Управління доступом користувачів до Кабінету надавача послуг з використанням КЕП Фізичної Особи

Загальний опис

На рівні реєстру, необхідно забезпечити можливість технічному адміністратору налаштовувати доступ користувачів до кабінету надавачів послуг з використанням КЕП ФО, в якому, відповідно, відсутній ЄДРПОУ організації. Це пов’язано зі складністю отримання КЕП ФОП або представника юридичної особи з огляду на необхідність фізичної присутності.

Актори та ролі користувачів

Надавач послуг (ФО)
Технічний адміністратор реєстру

Функціональні сценарії

Управління доступом користувачів з використанням КЕП ФО до Кабінету надавача послуг через Веб-інтерфейс управління Платформою та реєстрами
Автентифікація надавачів послуг з КЕП ФО через ІІТ-віджет та id.gov.ua
Накладання підпису надавачами послуг з використанням КЕП ФО

Загальні принципи та положення

За замовчуванням, користувачі не мають доступ до Кабінету надавачів послуг з КЕП ФО
Надання дозволу ФО на доступ до кабінету надавачів послуг має враховувати потенційні ризики та включати відповідні зміни на рівні регламенту реєстру для їх мітігації
Використання КЕП ФО / ФОП / представника юридичної особи вважаються ідентифікуючими ознаками окремих користувачів, дані яких є ізольованими між собою
Облікові записи користувача, які було створено з використанням КЕП ФО / ФОП / представника юридичної особи не об’єднуються
Для автентифікації надавача послуг використовується КЕП ФО у вигляді файлового, апаратного та хмарного ключів

Компоненти системи та їх призначення в рамках дизайну рішення

У даному розділі наведено перелік компонент системи, які задіяні або потребують змін в рамках реалізації функціональних вимог.

Підсистема	Компонент	Модуль	Опис змін
Підсистема управління Платформою та Реєстрами	control-plane-console	-	Розширення інтерфейсу управління додатковою секцією
registry-configuration	-	Розширення конфігурації додатковим налаштуванням
Підсистема розгортання та налаштування Платформи та Реєстрів	control-plane-jenkins	edp-library-stages-fork	Застосування змін конфігурації до ресурсів реєстру
Підсистема управління користувачами та ролями	keycloak-ds-officer-authenticator	keycloak-ds-officer-authenticator-core	Реалізація автентифікації та самореєстрації надавачів послуг з використанням КЕП ФО
keycloak-id-gov-ua-officer-core
Підсистема цифрових підписів	digital-signature-ops	-	Підтримка підписів надавачів послуг, накладених з використанням КЕП ФО

Підсистема

Компонент

Модуль

Опис змін

Підсистема управління Платформою та Реєстрами

control-plane-console

Розширення інтерфейсу управління додатковою секцією

registry-configuration

Розширення конфігурації додатковим налаштуванням

Підсистема розгортання та налаштування Платформи та Реєстрів

control-plane-jenkins

edp-library-stages-fork

Застосування змін конфігурації до ресурсів реєстру

Підсистема управління користувачами та ролями

keycloak-ds-officer-authenticator

keycloak-ds-officer-authenticator-core

Реалізація автентифікації та самореєстрації надавачів послуг з використанням КЕП ФО

keycloak-id-gov-ua-officer-core

Підсистема цифрових підписів

digital-signature-ops

Підтримка підписів надавачів послуг, накладених з використанням КЕП ФО

Ключові сценарії

Автентифікація надавача послуг з КЕП ФО

Необхідно розширити компонент keycloak-ds-officer-authenticator логікою автентифікації та самореєстрації для надавачів послуг з КЕП ФО:

com.epam.digital.data.platform.keycloak.ds.officer.authenticator.DsoAuthenticator
com.epam.digital.data.platform.keycloak.ds.officer.authenticator.RegistryFederationAuthenticator
com.epam.digital.data.platform.keycloak.idgovua.officer.authenticator.IdGovUaOfficerAuthenticator

Figure 1. Блок-схема процесу автентифікації

Валідація підпису надавача послуг з КЕП ФО

Необхідно розширити компонент digital-signature-ops логікою валідації цифрового підпису, накладеного надавачами послуг з КЕП ФО:

com.epam.digital.data.platform.dso.config.GenericConfig#getOfficerValidator
com.epam.digital.data.platform.dso.config.IsolationConfig#getOfficerValidator

Figure 2. Блок-схема процесу валідації цифрового підпису

Управління конфігурацією реєстру

Конфігурація реєстру

В рамках реалізації функціональних вимог, необхідно розширити конфігурацію реєстру додатковим налаштуванням portals.officer.individualAccessEnabled.

Для підтримки зворотної сумісності версій, у разі відсутності налаштування portals.officer.individualAccessEnabled застосовувати значення за замовчуванням false.

control-plane-gerrit:<registry>.git/deployment-templates/values.yaml

portals:
  officer:
    individualAccessEnabled: true # default: false

Інтерфейси адміністратора

В рамках реалізації функціональних вимог, необхідно розширити екран управління налаштуваннями автентифікації надавачів послуг реєстру додатковою секцією зі збереженням значення на рівні конфігурації реєстру в portals.officer.individualAccessEnabled.

control-plane-officer-individual-access-control

Figure 3. Управління доступом користувачів з КЕП Фізичної Особи

Міграція існуючих реєстрів при оновленні

Не потребує окремих процедур міграції, у разі відсутності налаштування на рівні конфігурації реєстру зберігається поведінка за замовчуванням - відсутність доступу користувачам з КЕП ФО до кабінету отримувача послуг реєстру, доки технічний адміністратор явним чином не внесе зміни через Веб-інтерфейс управління Платформою та реєстрами.