Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
nap:popisy:popis_nia [2020/11/24 08:08] – [Seznam poskytovatelů identity (Identity Provider; IdP)] Tomáš Šedivecnap:popisy:popis_nia [2021/04/30 10:14] (aktuální) – include změny Tomáš Šedivec
Řádek 1: Řádek 1:
-<title>Popis Národní identitní autority</title>+======Popis Národní identitní autority======
  
-NIA zajišťuje orgánům veřejné správy státem garantované služby [[nap:elektronicka_identifikace_pro_klienty_verejne_spravy|identifikace a autentizace]] včetně federace údajů o subjektu práva ze základních registrů a možnost předávání přihlašovací identity dle principy Single Sign-On. Pro osoby uvedené v ROB nebo přihlašující se identitou v rámci eIDAS z členských států EU nemusí OVS řešit přihlašovací identity pro své klienty samo. V současném stavu ROB (stav As-Is) tedy pouze pro občany ČR a cizince s trvalým pobytem. V budoucím stavu (stav To-Be) pro občany ČR, cizince s trvalým pobytem a [[nap:ejfo|jiné fyzické osoby (EjFO)]], které mají k ČR právní či majetkový vztah (zahraniční vlastník nemovitosti, zahraniční lékař, zahraniční student, apod.). +{{section>nap:nia#popis_narodni_identitni_autority}}
- +
-Národní identitní autorita vytváří federativní systém, který se skládá z následujících komponent: +
- +
-  * **Národní bod** jako centrální bod federativního systému, který zajišťuje komunikaci a registraci účastníků federace. Tato komponenta zajišťuje současně vždy **jednoznačné ztotožnění** osoby, která prokazuje svoji totožnost předložením autentizačních prostředků +
-  * **Kvalifikovaný správce,** který vydává jednoznačně identifikovaným fyzickým osobám prostředky pro vzdálenou autentizaci (prokázání totožnosti) a provádí veškeré činnosti spojené se správou těchto prostředků a prokazováním totožnosti fyzické osoby +
-  * **Základní registry,** které poskytují jednoznačnou identifikaci osoby a zajištění vazeb této osoby vůči referenčním údajům o osobě +
-  * **Národní uzel eIDAS,** který zajišťuje přijímání vzdáleného prokázání totožnosti z ohlášených systémů dle nařízení eIDAS a předávání vzdálené identifikace a autentizace z České republiky ostatním státům EU. Ostatní státy EU budou muset akceptovat české identity od 13.9.2020, kdy vyprší lhůta ohlášeného prostředku Elektronického občanského průkazu.  +
- +
-Ačkoliv nyní poskytuje NIA své služby pouze jako "Front-end" řešení za pomoci SAML tokenů, je plánováno i poskytování služeb jako "Back-end" pro využití překladů identity a identifikátorů za pomoci eGON služeb. +
- +
-=== Seznam poskytovatelů identity (Identity Provider; IdP) === +
- +
-^Název poskytovatele identity ^Typ prostředku ^úroveň prostředku ^ Popis^ URL^ Použití pro mezinárodní ověření identity v eIDAS^ +
-|**eObčanka** |Elektronický občanský průkaz s aktivovanou částí elektronické identifikace |Vysoká (nejvyšší možná dle eIDAS)| Přihlášení prostřednictvím nového občanského průkazu vydaného po 1. 7. 2018, který obsahuje čip a jeho elektronická funkcionalita byla aktivována. Pro přihlášení tímto občanským průkazem je zapotřebí čtečka dokladů a nainstalovaný příslušný software.|[[https://info.eidentita.cz/eop/]]|ANO - eObčanka je zatím jako jediný prostředek ohlášen dle eIDAS pro potřeby mezinárodní identifikace a autentizace. Její použití je pro ostatní státy v rámci eIDAS povinné k použití od září 2020. | +
-|**Mobilní klíč eGovernmentu**|Mobilní aplikace s funkcí ověřování QR kódů|Střední|Mobilní klíč eGovermentu představuje využití přihlašování bez potřeby zadávání dalších ověřovacích kódů. Po jeho instalaci a aktivaci Vám bude umožněno přihlašování ke službám využívajícím elektronickou identifikaci prostřednictvím Národního bodu. Aby vše fungovalo, je nutné mít nainstalovanou aplikaci mobilního klíče na svém mobilním zařízení. Aplikace mobilního klíče je shodná se stávající aplikací mobilního klíče ISDS. Pokud již vlastníte tuto aplikaci pro přihlašování k datovým schránkám, aktualizací této aplikace získáte i možnost využít ji i pro přihlašování ke službám prostřednictvím Národního bodu.|[[https://info.eidentita.cz/mep/]]|NE| +
-|**NIA ID**| Jméno + heslo + sms. Klasické přihlašování pomocí druhého faktoru. | Střední | Přihlášení prostřednictvím uživatelského jména a hesla, které jste zadali při založení Vašeho identifikačního prostředku na portálu národního bodu. Přihlášení dokončíte zadáním ověřovacího kódu, který Vám bude zaslán ve formě SMS na Vaše telefonní číslo.|[[https://info.eidentita.cz/ups/]]|NE| +
-|**První certifikační autorita, a.s.** |Čipová karta Starcos s identifikačním certifikátem |Vysoká (nejvyšší možná dle eIDAS) |Přihlášení prostřednictvím čipové karty Starcos společnosti První certifikační autorita, a.s., která byla použita pro generování a uložení privátního klíče identitního komerčního certifikátu. Pro přihlášení budete potřebovat čtečku čipových karet (pokud není integrována do PC/NTB) a nainstalovaný ovládací software SecureStore (ke stažení z www.ica.cz).|[[https://www.ica.cz/ica-identity-provider]]|NE| +
-|**MojeID**| Přihlašovací údaje do účtu MojeID spárovaný s prostředkem FIDO |Střední|Přihlášení prostřednictvím účtu mojeID. Pro přihlášení je potřeba zabezpečit účet bezpečnostním klíčem (tokenem) certifikovaným od FIDO Alliance alespoň na úroveň L1, a to buď fyzickým (USB, NFC, Bluetooth), anebo systémovým (Windows Hello, Android v. 7 a vyšší). Dále je nutné mít účet mojeID aktivován pro přístup ke službám veřejné správy a jednorázově ověřit svou totožnost (již existujícím prostředkem nebo návštěvou Czech POINTu). Službu mojeID provozuje CZ.NIC, správce domény .CZ.|[[https://www.mojeid.cz/]]|NE| +
-|**IIG - International ID Gateway**| Výběr z možných identitních prostředků, které jsou ohlášené jinými členskými státy EU v rámci eIDAS uzlů | nízká až vysoká dle daného prostředku | Aktuálně je možné v rámci eIDAS uzlů vybírat z prostředků Německa a Slovenska | |NE| +
- +
-Od roku 2021, kdy bude v účinnosti [[https://www.zakonyprolidi.cz/cs/1992-21/zneni-20210101|novela zákona o bankách]] umožňující vykonávat elektronickou identifikaci, se očekává připojení poskytovatelů identity z řad bankovních institucí. +
- +
- +
- +
-=== Seznam poskytovatelů služeb (Service Provider; SeP) === +
- +
-Poskytovatelů služeb je již více než 50 a v přípravě jsou další. Konečný počet je v řádu stovek. Aktuální seznam je dostupný zde [[https://info.eidentita.cz/sep/]]. +
- +
-Podobně jako jsou jiné státy v rámci eIDAS povinni přijímat české ohlášené prostředky identity (eObčanka), jsou čeští poskytovatelé služeb povinni akcentovat identitu ohlášenou jiným státem v rámci eIDAS. Povinnost umožnit přihlášení pomocí IIG - International Identity Gateway je všem poskytovatelům služeb zapnuta od 30.6.2020. +
- +
-=== Atributy vydávané poskytovatelům služeb (Service Providerům; SeP) === +
- +
-Následující atributy jsou NIA vydávány tzv. kvalifikovaným poskytovatelům služby. Problematika je popsána také v části [[:nap:portaly_verejne_spravy_a_soukromopravnich_uzivatelu_udaju|Portály veřejné správy a soukromoprávních uživatelů údajů]]. +
-Tučně označené atributy odpovídají standardu eIDAS, ostatní atributy sice standardu neodpovídají, kvalifikovaný poskytovatel služby má ale možnost při komunikaci v rámci ČR o jejich vydání zažádat. +
-^Atribut/Element ^Název atributu ^Popis^ +
-|**Příjmení** |**CurrentFamilyName** |Referenční údaj – Příjmení fyzické osoby. Viz eIDAS reference.| +
-|**Jméno**| **CurrentGivenName**| Referenční údaj – Jméno, případně jména fyzické osoby. Viz eIDAS reference.| +
-|**Datum narození** |**DateOfBirth** |Referenční údaj – Datum narození fyzické osoby. Viz eIDAS reference.| +
-|**Místo narození**| **PlaceOfBirth** |Referenční údaj – Místo narození fyzické osoby. Viz eIDAS reference.| +
-|Země narození |CountryCodeOfBirth |Referenční údaj – Země narození fyzické osoby, předávána v kódu podle standardu ISO 3166-3.| +
-|**Adresa pobytu** |**CurrentAddress** |Referenční údaj – Adresa pobytu fyzické osoby, je předávána zakódovaná pomocí BASE64. Obsahuje (pokud je uvedeno v ROB) název ulice (Thoroughfare), název pošty (PostName), PSČ (PostCode), název obce, případně doplněnou o část obce (CvaddressArea) a číslo domovní/číslo orientační (LocatorDesignator). Atribut vychází z ISA Core Vocabulary a tam je také uveden podrobnější popis atributu.| +
-|Email| Email |Emailová adresa uvedená na eidentita.cz v sekci „Vaše údaje“.| +
-|Je starší než X |IsAgeOver |Výpočet je starší než X podle referenčního údaje Datum narození.| +
-|Věk| Age |Výpočet věku podle referenčního údaje Datum narození.| +
-|Telefon| PhoneNumber| Telefonní číslo uvedeno na eidentita.cz v sekci „Vaše údaje“.| +
-|Adresa pobytu (předávaná v podobě RÚIAN kódů) |TRadresaID |Referenční údaj – Adresa pobytu fyzické osoby je předávána v kódech podle RUIAN. Obsahuje (pokud je uvedeno v ROB) kódy pro okres, obec, část obce, ulici, PSČ, stavební objekt, adresní místo, číslo domovní a orientační.| +
-|Level of Assurance (LoA) |LoA |Stupeň (úroveň) jistoty nebo zajištění. Viz eIDAS reference.| +
-|Pseudonym |PersonIdentifier |Identifikátor fyzické osoby.| +
-|Typ dokladu |IdType |Druh elektronicky čitelného dokladu.| +
-|Číslo dokladu| IdNumber |Číslo elektronicky čitelného dokladu.| +
- +
-=== Pseudonym - bezvýznamový směrový identifikátor === +
-Pseudonym, neboli identifikátor fyzické osoby, který se od NIA předává je pro každého kvalifikovaného poskytovatele služby jedinečný a neměnný. Neslouží jako veřejný identifikátor, ale jako [[:nap:evidence_udaju_o_subjektech|identifikátor technický]]. Pokud by došlo na situaci, kdy se pseudonym pro fyzickou osobu změní, bude úřad o této skutečnosti informován prostřednictvím informačního systému základních registrů, protože se mu změní i [[nap:evidence_udaju_o_subjektech|agendový identifikátor fyzické osoby]]. Soukromoprávní uživatel údajů o této změně nebude notifikován, protože nemůže být napojen na [[:nap:zakladni_registry|základní registry]] nepřímo, avšak tuto službu mu může zprostředkovat jeho nadřízený úřad.  +
- +
-Pokud však chce mít kvalifikovaný poskytovatel služby jistotu o aktuálnosti pseudonymu, musí postupovat dle pravidel [[:nap:propojeny_datovy_fond|propojeného datového fondu]], tzn. mít ztotožněn svůj datový kmen a odebírat [[nap:notifikace|notifikace]] z [[nap:iszr|informačního systému základních registrů]].+