Proof of Concept pre OAuth s eID

Ciel:
Prekopanie sa cez pravne a technicke prekazky na otvorenie moznosti napojenia tretich stran na stat ako IdentityProvider

Zdroj:

ENISA (https://www.enisa.europa.eu) vydala niekoľko publikácií a odporúčaní k téme.
Aj MF SR vydalo Analyza vyvoja a trendov v oblasti eID navrh strategickeho smerovania pre SRverz_20_03_2012 public (2).pdf (747.3 KB)

Mám pocit, že všetko je už vymyslené a odskúšané. Stačí sa na Slovensku rozhodnúť a presadiť to.

Ten dokument je z roku 2012.

Ako bolo pomenovane uz vo viacerych diskusiach, treba sa ‘len dohodnut s MV’ co je uz dost dlho neprekonany blocker:

Aby sme sa pohli dalej, zislo by sa na nich najst pravne paky, pripadne zvysovat medialny tlak.

Napr. by som nadviazala na ‘treba poziadat NASES o povolenie na ucel verejnej diskusie’

@jan.letko, @jsuchal, @Lubor, @Daniel_Turan skusal to niekto z vas?

Skusme si tu naprv trosku rozpisat scenare a idealne aj kto by toto realne vyuzil, keby sme sa do toho pustili. Je zrejme, ze mame pretlak napadov a malo zdrojov. Musime prioritizovat.

Iste, prioritizovat treba a predpokladam ze aj toto hlasovanie ma byt podkladom pre nastavovanie priorit :wink:

Kedze ‘kategória Ekosystém Slovensko.Digital’ ma obsahovat ‘návrhy na nové služby, datasety alebo rozvoj ekosystému Slovensko.Digital’, suhlasim ze takyto proof of concept do nej bez konkretnych odberatelov nezapada. Vramci predchadzajucich diskusii vsak uz bolo pomenovanych dost potencialnych odberatelov. Vsetci u nas vsak zostanu len na urovni ‘dobreho napadu’ pokial v tomto smere niekto neprekope cestu.

Je mi jasne ze od topicu ku uspesnej realizacii je kopec prace a sama tento ciel nepovazujem za dosiahnutelny v kratkodobom horizonte. Z popisu podla mna zjavne dost suvisiaceho eurofondoveho projektu ‘IS Identifikátora fyzických osôb – 2. fáza’ sa to vsak naoko ani nezda byt tak daleko:
https://www.itms2014.sk/projekt?id=ea37c2cb-0c42-4c34-b7d4-bcc001830711
https://bi.ekosystem.slovensko.digital/dashboard/12?projekt_itms_id=54 s ohladom na bugy popisane tu OpenData Eurofondy ITMS2014+

Projekt ma datum konca hlavnych aktivit 1.12.2017 a datum konca realizacie 1.3.2018.
V popise projektu sa pise aj:
‘Na identifikáciu fyzickej osoby mimo informačných systémov verejnej správy bude slúžiť bezvýznamový identifikátor, ktorý je všeobecne použiteľným identifikátorom v zmysle zákona č. 122/2013 Z. z. o ochrane osobných údajov’.
Jeho meratelne ciele s nenulovou (=1) cielovou hodnotou su ‘Počet zavedených elektronických služieb, ktoré prispievajú k riešeniu životných situácií pre podnikateľov’ a ‘Počet zavedených elektronických služieb, ktoré prispievajú k riešeniu životných situácií pre občanov’.
Podla uctovnych dokladov predlozenych ako podklady ky vydavkom v ziadostiach o platby vidno, ze MV 21.11.2016 uhradilo faktury Gratexu a Asseco s polozkami ako ‘Migrácia a nasadenie riešenia - Migrácia údajov finálneho riešenia IS IFO - IS IFO, PPaKP, ES, NPC, eID’ alebo ‘Migrácia a nasadenie riešenia - Migrácia údajov finálneho riešenia IS IFO – KM, RFO’.
https://bi.ekosystem.slovensko.digital/question/87
Popravde neviem co je tu ‘PPaKP, ES, NPC, KM’ a z inych tem letmo tusim ze RFO nie je v dobrej kondicii. A ktovie preco im zamietli tu ziadost o platbu…

Áno, samozrejme, s MV o tejto veci komunikujeme, za S.D už koncom r.2015.
Ináč, štátne SSO je postavené na SAML, endpoint je v IAM ÚPVS.

Nie, projekt IS IFO nemá ani okrajovo riešiť autentifikáciu ku službám. Má riešiť “iba” identifikátory fyzických osôb, viď. napr. http://www.itapa.sk/data/att/3214.pdf

Definícia skratiek ktoré píšeš viď. napr. https://www.crz.gov.sk/index.php?ID=603&doc=1628408&text=1
Špecifikácia čo má robiť PPaKP viď. https://www.crz.gov.sk/index.php?ID=603&doc=449644&text=1

Iste IFO nema riesit samotnu autentifikaciu cez eID.

Preco IFO s touto temou podla mna aj tak suvisi, skusim vysvetlit na priklade peticii:

  • autentifikacia cez eID predstavuje moznost overenia opravnenia a jednoznacnosti hlasujuceho s najvyssou doveryhodnostou, ale aktualne s najmensim zaberom
  • nepomerne vacsi zaber predstavuje autentifikacia cez tretie strany zabezpecujuce ‘manualne’ overenie identity ich klienta - napr. telekomunikacni provideri alebo banky
  • aby organizator peticie dosiahol co najvacsi zaber a zachoval doveryhodnost hlasovania, mal by umoznit overit opravnenie a jednoznacnost hlasujuceho naraz cez eID, telekomunikacnych providerov i banky
  • aby vsak tretie strany mohli na zaklade predlozeneho dokladu drzitela ich produktu sprostredkovat pre peticie jednoznacny bezvyznamovy identifikator FO pre danu sluzbu, ktory bude spolocny aj pre autentifikaciu cez eID pre danu sluzbu, musel by stat ako Identity Provider poskytovat takyto ‘jednoznacny bezvyznamovy identifikator FO’ pre danu sluzbu nielen pre samotnu autentifikaciu cez eID, ale aj pre autentifikaciu FO (bez eID) cez sprostredkovatelov

Pre istotu to hodim aj sem. Update: eID, stat ako IdentityProvider a OAuth2

Opat update tu: eID, stat ako IdentityProvider a OAuth2