Wątek przeniesiony 2017-11-27 14:03 z Newbie przez somekind. Powód: Niepoprawna kategoria forum

ePUAP – uwierzytelnianie na podstawie danych z Profilu Zaufanego

Odpowiedz Nowy wątek
2017-03-06 10:17
zapytajnik123
0

Dzień dobry :-)
Poszukuję osoby, która dobrze zna się na integracji różnych systemów zewnętrznych (php/java/itp.) z ePUAPem i ma pewne doświadczenia w temacie...
Sytuacja wygląda tak: mamy webową aplikację, do której dostęp jest ograniczony tylko dla zalogowanych użytkowników. Pytanie - czy można tak zintegrować aplikację, aby jako danych do uwierzytelnienia używała danych z Profilu Zaufanego? Użytkownik podczas logowania przekierowany byłby do strony ePUAP (PZ), po czym wracałby z powrotem do naszej aplikacji z odpowiednią flagą sukcesu lub porażki. Czy taki mechanizm możliwy jest do osiągnięcia?

edytowany 1x, ostatnio: furious programming, 2017-10-06 18:04

Pozostało 580 znaków

2018-03-29 11:44
0

Czesc

czy z waszego doswiadczenia wynika ze na TEST istotny jest URL z ktorego sie wykonuje wywolanie do epupau (nazwa serwera podana we wniosku) czy moze to byc dowolny inny, np localhost?

Dzieki za informajce.

pozdrawiam
Grzegorz

Pozostało 580 znaków

2018-03-30 17:29
0

Epuap nawet w srodowisku testowym nie pozwala na konfigurację adresu na localhost

Pozostało 580 znaków

2018-04-11 17:17
0
grzesiek00 napisał(a):

Czesc

czy z waszego doswiadczenia wynika ze na TEST istotny jest URL z ktorego sie wykonuje wywolanie do epupau (nazwa serwera podana we wniosku) czy moze to byc dowolny inny, np localhost?

Dzieki za informajce.

pozdrawiam
Grzegorz

Cześć,

Twoja aplikacja może być postawiona na Twoim komputerze (localhost) i możesz odpytywać EPUAP, ale nie przeprowadzisz całego procesu logowania ponieważ EPUAP w całym procesie kilkukrotnie odpytuje zarejestrowane we wniosku adresy URL. Muszą one być publicznymi adresami. Dane, które są przekazywane tą drogą są niezbędne aby przejść przez cały proces logowania. Testowanie aplikacji najłatwiej jest wykonywać na zainstalowanej instancji, na fizycznym serwerze, z wystawionym publicznym adresem IP.

Pozdrawiam,
Kuba

Pozostało 580 znaków

2018-04-14 14:08
0
kub3l napisał(a):
grzesiek00 napisał(a):

Czesc

czy z waszego doswiadczenia wynika ze na TEST istotny jest URL z ktorego sie wykonuje wywolanie do epupau (nazwa serwera podana we wniosku) czy moze to byc dowolny inny, np localhost?

Dzieki za informajce.

pozdrawiam
Grzegorz

Cześć,

Twoja aplikacja może być postawiona na Twoim komputerze (localhost) i możesz odpytywać EPUAP, ale nie przeprowadzisz całego procesu logowania ponieważ EPUAP w całym procesie kilkukrotnie odpytuje zarejestrowane we wniosku adresy URL. Muszą one być publicznymi adresami. Dane, które są przekazywane tą drogą są niezbędne aby przejść przez cały proces logowania. Testowanie aplikacji najłatwiej jest wykonywać na zainstalowanej instancji, na fizycznym serwerze, z wystawionym publicznym adresem IP.

Pozdrawiam,
Kuba

Dzięki za odpowiedz i komentarz.

Pozostało 580 znaków

2018-04-18 13:39
1
kub3l napisał(a):

Twoja aplikacja może być postawiona na Twoim komputerze (localhost) i możesz odpytywać EPUAP, ale nie przeprowadzisz całego procesu logowania ponieważ EPUAP w całym procesie kilkukrotnie odpytuje zarejestrowane we wniosku adresy URL. Muszą one być publicznymi adresami. Dane, które są przekazywane tą drogą są niezbędne aby przejść przez cały proces logowania. Testowanie aplikacji najłatwiej jest wykonywać na zainstalowanej instancji, na fizycznym serwerze, z wystawionym publicznym adresem IP.

Pozdrawiam,
Kuba

Ponieważ materiałów opisujących integrację jest niewiele a ślad po wszystkim co się w sieć wrzuci w tejże sieci zostaje, czuję się w obowiązku założyć konto po to żeby to sprostować. Ktoś w przyszłości kto tu trafi przez wyszukiwarkę, będzie miał szansę znaleźć również sprostowanie, a nie tylko informację, która niepotrzebnie wprowadza w błąd.

Żaden krok autentykacji ePUAP ani potem odpytywania usług integracyjnych (typu getTpUserInfo) nie wymaga odpytywania adresów URL, specyfikacje protokołów są bowiem typu klient-serwer a nie serwer-serwer, jeżeli nawet występuje w przebiegu protokołu odwołanie do wskazanego adresu to jest to przekierowanie a nie odpytanie przez ePUAP. A ponieważ przekierowanie odbywa się na lokalnej maszynie, integracja może odbywać się nawet z domeny która rozwiązuje się przez /etc/hosts. Dla środowiska deweloperskiego - rozwiązanie idealne.

Chętnie się dowiem że jest inaczej, póki co proszę jednak autora powyższej wypowiedzi o odniesienie się do tego komentarza.

Doświadczenia z przejścia ścieżki integracyjnej spisałem na blogu

http://www.wiktorzychla.com/2[...]egracja-z-epuap-dostawca.html

Pozostało 580 znaków

2018-04-18 14:03
0

Zgadzam się z tym co pisze użytkownik @torq314.
Issuera mam podanego jako adres https://epuap.giga.katowice.pl.
Natomiast adres zwrotny dla SSO https://epuap.giga.katowice.pl:44315/signin-epuap

Następnie w pliku hosts.etc mam linie
127.0.0.1 epuap.giga.katowice.pl
Serwer www nasłuchuję (a dokładnie serwer developerski z Visual Studio) na localhost na porcie 44315

I wszystko działa następująco:

  1. Moja strona wysyła żądanie do PZ z prośbą o autoryzacją
  2. PZ przekierowuje do formularza logowania
  3. Po poprawnym zalogowaniu PZ przekierowuje na podany przeze mnie adres SSO
  4. Dzięki odpowiedniej konfiguracji pliku hosts.etc, żądania trafiają bezpośrednio do Visual Studio

Panie @torq314 bardzo dziękuję za pomoc. Jakbym czytał własne przemyślenia dotyczące walki z PZ.

Pozostało 580 znaków

2018-04-18 14:38
0
torq314 napisał(a):
kub3l napisał(a):

Twoja aplikacja może być postawiona na Twoim komputerze (localhost) i możesz odpytywać EPUAP, ale nie przeprowadzisz całego procesu logowania ponieważ EPUAP w całym procesie kilkukrotnie odpytuje zarejestrowane we wniosku adresy URL. Muszą one być publicznymi adresami. Dane, które są przekazywane tą drogą są niezbędne aby przejść przez cały proces logowania. Testowanie aplikacji najłatwiej jest wykonywać na zainstalowanej instancji, na fizycznym serwerze, z wystawionym publicznym adresem IP.

Pozdrawiam,
Kuba

Ponieważ materiałów opisujących integrację jest niewiele a ślad po wszystkim co się w sieć wrzuci w tejże sieci zostaje, czuję się w obowiązku założyć konto po to żeby to sprostować. Ktoś w przyszłości kto tu trafi przez wyszukiwarkę, będzie miał szansę znaleźć również sprostowanie, a nie tylko informację, która niepotrzebnie wprowadza w błąd.

Żaden krok autentykacji ePUAP ani potem odpytywania usług integracyjnych (typu getTpUserInfo) nie wymaga odpytywania adresów URL, specyfikacje protokołów są bowiem typu klient-serwer a nie serwer-serwer, jeżeli nawet występuje w przebiegu protokołu odwołanie do wskazanego adresu to jest to przekierowanie a nie odpytanie przez ePUAP. A ponieważ przekierowanie odbywa się na lokalnej maszynie, integracja może odbywać się nawet z domeny która rozwiązuje się przez /etc/hosts. Dla środowiska deweloperskiego - rozwiązanie idealne.

Chętnie się dowiem że jest inaczej, póki co proszę jednak autora powyższej wypowiedzi o odniesienie się do tego komentarza.

Doświadczenia z przejścia ścieżki integracyjnej spisałem na blogu

http://www.wiktorzychla.com/2[...]egracja-z-epuap-dostawca.html

Witam,

na wstępie chciałbym zaznaczyć, że nie miałem zamiaru nikogo wprowadzać w błąd, a raczej pomóc innym zmagającym się z integracją. Przyznam szczerze, że nie wiedziałem o tym fakcie, który Pan opisuję, a dokładniej, musiałem błędnie zinterpretować zachowanie EPUAP-u. Dziękuję za sprostowanie mojej informacji i mogę zapewnić, że zweryfikuję czy faktycznie jest to tylko przekierowanie, a nie zapytania typu REST kierowane ze strony EPUAP.

Pozdrawiam,
Kuba

Pozostało 580 znaków

2018-04-18 14:56
0

na wstępie chciałbym zaznaczyć, że nie miałem zamiaru nikogo wprowadzać w błąd, a raczej pomóc innym zmagającym się z integracją. Przyznam szczerze, że nie wiedziałem o tym fakcie, który Pan opisuję, a dokładniej, musiałem błędnie zinterpretować zachowanie EPUAP-u. Dziękuję za sprostowanie mojej informacji i mogę zapewnić, że zweryfikuję czy faktycznie jest to tylko przekierowanie, a nie zapytania typu REST kierowane ze strony EPUAP.

Dziękuję.

Wiadomo że ewentualna nieścisłość, jeśli się pojawiła, to nie jest zamierzona. A ta integracja jest stosunkowo żmudna sama z siebie, z tym dodatkowym ograniczeniem konieczności pracy na publicznych adresach byłaby jeszcze trudniejsza.

Btw. żaden znany mi protokół SSO, z którymi pracowałem (w tym OAuth2, OpenIDConnect, WS-Fed i SAML2) nie wymaga od strony aplikacji publicznego adresu, ponieważ ewentualne przekierowania rozwiązuje przeglądarka a nie serwer. Do zweryfikowania autentyczności żądania dostawcy używają albo client_secret (rodzina OAuth2) albo podpisu (rodzina oparta na SAML/JWT), nie ma potrzeby żądania od dostawcy usługi do aplikacji.

Pozostało 580 znaków

2018-07-10 22:23
0

Podepnę się pod ten wątek. Mam aplikację webową, która będzie wykorzystywana przez zalogowanych użytkowników. Do uwierzytelnienia planowane jest wykorzystanie ePUAP. Jakie po kolei kroki będą musiały być wykonane przez użytkownika i przez system w tle, aby udało się to zrealizować?

Pozostało 580 znaków

Odpowiedz
Liczba odpowiedzi na stronę

1 użytkowników online, w tym zalogowanych: 0, gości: 1, botów: 0