digiwf-core icon indicating copy to clipboard operation
digiwf-core copied to clipboard

Published 20 hours ago verified publisher icon it-at-m

Integration S3-Authentication

Open simonhir opened this issue 2 years ago • 13 comments

Mit #461 wurde die Authentifizierung gegenüber der S3-Integration (neu) umgesetzt. Ziel dieser Story ist es, dass nur noch Authentifizierte Anfragen von der S3-Integration angenommen werden und dementsprechend alle Komponenten Anfragen mit korrekter Authentifizierung stellen.

Bekannte Service mit Kommunikation zum S3:

  • Engine (Hier sollte ein Token schon mitgeschickt werden - Kontrolle notwendig)
  • Formserver-Integration (Hier den aktuellen S3-Int-Client einbauen)

ToDos

  • Refactoring der Formserver-Integration, dass die Spring-Authentication genutzt wird * Digiwf-Spring-Sec Bib nutzen und ggfs. erweitern (Für Abfrage von Service Account Token - Siehe Task-Service-Backend) * S3-API-Client richtig mit Sec aufrufen
  • Ops
    * Engine Konfig anpassen, dass Sec aktiv und Tokens mitgeschickt werden * S3-Integration: No-Sec Profil rausnehmen, damit Sec aktiviert wird
    * Form-Int konfigurieren

Akzeptanzkriterien

  • Für alle Services erfolgt die Authentifizierung gegenüber der S3-Integration mittels Service Account
  • S3-Integration wird in der CAP immer mit Security ausgeführt

simonhir avatar Jul 20 '23 09:07 simonhir

Vielleicht müssen wir das im Ref auch mal tiefer legen, ob es hier einen Grund gibt, warum das immer ohne Auth war und was beachtet werden muss

darenegade avatar Jul 20 '23 14:07 darenegade

FYI Ich habe in #496 den S3-Client auf die aktuelle Version geupdated. Der MR hierfür ist noch offen: https://git.muenchen.de/digitalisierung/digiwf-formserver-integration/-/merge_requests/10

lmoesle avatar Aug 01 '23 07:08 lmoesle

Vermutlich kann man das Problem kurzfristig so fixen wie ich es gerade für die digiwf-engine gemacht habe: https://github.com/it-at-m/digiwf-core/issues/708

lmoesle avatar Sep 15 '23 14:09 lmoesle

Das Ticket haben wir am Freitag auf impediment geschoben, da die Hebung der S3 Integration version von der Spring Boot 3 Hebung des Formservers abhängt (#900).

lmoesle avatar Jan 08 '24 09:01 lmoesle

FYI Ich habe in #496 den S3-Client auf die aktuelle Version geupdated. Der MR hierfür ist noch offen: https://git.muenchen.de/digitalisierung/digiwf-formserver-integration/-/merge_requests/10

Die S3-Authentifizierung funktioniert jetzt mittlerweile bei der lokalen Entwicklung. Ich glaube man muss nur noch im Ops Repo die S3 Integration ganz normal mit Security starten und dann sollte alles passen.

lmoesle avatar Jan 08 '24 17:01 lmoesle

Hab das gerade mal in das Release-Ticket #1176 für Januar aufgenommen. Wir sollen aber vll sicherheitshalber nochmal überprüfen in all welchen Integrationen die s3-lib wirklich genutzt wird, dass man da nicht währen dem Release ewig rumtuen muss. Zumindest in der Beschreibung scheint ja Mail schon mal zu fehlen.

simonhir avatar Jan 09 '24 07:01 simonhir

Hier muss noch Ops angepasst werden und dann kann das Ticket geschlossen werden

darenegade avatar Jan 09 '24 09:01 darenegade

https://git.muenchen.de/digitalisierung/digiwf-ops/-/merge_requests/325

simonhir avatar Jan 09 '24 13:01 simonhir

Formserver-Integration schlägt mit unauthorized gegen die s3-integration fehl.

simonhir avatar Jan 29 '24 08:01 simonhir

https://git.muenchen.de/digitalisierung/digiwf-formserver-integration/-/merge_requests/15 https://git.muenchen.de/digitalisierung/digiwf-ops/-/merge_requests/352

simonhir avatar Jan 30 '24 13:01 simonhir

Fix von oben funktioniert auf Processes-Test und Demo jedoch nicht auf Prod.

simonhir avatar Feb 08 '24 08:02 simonhir

Waits for #900 that new s3-client lib can be used

simonhir avatar Mar 08 '24 11:03 simonhir

Das Thema wird eventuell nicht mehr benötigt, je nachdem, was in #794 oder #900 rauskommt

darenegade avatar Jun 26 '24 14:06 darenegade