eID, stat ako IdentityProvider a OAuth2

Ta identita v sebe nesie nielen kto to je ale aj v koho mene kona. To ma jeden dosledok, ze ked chce konat v inom mene, tak sa treba odhlasit a po prihlaseni vybrat zase toho koho ide zastupovat.

Takze ak to chapem spravne, ze par ludi ma skusenosti s integraciou IAM, je mozne to urobit public? Netreba tam nahodou nejaky public/private key do autorizacnej sluzby? Respektive, koho treba oslovit ak chcem integrovat svoju aplikaciu mimo statnej spravy so slovensko.sk?

Ja si predstavujem tuto novu oauth sluzbu tak, ze bude sluzba kde si hocikto vytvori public/private key a sluzba dalej uzivatela prihlasi cez to IAM alebo pomocou vlastnej aplikacie na autorizaciu… Podla ziskanych udajov zo slovensko.sk alebo z certifikatu urci osobu ktora sa autorizovala a na finalnu webstranku posle svoj unikatny identifikator fyzickej osoby a meno osoby. Ziadne dalsie udaje ako rodne cislo alebo datum narodenia tato sluzba nebude posuvat dalej, a ked si ju chce dana webstranka ziskat, tak si to vypyta od uzivatela sama… Nech je to cim jednoduchsie na implementaciu aj na spravu…

Ziadne zastupovanie osoby tam nebude, lebo to si moze tiez urobit dana webstranka sama podla svojich potrieb…

1 Like

Presne tak …

Autentifikačná časť eID nepoužíva elektronický podpis. Je to postavené nad BSI TR-03110, zjednodušene povedané na “plnú” autentifikáciu sa musí karta online spojiť s autentifikačným serverom (cez eID klienta), AS vráti SAML token.
Ku tejto službe by sa malo dať integrovať na MV.
Viď. povedzme http://www.plaut.sk/menu/produkty/elektronicka-identita/579

(A ináč KEP má aktivovaných iba málo používateľov.)

1 Like

Ja by som sem aj pleskol integracny manual IAM - NASES, ale odradza ma toto:

Tak treba poziadat NASES o povolenie na ucel verejnej diskusie … nevidim v tom problem … nic “tajne” v tom nie je …

Ten Plaut je komercna vec ?

Nie je to priamo ta vec na MV?

Plaut to s HP robili pre MV. Čiže áno, MV má rozhranie pripravené.

K integračnému manuálu: veď tu sa bavíme o integrácii na ÚPVS, takže je to v súlade “upozornením”.

OT: Ta veta je kuzelna. Ak to je bez vedomia NASES tak to mozes ci nie?

1 Like

aky je dalsi krok k tomu aby sme mali oauth sluzbu s obcianskym preukazom?

  1. Vytvorime vlastneho klienta ktory bude overovat klientov
  2. Nepochopil som velmi ci je integracia so slovensko.sk mozna a ako sa da docielit
  3. Budeme cakat na vysledok idea hack alebo kym sa niekto v statnej sprave umudri?

Ja by som pockal aspon na vyjadrenie. Snad to nebude trvat dlho.

Bude to klient ktorý bude nakodeny moderne na jednotnom základe a použiteľný aj na mobilných zariadeniach snad :wink:

Bohuzial tuto sa riesi nieco ine. Co sa tyka klienta samotneho, tak tam treba tlacit najskor na MV a ditec.

ako sa da pripojit obciansky preukaz s cipom na mobilne zariadenie?

ta citacka co rozdava ministerstvo je do usb, a trochu pochybujem ze ak by to niekto napojil na adapter usb, microusb, tak ze by mobilne zariadenia (android, win mobile, apple) mali ovladace ktore by umoznili programom pristup do cert store…

Takze ak to ma byt pristupne aj na mobile, musi tam byt alternativna metoda prihlasenia (heslo, dalsi oauth)… A tato sluzba by mohla parovat rozne sposoby prihlasenia… ale tam zase vstupuju dalsie problemy, ze co ak uzivatel sa zaregitruje google ucet s jednym certifikatom, a potom dalsi uzivatel si zaregistruje rovnaky google ucet …?

Nie, ak sa rozhodneme ze urobime samostatne prihlasovacie okienko…

Otazka je skor iba na to, ci to integrovat so slovensko.sk alebo sa komplet vykaslat na ditec

Ale pockat si este mozme…

Cez USB dongle, na iPad 12.9" 2015 sa daju napojit rozne zariadenia, nevidim dovod, preco by to nemalo ist, ak bude klient napisany dobre :slight_smile: (Swift 3 napr.).

TouchID…tak ako to maju banky, tak ako to ma napr. aplikacia mojedatovaschranka v Čechách :slight_smile:

Dufam ze sa toho chyti niekdo, kdo mysli multiplatformovo a zaroven nativne.

swift je pokial viem ciste pre apple, v skutoxcnosti teda ziadas presny opak ako tvrdis, ty si si kupil apple a ziadas ostatnych aby sa ti prisposobili.

su 2 rozne veci:

  1. vytvorit ovladace pre sifrovacie zariadenie do ktoreho sa vklada obciansky (tu prebieha sifrovanie btw)
  2. vytvorit aplikaciu ktora komunikuje s ovladacmi a vypyta si podpis

to ze nieco mozes cez usb dongle supnut do iphonu neznamena ze ti to tam aj pobezi…

alternativa je na macbooku podpisat ze “tento google ucet” sa moze prihlasovat v mojom mene…
a potom ked sa chces cez iphone prihlasit tak sa dostanes na tuto oauth sluzbu kliknes ikonku googlu a prihlasi ta to ako konkretna fyzicka osoba…

ale toto by som dal na prevadzkovatela sluzby nech sa rozhodne ci takychto uzivatelov pusti tiez do systemu, alebo ci stale vyzaduje overenie cez citacku… lebo overit cez citacku mozes svoj google ucet, ale ked toto umoznis vznika ti riziko ze tvoja zena bude vediet heslo do tvojho google uctu alebo pocitaca a potom v tej aplikacii moze za teba vykonavat veci… samozrejme toto riziko si potom uz musi postrazit uzivatel ked si to takto naparuje…

takze k prvemu bodu:
tie ovladace je prakticky nerealne vytvorit vzhladom na to, ze hardware je utajeny a zdrojaky su ties utajene kedze sa jedna o sifrovacie zariadenie… preto to nie je mozne portnut na android ak to vyrobca nativne nepodporuje… alebo sa mylim?

k druhemu bodu:
minimalne verzie akych operacnych systemov si predstavujes ze by to malo zvladat?

apple je ale ukazka anti platformoveho sveta. Ale primarne je nezmyslom riesit citacku pre mobilne zariadenia, tie su dost dobre identifikovatalne same, riesinim je ich zapojenie ako dalsej moznosti autentifikacie a mam pocit ze pilotne to uz bolo aj odskusane.

na https://www.slovensko.sk/sk/na-stiahnutie je napisane ze ovladace su urobene pre:

Windows XP, Windows Server 2003, MS Windows Vista, Windows 7, Windows 8.x, Windows 10
Od systému Mac OSX Leopard a vyššie nie je nutná inštalácia ovládača.
Linux: Čítačka je podporovaná knižnicou libccid . Táto knižnica je súčasťou väčšiny Linux ových distribúcií : Použite správcu balíčkov z vašej konkrétnej distribúcie Linuxu pre vyhľadanie knižnice libccid a nainštalujte ju .

“Ale primarne je nezmyslom riesit citacku pre mobilne zariadenia, tie su dost dobre identifikovatalne same” v mobiloch mas spravu identit, ale ako by si to naparoval na takuto sluzbu kde sa vyzaduje presna identifikacia osoby a taka ze sa nemoze 2x prihlasit pod roznym uctom?

Npr si predstav sluzbu “pravny git” … kde by si sa prihlasoval cez takuto sluzbu a cely proces by musel presne identifikovat kto kedy ako urobil aku zmenu alebo navrh do zakona… Ako zabezpecis aby clovek ktory ma 2 mobily nemal v systeme 2 ucty? Alebo ked "pravny git’ je prilis vseobecny… co keby to bolo o nejakom hlasovacom systeme?