eID, stat ako IdentityProvider a OAuth2

ono vseobecne podla mna ide hlavne o overenie identity osoby … v odvodenych pripadoch sa moze este overovat napriklad ci je zakonny zastupca inaej sosby, alebo smie konat v mene jednej, alebo viacerych pravnickych osob a podobne, ale to je az sekundarna funkcionalita per aplikaciu …

Ta identita v sebe nesie nielen kto to je ale aj v koho mene kona. To ma jeden dosledok, ze ked chce konat v inom mene, tak sa treba odhlasit a po prihlaseni vybrat zase toho koho ide zastupovat.

Takze ak to chapem spravne, ze par ludi ma skusenosti s integraciou IAM, je mozne to urobit public? Netreba tam nahodou nejaky public/private key do autorizacnej sluzby? Respektive, koho treba oslovit ak chcem integrovat svoju aplikaciu mimo statnej spravy so slovensko.sk?

Ja si predstavujem tuto novu oauth sluzbu tak, ze bude sluzba kde si hocikto vytvori public/private key a sluzba dalej uzivatela prihlasi cez to IAM alebo pomocou vlastnej aplikacie na autorizaciu… Podla ziskanych udajov zo slovensko.sk alebo z certifikatu urci osobu ktora sa autorizovala a na finalnu webstranku posle svoj unikatny identifikator fyzickej osoby a meno osoby. Ziadne dalsie udaje ako rodne cislo alebo datum narodenia tato sluzba nebude posuvat dalej, a ked si ju chce dana webstranka ziskat, tak si to vypyta od uzivatela sama… Nech je to cim jednoduchsie na implementaciu aj na spravu…

Ziadne zastupovanie osoby tam nebude, lebo to si moze tiez urobit dana webstranka sama podla svojich potrieb…

1 Like

Presne tak …

Autentifikačná časť eID nepoužíva elektronický podpis. Je to postavené nad BSI TR-03110, zjednodušene povedané na “plnú” autentifikáciu sa musí karta online spojiť s autentifikačným serverom (cez eID klienta), AS vráti SAML token.
Ku tejto službe by sa malo dať integrovať na MV.
Viď. povedzme http://www.plaut.sk/menu/produkty/elektronicka-identita/579

(A ináč KEP má aktivovaných iba málo používateľov.)

1 Like

Ja by som sem aj pleskol integracny manual IAM - NASES, ale odradza ma toto:

Tak treba poziadat NASES o povolenie na ucel verejnej diskusie … nevidim v tom problem … nic “tajne” v tom nie je …

Ten Plaut je komercna vec ?

Nie je to priamo ta vec na MV?

Plaut to s HP robili pre MV. Čiže áno, MV má rozhranie pripravené.

K integračnému manuálu: veď tu sa bavíme o integrácii na ÚPVS, takže je to v súlade “upozornením”.

OT: Ta veta je kuzelna. Ak to je bez vedomia NASES tak to mozes ci nie?

1 Like

aky je dalsi krok k tomu aby sme mali oauth sluzbu s obcianskym preukazom?

  1. Vytvorime vlastneho klienta ktory bude overovat klientov
  2. Nepochopil som velmi ci je integracia so slovensko.sk mozna a ako sa da docielit
  3. Budeme cakat na vysledok idea hack alebo kym sa niekto v statnej sprave umudri?

Ja by som pockal aspon na vyjadrenie. Snad to nebude trvat dlho.

Bude to klient ktorý bude nakodeny moderne na jednotnom základe a použiteľný aj na mobilných zariadeniach snad :wink:

Bohuzial tuto sa riesi nieco ine. Co sa tyka klienta samotneho, tak tam treba tlacit najskor na MV a ditec.

ako sa da pripojit obciansky preukaz s cipom na mobilne zariadenie?

ta citacka co rozdava ministerstvo je do usb, a trochu pochybujem ze ak by to niekto napojil na adapter usb, microusb, tak ze by mobilne zariadenia (android, win mobile, apple) mali ovladace ktore by umoznili programom pristup do cert store…

Takze ak to ma byt pristupne aj na mobile, musi tam byt alternativna metoda prihlasenia (heslo, dalsi oauth)… A tato sluzba by mohla parovat rozne sposoby prihlasenia… ale tam zase vstupuju dalsie problemy, ze co ak uzivatel sa zaregitruje google ucet s jednym certifikatom, a potom dalsi uzivatel si zaregistruje rovnaky google ucet …?

Nie, ak sa rozhodneme ze urobime samostatne prihlasovacie okienko…

Otazka je skor iba na to, ci to integrovat so slovensko.sk alebo sa komplet vykaslat na ditec

Ale pockat si este mozme…

Cez USB dongle, na iPad 12.9" 2015 sa daju napojit rozne zariadenia, nevidim dovod, preco by to nemalo ist, ak bude klient napisany dobre :slight_smile: (Swift 3 napr.).

TouchID…tak ako to maju banky, tak ako to ma napr. aplikacia mojedatovaschranka v Čechách :slight_smile:

Dufam ze sa toho chyti niekdo, kdo mysli multiplatformovo a zaroven nativne.

swift je pokial viem ciste pre apple, v skutoxcnosti teda ziadas presny opak ako tvrdis, ty si si kupil apple a ziadas ostatnych aby sa ti prisposobili.

su 2 rozne veci:

  1. vytvorit ovladace pre sifrovacie zariadenie do ktoreho sa vklada obciansky (tu prebieha sifrovanie btw)
  2. vytvorit aplikaciu ktora komunikuje s ovladacmi a vypyta si podpis

to ze nieco mozes cez usb dongle supnut do iphonu neznamena ze ti to tam aj pobezi…

alternativa je na macbooku podpisat ze “tento google ucet” sa moze prihlasovat v mojom mene…
a potom ked sa chces cez iphone prihlasit tak sa dostanes na tuto oauth sluzbu kliknes ikonku googlu a prihlasi ta to ako konkretna fyzicka osoba…

ale toto by som dal na prevadzkovatela sluzby nech sa rozhodne ci takychto uzivatelov pusti tiez do systemu, alebo ci stale vyzaduje overenie cez citacku… lebo overit cez citacku mozes svoj google ucet, ale ked toto umoznis vznika ti riziko ze tvoja zena bude vediet heslo do tvojho google uctu alebo pocitaca a potom v tej aplikacii moze za teba vykonavat veci… samozrejme toto riziko si potom uz musi postrazit uzivatel ked si to takto naparuje…

takze k prvemu bodu:
tie ovladace je prakticky nerealne vytvorit vzhladom na to, ze hardware je utajeny a zdrojaky su ties utajene kedze sa jedna o sifrovacie zariadenie… preto to nie je mozne portnut na android ak to vyrobca nativne nepodporuje… alebo sa mylim?

k druhemu bodu:
minimalne verzie akych operacnych systemov si predstavujes ze by to malo zvladat?

apple je ale ukazka anti platformoveho sveta. Ale primarne je nezmyslom riesit citacku pre mobilne zariadenia, tie su dost dobre identifikovatalne same, riesinim je ich zapojenie ako dalsej moznosti autentifikacie a mam pocit ze pilotne to uz bolo aj odskusane.