Vlákno názorů k článku eObčanky ztratily monopol na přihlašování ke službám eGovernmentu. Jak funguje karta Starcos? od Kamil Zmeškal - Dostalo se ke mě vysvětlení od člověka z...
-
Kamil ZmeškalPodporovatelDostalo se ke mě vysvětlení od člověka z centra dění, které zde volně přepisuji a doplňuji.
NIA publikuje svoji službu pro ztotožnění, která je navázána na službu E05 - robCtiPodleUdaju. Identity Provider (IdP) má podmínky pro ztotožnění jako AISy. Pokud se ztotožnění podaří (FO je v ROB nalezena), tak si NIA vytvoří profil a uloží do něj mimo jiné AIFO a pro IdP vydá jedinečný BSI (Bezvýznamový Směrový Identifikátor). Vydávaný BSI se pro stejnou FO a různé IdP liší.
Elektronická identita je v ROB a je jednoznačně určena AIFO, pro které je v NIA zaveden profil, který vznikne při prvním úspěšném ztotožnění vůči ROB. Na profil jsou navázány jednotlivé identifikační prostředky.
Z AIFO se v NIA stává obdoba ZIFO, jsou na něj navázány BSI pro SeP i IdP. Každý IdP má pro stejnou FO přidělen jiný BSI.
Obdoba se děje (zjednodušeně, tam ještě přichází ke slovu tzv. konfigurace) u SeP, každý SeP má pro stejnou FO jiný BSI, ale už bez ohledu na IdP (SeP dostane pro FO pokaždé stejný BSI bez ohledu na to, kterým IdP se FO autentizuje). -
Kamil ZmeškalPodporovatel
AIS si může BSI převést na své AIFO voláním služby E226 - eidentitaCtiAifo.
15. 5. 2020, 10:33 editováno autorem komentáře
-
Kamil ZmeškalPodporovatelTa složitost je do velké míry dána bezpečnostními požadavky, například:
- SeP neví, kterým IdP se uživatel autentizoval (ví jen úroveň ověření - LoA),
- IdP zase neví, k čemu (jakému SeP) se uživatel autentizuje,
- když nějakému IdP nebo SeP uteče databáze s BSI, tak to není jinde použitelné (nesá se to s ničím propojit/spárovat), protože já jako Kamil Zmeškal mám u každého IdP jiné BSI a to samé i u každého SeP atd.
