Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Security für Schnittstelle GEVER / teamraum #6192

Open
jone opened this issue Jan 13, 2020 · 3 comments
Open

Security für Schnittstelle GEVER / teamraum #6192

jone opened this issue Jan 13, 2020 · 3 comments

Comments

@jone
Copy link
Member

@jone jone commented Jan 13, 2020

Gist

  • Auf Seite GEVER neue Berechtigung zum Benutzer der Schnittstelle
  • Auf Seite GEVER neue Rolle zur Berechtigung
  • Standardmässig nicht vergeben (allenfalls aber für Dev)
  • Alle Schnittstellen auf Seite GEVER schützen

Auszug aus OGIP

5.8.1 Authentisierung

Die Kommunikation zwischen GEVER und teamraum wird immer von Seite GEVER her aufge-baut und erfolgt über HTTP. Für die Authentisierung dieser Verbindung wird ein Service-Benutzer mit einem API-Token auf Seite teamraum eingerichtet. Dieses API-Token wird dann auf Seite GEVER konfiguriert. Die Verbindung wird mit diesem API-Token aufgebaut und anschlies-send wird mit dem «Impersonate» Feature auf Seite teamraum auf die Security des im Moment angemeldeten Benutzers gewechselt. Das heisst dass einerseits vorerst Aktionen über die Schnittstelle ausgelöst werden können, die durch einen realen Benutzer ausgelöst werden. An-dererseits heisst das, das Benutzer, die die Schnittstelle benutzen, auf beiden Systemen (GEVER und teamraum) den gleichen Benutzer haben müssen mit entsprechender Berechtigung.

5.8.2 GEVER Berechtigung

Auf Seite GEVER wird die Benutzung der Schnittstelle GEVER <> teamraum mittels einer Be-rechtigung und einer dazugehörigen Rolle geschützt. Standardmässig haben Benutzer diese Rolle nicht, sie wird entweder über das LDAP- oder AD-Plugin an alle Benutzer vergeben (analog «Member») oder aber über eine Gruppe einem bestimmten Benutzerkreis vergeben. Es ist wich-tig, dass das Recht, Dokumente aus dem GEVER zu exportieren kontrolliert vergeben werden kann.

5.8.3 Teamraum Berechtigung

Für die Schnittstelle wird auf Seite teamraum keine spezifische Berechtigung eingeführt: es gel-ten die gleichen Berechtigungen, wie wenn der Benutzer die Aktion manuell übers UI durchführen würde.

@jone

This comment has been minimized.

Copy link
Member Author

@jone jone commented Jan 13, 2020

@lukasgraf ich habe im OGIP 63 das Thema Security ergänzt. Könntest du mir Feedback geben 1. ob das so sinnvoll ist aus technischer Sicht und 2. was es noch benötigt damit wir "Ready for planning" sind? Merci!

@lukasgraf

This comment has been minimized.

Copy link
Member

@lukasgraf lukasgraf commented Jan 13, 2020

@jone tiptop, passt so für mich 👍 Aus meiner Sicht ready for planning.

@jone

This comment has been minimized.

Copy link
Member Author

@jone jone commented Jan 13, 2020

Merci für die Einschätzung!

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Projects
None yet
2 participants
You can’t perform that action at this time.