eID, stat ako IdentityProvider a OAuth2


#21

Nie je dostatocne unikatny ID datovej schranky na slovensko.sk (v podstate email adresa)?.Neviem, pytam sa


#22

Identifikator schranky na slovensko.sk asi nebude uplne ono, kedze ja mam napriklad schranky 3. Ako firma, zivnostnik a osoba. Inak toto existuje minimalne na MV a aj na UPVS ako modul IAM (Single sign on). Ved statne weby takto funguju, len to treba otvorit von a spravit tu integraciu ovela (ale ze ovela) jednoduchsiu. Ja asi viem ako na to a skusim to.


#23

S integraciou CAS na IAM ma par ludi skusenosti. Len ci je use case zhodny s potrebami tu vznesenymi. Tam sa to riesilo tak, ze sa preniesla identita uzivatela prihlaseneho cez UPVS do aplikacii napojenych na CAS.


#24

ono vseobecne podla mna ide hlavne o overenie identity osoby … v odvodenych pripadoch sa moze este overovat napriklad ci je zakonny zastupca inaej sosby, alebo smie konat v mene jednej, alebo viacerych pravnickych osob a podobne, ale to je az sekundarna funkcionalita per aplikaciu …


#25

Ta identita v sebe nesie nielen kto to je ale aj v koho mene kona. To ma jeden dosledok, ze ked chce konat v inom mene, tak sa treba odhlasit a po prihlaseni vybrat zase toho koho ide zastupovat.


#26

Takze ak to chapem spravne, ze par ludi ma skusenosti s integraciou IAM, je mozne to urobit public? Netreba tam nahodou nejaky public/private key do autorizacnej sluzby? Respektive, koho treba oslovit ak chcem integrovat svoju aplikaciu mimo statnej spravy so slovensko.sk?

Ja si predstavujem tuto novu oauth sluzbu tak, ze bude sluzba kde si hocikto vytvori public/private key a sluzba dalej uzivatela prihlasi cez to IAM alebo pomocou vlastnej aplikacie na autorizaciu… Podla ziskanych udajov zo slovensko.sk alebo z certifikatu urci osobu ktora sa autorizovala a na finalnu webstranku posle svoj unikatny identifikator fyzickej osoby a meno osoby. Ziadne dalsie udaje ako rodne cislo alebo datum narodenia tato sluzba nebude posuvat dalej, a ked si ju chce dana webstranka ziskat, tak si to vypyta od uzivatela sama… Nech je to cim jednoduchsie na implementaciu aj na spravu…

Ziadne zastupovanie osoby tam nebude, lebo to si moze tiez urobit dana webstranka sama podla svojich potrieb…


#27

Presne tak …


#28

Autentifikačná časť eID nepoužíva elektronický podpis. Je to postavené nad BSI TR-03110, zjednodušene povedané na “plnú” autentifikáciu sa musí karta online spojiť s autentifikačným serverom (cez eID klienta), AS vráti SAML token.
Ku tejto službe by sa malo dať integrovať na MV.
Viď. povedzme http://www.plaut.sk/menu/produkty/elektronicka-identita/579

(A ináč KEP má aktivovaných iba málo používateľov.)


#29

Ja by som sem aj pleskol integracny manual IAM - NASES, ale odradza ma toto:


Proof of Concept pre OAuth s eID
#30

Tak treba poziadat NASES o povolenie na ucel verejnej diskusie … nevidim v tom problem … nic “tajne” v tom nie je …


Proof of Concept pre OAuth s eID
#31

Ten Plaut je komercna vec ?


#32

Nie je to priamo ta vec na MV?


#33

Plaut to s HP robili pre MV. Čiže áno, MV má rozhranie pripravené.

K integračnému manuálu: veď tu sa bavíme o integrácii na ÚPVS, takže je to v súlade “upozornením”.


#34

OT: Ta veta je kuzelna. Ak to je bez vedomia NASES tak to mozes ci nie?


#35

aky je dalsi krok k tomu aby sme mali oauth sluzbu s obcianskym preukazom?

  1. Vytvorime vlastneho klienta ktory bude overovat klientov
  2. Nepochopil som velmi ci je integracia so slovensko.sk mozna a ako sa da docielit
  3. Budeme cakat na vysledok idea hack alebo kym sa niekto v statnej sprave umudri?

#36

Ja by som pockal aspon na vyjadrenie. Snad to nebude trvat dlho.


#37

Bude to klient ktorý bude nakodeny moderne na jednotnom základe a použiteľný aj na mobilných zariadeniach snad :wink:


#38

Bohuzial tuto sa riesi nieco ine. Co sa tyka klienta samotneho, tak tam treba tlacit najskor na MV a ditec.


#39

ako sa da pripojit obciansky preukaz s cipom na mobilne zariadenie?

ta citacka co rozdava ministerstvo je do usb, a trochu pochybujem ze ak by to niekto napojil na adapter usb, microusb, tak ze by mobilne zariadenia (android, win mobile, apple) mali ovladace ktore by umoznili programom pristup do cert store…

Takze ak to ma byt pristupne aj na mobile, musi tam byt alternativna metoda prihlasenia (heslo, dalsi oauth)… A tato sluzba by mohla parovat rozne sposoby prihlasenia… ale tam zase vstupuju dalsie problemy, ze co ak uzivatel sa zaregitruje google ucet s jednym certifikatom, a potom dalsi uzivatel si zaregistruje rovnaky google ucet …?

Nie, ak sa rozhodneme ze urobime samostatne prihlasovacie okienko…

Otazka je skor iba na to, ci to integrovat so slovensko.sk alebo sa komplet vykaslat na ditec

Ale pockat si este mozme…


#40

Cez USB dongle, na iPad 12.9" 2015 sa daju napojit rozne zariadenia, nevidim dovod, preco by to nemalo ist, ak bude klient napisany dobre :slight_smile: (Swift 3 napr.).

TouchID…tak ako to maju banky, tak ako to ma napr. aplikacia mojedatovaschranka v Čechách :slight_smile:

Dufam ze sa toho chyti niekdo, kdo mysli multiplatformovo a zaroven nativne.