Integration S3-Authentication

[simonhir]

Mit #461 wurde die Authentifizierung gegenüber der S3-Integration (neu) umgesetzt. Ziel dieser Story ist es, dass nur noch Authentifizierte Anfragen von der S3-Integration angenommen werden und dementsprechend alle Komponenten Anfragen mit korrekter Authentifizierung stellen.

Bekannte Service mit Kommunikation zum S3:

• Engine (Hier sollte ein Token schon mitgeschickt werden - Kontrolle notwendig)
• Formserver-Integration (Hier den aktuellen S3-Int-Client einbauen)

ToDos

• Refactoring der Formserver-Integration, dass die Spring-Authentication genutzt wird
  • Digiwf-Spring-Sec Bib nutzen und ggfs. erweitern (Für Abfrage von Service Account Token - Siehe Task-Service-Backend)
  • S3-API-Client richtig mit Sec aufrufen
• Ops
  • Engine Konfig anpassen, dass Sec aktiv und Tokens mitgeschickt werden
  • S3-Integration: No-Sec Profil rausnehmen, damit Sec aktiviert wird
  • Form-Int konfigurieren

Akzeptanzkriterien

• Für alle Services erfolgt die Authentifizierung gegenüber der S3-Integration mittels Service Account
• S3-Integration wird in der CAP immer mit Security ausgeführt

[darenegade]

Vielleicht müssen wir das im Ref auch mal tiefer legen, ob es hier einen Grund gibt, warum das immer ohne Auth war und was beachtet werden muss

[lmoesle]

FYI Ich habe in #496 den S3-Client auf die aktuelle Version geupdated. Der MR hierfür ist noch offen: https://git.muenchen.de/digitalisierung/digiwf-formserver-integration/-/merge_requests/10

[lmoesle]

Vermutlich kann man das Problem kurzfristig so fixen wie ich es gerade für die digiwf-engine gemacht habe: https://github.com/it-at-m/digiwf-core/issues/708

[lmoesle]

Das Ticket haben wir am Freitag auf impediment geschoben, da die Hebung der S3 Integration version von der Spring Boot 3 Hebung des Formservers abhängt (#900).

[lmoesle]

FYI Ich habe in #496 den S3-Client auf die aktuelle Version geupdated. Der MR hierfür ist noch offen: https://git.muenchen.de/digitalisierung/digiwf-formserver-integration/-/merge_requests/10

Die S3-Authentifizierung funktioniert jetzt mittlerweile bei der lokalen Entwicklung. Ich glaube man muss nur noch im Ops Repo die S3 Integration ganz normal mit Security starten und dann sollte alles passen.

[simonhir]

Hab das gerade mal in das Release-Ticket #1176 für Januar aufgenommen. Wir sollen aber vll sicherheitshalber nochmal überprüfen in all welchen Integrationen die s3-lib wirklich genutzt wird, dass man da nicht währen dem Release ewig rumtuen muss. Zumindest in der Beschreibung scheint ja Mail schon mal zu fehlen.

[darenegade]

Hier muss noch Ops angepasst werden und dann kann das Ticket geschlossen werden

[simonhir]

https://git.muenchen.de/digitalisierung/digiwf-ops/-/merge_requests/325

[simonhir]

Formserver-Integration schlägt mit unauthorized gegen die s3-integration fehl.

[simonhir]

https://git.muenchen.de/digitalisierung/digiwf-formserver-integration/-/merge_requests/15 https://git.muenchen.de/digitalisierung/digiwf-ops/-/merge_requests/352

[simonhir]

Fix von oben funktioniert auf Processes-Test und Demo jedoch nicht auf Prod.

[simonhir]

Waits for #900 that new s3-client lib can be used

[darenegade]

Das Thema wird eventuell nicht mehr benötigt, je nachdem, was in #794 oder #900 rauskommt