eID, stat ako IdentityProvider a OAuth2

Nie je dostatocne unikatny ID datovej schranky na slovensko.sk (v podstate email adresa)?.Neviem, pytam sa

Identifikator schranky na slovensko.sk asi nebude uplne ono, kedze ja mam napriklad schranky 3. Ako firma, zivnostnik a osoba. Inak toto existuje minimalne na MV a aj na UPVS ako modul IAM (Single sign on). Ved statne weby takto funguju, len to treba otvorit von a spravit tu integraciu ovela (ale ze ovela) jednoduchsiu. Ja asi viem ako na to a skusim to.

2 Likes

S integraciou CAS na IAM ma par ludi skusenosti. Len ci je use case zhodny s potrebami tu vznesenymi. Tam sa to riesilo tak, ze sa preniesla identita uzivatela prihlaseneho cez UPVS do aplikacii napojenych na CAS.

ono vseobecne podla mna ide hlavne o overenie identity osoby … v odvodenych pripadoch sa moze este overovat napriklad ci je zakonny zastupca inaej sosby, alebo smie konat v mene jednej, alebo viacerych pravnickych osob a podobne, ale to je az sekundarna funkcionalita per aplikaciu …

Ta identita v sebe nesie nielen kto to je ale aj v koho mene kona. To ma jeden dosledok, ze ked chce konat v inom mene, tak sa treba odhlasit a po prihlaseni vybrat zase toho koho ide zastupovat.

Takze ak to chapem spravne, ze par ludi ma skusenosti s integraciou IAM, je mozne to urobit public? Netreba tam nahodou nejaky public/private key do autorizacnej sluzby? Respektive, koho treba oslovit ak chcem integrovat svoju aplikaciu mimo statnej spravy so slovensko.sk?

Ja si predstavujem tuto novu oauth sluzbu tak, ze bude sluzba kde si hocikto vytvori public/private key a sluzba dalej uzivatela prihlasi cez to IAM alebo pomocou vlastnej aplikacie na autorizaciu… Podla ziskanych udajov zo slovensko.sk alebo z certifikatu urci osobu ktora sa autorizovala a na finalnu webstranku posle svoj unikatny identifikator fyzickej osoby a meno osoby. Ziadne dalsie udaje ako rodne cislo alebo datum narodenia tato sluzba nebude posuvat dalej, a ked si ju chce dana webstranka ziskat, tak si to vypyta od uzivatela sama… Nech je to cim jednoduchsie na implementaciu aj na spravu…

Ziadne zastupovanie osoby tam nebude, lebo to si moze tiez urobit dana webstranka sama podla svojich potrieb…

1 Like

Presne tak …

Autentifikańćn√° ńćasŇ• eID nepouŇĺ√≠va elektronick√Ĺ podpis. Je to postaven√© nad BSI TR-03110, zjednoduŇ°ene povedan√© na ‚Äúpln√ļ‚ÄĚ autentifik√°ciu sa mus√≠ karta online spojiŇ• s autentifikańćn√Ĺm serverom (cez eID klienta), AS vr√°ti SAML token.
Ku tejto sluŇĺbe by sa malo daŇ• integrovaŇ• na MV.
VińŹ. povedzme http://www.plaut.sk/menu/produkty/elektronicka-identita/579

(A in√°ńć KEP m√° aktivovan√Ĺch iba m√°lo pouŇĺ√≠vateńĺov.)

1 Like

Ja by som sem aj pleskol integracny manual IAM - NASES, ale odradza ma toto:

Tak treba poziadat NASES o povolenie na ucel verejnej diskusie ‚Ķ nevidim v tom problem ‚Ķ nic ‚Äútajne‚ÄĚ v tom nie je ‚Ķ

Ten Plaut je komercna vec ?

Nie je to priamo ta vec na MV?

Plaut to s HP robili pre MV. ńĆiŇĺe √°no, MV m√° rozhranie pripraven√©.

K integrańćn√©mu manu√°lu: veńŹ tu sa bav√≠me o integr√°cii na √öPVS, takŇĺe je to v s√ļlade ‚Äúupozornen√≠m‚ÄĚ.

OT: Ta veta je kuzelna. Ak to je bez vedomia NASES tak to mozes ci nie?

1 Like

aky je dalsi krok k tomu aby sme mali oauth sluzbu s obcianskym preukazom?

  1. Vytvorime vlastneho klienta ktory bude overovat klientov
  2. Nepochopil som velmi ci je integracia so slovensko.sk mozna a ako sa da docielit
  3. Budeme cakat na vysledok idea hack alebo kym sa niekto v statnej sprave umudri?

Ja by som pockal aspon na vyjadrenie. Snad to nebude trvat dlho.

Bude to klient ktor√Ĺ bude nakodeny moderne na jednotnom z√°klade a pouŇĺiteńĺn√Ĺ aj na mobiln√Ĺch zariadeniach snad :wink:

Bohuzial tuto sa riesi nieco ine. Co sa tyka klienta samotneho, tak tam treba tlacit najskor na MV a ditec.

ako sa da pripojit obciansky preukaz s cipom na mobilne zariadenie?

ta citacka co rozdava ministerstvo je do usb, a trochu pochybujem ze ak by to niekto napojil na adapter usb, microusb, tak ze by mobilne zariadenia (android, win mobile, apple) mali ovladace ktore by umoznili programom pristup do cert store…

Takze ak to ma byt pristupne aj na mobile, musi tam byt alternativna metoda prihlasenia (heslo, dalsi oauth)… A tato sluzba by mohla parovat rozne sposoby prihlasenia… ale tam zase vstupuju dalsie problemy, ze co ak uzivatel sa zaregitruje google ucet s jednym certifikatom, a potom dalsi uzivatel si zaregistruje rovnaky google ucet …?

Nie, ak sa rozhodneme ze urobime samostatne prihlasovacie okienko…

Otazka je skor iba na to, ci to integrovat so slovensko.sk alebo sa komplet vykaslat na ditec

Ale pockat si este mozme…

Cez USB dongle, na iPad 12.9" 2015 sa daju napojit rozne zariadenia, nevidim dovod, preco by to nemalo ist, ak bude klient napisany dobre :slight_smile: (Swift 3 napr.).

TouchID‚Ķtak ako to maju banky, tak ako to ma napr. aplikacia mojedatovaschranka v ńĆech√°ch :slight_smile:

Dufam ze sa toho chyti niekdo, kdo mysli multiplatformovo a zaroven nativne.