[Phoenix] RO viewer - Mercator gebruik

Goedertier Stijn stijn.goedertier op vlaanderen.be
Wo Apr 12 13:51:24 CEST 2023 

Dag Christophe,

De requests voor MercatorNet gaan via dit endpoint op de reverse proxy: (mercator.vonet.be bestaat al >2 jaar niet meer):
https://www.mercator.vlaanderen.be/raadpleegdienstenmercatorpubliek/ows?SERVICE=WMS&version=1.3.0&request=GetCapabilities

via de load balancer naar de authentication proxies op dit endpoint:
http://mercn-certproxy-pr-757.lb.cumuli.be:8080/raadpleegdienstenmercatorpubliek/ows?SERVICE=WMS&version=1.3.0&request=GetCapabilities

en via load balancer naar de geoservers op dit endpoint:
http://mercn-geoserver-publicatie-pr.lb.cumuli.be:8080/raadpleegdienstenmercatorpubliek/ows?service=WFS&version=2.0.0&request=GetCapabilities

Voor al deze endpoints zijn varianten mogelijk afhankelijk van het service type (bv. /wfs, /wms, /wcs),  workspace (bv. /lu/ows), en laag (bv. /lu/lu_si_ct/wfs).

De authentication proxies ondersteunen

  1.  authenticatie via OIDC bearer token (voor Omgeving systeemgebruikers en QGIS fat client gebruikers); of
  2.  authenticatie via certificaat (voor niet-Omgeving systeemgebruikers); of
  3.  OpenAM authenticatie.

Dus in functie van jullie use cases:

  *   Vertrekkende van de Web browser voor publieke lagen: rechtstreeks op de mercator.vlaanderen.be endpoint is alleen mogelijk voor niet-beveiligde lagen.
  *   Via backend voor beveiligde lagen: Voor beveiligde lagen moet via de backend gewerkt worden met bearer token. De backend kan rechtstreeks op de GeoServers connecteren en dus de authentication proxies bypassen. De systeemgebruiker heeft het profiel MercatorGeoserverLezer nodig. Wat momenteel niet mogelijk is, is dat een Web gebruiker zich rechtstreeks authenticeert op GeoServer via OIDC; er wordt momenteel immers geen sessie info bijgehouden (Hazelcast session sharing staat momenteel uit); voor requests rechtstreeks op de services maakt GeoServer sowieso nooit een sessie aan (alleen op de Web interface).
  *   Vanuit de backend voor PDF-generatie: via bearer token. Hier kan je ook de authentication proxies bypassen en rechtstreeks op de GeoServer connecteren.

Hopelijk is dit voldoende duidelijk en haalbaar voor jullie op de services zo aan te spreken. Als je nog opmerkingen hebt kunnen we het beter face-to-face bepreken.

Met vriendelijke groet,
Stijn


Van: De Blende Christophe <christophe.deblende op vlaanderen.be>
Datum: dinsdag, 11 april 2023 om 08:37
Aan: Goedertier Stijn <stijn.goedertier op vlaanderen.be>, van Eck Christel <christel.vaneck op vlaanderen.be>
CC: phoenix op list.omgeving.vlaanderen.be <phoenix op list.omgeving.vlaanderen.be>
Onderwerp: RO viewer - Mercator gebruik
Dag Christel, Stijn,

Phoenix is op dit moment bezig met de upgrade van RO-viewer naar de laatste SSO oplossing van SIDO (OAuth2). Hierbij merken we dat Mercator enorm gebruikt wordt. Zowel WMS als WFS lagen, ...

De vraag is een beetje welke endpoints van Mercator gebruiken we best en wanneer. Ik denk dat we volgende UC's hebben:

  *   vertrekkende van een web browser waarbij een gebruiker die de WMS / WFS rechtstreeks bevraagt
  *   vanuit de backend, de toepassing "RO viewer" zelf die voor PDF generatie bepaalde WMS / WFS lagen nodig heeft (of dit dode functionaliteit is moeten we nog nagaan)
  *   er zijn ook interne lagen die gebruikt worden, die dus beveiligd zijn. Hier vraag ik mij af of deze steeds vanuit de backend bevraagd moeten worden? Of kan dit ook via de web browser rechtstreeks ?
  *   en dan een laatste vraag, is het mogelijk een oplijstig te hebben van de nog geldige mercator endpoints. Ik zie hier nog vonet endpoints in de code. Ik vermoed dat deze niet meer geldig zijn. (https://www.mercator.vonet.be/raadpleegdienstenmercatorintern/lu/lu:lu_gwp_rv_raster/wms). Met dan ook de overeenkomstige publieke en interne url's. Ik zie dat de RO viewer op dit moment een lange weg aflegt zelf voor bepaalde requests. Zouden hier interne endpoints gebruikt worden zou er minder overhead zijn.
Als het gemakkelijker is om dit effe face to face te bespreken, laat me iets weten, dan regel ik wel iets.

Mvg
Christophe
------------- volgend deel ------------
Een HTML-bijlage is gescrubt...
URL: <http://list.milieuinfo.be/pipermail/phoenix/attachments/20230412/74cc2c96/attachment-0001.htm>

More information about the Phoenix mailing list