Vlákno názorů k článku Jak na datovku: Co je to fikce doručení a co byste o ní měli vědět od ondravojta - Mám nově založenou datovku jako FO i PFO...
-
Mám nově založenou datovku jako FO i PFO - tedy dvě schránky. Po přihlášení si vybírám, do které schránky chci vstoupit. Nevíte prosím někdo, jestli poté mohu mezi těmi schránkami nějak přecházet? Zatím sem na to nepřišel a tak se vždy odhlašuji a znovu přihlašuji, což je nejen díky 2FA pěkně otravné.
Děkuji.
-
Také už jsem nad tím bádal a bohužel to vypadá, že implementace je udělaná tak hloupě, že odhlásit se a znovu se přihlásit je jediná možnost. Jakmile si jednu z těch schránek vyberu, ISDS už mi zobrazuje jen tu vybranou, dokud se neodhlásím (čímž se úplně odhlásím z NIA). Dokonce i když na té úvodní stránce rychle po sobě kliknu prostředním tlačítkem na oba odkazy, ve druhém tabu už se mi ta druhá stránka neotevře. Nedává to smysl, protože jinak NIA funguje jako SSO a na jedno přihlášení můžu procházet spoustu různých webů státní správy, ale z celého toho systému čiší vědomí autorů, že se vůbec nemusejí starat o to, aby to bylo pro uživatele praktické.
-
To přihlašování přes NIA zjevně vzniklo jako hotfix cestou nejmenšího odporu, kdy do současné implementace přihlášení byla přidána podpora pro NIA. Jestli se nemýlím, datové schránky používají nějaké IdM, které vyřeší přihlášení uživatele, takže samotný systém datových schránek už má jenom informace o přihlášeném uživateli a dost možná ani neví, jakým způsobem se uživatel přihlásil. Myslím, že příčinou nebylo to, že by autory nezajímalo, jak to udělat, aby to bylo praktické pro uživatele. Spíš bylo zadáním udělat to s co nejmenšími zásahy, tj. co nejlevněji.
První problém vidím už v NIA, která by měla specifikovat, že služba používající NIA musí dát uživateli na výběr, zda chce odhlásit jen z aplikace nebo z NIA; nebo lépe by při odhlášení z aplikace mělo dojít přesměrování na NIA, kde by uživatel viděl seznam aktivních session a mohl si vybrat, zda je chce ukončit všechny. Současný systém, kdy to každá služba řeší, jak se jí chce, není dobrý. Ono by to pak i s datovými schránkami fungovalo rozumněji, kdyby se uživatel jen odhlásil z DS, ale zůstal přihlášen k NIA a mohl se okamžitě přihlásit do jiné schránky. (Což na druhou stranu mohou implementovat autoři portálu datových schránek bez spolupráce s NIA – prostě mohou dát uživateli na výběr, zda se chce odhlásit z portálu DS nebo i z NIA).
-
Zatím mi přišlo, že to funguje celkem jednotně: v kterékoli aplikaci odhlášení znamená odhlášení z celého NIA SSO. Pokud nějaká aplikace má víc "podidentit", řeší se to na její úrovni. Tak to funguje třeba u eReceptů, kde se můžu přepínat mezi svým záznamem a záznamy dětí, a myslím že i u daňové "DIS+" (tam mám ale přístup jen do jedné, takže to nemám vyzkoušené). Tak by to podle mne mělo fungovat i u těch datových schránek: prostě bych měl mít možnost se bez odhlášení vrátit na tu úvodní stránku se seznamem schránek, do kterých mám přístup.
Když tak o tom přemýšlím, možná je právě problém v tom, že datové schránky mají kromě NIA ještě svou vlastní autentizaci, která ale na rozdíl od NIA není na úrovni mne jako fyzické osoby, ale na úrovni jednotlivých schránek. Tedy aspoň předpokládám, že to tak je, protože jsem se jinak než přes NIA nikdy nepřihlašoval. Ale u každé schránky mi to ukazuje jiné "uživatelské jméno", takže jestli to dobře chápu, kdybych používal některou z těch dalších forem autentizace, měl bych separátní účet pro každou schránku. Jestli je to tak, je určitá šance, že až to bude navázané jen na NIA, bude to moci začít fungovat tak jako třeba ty eRecepty.
-
Ano, to je to, co jsem psal – když máte víc datových schránek, máte v ISDS v každé datové schránce jinou identitu. Po přihlášení přes NIA a výběru schránky se připojíte k té jedné identitě, která není nijak spojena s jinými vašimi identitami.
To odhlášení od celé NIA SSO mi právě připadá jako hloupost, protože to pak není SSO. Můžete se přihlásit k libovolnému počtu služeb, pokud libovolný znamená jedna…
-
To je za prvé neintuitivní (většina lidí očekává, že se odhlašují z toho webu), za druhé nepraktické – to, že chci skončit práci s jedním webem, neznamená, že chci skončit pracovat ve všech otevřených aplikacích. V operačním systému taky ukončuju každou aplikaci zvlášť a ukončení jedné aplikace nezavře i všechny ostatní. Kdyby takhle fungovala bankovní identita a přihlásil bych se takhle do své banky a zároveň na Lupu, budu se chtít z banky odhlásit hned, jak jsem udělal, co potřebuju – zatímco na Lupě klidně zůstanu přihlášený celý den. Opravdu bych nechtěl zůstávat celý den přihlášený v internetovém bankovnictví jenom proto, že jsem vedle přihlášen ještě na Lupě.
-
Ta vaše představa zase nezní moc jako SSO mně. Dokud jsem přihlášený k SSO, očekávám, že budu moci otevírat jednotlivé weby, které jsou na to SSO navázané, aniž bych se musel znovu autentizovat. Tak funguje NIA SSO a stejně tak mi funguje třeba Okta, kterou používáme v práci. Pak mi ale není moc jasné, jak by technicky mělo fungovat to "odhlásím se z jednoho webu, ale z druhého ne". Buď se na ten první budu moci kdykoli vrátit bez toho, abych se znovu autentizoval (a pak nevidím smysl v tom, že jsem se z něj "odhlásil"), nebo to nepůjde (a pak mi nedává smysl, že se jedna konkrétní služba bude chovat jinak než ostatní).
To je taky důvod, proč se nijak zvlášť nehrnu do toho, že bych mojeid využíval i pro běžné weby typu Root nebo Lupa. Tam by se hodilo zůstávat přihlášený trvale, ale k NIA chci být přihlášený jen po nezbytně nutnou dobu. A to pod jedním společným SSO dost dobře nejde.
-
To, zda se chci na jiné weby v rámci SSO dostat bez nového přihlášení, nebo třeba jenom nějakým potvrzením (třeba zadám znovu heslo, ale nebudu ho muset potvrzovat druhým faktorem), má být volba přihlášení. I kdyby to potvrzení přihlášení bylo jen kliknutí na tlačítko v prohlížeči, bude to bezpečnější, než když zůstanu na tom webu přihlášen.
