- Česky (cs)
- English (en)
Jednotný identitní prostor veřejné správy
Jednotný identitní prostor - v současném provedení systému JIP/KAAS bude postupně nahrazen systémem CAAIS (Centrální autentizační a autorizační informační systém), jehož popis API je k dispozici zde
Popis Jednotného identitního prostoru veřejné správy
Jednotný identitní prostor (JIP) informačních systémů veřejné správy a Katalog autentizačních a autorizačních služeb (KAAS) je autentizační informační systém podle § 56a zákona o základních registrech a jeho správcem je Digitální a informační agentura. Na základě znění zákona zavedení jakékoli osoby do tohoto autentizačního informačního systému vyžaduje její jednoznačné ztotožnění oproti základnímu registru obyvatel. Ministerstvo dále spravuje prostředky pro autentizaci, které vydává.
V rámci současného stavu (As-Is 2018) předpokládá co nejširší používání autentizačního informačního systému JIP/KAAS pro splnění zásadních podmínek pro identifikaci a autentizaci interních uživatelů informačních systémů veřejné správy. Pro ty informační systémy, kde interní uživatelé informačního systému jsou zaváděni úřady, které nejsou správci tohoto informačního systému, je použití autentizačního informačního systému JIP/KAAS povinností.
Využití systému JIP/KAAS je možné i s pomocí prostředků národního identitního prostoru. Aby přihlašování do JIP/KAAS bylo umožněno i jinými prostředky národního identitního prostoru, než je např. občanský průkaz nebo jméno+heslo+sms, je potřeba zajistit úředníkům jiný prostředek jedním z následujících způsobů:
- Sekce pro státní službu na MV zajistí jednotný prostředek identity úředníka v rámci národního identitního prostoru.
- Jiný orgán veřejné moci zajistí vydávání profesních identit v rámci národního identitního prostoru z nichž požadavky na úřední identitu (včetně zajištění finančních prostředků) sdělí Sekce pro státní službu na MV.
Unikátní a jednotná identita zaměstnance v rámci veřejné správy jako celku je nutná ve dvou rovinách, jako:
- Aktivní identita a identifikace - opravňuje zaměstnance k přístupu k informacím a informačním systémům, (+ k prostorám a zařízením) - zaměstnanec jako subjekt
- Pasivní identita a identifikace - jednoznačně označuje předmětného (většinou zodpovědného) zaměstnance v rámci centrálních nástrojů řízení a koordinace veřejné správy - zaměstnanec jako objekt evidence (totéž pro pozici - služební místo a vzájemný vztah k zaměstnanci).
Stávající řešení JIP/KAAS nebylo určeno pro takto široké účely a koncepčně ani fyzicky nevyhovuje změněným nárokům. Jeho budoucí rozvoj musí vycházet z diskuse o reálných potřebách všech zainteresovaných. Předpokladem budoucího efektivního využívání jednotného identitního prostoru veřejné správy a naplnění některých konceptů architektonické vize eGovernmentu, jako je například transakční Portál úředníka, poskytující kromě jiného i společné personální, vzdělávací, nákupní a další funkce, musí dojít ke sjednocení identit a identifikací pracovníků veřejné správy bez ohledu na typ zaměstnaneckého/ služebního poměru, tj. společně pro:
- státní službu, dle zák. č. 234/2014 Sb., o státní službě,
- služební poměr, dle zák. č. 361/2003 Sb. o služebním poměru příslušníků bezpečnostních sborů,
- poměr dle zák. č. 312/2002 Sb. Zákon o úřednících územních samosprávných celků,
- zaměstnanecký poměr, dle zák. č. 262/2006 Sb. Zákoník práce.
Důležité je, že vznik a zejména zánik identifikace a oprávnění k roli musí v JIP vznikat na základě jeho integrace s lokálními personálními systémy, resp. s centrálními služebními a zaměstnaneckými registry na jedné straně a v integraci na lokální IDM/IAM systémy na druhé straně. Tyto základní požadavky a potřeby budou formovat budoucí architekturu JIP a nezbytných spolupracujících systémů.
Procesy založení a zjištění lokálního administrátora
Pro zjištění informací o lokálním administrátorovi subjektu a zároveň i pro registraci nového, slouží formulář pro správu lokálních administrátorů. Najdete jej na stránce Czech POINT – ke stažení https://www.czechpoint.cz/data/formulare/files/sprava_lokalnich_administratoru.zfo. Formulář je ve formátu ZFO, pro jeho otevření a vyplnění je zapotřebí mít nainstalovaný program „Software602 Form Filler“, který je zdarma ke stažení na https://www.602.cz/form-filler.
Formulář je tříkrokový:
- Otevřete formulář prostřednictvím programu Software602 Form Filler a v rámci prvního kroku pouze zaškrtněte políčko „Žádám o zaslání aktuálního seznamu lokálních administrátorů“. Formulář odešlete buď přímo z formuláře (formulář vás vyzve k zadání údajů o datové schránce vašeho subjektu) nebo jej uložte na lokální disk a odešlete jako přílohu z datové schránky vašeho subjektu, případně prostřednictvím spisové služby. Formulář pošlete ve formátu ZFO do tzv. „další datové schránky“ Digitální a informační agentury – Automat SOVM (vu33nsr). Průvodní dopis není zapotřebí, ale není na překážku.
- Systém vaši žádost automaticky zpracuje a pošle odpověď do datové schránky vašeho subjektu (spisové služby). Odpověď má podobu předvyplněného formuláře ZFO. Ve formuláři bude uveden seznam všech lokálních administrátorů registrovaných pod vaším subjektem. V rámci tohoto formuláře proveďte editaci již existujících lokálních administrátorů (včetně možnosti deaktivace účtu) nebo požádejte o zřízení nového účtu. Upravený formulář opět odešlete ke zpracování do DS DIA buď přímo z programu, nebo prostřednictvím datové schránky.
- V rámci posledního kroku obdržíte do datové schránky odpověď s výsledkem zpracování vaší žádosti. V případě založení nového účtu budou k odpovědi připojeny pokyny pro lokálního administrátora k vyzvednutí přihlašovacích údajů k účtu.
POZOR_ Jakmile pošlete formulář se žádostí o informace/registraci nového lokálního administrátora, pokračujte prosím v provedení i zbývajících kroků, i když jste s aktuálním nastavením lokálního administrátora spokojení a nechcete ho měnit
Pohledy na jednotný identitní prostor
Pravidla Jednotného identitního prostoru veřejné správy
Úřad musí zajistit propojení svého identitního systému (AD/LDAP/IDM) se systémem Jednotného identitního prostoru (také jako JIP/KAAS) pro tu část zaměstnanců, kteří se přihlašují k informačním systémům veřejné správy. Využití může být provedeno 2 druhy:
- Vytvoření vlastních aplikačních rolí pro systémy, jejichž je OVM správce
- Využití existujících rolí v registru práv a povinností
Pro uživatele, kteří nejsou pokrytí centrální licencí provozovatele, lze zakoupit licenci zvlášť. Cena takovéto licence je pro 1 uživatele přibližně 2 000 Kč za první rok a 500 pro další roky.
Uživatelé ISVS a způsob jejich autentizace
1. Klient veřejné správy Uživatel, který se do AIS přihlašuje z důvodu, aby veřejnou správu požádal o nějaký úkon. Povinnost autentizace: NIA (jakýkoliv identifikační prostředek např. bankovní identita, NIA ID, Mobilní klíč egovernmentu atd.)
2. Zaměstnanec veřejné správy Uživatel, který se do AIS přihlašuje z důvodu, aby úkon o který klient žádá řešil. Povinnost autentizace: JIP/KAAS (přes NIA nebo jméno a heslo a druhý faktor: Aplikace, SMS, certifikát), CAAIS (přes NIA nebo CAAIS IdP: jméno + heslo + certifikát)
3. Správce AIS Uživatel, který se do AIS přihlašuje z důvodu řízení a participace na správě, údržbě, řešení vad a změn a výkonu podpory. Povinnost autentizace: Jakýkoliv přístup s druhým faktorem. Např. i Proprietární software + druhý faktor
4. Dodavatel (provozovatel a poskytovatel) AIS Uživatel, který se do AIS přihlašuje z důvodu jeho správy, údržby, řešení vad a změn a výkonu podpory. Povinnost autentizace: Jakýkoliv přístup s druhým faktorem. Např. i Proprietární software + druhý faktor
Diskuze
to opravdu nevím, napadá mě zda to nesouvisí třeba s osobami, které mají nějakou formu transliterace jména, ale to je jen fabulace.
Spíše bych si tipnul nějakou SW chybu. Pokud to činí problémy, prosím nahlásit jako incident do SD DIA https://portal.szrcr.cz/login-page
Děkuji.
S pozdravem,
Tomáš Šedivec
nepodařilo se mi najít informaci pro které ISVS je použití JIP/KAAS resp. CAAIS povinné. Z §56a zák. o základních registrech chápu tuto povinnost pouze u ISVS, které přistupují k ZR.
Děkuji za komentář a jsem s přáním hezkého dne
Jan Paliga
agendové informační systémy nejsou jen ty, které přistupují k ZR. Agendové systémy jsou informační systémy veřejné správy, které slouží k výkonu agendy. Přístup k ZR je pro ně jistý benefit, ale není to jejich charakteristika.
Autentizační systém dle § 56a je tedy povinný pro všechny OVM, které potřebují autorizovat fyzické osoby, které jsou nositeli role - tedy úřední osoby vykonávající činnost v agendě.
S pozdravem,
Tomáš Šedivec
domnívám se, že povinnost podle §56a, odst.1 platí pro takové OVM a SPUÚ, které jsou POUZE "zaregistrovány pro výkon agendy" podle §55.
Neplatí pro ohlašovatele agendy.
Z pohledu pojmů zákona o ISVS by to mělo být tak, že povinnost využít Autentizační systém platí pro uživatele těch OVM a SPUÚ, které nejsou SPRÁVCEM tohoto ISVS. A naopak, zaměstnanci a služebníci správce mohou používat pro přístup k AIS (ISVS) svůj lokální (doménový) identitní systém.
S pozdravem,
Pavel Hrabě.
potřebujeme upravit IDM konektor do JIP/KAAS. Umožňuje API do JIP/KAAS tyto operace?
- změnit heslo uživatele?
- aktualizovat atributy uživatele, především příjmení?
- zakládat a aktualizovat lokální administrátory za organizaci?
Dále bych potřeboval odkaz na politiku hesel. Děkuji J.Puchta
systém JIP/KAAS by měl být od počátku roku 2024 postupně nahrazován systémem CAAIS (centrální autentizační a autorizační informační systém). Pokud tedy úprava není nutná, vyčkal bych na nový systém, který bude mít více možností správy a využívání.
Veškerá dokumentace k současnému systému JIP/KAAS je zde https://www.czechpoint.cz/public/vyvojari/ke-stazeni/.
Děkuji.
S pozdravem,
Tomáš Šedivec
není mi zcela jasná jedna věc. Pokud je §2 zákona o elektronické identifikaci vykládán tak, že je od roku 2020 povinné u informačních systémů využívat kvalifikované systémy elektronické identifikace, jejichž seznam je uveden na vašich stránkách, ale systém JIP/KAAS mezi nimi uveden není (z toho usuzuji, že není kvalifikovaným systémem), tak na základě kterého jiného právního předpisu bych měl upřednostnit systém JIP/KAAS před kvalifikovaným systémem elektronické identifikace.
Můžete prosím potvrdit, že systém JIP/KAAS není kvalifikovaným systémem podle zákona o elektronické identifikaci a tudíž, že jsem i pro zaměstnance státu v informačním systému povinen upřednostnit kvalifikovaný systém elektronické identifikace (např. NIA)?
Anebo jestli můžete moji domněnku vyvrátit?
Velice děkuji za Váš čas.
Dušan Švandrlík
ano, potvrzuji, že JIP/KAAS (v budoucnu CAAIS) není kvalifikovaným systémem dle zákona č. 250/2017 Sb. Využití tzv. autentizačního systému je upraveno v paragrafu 56a zákona č. 111/2009 Sb. Tato specifická úprava "přebíjí" obecnou úpravu. Zároveň je možno při využití autentizačního systému využít kvalifikované systémy elektronické identifikace.
Děkuji.
S pozdravem,
Tomáš Šedivec
děkuji za předchozí odpověď.
Prosím ještě o zodpovězení otázky, zda JIP/KAAS umožňuje používat prostředky pro elektronickou identifikaci s úrovní záruky minimálně značnou? (jde mi o to, jestli budu schopen v případě kombinace kvalifikovaného systému a JIP/KAAS zajistit stejnou úroveň záruky (stejnou úroveň důvěry), aby nevznikaly disproporce).
Domníváte se, že by bylo vhodné využít JIP/KAAS a kvalifikované systémy elektronické identifikace (externí autentizační systémy) i v případě významných informačních systémů a systémů kritické informační infrastruktury (v současné době i po zavedení NIS2)?
Děkuji
Dušan Švandrlík
ano, JIP/KAAS to umožnuje. Záleží na správci daného systému, do kterého se prostřednictvím JIP/KAAS přihlašujete, zda vyžaduje druhý faktor. Pak jsou přípustné jen prostředky úrovně značná a vysoká.
Po zavedení NIS2 mohou nastat změny v pravidlech druhého faktoru, ale nepředpokládám je. Proto jak pro VIS, tak i KII je JIP/KAAS či NIA vhodným prostředkem autentizace. Neplatí to pouze pro systémy pracující s utajovanými skutečnostmi (V,D,T,PT), tam jsou specifická pravidla.
S pozdravem,
Tomáš Šedivec