[Phoenix] RO viewer - Mercator gebruik

De Blende Christophe christophe.deblende op vlaanderen.be
Wo Apr 19 22:05:17 CEST 2023 

Dag Stijn,

om effe duidelijk te zijn, ik ben op zoek naar de endpoints van mercator voor vlan's 750 (ontikkel) / 752 (oefen) en 754 (productie) en niet vlan 757 want dat is van de DMZ.

Ik ben even zelf aan het zoeken geweest, maar er lijken dingen te ontbreken. Ik denk dat http://mercn-geoserver-publicatie-on.lb.cumuli.be:8080<http://mercn-geoserver-publicatie-on.lb.cumuli.be:8080/> wel ok is. Maar daar hebben we niet alle lagen als ik het goed heb. De productie copy gebeurt enkel naar http://mercn-geoserver-integratie-on.lb.cumuli.be:8080<http://mercn-geoserver-integratie-on.lb.cumuli.be:8080/>. Maar hier ontbreken de redirect urls voor keycloak denk ik.

Soit, ik denk echt dat jullie dit eens goed moeten documenteren. Ik heb dit al meermaals gevraagd. Want jullie opzet is echt niet eenvoudig. Jullie hebben uiteindelijk 5 omgevingen die je op 3 manieren kan benaderen (vanuit het internet, vanuit de cert proxies of rechtstreeks). Dan heb je het aspect van welke data kunnen we waar vinden ... Dit geeft wel heel wat uitzoekwerk om dan een url te vinden.

Mvg
Christophe


________________________________
Van: De Blende Christophe <christophe.deblende op vlaanderen.be>
Verzonden: vrijdag 14 april 2023 20:14
Aan: Goedertier Stijn <stijn.goedertier op vlaanderen.be>; van Eck Christel <christel.vaneck op vlaanderen.be>
CC: phoenix op list.omgeving.vlaanderen.be <phoenix op list.omgeving.vlaanderen.be>; Ooms Gijsbert <gijsbert.ooms op vlaanderen.be>
Onderwerp: Re: RO viewer - Mercator gebruik

Dag Stijn,

ik zal proberen om nog iets uit te werken. Het idee is om de topologie van heel de setup wat door te hebben. Voor RO-viewer zitten we namelijk met nogal een mix van requests

  *   een gebruiker die naar mercator.omgeving.vlaanderen.be gaat, op welke server komt die uiteindelijk
     *   welke CORS security zitten op de externe endpoints
     *   welke authenticatie mechanisme werkt vanuit de browser (certificaten denk ik dan)
  *   voor interne services (backend van ro viewer zelf), welke endpoint moeten we daar gebruiken zodat de security goed werkt
     *   werkt bvb Openam nog ? of is het alleen nog OAuth2
     *   ...

Het is gewoon dat we moeten weten hoe we ervoor kunnen zorgen dat we geen authenticatie errors meer krijgen in de RO-viewer en dat hangt vooral af welke weg we wanneer moeten afleggen (lees welke endpoints moeten we gebruiken). Het ziet er nu naar uit dat RO-viewer correct werkt voor publieke lagen, maar niet voor interne lagen.

Verder te bekijken, maar ik zal proberen iets uit te werken, tenzij jullie hier al documentatie rond hebben ?

Mvg
Christophe
________________________________
Van: Goedertier Stijn <stijn.goedertier op vlaanderen.be>
Verzonden: woensdag 12 april 2023 13:51
Aan: De Blende Christophe <christophe.deblende op vlaanderen.be>; van Eck Christel <christel.vaneck op vlaanderen.be>
CC: phoenix op list.omgeving.vlaanderen.be <phoenix op list.omgeving.vlaanderen.be>; Ooms Gijsbert <gijsbert.ooms op vlaanderen.be>
Onderwerp: Re: RO viewer - Mercator gebruik


Dag Christophe,



De requests voor MercatorNet gaan via dit endpoint op de reverse proxy: (mercator.vonet.be bestaat al >2 jaar niet meer):

https://www.mercator.vlaanderen.be/raadpleegdienstenmercatorpubliek/ows?SERVICE=WMS&version=1.3.0&request=GetCapabilities



via de load balancer naar de authentication proxies op dit endpoint:

http://mercn-certproxy-pr-757.lb.cumuli.be:8080/raadpleegdienstenmercatorpubliek/ows?SERVICE=WMS&version=1.3.0&request=GetCapabilities



en via load balancer naar de geoservers op dit endpoint:

http://mercn-geoserver-publicatie-pr.lb.cumuli.be:8080/raadpleegdienstenmercatorpubliek/ows?service=WFS&version=2.0.0&request=GetCapabilities



Voor al deze endpoints zijn varianten mogelijk afhankelijk van het service type (bv. /wfs, /wms, /wcs),  workspace (bv. /lu/ows), en laag (bv. /lu/lu_si_ct/wfs).



De authentication proxies ondersteunen

  1.  authenticatie via OIDC bearer token (voor Omgeving systeemgebruikers en QGIS fat client gebruikers); of
  2.  authenticatie via certificaat (voor niet-Omgeving systeemgebruikers); of
  3.  OpenAM authenticatie.



Dus in functie van jullie use cases:

  *   Vertrekkende van de Web browser voor publieke lagen: rechtstreeks op de mercator.vlaanderen.be endpoint is alleen mogelijk voor niet-beveiligde lagen.
  *   Via backend voor beveiligde lagen: Voor beveiligde lagen moet via de backend gewerkt worden met bearer token. De backend kan rechtstreeks op de GeoServers connecteren en dus de authentication proxies bypassen. De systeemgebruiker heeft het profiel MercatorGeoserverLezer nodig. Wat momenteel niet mogelijk is, is dat een Web gebruiker zich rechtstreeks authenticeert op GeoServer via OIDC; er wordt momenteel immers geen sessie info bijgehouden (Hazelcast session sharing staat momenteel uit); voor requests rechtstreeks op de services maakt GeoServer sowieso nooit een sessie aan (alleen op de Web interface).
  *   Vanuit de backend voor PDF-generatie: via bearer token. Hier kan je ook de authentication proxies bypassen en rechtstreeks op de GeoServer connecteren.



Hopelijk is dit voldoende duidelijk en haalbaar voor jullie op de services zo aan te spreken. Als je nog opmerkingen hebt kunnen we het beter face-to-face bepreken.



Met vriendelijke groet,

Stijn





Van: De Blende Christophe <christophe.deblende op vlaanderen.be>
Datum: dinsdag, 11 april 2023 om 08:37
Aan: Goedertier Stijn <stijn.goedertier op vlaanderen.be>, van Eck Christel <christel.vaneck op vlaanderen.be>
CC: phoenix op list.omgeving.vlaanderen.be <phoenix op list.omgeving.vlaanderen.be>
Onderwerp: RO viewer - Mercator gebruik

Dag Christel, Stijn,



Phoenix is op dit moment bezig met de upgrade van RO-viewer naar de laatste SSO oplossing van SIDO (OAuth2). Hierbij merken we dat Mercator enorm gebruikt wordt. Zowel WMS als WFS lagen, ...



De vraag is een beetje welke endpoints van Mercator gebruiken we best en wanneer. Ik denk dat we volgende UC's hebben:

  *   vertrekkende van een web browser waarbij een gebruiker die de WMS / WFS rechtstreeks bevraagt
  *   vanuit de backend, de toepassing "RO viewer" zelf die voor PDF generatie bepaalde WMS / WFS lagen nodig heeft (of dit dode functionaliteit is moeten we nog nagaan)
  *   er zijn ook interne lagen die gebruikt worden, die dus beveiligd zijn. Hier vraag ik mij af of deze steeds vanuit de backend bevraagd moeten worden? Of kan dit ook via de web browser rechtstreeks ?
  *   en dan een laatste vraag, is het mogelijk een oplijstig te hebben van de nog geldige mercator endpoints. Ik zie hier nog vonet endpoints in de code. Ik vermoed dat deze niet meer geldig zijn. (https://www.mercator.vonet.be/raadpleegdienstenmercatorintern/lu/lu:lu_gwp_rv_raster/wms). Met dan ook de overeenkomstige publieke en interne url's. Ik zie dat de RO viewer op dit moment een lange weg aflegt zelf voor bepaalde requests. Zouden hier interne endpoints gebruikt worden zou er minder overhead zijn.

Als het gemakkelijker is om dit effe face to face te bespreken, laat me iets weten, dan regel ik wel iets.



Mvg

Christophe
------------- volgend deel ------------
Een HTML-bijlage is gescrubt...
URL: <http://list.milieuinfo.be/pipermail/phoenix/attachments/20230419/5e87ad7e/attachment-0001.htm>

More information about the Phoenix mailing list