Vlákno názorů k článku eObčanky ztratily monopol na přihlašování ke službám eGovernmentu. Jak funguje karta Starcos? od Kamil Zmeškal - Ta složitost je do velké míry dána bezpečnostními...

Ta složitost je do velké míry dána bezpečnostními požadavky, například:

• SeP neví, kterým IdP se uživatel autentizoval (ví jen úroveň ověření - LoA),
• IdP zase neví, k čemu (jakému SeP) se uživatel autentizuje,
• když nějakému IdP nebo SeP uteče databáze s BSI, tak to není jinde použitelné (nesá se to s ničím propojit/spárovat), protože já jako Kamil Zmeškal mám u každého IdP jiné BSI a to samé i u každého SeP atd.

Je to podle mě hezky vymyšleno.

AIS si může BSI převést na své AIFO voláním služby E226 - eidentitaCtiAifo.

15. 5. 2020, 10:33 editováno autorem komentáře

Pokud bych byl SeP. Jak po přihlášení ze získaného BSI zjistím AIFO přihlášené osoby?

Tedy pravděpodobnost, že je v tom chyba, je velká. Jako ve všech složitých věcech.

Dostalo se ke mě vysvětlení od člověka z centra dění, které zde volně přepisuji a doplňuji.

NIA publikuje svoji službu pro ztotožnění, která je navázána na službu E05 - robCtiPodleUdaju. Identity Provider (IdP) má podmínky pro ztotožnění jako AISy. Pokud se ztotožnění podaří (FO je v ROB nalezena), tak si NIA vytvoří profil a uloží do něj mimo jiné AIFO a pro IdP vydá jedinečný BSI (Bezvýznamový Směrový Identifikátor). Vydávaný BSI se pro stejnou FO a různé IdP liší.

Elektronická identita je v ROB a je jednoznačně určena AIFO, pro které je v NIA zaveden profil, který vznikne při prvním úspěšném ztotožnění vůči ROB. Na profil jsou navázány jednotlivé identifikační prostředky.

Z AIFO se v NIA stává obdoba ZIFO, jsou na něj navázány BSI pro SeP i IdP. Každý IdP má pro stejnou FO přidělen jiný BSI.
Obdoba se děje (zjednodušeně, tam ještě přichází ke slovu tzv. konfigurace) u SeP, každý SeP má pro stejnou FO jiný BSI, ale už bez ohledu na IdP (SeP dostane pro FO pokaždé stejný BSI bez ohledu na to, kterým IdP se FO autentizuje).