Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
nap:caais [2025/01/24 14:53] Tomáš Šedivecnap:caais [2026/02/20 14:08] (aktuální) Tomáš Šedivec
Řádek 77: Řádek 77:
 **AIS při volání autentizačních služeb používá ověřovací certifikát pro autentizaci vůči CAAIS.** Tento certifikát musí být **typu komerční serverový a musí být zaregistrovaný v nastavení AIS a musí být vydaný podporovanou certifikační autoritou** (I.CA, PostSignum, eIdentity, NCA). V konfiguraci AIS v CAAIS může být zaregistrován pouze jeden ověřovací certifikát pro JIP/KAAS legacy, právě jeden podpisový a právě jeden šifrovací pro SAML a více certifikátů pro OIDC. **AIS při volání autentizačních služeb používá ověřovací certifikát pro autentizaci vůči CAAIS.** Tento certifikát musí být **typu komerční serverový a musí být zaregistrovaný v nastavení AIS a musí být vydaný podporovanou certifikační autoritou** (I.CA, PostSignum, eIdentity, NCA). V konfiguraci AIS v CAAIS může být zaregistrován pouze jeden ověřovací certifikát pro JIP/KAAS legacy, právě jeden podpisový a právě jeden šifrovací pro SAML a více certifikátů pro OIDC.
  
-===== Budoucí stav =====+====Přístup dodavatelů do AIS====  
 + 
 + 
 +^ Situace ^ Ideální řešení ^ Funkční, ale nedoporučované řešení ^ 
 +|Správce AIS využívá CAAIS a potřebuje umožnit přístup i uživatelům z externích subjektů (dodavatelé, provozovatelé). |Architektura AIS s tím počítala. Jsou definovány aplikační role pro dodavatele/provozovatele. Správce CAAIS zakládá subjekty dle IČO, určují se lokální administrátoři, ti zakládají uživatele a přidělují role. AIS správně rozpozná uživatele podle údajů z CAAIS a loguje jejich činnost jako činnost dodavatele/provozovatele. |Design s tím nepředpokládal. Garant AIS požádá svého lokálního administrátora o zavedení uživatelů dodavatelů. Doporučuje se interní předpis upravující odpovědnosti za životní cyklus účtů. Existuje riziko, že externí uživatel může jednat i v jiných systémech správce. Doporučuje se formálně ošetřit závazek nepoužívat účet mimo vymezené systémy. | 
 +|Externí pracovníci potřebují pracovat na produkci se stejným rozsahem oprávnění jako interní uživatelé (např. pro testování). |AIS má interní testovací účty vedené v interním IDM. Tyto účty jsou určeny omezenému okruhu lidí, jsou odlišitelné od reálných účtů, nejsou zahrnuty do statistik a neovlivňují reálné subjekty. AIS obsahuje izolovaný „paralelní vesmír“ pro testování. |Viz předchozí řešení | 
 +|Správce pověřil výkonem některých činností externí subjekt, který má jednat „jako správce“, ale pod svou vlastní hlavičkou. |AIS využívá služby Registru zastoupení (REZA). Správce AIS definuje šablonu zastoupení a povolí zastupování externím subjektům. Správce CAAIS založí subjekty, ti si určují administrátory a zakládají uživatele. AIS ověřuje oprávnění v REZA a loguje činnost jako jednání v zastoupení. |AIS obsahuje vlastní matici pověření. Oprávnění uživatelé jednoho subjektu zapisují pověření pro druhý subjekt nebo konkrétní osoby. Externí uživatelé se přihlašují buď přes CAAIS pod svým subjektem, nebo interním účtem v IDM AIS. | 
 + 
 +  
 + 
 +==== Budoucí stav ====
  
 V budoucnu se očekává přechod všech současných systémů na CAAIS a v případě nově vznikajících, jejich přednostní implementace CAAIS. Rozšířením identitních prostředků se ulehčí práce úředníků. V budoucnu se očekává přechod všech současných systémů na CAAIS a v případě nově vznikajících, jejich přednostní implementace CAAIS. Rozšířením identitních prostředků se ulehčí práce úředníků.