Authentication: Restrict access to Users with the "asset.swissgeol" group

[vej-ananas]

When Users authenticate using eIAM via Cognito, they first have to be assigned to the group "asset.swissgeol" in order to be authorized to access the Assets application.

Currently, any authenticated User gets access with the Viewer role.

Restrict the application access to users with the group "asset.swissgeol".

The group "asset.swissgeol" is already available on DEV but not yet on PROD and INT. Someone with permission has to add them.

Open Questions

1. What should be shown when a User is authenticated but not authorized for "asset.swissgeol"? How does Boreholes do this?

Acceptance criteria

1. Users only can access Assets when they are in the "asset.swissgeol" group
2. The user group exists on INT and PROD

[TIL-EBP]

@mPfifi Um dieses Issue auf INT zu testen kannst du in Cognito die Gruppenzuweisung für deinen Benutzer für die Gruppe "assets.swissgeol" entfernen. Dann sollte beim erneuten laden der Seite eine Fehlermeldung anzeigen, die sagt, dass man nicht berechtigt ist. Danach dich wieder der Gruppe hinzufügen, so dass du wieder Zugriff auf Assets hast.

[mPfifi]

@TIL-EBP : Nils und ich haben den Zugang auf INT gerade kurz wie von dir beschrieben getestet - ich selber habe keinen Zugriff auf Cognito. Obschon mich Nils aus der Gruppe "assets.swissgeol" entfernt hat, konnte ich problemlos auf int-assets.swissgeol.ch einloggen und als Admin arbeiten (voller Zugriff). Eine Fehlermeldung wurde nicht ausgegeben, ich musste mich lediglich kurz mit meiner Smartcard neu einloggen. Dies sollte wohl nicht so sein, oder? Zudem haben wir festgestellt, dass ich zwei Mal als Nutzer eingetragen bin, einmal als Viewer, und einmal als Admin - mit demselben Login?!? Nils hat mich der Gruppe nun wieder zugefügt, damit ich sicher Zugriff auf INT habe.

[TIL-EBP]

@mPfifi Sorry, das war mein Fehler, auf INT ist die Änderung noch gar nicht deployed, erst auf DEV. ICh kann die Änderungen sonst gerne heute im Sprintmeeting vorführen. Die doppelten Nutzer kommen daher, dass es für INT und DEV zwischenzeitlich dieselbe DB benutzt wurde, und daher deine eIAM Logins unterschiedliche IDs hatten. Das sollte jetzt gelöst sein, indem wir die doppelten User entfernt haben. Wenn du dich das nächste mal einloggst auf INT wird ein neuer User erstellt, dem kann ich dann Admin Rechte geben

[mPfifi]

@TIL-EBP Ich habe mich gerade neu eingeloggt auf INT und habe nun wieder Viewer-Rechte. Könntest du mich wieder zum Admin updaten? Merci vielmals! Auf DEV kann ich mich nach wie vor nicht richtig einloggen, ich brauche immer den Umweg über Ctrl-F5...; und auch da habe ich dann "nur" Viewer-Rechte.

[mPfifi]

@daniel-va @TIL-EBP : ich habe diesen Issue auf DEV wie oben beschrieben nochmals getestet (Gruppenzuweisung auf Cognito entfernen lassen durch Nils und zurück), funktioniert nun bestens. Somit verschiebe ich diesen Issue nach Done.