Rozdíly
Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze Následující verzeObě strany příští revize | ||
nap:nia [2021/04/30 11:16] – Tomáš Šedivec | nap:nia [2023/08/01 09:27] – Tomáš Šedivec | ||
---|---|---|---|
Řádek 3: | Řádek 3: | ||
===== Popis Národní identitní autority ===== | ===== Popis Národní identitní autority ===== | ||
- | NIA zajišťuje orgánům veřejné správy státem garantované služby [[nap: | + | Národní identitní autorita vytváří federativní systém |
- | Národní | + | * **Národní |
+ | * **Kvalifikovaný správce,** který | ||
+ | * **Kvalifikovaný poskytovatel online služeb,** který připojuje k Národnímu bodu online služby, ke kterým je vyžadováno přihlášení prostředky vydanými kvalifikovanými správci. | ||
+ | * **Základní registry,** které poskytují jednoznačnou identifikaci osoby a zajištění vazeb této osoby vůči referenčním údajům o osobě. | ||
+ | * **Národní uzel eIDAS,** který je samostatnou součástí Národního bodu a zajišťuje přijímání vzdáleného prokázání totožnosti | ||
- | * **Národní bod** jako centrální bod federativního systému, který zajišťuje komunikaci a registraci účastníků federace. Tato komponenta zajišťuje | + | Pro osoby uvedené v [[nap: |
- | * **Kvalifikovaný správce,** který vydává jednoznačně identifikovaným fyzickým osobám prostředky pro vzdálenou autentizaci | + | * V současném stavu [[nap: |
- | * **Základní registry,** které | + | * V budoucím stavu (stav To-Be) pro občany ČR, cizince s trvalým/přechodným pobytem |
- | * **Národní uzel eIDAS,** který zajišťuje přijímání vzdáleného prokázání totožnosti z ohlášených systémů dle nařízení eIDAS a předávání vzdálené identifikace a autentizace z České republiky ostatním státům EU. Ostatní státy EU budou muset akceptovat | + | |
- | Ačkoliv nyní poskytuje NIA své služby pouze jako " | + | Ačkoliv nyní poskytuje NIA své služby pouze jako " |
==== Seznam poskytovatelů identity (Identity Provider; IdP) ==== | ==== Seznam poskytovatelů identity (Identity Provider; IdP) ==== | ||
- | ^Název | + | ^Název |
- | |**eObčanka** |Elektronický občanský průkaz s aktivovanou částí elektronické identifikace |Vysoká (nejvyšší možná dle eIDAS)| Přihlášení prostřednictvím nového občanského průkazu vydaného po 1. 7. 2018, který obsahuje čip a jeho elektronická funkcionalita byla aktivována. Pro přihlášení tímto občanským průkazem je zapotřebí čtečka dokladů a nainstalovaný příslušný software.|[[https:// | + | |**[[nap: |
- | |**Mobilní klíč eGovernmentu**|Mobilní aplikace s funkcí ověřování QR kódů|Střední|Mobilní klíč eGovermentu představuje využití přihlašování bez potřeby zadávání dalších ověřovacích kódů. Po jeho instalaci a aktivaci Vám bude umožněno přihlašování ke službám využívajícím elektronickou identifikaci prostřednictvím Národního bodu. Aby vše fungovalo, je nutné mít nainstalovanou aplikaci mobilního klíče na svém mobilním zařízení. Aplikace mobilního klíče je shodná se stávající aplikací mobilního klíče ISDS. Pokud již vlastníte tuto aplikaci pro přihlašování k datovým schránkám, | + | |**[[nap: |
- | |**NIA ID**| Jméno + heslo + sms. Klasické přihlašování pomocí druhého faktoru. | Střední | + | |**[[nap: |
- | |**První certifikační autorita, a.s.** |Čipová karta Starcos s identifikačním certifikátem |Vysoká (nejvyšší možná dle eIDAS) |Přihlášení prostřednictvím čipové karty Starcos společnosti První certifikační autorita, a.s., která byla použita pro generování a uložení privátního klíče identitního komerčního certifikátu. Pro přihlášení budete potřebovat čtečku čipových karet (pokud není integrována do PC/NTB) a nainstalovaný ovládací software SecureStore (ke stažení z www.ica.cz).|[[https:// | + | |**[[nap: |
- | |**MojeID**| Přihlašovací údaje do účtu MojeID spárovaný s prostředkem FIDO |Střední|Přihlášení prostřednictvím účtu mojeID. Pro přihlášení je potřeba zabezpečit účet bezpečnostním klíčem (tokenem) certifikovaným od FIDO Alliance alespoň na úroveň L1, a to buď fyzickým (USB, NFC, Bluetooth), anebo systémovým (Windows Hello, Android v. 7 a vyšší). Dále je nutné mít účet mojeID aktivován pro přístup ke službám veřejné správy a jednorázově ověřit svou totožnost (již existujícím prostředkem nebo návštěvou Czech POINTu). Službu mojeID provozuje CZ.NIC, správce domény .CZ.|[[https:// | + | |**[[nap: |
- | |**IIG - International ID Gateway**| Výběr z možných identitních prostředků, | + | |**[[nap: |
+ | |**IIG - International ID Gateway**| Výběr z možných identitních prostředků, | ||
+ | |**[[nap: | ||
+ | |::: | ||
+ | |::: | ||
+ | |::: | ||
+ | |::: | ||
+ | |::: | ||
+ | |::: | ||
+ | |::: | ||
+ | |::: | ||
- | Od roku 2021, kdy bude v účinnosti [[https:// | + | === Statistiky využití identitních prostředků === |
+ | <WRAP center round info 60%> | ||
+ | **Data jsou informativní a platná v konkrétním čase 30.3.2023** | ||
+ | </ | ||
+ | |Celkem státních ID prostředků | ||
+ | |Celkem nestátních ID prostředků | ||
+ | |Celkem ID prostředků | ||
+ | |Počet profilů alespoň s jedním aktivním prostředkem|6 087 908 | | ||
+ | |Celkový počet unikátních přihlášení | ||
+ | |Konverze - procentuální zastoupení těch, kdo se skutečně přihlásili z těch, kdo se přihlásit mohli|39.95% | ||
+ | ^Identitní prostředek ^Popis počtu^Počet^ | ||
+ | |**[[nap: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | |**[[nap: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | |**[[nap: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | |**Technicky IdP pro mobilni aplikace** | ||
+ | | ::: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | |**[[nap: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | |**[[nap: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | |**[[nap: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | |**[[nap: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | |**[[nap: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | |**[[nap: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | |**[[nap: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | |**[[nap: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | |**[[nap: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | |**[[nap: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | |**[[nap: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | |**[[nap: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | |**[[nap: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | | ::: | ||
+ | | ::: | ||
==== Seznam poskytovatelů služeb (Service Provider; SeP) ==== | ==== Seznam poskytovatelů služeb (Service Provider; SeP) ==== | ||
- | Poskytovatelů služeb je již více než 50 a v přípravě jsou další. Konečný počet je v řádu stovek. Aktuální seznam je dostupný zde [[https:// | + | Poskytovatelů služeb je již více než 50 a v přípravě jsou další. Konečný počet je v řádu stovek. Aktuální seznam je dostupný zde [[https:// |
+ | |||
+ | Podobně jako jsou jiné státy v rámci eIDAS povinni přijímat české ohlášené prostředky identity (eObčanka), | ||
+ | |||
+ | Nicméně je vhodné na tomto místě upozornit, že pomocí údajů obdržených na základě využití prostředku pro elektronickou identifikaci vydaného v rámci „zahraničního“ oznámeného systému elektronické identifikace, | ||
- | Podobně jako jsou jiné státy v rámci eIDAS povinni přijímat české ohlášené prostředky identity (eObčanka), | ||
==== Atributy vydávané poskytovatelům služeb (Service Providerům; | ==== Atributy vydávané poskytovatelům služeb (Service Providerům; | ||
Řádek 45: | Řádek 156: | ||
|Země narození |CountryCodeOfBirth |Referenční údaj – Země narození fyzické osoby, předávána v kódu podle standardu ISO 3166-3.| | |Země narození |CountryCodeOfBirth |Referenční údaj – Země narození fyzické osoby, předávána v kódu podle standardu ISO 3166-3.| | ||
|**Adresa pobytu** |**CurrentAddress** |Referenční údaj – Adresa pobytu fyzické osoby, je předávána zakódovaná pomocí BASE64. Obsahuje (pokud je uvedeno v ROB) název ulice (Thoroughfare), | |**Adresa pobytu** |**CurrentAddress** |Referenční údaj – Adresa pobytu fyzické osoby, je předávána zakódovaná pomocí BASE64. Obsahuje (pokud je uvedeno v ROB) název ulice (Thoroughfare), | ||
- | |Email| Email |Emailová adresa uvedená na eidentita.cz v sekci „Vaše údaje“.| | + | |Email| Email |Emailová adresa uvedená na Portálu NIA (přihlášení na identitaobcana.cz) v sekci „Vaše údaje“.| |
|Je starší než X |IsAgeOver |Výpočet je starší než X podle referenčního údaje Datum narození.| | |Je starší než X |IsAgeOver |Výpočet je starší než X podle referenčního údaje Datum narození.| | ||
|Věk| Age |Výpočet věku podle referenčního údaje Datum narození.| | |Věk| Age |Výpočet věku podle referenčního údaje Datum narození.| | ||
- | |Telefon| PhoneNumber| Telefonní číslo uvedeno na eidentita.cz v sekci „Vaše údaje“.| | + | |Telefon| PhoneNumber| Telefonní číslo uvedeno na identitaobcana.cz v sekci „Vaše údaje“.| |
|Adresa pobytu (předávaná v podobě RÚIAN kódů) |TRadresaID |Referenční údaj – Adresa pobytu fyzické osoby je předávána v kódech podle RUIAN. Obsahuje (pokud je uvedeno v ROB) kódy pro okres, obec, část obce, ulici, PSČ, stavební objekt, adresní místo, číslo domovní a orientační.| | |Adresa pobytu (předávaná v podobě RÚIAN kódů) |TRadresaID |Referenční údaj – Adresa pobytu fyzické osoby je předávána v kódech podle RUIAN. Obsahuje (pokud je uvedeno v ROB) kódy pro okres, obec, část obce, ulici, PSČ, stavební objekt, adresní místo, číslo domovní a orientační.| | ||
|Level of Assurance (LoA) |LoA |Stupeň (úroveň) jistoty nebo zajištění. Viz eIDAS reference.| | |Level of Assurance (LoA) |LoA |Stupeň (úroveň) jistoty nebo zajištění. Viz eIDAS reference.| | ||
Řádek 54: | Řádek 165: | ||
|Typ dokladu |IdType |Druh elektronicky čitelného dokladu.| | |Typ dokladu |IdType |Druh elektronicky čitelného dokladu.| | ||
|Číslo dokladu| IdNumber |Číslo elektronicky čitelného dokladu.| | |Číslo dokladu| IdNumber |Číslo elektronicky čitelného dokladu.| | ||
+ | |||
+ | Při použití prostředku pro elektronickou identifikaci vydaného v rámci „zahraničního“ oznámeného systému elektronické identifikace se množina osobních údajů (v případě fyzických osob) skládá minimálně z následujících údajů: | ||
+ | *příjmení, | ||
+ | *jméno, | ||
+ | *datum narození a | ||
+ | *unikátního identifikátoru (pseudonymu). | ||
+ | |||
+ | Seznam dostupných atributů u jednotlivých ohlášených systému elektronické identifikace je k dispozici na: [[https:// | ||
+ | |||
+ | Při použití prostředku pro elektronickou identifikaci vydaného v rámci „zahraničního“ oznámeného systému elektronické identifikace nicméně není možné využít [[nap: | ||
==== Pseudonym - bezvýznamový směrový identifikátor ==== | ==== Pseudonym - bezvýznamový směrový identifikátor ==== | ||
- | Pseudonym, neboli identifikátor fyzické osoby, který se od NIA předává je pro každého kvalifikovaného poskytovatele služby jedinečný a neměnný. Neslouží jako veřejný identifikátor, | + | Pseudonym |
Pokud však chce mít kvalifikovaný poskytovatel služby jistotu o aktuálnosti pseudonymu, musí postupovat dle pravidel [[: | Pokud však chce mít kvalifikovaný poskytovatel služby jistotu o aktuálnosti pseudonymu, musí postupovat dle pravidel [[: | ||
+ | |||
+ | ==== Nevizuální přihlašování z mobilních aplikací ==== | ||
+ | Principem tzv. nevizuálního přihlašování je uspořádání, | ||
+ | |||
+ | NIA poskytuje soubor rozhraní, které mají za cíl umožnit poskytovatelům služeb (SeP) vytvoření takových vlastních mobilních aplikací a vlastních backendových API, které dohromady budou umět ověřit identitu občana prostřednictvím volání webových služeb, tedy nevizuálně bez interakce občana. | ||
+ | |||
+ | Původně generická Mobilní aplikace bude muset být uživatelem nejprve registrována k užívání a následně bude umožňovat opakované přihlašování k NIA nevizuálním způsobem. Mobilní aplikace bude předávat informaci o provedeném přihlášení do API poskytovatele služeb, které následně z NIA získá JSON Web Token s detaily o přihlášeném uživateli. Fakt registrace bude opakovaně kontrolován na NIA prostřednictvím procesů mobilní aplikace a API, aby uživatel mohl např. při ztrátě zařízení možnosti nevizuálního přihlašování zabránit. | ||
+ | |||
+ | Cílem funkcionality není, aby mobilní aplikace poskytovatele služeb byla na úrovni poskytovatele identity (není to Identity provider). Není ji tedy možné používat pro přihlašování k portálům a jiným službám ostatních poskytovatelů služeb. | ||
+ | |||
+ | Více viz popis [[https:// | ||
===== Pravidla pro Národní identitní autoritu ===== | ===== Pravidla pro Národní identitní autoritu ===== | ||
Řádek 72: | Řádek 204: | ||
NAP v této oblasti vyžaduje naplnění následujících principů pro všechny informační systémy veřejné správy: | NAP v této oblasti vyžaduje naplnění následujících principů pro všechny informační systémy veřejné správy: | ||
- | - Každý úřad, který poskytuje své služby elektronicky | + | - Každý úřad, který poskytuje své služby elektronicky, |
- | - Pro využití [[nap:nia|kvalifikovaného systému elektronické identifikace]] se musí organizace stát tzv. Kvalifikovaným | + | - Pro využití [[nap:nia|Národní identitní autority]] se musí organizace stát tzv. kvalifikovaným |
- Každý úřad musí akceptovat nejen identitu českého občana, ale kteréhokoliv občana Evropské Unie dle eIDAS. | - Každý úřad musí akceptovat nejen identitu českého občana, ale kteréhokoliv občana Evropské Unie dle eIDAS. | ||
- | - Při tvorbě | + | |
- | - Jakýkoliv nový identitní | + | |
- | - Prostředky pro identifikaci a autentizaci jsou vždy vydány bezpečnou a jednoznačnou cestou identifikované osobě tak, aby byla zajištěna | + | - Prostředky pro identifikaci a autentizaci jsou vždy vydány bezpečnou a jednoznačnou cestou identifikované osobě tak, aby byla zajištěna |
- | - Osoba, jíž byly prostředky vydány, | + | - Osoba, jíž byly prostředky vydány, |
- | - Osoba, jíž byly prostředky vydány, nese nedílnou zodpovědnost za všechny úkony, které byly v informačním systému provedeny při použití těchto prostředků | + | - Osoba, jíž byly prostředky vydány, nese nedílnou zodpovědnost za všechny úkony, které byly v informačním systému provedeny při použití těchto prostředků. |
- | - Věcný správce agend, které jsou vykonávány v rámci informačního systému, zodpovídá za obsazení osob do rolí (technicky vykonává technický správce informačního systému, vždy však na základě podkladů | + | - Věcný správce agend, které jsou vykonávány v rámci informačního systému, zodpovídá za obsazení osob do rolí (technicky vykonává technický správce informačního systému, vždy však na základě podkladů věcných správců). Tuto svoji zodpovědnost může delegovat v rámci organizační struktury na více zodpovědných osob. |
==== Postup ohlášení kvalifikovaného poskytovatele služby (Service provider; SeP) ==== | ==== Postup ohlášení kvalifikovaného poskytovatele služby (Service provider; SeP) ==== | ||
- | Následující kroky popisují jednotlivé části procesu, který je naznačen níže, na základě ověření přes ISDS. Aktuálně je registrace organizace prostřednictvím portálu národního bodu přístupná pouze pro orgány veřejné moci, ostatní subjekty musí provést registraci přímo u Správy základních registrů (viz krok 8). Kompletní příručka je dostupná [[https:// | + | Následující kroky popisují jednotlivé části procesu, který je naznačen níže, na základě ověření přes ISDS. Aktuálně je registrace organizace prostřednictvím portálu národního bodu přístupná pouze pro orgány veřejné moci, ostatní subjekty musí provést registraci přímo u Správy základních registrů (viz krok 8). Kompletní příručka je dostupná [[https:// |
- Uživatel jako zástupce organizace požaduje po portálu národního bodu, který je Service Providerem, službu umožňující registraci dané organizace. Tato registrace umožní fungování dané organizace v [[nap: | - Uživatel jako zástupce organizace požaduje po portálu národního bodu, který je Service Providerem, službu umožňující registraci dané organizace. Tato registrace umožní fungování dané organizace v [[nap: | ||
Řádek 113: | Řádek 245: | ||
Poskytovatel zdravotních služeb není orgán veřejné moci, a proto je třeba zajistit kromě výše uvedeného postupu i následující kroky: | Poskytovatel zdravotních služeb není orgán veřejné moci, a proto je třeba zajistit kromě výše uvedeného postupu i následující kroky: | ||
- Požádat Ministerstvo zdravotnictví o zavedení do [[nap: | - Požádat Ministerstvo zdravotnictví o zavedení do [[nap: | ||
- | - Na adrese https:// | + | - Na adrese |
* Nově by se mělo nabídnout ruční zadání údajů s dalším postupem | * Nově by se mělo nabídnout ruční zadání údajů s dalším postupem | ||
* Pokud se neobjeví, postupovat dle obecných bodů výše – poslání datové zprávy obsahující potřebné údaje (URL, logo….) | * Pokud se neobjeví, postupovat dle obecných bodů výše – poslání datové zprávy obsahující potřebné údaje (URL, logo….) | ||
- | - Upravit si svůj profil na https:// | + | - Upravit si svůj profil na [[https:// |
+ | |||
+ | ==== Podmínky pro nevizuální přihlašování ==== | ||
+ | |||
+ | Přihlašování z mobilních aplikací je založeno na následujících předpokladech: | ||
+ | |||
+ | Poskytovatel služby musí | ||
+ | * vytvořit svoji mobilní aplikaci | ||
+ | * vytvořit svoje API | ||
+ | * zabezpečit komunikace mezi svým API a mobilní aplikaci | ||
+ | * provést registraci svého API a mobilní aplikace v NIA | ||
+ | * definovat a zaregistrovat sadu atributů, které budou obsahem JWT (JSON Web Token) | ||
+ | * zajistit komunikaci mezi API a NIA pro vyzvedávání JWT | ||
+ | |||
+ | NIA poskytuje | ||
+ | * rozhraní pro interaktivní přihlášení | ||
+ | * rozhraní pro registraci mobilní aplikace | ||
+ | * rozhraní pro přihlášení mobilní aplikace | ||
+ | * rozhraní pro API, které si z NIA vyzvedne JWT | ||
+ | |||
+ | Uživatel | ||
+ | |||
+ | * musí mít platný a funkční profil NIA a musí mít k dispozici, alespoň jeden platný přihlašovací prostředek, | ||
+ | * nainstaluje si mobilní aplikaci od poskytovatele služby, | ||
+ | * po prvním spuštění aplikace provede interaktivní přihlášení přes NIA, které zajistí registraci aplikace v NIA, | ||
+ | * podle potřeby bude opakovat interaktivní přihlášení z aplikace, pokud z nějakého důvodu bude registrace v NIA zrušena/ | ||
+ | |||
+ | Po registraci mobilní aplikace může provést přihlášení k NIA. Výsledkem přihlášení je tzv. access token, který mobilní aplikace předá komponentě (API) poskytovatele služeb. Tato komponenta (API) následně zavolá definované rozhraní NIA, kde předá access token a své přihlašovací údaje. Na základě tohoto volání NAI provede vydání JWT. | ||
+ | |||
+ | ==== Pravidla určení úrovně záruky pro poskytované služby (LoA) ==== | ||
+ | |||
+ | Každý poskytovatel služby si sám určuje, jakou úroveň záruky (LoA) po uživateli vyžaduje((Přehled prostředků s jejich úrovní záruky [[nap: | ||
+ | - Nastaví úroveň záruky podle nejčastěji využívaných služeb nebo dle nejčetnější úrovně záruky u nabízených služeb. Tato možnost zajistí, že uživateli bude po autentizaci dostupná většina služeb a zároveň se po uživateli nepožaduje prostředek s vysokou úrovní záruky. Pokud však uživatel chce využít služby s vyšší úrovní záruky, než použil při původní autentizaci, | ||
+ | - Nenastaví žádnou vstupní úroveň záruky. Tato možnost zajistí, že se uživatel autentizuje na daný portál jakýmkoliv identitním prostředkem NIA a až následně se při výběru služby uživatelem kontroluje, zda je pro ni splněna minimální úroveň záruky. Pokud není, měl by být uživatel vyzván k autentizaci prostředkem s vyšší úrovní záruky. | ||
+ | - Potřebnou úroveň záruky nastaví podle nejpřísnější služby. Tato možnost zajistí, že uživatel bude moci vždy využít všechny služby, které jsou na [[nap: | ||
+ | Pro jakoukoliv zvolenou variantu z pohledu poskytovatele služeb však platí několik povinností: | ||
+ | - Požadovaná úroveň záruky u jednotlivých služeb odpovídá informacím uvedených v [[nap: | ||
+ | - Uživateli autentizovaném s nižší úrovní záruky se neskrývá nabídka služeb vyžadující vyšší úroveň záruky. | ||
{{tag> | {{tag> | ||