaná.
  • Na PROD prostredí bude zmena realizovaná k 1. septembru 2018 (sobota) ráno približne 8.00 h – od tohto termínu môžete začať realizovať zmeny vo Vašich systémoch.

 

V zmysle aktualizovaného integračného manuálu IAM zdôrazňujeme nasledovné odporúčania pre implementáciu Web SSO Service Providerom:

 

a)   Pokiaľ v rámci otestovania komunikácie (BOD 5) SP  identifikuje chybu pri prihlasovaní a v SAML2 requeste a v atribúte "Comparison" elementu "RequestedAuthnContext" máte pôvodne nastavenú hodnotu "maximum", je potrebné, aby ste hodnotu upravili na "exact" alebo "minimum" a následne reštartovali aplikáciu Service providera.

b)      V SAML requeste nezasielajte element „AuthnContextClassRef“.

c)       V SAML requeste pri prihlasovaní, resp. pri obnove session (sliding session), nenastavujte parameter ForceAuthn na „true“.

Nastavenie hodnoty tohto parametra na „true” znamená, že žiadate o novú autentifikáciu identity (tzn. zruší SSO session).

Rovnako v SAML requeste neposielajte ani kombináciu atribútov s nasledovnými hodnotami: ForceAuthn="true" a  IsPassive="true".

d)      Ak používate .net SAML2 framework z kp.gov.sk, prosím aktualizujte si ho na poslednú verziu (Podporné Dokumenty /Podpora_DOTNET).

e)      S ohľadom na bezpečnosť prístupu k citlivým údajom prostredníctvom služby SSO taktiež odporúčame, aby ste vo svojich (Service Provider) aplikáciách v prijatom v SAML assertion kontrolovali úroveň autentifikácie a typ používateľa v atribútoch QAALevelActor.IdentityType,a Actor.AuthResourceType.

V rámci nasadenia technologického upgrade modulu IAM bude totiž umožnené prihlásenie rôznymi autentifikačnými prostriedkami a typmi identít (viď aktualizovaný Integračný manuál IAM, ktorý je zverejnený na Partner Framework Portáli), ktoré nemusia mať „oprávnenie“ na vykonávanie špecifických aktivít resp. prístupe k funkcionalitám a údajom v rámci Vašich systémov.


b) Dočasné obmedzenia registrácie nových SP metadát pre WEBSSO a registrácie nových technických účtov (STS)

  • V dňoch 27. augusta 2018 až 3. septembra 2018 nebude možné registrovať nové SP metadáta pre WEBSSO.
  • V dňoch 27. augusta 2018 až 3. septembra 2018 nebude možné registrovať nové technické účty pre STS.

Poznámka: Registrácie certifikátov TU ako aj SP metadáta bude možné registrovať až v pondelok 3. septembra 2018


c) Nedostupné spracovávanie G2G transakcií na rozhraní UIR počas realizácie technického upgradu

Počas časového intervalu 31. augusta 2018 – 22.00 h do približne 1. septembra 2018 – 08.00 h nebude modul G2G (na rozhraniach UIR a USR) spracovávať žiadne transakcie. V súlade s touto informáciou Vám odporúčame, aby ste si všetky svoje BATCH spracovania naplánovali tak, aby ste žiadosti na rozhranie UIR/USR zasielali buď 24 hodín pred termínom začatia tejto úpravy, prípadne 24 hodín po skončení tejto úpravy.

V prípade problémov, ktoré by znemožnili úspešné ukončenie úpravy v module IAM, Vás budeme bezodkladne informovať o následných krokoch. Zároveň upozorňujeme, že na PFP (Parner Framework Portal) bola vypublikovaná aktualizovaná verzia Integračného manuálu IAM. Rozsah doplnených informácií si môže integračný partner validovať podľa Denníka zmien uvedeného v úvodnej časti dokumentu.​

 

IDP metadáta: https___prihlasenie.slovensko.sk_oam_fed.zip [.zip, 2.3 kB]