Uživatel:Nesnera/Národní identita prakticky

<?? poněkud nejisté, co z toho vznikne za text. Směřování je k něčemu jako "SSO v prostředí VS | využití státem/EU garantovaných identit". Zatím tedy spíše pracovní poznámky s cílem vyhnout se "zjeveným" pojmům a pochopit problematiku. Proto v "soukromém" wiki uživatelském prostoru/pískovišti x úpravám se nebrání, naopak je vítám 🙏 />

Občanské elektronické identity[dotaz 1]

editovat
  • jaké jsou varianty (stručný popis), jaké jsou jejich možnosti + zasazení do EU
  • co je potřeba udělat (napoprvé a při opakování +propojení s registry)
  • příklady užití front a back endu

Identitní prostředky

editovat

viz. https://info.eidentita.cz/idp/ [chyba? 1]

  • eObčanka - občanský průkazu s čipem
  • NIA ID[1]
  • identifikační certifikát I. CA
  • IIG (International ID Gateway)[pozn. 1] - pro cizince přistupujícím k českým službám podporujícím eIDAS
  • mojeID

Získání a práce s NIA ID

editovat

Je popsáno[1] na informačním portálu NIA[chyba? 2]

Bezvýznamový směrový[dotaz 4] identifikátor (BSI) slouží k určení konkrétní osoby mezi dvěma(!) systémy. Technicky by se dalo říct, že je to cizí klíč (id) identifikující osobu ve vlastním systému. Jedná se tedy o pseudonym jednoznačně identifikací danou osobu u konkrétního SeP a je označován také jako SePP (Service Provider Pseudonym) nebo "identifikátor fyzické osoby"/občana.

  • v kontextu veřejné správy je jeho smyslem lepší ochrana osobních data a náhrada rodné číslo napříč všemi systémy[pozn. 2]
  • u některý případech došlo k „pojmenování“ BSI, tudíž AIFO je BSI, který vydává ISZR[dotaz 5], SePP nebo IdPP je BSI, které vydává NIA[dotaz 6]
  • požadavky kladené na BSI:
    • bezvýznamovost, tj. z hodnoty BSI, by nemělo být možno odvodit atributy uživatele, který je tímto BSI identifikován
    • nemělo by být sdílené mezi více jak dvěma systémy, tj. bsi1 identifikující osobu1 mezi systémy s1 a s2 by se nemělo používat pro komunikaci mezi s1 a s3 popř. s2 a s3.
  • technicky předáván atributem PersonalIdentifier[dotaz 7]
  • podoba byla definována technickou skupinou eIDAS jako CZ/ES/b5e81148-2bd1-4f44-ba75-0c0359d3be7d
    • CZ – země vydavatele identifikátoru
    • ES – země pro kterou byl identifikátor vydán
    • B5e81148-2b… - bezvýznamový unikátní identifikátor
  • pro každého IdP i SeP se vydává unikátně[dotaz 8]
  • perzistentní
  • pro OVM vystavena služba ISZR pro překlad BSI na AIFO v příslušné agendě
  • základní identifikátor v rámci fungování IdP vůči NIA
  • poslední prvek řetězce ZIFO - AIFO NIA - identifikační profil - BSI[3][dotaz 9]

Příklad implementace BSI

editovat
  • mějme tabulku s osobami (t1 – osoby) a tabulku s referencemi (t2 – referenční tabulka)
t1 - osoby t2 - referenční tabulka
t2.id příjmení jméno id bsi1 (AIFO) bsi2 (NIA) bsi3 bsi4
1 vonásek petr 1 a1 b1 c1 d1
2 novák jan 2 a2 b2
3 krásná liběna 3 a3 c3 d3
4 jasná růžena 4 a4 b4 d4
5 moudrý jan 5 a5 b5 c5
  • v systému je konkrétní osoba identifikovaná (t1.t2.id = t2.id)
  • v t2 jsou BSI na okolní systémy (systém 1 má hodnotu ve sloupci bsi1, s2 ve sloupci bsi2, …)
  • pokud chceme komunikovat se systéme s2 a identifikovat osobu „novák“, pak použijeme bsi2=“b2“, atp. pro ostatní systémy.

Mechanizmus plnění obsahu a práce sv t2:

  • uživatel přistoupí přes NIA (je autentizován)
    • v tokenu od NIA přijde BSI (označován jako SePP) + další atributy osoby. Pokud uživatel přichází poprvé (hodnota t2.bsi2 nenalezena), pak:
      • s hodnotou token.bsi se volá ISZR služba e226 – eidentitactiaifo. Ta vrátí AIFO, které je třeba doplnit/propojit s hodnotou t2.bsi1
      • s dalšími atributy v tokenu se volá ISZR e05 – robctipodleudajů. Ta vrátí AIFO, které je třeba doplnit/propojit s hodnotou t2.bsi1
  • ztotožnění kmene (kmen osob z t1)
    • s atributy z t1 se volá ISZR e05 – robctipodleudajů. Ta vrátí AIFO, které je třeba doplnit/propojit s hodnotou t2.bsi1

Mechanizmus překladu různých BSI

editovat

Systém "1" vezme AIFO "1", které chce předat jinam, zavolá ISZR a získá GUID (označení úložky). Tuto úložku pošle cílovému systému "2", nebo "n" systémům, a ty si díky připojení k ISZR z této úložky získají svoje vlastní AIFO "2" (AIFO "n") různé od původního systému, které opět ukazuje na jednu konkrétní identitu subjektu - tedy ZIFO.[3]

Kritická místa

editovat
  • zavádění jmen cizinců (přepis jména do latinky) např. Александр Хоботов jako Alexandr Chobotov, Alexandr Chobotof a Alexander Chobotov tj. mohou vzniknout tři různé identity pro jednu fyzickou osobu

Evidence vedená v NIA[4]

editovat

je stanovena zákonem O elektronické identifikaci a zahrnuje

  • produkční data (§ 21 odst. 1):
    • identifikátor prostředku pro elektronickou identifikaci
    • úroveň záruky tohoto prostředku
    • ..
  • provozní údaje (§ 21 odst. 2)
    • datum prvotního zápisu údaje
    • datum jeho poslední změny
    • ..
  • evidenci vydaných prostředků (§ 22 odst. 1)
    • jméno/a a příjmení
    • adresu trvalého bydliště
    • ..

Služby NIA[4]

editovat
  • ztotožnění (TR_ZTOTOZNENI) - provádí ztotožnění subjektu vůči ISZR na základě dat obsažených ve volání. Výsledkem kladného ztotožnění je IdPP
  • zápis identifikačního prostředku do evidence NIA, nastavení stavu prostředku - Identifikace subjektu prostřednictvím IdPP[dotaz 10], jsou zapisována data podle zákona + data o stavu prostředku
  • změna stavu prostředku v evidenci - Identifikace subjektu prostřednictvím IdPP, identifikace prostředku prostřednictvím záznamu z předchozího kroku[dotaz 11]
  • notifikace - vrací data o změnách subjektů a prostředků v evidenci NIA a PBSI

Informace o kvalifikovaném správci[4][dotaz 12]

editovat
  • Název IdP – například elektronický občanský průkaz (CZ/EN/DE)
  • Logo poskytovatele prostředku
  • Popis prostředku v HTML formátu (CZ/EN/DE)
  • URL adresa s podrobnými informacemi o prostředku
  • Další technické údaje jako:
    • URI s metadaty
    • Certifikáty
    • LoA
    • ..
Životní cyklus identity/identifikačního prostředku[dotaz 13]
editovat
  • vznik - viz. Knotek/10
  • správa - viz. Knotek/11
  • použití - viz. Knotek/11
    • občan ČR > služba ČR ../13
    • občan ČR > služba EU ../14
    • občan EU > služba ČR ../15
  • zánik - viz. Knotek/12

Portál občana

editovat
  • vyžadováno
  • SSO - pouze pro NIA přihlášení, protože AS ISDS se chová poněkud specificky viz. SSO a ISDS. Jednoznačná identifikace by měla být postavena ideálně na AIFO
  • typy dlaždic[dotaz 16]
    • statická - odkaz na službu
    • metadatově řízená - zobrazuje data z jiného IS při využití FE API (uživatel, role, ..) a BE API (eGSB, ISZR, webové služby vystavené v CMS..)[dotaz 17]
    • volná - s vlastní logikou využívající API dle autorizace. Volání externích služeb[dotaz 18]
    • generická - zatím hypotetická

Umožňuje i jiné způsoby integrace, než dlaždice.[dotaz 19]

PO jako transakční část PVS spadá mezi kritickou informační infrastrukturu státu, a nelze si proto dovolit snížení úrovně důvěry, resp. bezpečnosti systému nakládání s osobními údaji – jinými slovy nesmíme připustit, aby došlo ke kompromitaci osobních údajů uživatele.

Pracuje se na nové koncepci PO, kde budou dlaždice, jak je známe v dnešní podobě, pravděpodobně upozaděny, naopak do popředí bude postaven katalog služeb veřejné správy z RPP a systém rolí, který by měl nabídku služeb (a tedy i dlaždic) na PO výrazně personalizovat. Toto je ale otázkou průběhu roku 2021 a let dalších.

SSO a ISDS

editovat

Uživatel DS se po dobu přihlášení do webklienta DS nemusí znovu autentizovat, když jde z/na stránky jiné aplikace, která umožňuje přihlášení pomocí AS ISDS. Je pouze požádán o odsouhlasí předání informací aplikaci, přičemž se vypisuje název aplikace a její poskytovatel (SeP). Naopak autentizovaný uživatel jiné aplikace (např. Portálu občana), který chce vstoupit do webové DS, se autentizovat musí. Důvodem je právní jistota, aby nedocházelo k nechtěnému doručení datových zpráv. Tedy při využití prostředků ISDS funguje SSO za zcela specifických podmínek.[dotaz 20]

Příklady

editovat

Scénáře/situace

editovat

Vznik duplicit

editovat

Sňatek občana ČR s cizinkou dlouhodobě žijící na území ČR

editovat

Cizinka má s ohledem na dlouhodobý pobyt záznam v ROB a tudíž i ZIFO. Primární editor ze své nedočkavosti založí do ROBu nový záznam a novomanželka získá nové ZIFO. Tím vznikne v základních registrech duplicita, ale jednotliví editoři mají snahu tuto duplicitu opravit. Do té doby existuje v základním registru 2x stejná fyzická osoba z různými atributy (typicky různá příjmení, často adresa, ..). Chyba se již ale šíří v identifikátorech mimo základní registry a dorazí do NIA. NIA má díky tomu informaci, že žena, která zde používala NIA ID ještě coby cizinka, je jiná osoba než ta, která zde používá nově občanský průkaz a také NIA ID. Od této chvíle tedy obecně existuje jedna fyzická osoba, která má dvě identity a nic ji nebrání obě tyto identity používat. Aby to bylo ještě zajímavější, tak dle první identity (cizinky) je stále svobodná a může se znovu provdat s šancí vzniku třetího ZIFO..

Náprava: Až se cizinka dostaví na cizineckou policii a oznámí, že se provdala, editor může začít s opravou dat. To funguje tak, že se vezmou ZIFO (2 a více podle počtu svateb), vytvoří se další ZIFO a ZIFO původních subjektu se zruší. V rámci základních registrů se provede tzv. sloučení. Výsledkem sloučení je nová vazba ZIFO/AIFO. Národní bod dostane informaci, že jeho AIFO 1 a AIFO 2 (nebo více) bylo sloučeno, a je nahrazeno AIFO novým. Národní bod se podívá, jestli má na AIFO 1 nebo 2 nebo N veden profil. Pokud ano, pokusí se také záznamy sloučit. Pokud měl však uživatel NIA ID (které může mít pouze jedno), nedokáže si s takovou změnou poradit a provede to, co je pro něj nejjednodušší. Tedy vypne identifikační profily, protože netuší, který z nich je ten původní subjekt.[pozn. 3] Pokud ale dojde do stavu, kdy má pouze jedno ze zrušených AIFO, udělá si opravu ve své evidenci a nic se na výstupních BSI nemění (protože ty jsou navázána na číslo profilu)[dotaz 21]

Není-li uvedeno jinak, jsou výklady převzaty z Příručky NIA pro SePy, tabulka "Seznam zkratek a pojmů".[5]

  1. Dává smysl zahrnout právnické osoby?
  2. Není to ve skutečnosti "jen" založení účtu s ověřením e-mailu a mobilu a NIA ID vzniká až po spárování s ISZR? (patrně vydáním AIFO?)
  3. Co znamená "..má v tomto registru uveden údaj o alespoň jednom z elektronicky čitelných identifikačních dokladů"?
  4. směrový - jako že je vydán konkrétním IdP pro konkrétního SePa?
  5. BSI vydává ISZR jenom pro NIA nebo i pro jiné agendové systémy?
  6. v příručce se ještě objevil pojem IdPP (Identity Provider Pseudonym). Chápu správně, že NIA vydává IdPP pro různé agendové systémy (např. pro Brno, Prahu) a je to opět obecný/zastřešující pojem? A totéž platí pro SePP? + ve schématu navíc "JDISS pseudonym" (také synonymum? x uvádí se "údržba vazeb osoby na veřejný identifikátor/pseudonym")
  7. Opravdu PersonalIdentifier?
  8. Kdo vydává (ISZR nebo NIA). Per agenda nebo poskytovatel? Tohle by chtělo uvést na příkladu 🤔
  9. Moc jist si nejsem ☹ Odhaduji z: "Zatím co základní registry fungují se ZIFO a od něj odvozují, nebo na něj navazují AIFO, národní bod má AIFO své agendy, k němu vytvoří identifikační profil a na něj navazuje bezvýznamové směrové identifikátory (BSI)."
  10. Prakticky znamená co?
  11. ůNechytil" jsem se ani trošku :-/
  12. Je co/kdo? Pro služby to poskytovatel a pro identity správce?
  13. Chtělo by to dobře vysvětlit rozdíl mezi identitou a identifikačním prostředkem
  14. Projde přihlášení přes NIA jiného EU státu např. Francouze? - ústně (ale možná e-maoil) že ne = opravdu jen pro občany
  15. Může se stát běžnému občanovi ČR, že by v ROB nebyl?
  16. Z prezentace, ale nenašel jsem veřejný zdroj. Existuje?
  17. Opravdu to tak je? To rozdělení na front a back end se mi nepozdává 🤔
  18. Liší se tedy od předchozí?
  19. Jaké?
  20. Nerozumím větě "Důvodem je právní jistota, aby nedocházelo k nechtěnému doručení datových zpráv.", konkrétně "nechtěnému doručení DZ". Zbytek chápu jako že není problém technologický, ale legislativní.
  21. Jaký je vlastně mechanizmus šířený změn v datech (např. příjmení) do systému?
  22. Existuje úplný, průběžně aktualizovaný výčet? Stránka je z 2009 + nevidím ministerstva (nebo je vše vykonáváno formou přenesené působnosti?)
  23. "AIFO ROB" znamená, že každý registr má své AIFO např. AIFO RPP? (=je na něj nahlíženo jako na agendový systém?). Úplně mi to nesedí s e-mailem, kde zaznělo: "registry fungují se ZIFO a od něj odvozují, nebo na něj navazují AIFO". Dle toho bych očekával AIFO jen pro AISy "vně" ISZR např. "AIFO NIA" nebo "AIFO MPO pro národní dotace", ale snímky 3, 4 prezentace (Představení IS ORG) to zase otáčí 🤔
  24. Nejsem si 100% jist, kdy se používá AIS a kdy IS tj. co je klíčové pro nárok na přívlastek "agendový"
  25. Nevím, zda nějaké pořadové číslo, nebo identifikátor profilu (čekal bych "B"). Vychází z e-mailu a části "protože ty jsou navázána na číslo profilu".
  26. Pouze ISZR?
  27. Má to nějaký věcný/technický význam, nebo opravdu jen symbol/postavička? (Nic rozumného jsem nenašel 😲 x v e-mailu u dlaždic zaznělo " prostřednictvím eGon")
  28. Tady hodně tápu :-/ + odpovídá tomu, který může uživatel v NIA upravovat (kontaktní e-mail, telefon, ..)?
  29. BSI uživatele konkrétní agendy provozované SePem?
  30. Podle "prezentace NIA" má komponent víc. Kromě ORG ještě AISEO, AISC, RRČ, EOP, ECD. Šlo by rozklíčovat/doplnit do hlavního hesla?
  31. Lze oddělit od CMS, nebo patří k sobě? +jsou nějaké lepší zdroje?
  32. Něco specifického, nebo prostě složenina funkcí?
  33. Jsou české ekvivalenty např. "značná" viz. https://info.eidentita.cz/ups/? Ve schematu příučky pak pro IdP nízká/důvěryhodná/vysoce důvěryhodná autentizace
  34. Jaký je prefereovaný název? (Či názvy a v jakém kontextu?)
  35. Jak propojit s rámečkem vpravo dole a schématem ISZR a obrázkem 1 v příručce (Schema NIA a SeP)?
  36. Význam zkratky?
  37. Není to nakonec "jen" BSI?
  38. Heslo na wiki nevypadá dobře - definice pojmu, nástupnictví PVS + stále je pro plnou funkčnost nutná kombinace DS a eOP?
  39. Je správně pochopeno?, lepší definice?
  40. Peterka kdysi psal o matici rolí a oprávnění. To je ono?
  41. V textech se patrně často objevuje jako "kvalifikovaný poskytovatel" (ale nejsem si jist, zda sousloví nezahrnuje-li také IdP). Jak to je?
  42. BSI pro konkrétního SePa resp. jím provozovanou agendu (který může být víc)?
  43. Hodil by se proces, jak OVM oslovuje občana. Je pro něj např. rozdíl mezi FO (40) a PFO (30)?
  44. Našla by se nějaká pěkná definice?
  45. Ještě někdo?
  1. Přijde mi matoucí označní "Seznam poskytovatelů identit" (+URL /idp). Naopak za korektní mám titulek "Čím je možné se přihlásit.."(+odkaz na stránku "Seznam identitních prostředků")
  2. Měl bych spíše za stránky než portál. I v textu se píše "informačního webu"
  3. V podmínkách užití je odstavec duplicitní s popisem vydání, kde navíc uvádění zákonů popis dost znepřehledňuje
  4. Trochu matoucí, že se hovoří o aktivaci a pak se přejde na pojem ověření
  5. Při těch několika pokusech reálného ověření jsem narazil na chybu: 502 - Web server received an invalid response while acting as a gateway or proxy server. There is a problem with the page you are looking for, and it cannot be displayed. When the Web server (while acting as a gateway or proxy) contacted the upstream content server, it received an invalid response from the content server.
  6. Zajímavé, že mají tlačítko na DS x nahoře je přihlášení přes PO
  7. Rozlišuje základní x ostatní výpisy byť oba odkazy směřují na totéž místo). Stejně tak všechny zde
  8. Nenašel jsem způsob, jak se přihlásit na pomocí DS, byť je na tuto službu odkazováno
  9. Neměl by text "do AISEO jsou zapisovány údaje:" znít "prostřednictvím AISEO jsou zapisovány údaje"?
  10. Wikiheslo nezmiňuje SSO :-/
  11. Chybí "Přihlášení bezpečnostním kódem - další způsoby
  12. Myslím, že definice v příručce neodpovídá 🤔
  13. Tohle mi přijde hodně nepřehledné pro zjištění podstaty - https://www.mvcr.cz/clanek/komunikacni-infrastruktura-verejne-spravy-a-centralni-misto-sluzeb-584441.aspx
  14. Příručka pro LoA používá minimálně 3 pojmy..🥴

Poznámky

editovat
  1. Dostal jsem se k němu z nemovitostí kliknutím vpravo nahoře "NIA IA"
  2. 2,0 2,1 V současné době (2020) se, bohužel, rodné číslo jako identifikátor osoby mezi dvěma systémy používá, byť rozhodně NEsplňuje vlastnosti BSI a nemělo by být pro tento účel využíváno.
  3. Bych čekal, že se použije poslední aktivní/založený profil, ale úplně nerozumím vazbě, tak jen uvažuji.
  4. Uživatelské jméno je volitelný textový řetězec, který nemusí být nijak spjat s jménem fyzické osoby.

Reference

editovat
  1. 1,0 1,1 1,2 Identifikační prostředek NIA ID [online]. Správa základních registrů, [cit. 2020-08-14]. Dostupné online.
  2. Podmínky používání NIA ID [online]. Správa základních registrů, [cit. 2020-09-23]. Dostupné online. (cs)
  3. 3,0 3,1 3,2 3,3 3,4 3,5 e-mail "Jednorázové spárování elektronické identity s fyzickou osobou", 2020-08-xx
  4. 4,0 4,1 4,2 4,3 4,4 KNOTEK, Josef. NIA (prezentace) [online]. Správa základních registrů, 2018-03-07, [cit. 2020-09-22]. Dostupné online.
  5. 5,0 5,1 Příručka k využití služeb národní identitní autority pro poskytovatele služeb veřejné správy [online]. 1.9., autorizované vyd. MV ČR, 2016-11-30, [cit. 2020-08-13]. Dostupné online.
  6. Editační agendové systémy [online]. Správa základních registrů, [cit. 2020-08-13]. Dostupné online.
  7. Žádost o registraci informačního systému veřejné správy pro účely využívání autentizační služby Portálu veřejné správy [online]. MV ČR, [cit. 2020-08-19]. Dostupné online. (cs)
  8. CMS KIVS [online]. MV ČR, [cit. 2020-08-19]. Popis projektu. Dostupné online. (cs)
  9. DS - přihlašovací metody [online]. MV ČR, [cit. 2020-08-19]. Dostupné online. (cs)
  10. Připojení AIS editorů ROS k systému základních registrů [online]. Český statistický úřad, 2011, [cit. 2020-09-24]. Datum vydání je odhadnuto z obsahu. Dostupné online. (cs)
  11. Národní architektura eGovernmentu veřejné správy ČR [online]. MV ČR, [cit. 2020-09-24]. Kapitola Evidence údajů. Dostupné online.
  12. eGON [online]. MV ČR, [cit. 2020-08-19]. Dostupné online. (cs)
  13. Dokumentace eGSB [online]. MV ČR, [cit. 2020-08-19]. Dostupné online. (cs)
  14. KIVS [online]. MV ČR, [cit. 2020-08-19]. Dostupné online. (cs)
  15. Komunikační infrastruktura veřejné správy a centrální místo služeb KIVS/CMS [online]. MV ČR, [cit. 2020-08-19]. Dostupné online. (cs)
  16. CMS KIVS [online]. MV ČR, [cit. 2020-08-19]. Popis projektu. Dostupné online. (cs)
  17. Představení IS ORG [online]. Úřad pro ochranu osobních údajů, 2012-02-21, [cit. 2020-08-18]. Odkazováno z https://www.uoou.cz/ke-stazeni/ds-1969/archiv=0 jako "Kick off projektu". Dostupné online.
  18. ORG - Převodník [online]. Správa základních registrů, [cit. 2020-08-12]. Dostupné online.
  19. Informační systém ORG [online]. Úřad pro ochranu osobních údajů, [cit. 2020-08-14]. Dostupné online.
  20. Help bot na webu Portálu občana - https://obcan.portal.gov.cz

Literatura

editovat
  • Slovník pojmů eGovernmentu [online]. MV ČR, [cit. 2020-08-19]. Dostupné online. (cs)
  • ZMEŠKAL, Kamil. Budoucnost využívání rodných čísel [online]. 2020-08-10, [cit. 2020-08-18]. Dostupné online. (cs)

Související články

editovat
  • .

Externí odkazy

editovat

Zahrnout

editovat

Závěrečné dotazy

editovat
  • je nějaká náhrada či nová adresa za http://forum.eidentita.cz/?[1]
  • ještě nevím, potřebujeme-li "Vytvoření důvěry mezi NIA a KS" viz. Knotek/16
  • zdrojové aktualizované autoritativní dokumenty?
  1. Chybná citace: Chyba v tagu <ref>; citaci označené Příručka pro SePy3 není určen žádný text