Dobrý den,
Na některých schránkách našich klientů dochází k blokaci přístupu (401), používáme pro přihlášení jméno a heslo, což jak jsem se dočetl není dobrý přístup.
Dle vašich odpovědí je ideální použít hostovanou spisovou službu, případně přístup certifikátem k datové schránce.
Bohužel stále mě není jasné, co je pro nás naše klienty nejlepší řešení.
Máme dva druhy klientů jedni používají svoje vlastní řešení, tj. vlastní server. Druzí využívají možnost cloudové aplikace.
Nejasnost je v cloudovém řešení, kde je na jednom serveru cca 20 klientů, kteří mají v průměru 10 datových schránek.
Možné řešení – 1 hostovaná spisová služba
- Hostovaná spisová služba na naší datové schránce, tj. ostatní zákazníci se registrují (zadají ID datové schránky) do naší hostované spisové služby.
V aplikaci pak zadají, kterou schránku chtějí stahovat.Bohužel nevím, jak bych řešil oprávnění do konkrétních, jelikož bude všech 20 klientů stahovat
přes tu naší hostovanou spisovou službu mohli by stáhnout i datovou schránku ostatních uživatelů. - Hostovaná služba na jednu z 10 schránek klienta, tj. klient si pořídí certifikát zaregistruje si jej jako hostovaná spisová služba, atd atd.
Odpadá problém oprávnění každý klient vlastní certifikát pro přístup. Každopádně v jedné vaší odpovědi zaznělo, že uživatelé porušují zákon tím, že
nám dají přístupové údaje. Předpokládám, že se to vztahuje i na ten privátní klíč?
Možné řešení 2 – certifikát do spisové služby
- Pokud mají klienti 10 schránek, každopádně máme klienty, kteří mají i třeba 50 schránek, tak dle
dokumentace musí pro každou schránku zřídit jiný certifikát? To by bylo taktéž nepoužitelné.
Možné řešení 3 – Přístup externí aplikace dle paragrafu 14a
- Jestli to dobře chápu tak se jedná o jakousi kombinaci, hostované spisové služby a zadání dalšího přístupového údaje, vygenerovaného při registraci externí aplikace.
Toto řešení se mne zdá asi pro naše účely nejlepší, je to běžně používaná služba, nebo se jedná o nějaký komplikovaný proces.
Prosím taktéž o zaslání mezního počtu, při které dochází k blokaci klient / IP adresy, omezily bychom dočasně funkcionalitu naší aplikaci, než jí předěláme na nový způsob přihlašování.
Děkuj za objasnění, opravdu nevím, jaké řešení je ideální.
S pozdravem
Jan Balcařík
186.1 Re: Jaký použít přístup pro klienty využívající naší hostovanou aplikaci v clodu
602jsima 09.01.2020 11:35Dobrý den,
toto je sice dotaz spíš na callcentrum, zde pak budeme řešit konkrétní problémy implementace vybraného řešení.
Ale k dotazu:
1) předpokládám, že se jedná o blokaci IP adresy - pak je nejjednodušší požádat správce, aby vás zařadil na whitelist. Ale nejsem si jist, že tak učiní, pokud nejste významný OVM.
2) Pokud ne, tak musíte vybrat jedno z nabízených řešení.
Podle mě je nejlepší Hostovaná spisová služba - kde ISDS umožní jedním certifikátem pod vaší schránkou přistupovat do schránek zákazníků, kteří to explicitně povolí v nastavení své schránky. Přitom ovšem vy (jako jiný subjekt) neznáte přístupové údaje konkrétních osob z těch schránek - to je zásadní, nemůžete je použít (zneužít). Klient vaší aplikace nemůže sám od sebe rozhodovat, do jaké schránky bude přistupovat - do schránek se přihlašuje vaše aplikace, a to klienti povolili. Samozřejmě pokud by aplikace byla napsaná (s chybou), že to umožní, tak si koledujete o správní pokutu ze zákona (teď z hlavy to nevím přesně kolik).
Ostatní způsoby se dle mého k tomu nehodí.
Jan Šíma
ISDS
186.2 Re: Jaký použít přístup pro klienty využívající naší hostovanou aplikaci v clodu
jan.balcarik@gmail.com 09.01.2020 11:56Dobrý den,
děkuji za informace, obracel jsem se i telefonicky na helpdesk každopádně tam mne nikdo moc neporadil.
Ohledně toho přístupu přes hostovanou spisovu službu, nejedná se tak ani o chybu aplikace jako o vlastnost toho přístupu.
Jako asi mne něco uniká, ale prostě nevím jak kontrolovat, že ten uživatel má k té datové schránce skutečně právní přístup.
Děkuji
Jan Balcařík
186.2.1 Re: Re: Jaký použít přístup pro klienty využívající naší hostovanou aplikaci v clodu
602jsima 09.01.2020 12:15Dobrý den,
při jednání s CallCentrem ČP musíte být neodbytný, oni mají možnost (povinnost) složité dotazy předat na další úroveň podpory, toto je až poslední instance.
Ve vaší aplikace rozhodně nemůže dovolit, aby si klient sám volil, do jaké schránky má aplikace přistupovat. Přece s ním uzavíráte na komerční bázi nějakou smlouvu (on vám povoluje neomezený přístup do své schránky!) tak znáte jeho schránku a to propojení udělejte sami. Bohužel nemůžete použít Autentizační službu, protože nejste asi OVM.
Nebo mu do schránky pošlete nějaký kód, který musí při registraci uvést. Každopdádně toto je věc aplikace, nikoliv ISDS. ISDS to nemá jak kontrolovat.
Jan Šíma
ISDS
186.3 Re: Jaký použít přístup pro klienty využívající naší hostovanou aplikaci v clodu
jan.balcarik@gmail.com 21.01.2020 12:08Zdravím,
jen tedy k vašemu doporučení ohledně neustupnosti na helpdesku:
To je závěrečné doporučení helpdesku, kde jsem se toho vlastně moc nedozvěděl:
"Každopádně pro bližší a více odbornější odpovědi doporučuji zaregistrovat se do pracovního prostoru pro vývojáře, který spravují pracovníci, kteří daný portál vytvářejí. Zde máte možnost se zeptat i přímo jich.
Více informací a možnost registrace zde: https://www.datoveschranky.info/technicke-pozadavky/aplikacni-rozhrani"
186.4 Re: Jaký použít přístup pro klienty využívající naší hostovanou aplikaci v clodu
602jsima 29.01.2020 11:32Dobrý den,
můžete prosím napsat, jaká IP adresa bývá blokována? Do té doby nemůžeme nic najít.
Jan Šíma
ISDS
186.5 Re: Jaký použít přístup pro klienty využívající naší hostovanou aplikaci v clodu
info@tirus.cz 21.07.2020 21:40Dobrý den,
dovolil bych se přidat do diskuze. Momentálně řešíme obdobný (ba možná stejný) problém. Nedošli jsme tak daleko, že by naše IP byla blokována, ale...
Náš případ je takový, že v rámci jedné aplikace bude obsluhováno více datových schránek. Po prostudování dokumentace a přečtení tohoto vlákna bych si rád jen utvrdil informace.
Pomocí certifikátu spisové služby se lze přihlásit právě k jedné datové schránce. Hostovaná spisová služba znamená jakýsi hybrid. Jde o situaci, kdy jedna datová schránka má nastaven příznak, že může být hostovanou spisovkou a ostatní datové schránky udělují oprávnění pro přístup právě této a přihlášení je kombinací ID datové schránky a certifikátu. (certifikát je vždy právě jeden stejný u všech schránek)
Ohledně přístupu externí aplikace je to běh na dlouhou trať co jsem koukal na formuláře.
Pokud tomu tak je, tak tedy nejlepší na implementaci je využít metodu hostované spisové služby. Jakým způsobem jde tuto metodu odladit na testovacím prostředí?
Děkuji předem za reakci,
Kulhánek Tomáš
186.5.1 Re: Re: Jaký použít přístup pro klienty využívající naší hostovanou aplikaci v clodu
602jsima 22.07.2020 05:39Dobrý den,
popsal jste ty možnosti přihlašování úplně přesně. Pro Vaši potřebu bude vyhovovat nejlépe koncept Hostované spisové služby (HSS). Výhoda, kterou jste nezmínil, je i to, že si celé řešení naklikáte sám v Nastavení jedné (své) schránky, a admini ostatních schránek to jen povolí v Nastavení svých schránek. Nepotřebujete žádný souhlas správce, ani to neoznamujete. Pak už si jen hlídáte expiraci certifikátu (dostanete upozornění mailem).
Co se týče testovacího prostředí, tam je to ještě jednodušší - můžete si sám zřídit několik testovacích schránek a kompletně vše si nastavit a vyzkoušet sám, navíc lze použít testovací certifikáty Postsignum, které jsou zdarma.
Jan Šíma
ISDS
186.6 Re: Jaký použít přístup pro klienty využívající naší hostovanou aplikaci v clodu
info@tirus.cz 22.07.2020 07:01děkuji pane Šíma za Vaše potvrzení. Teoreticky by toto řešení bylo vhodně i pro pana Balcaříka.
Jinak, jsou tam nějaké ať už technické nebo i jiné omezení na počet schránek? Zatím máme v plánu toto využívat pro cca 50 schránek a jednu tedy co bude jako HSS.
Ta co vystupuje jako HSS, tak tedy není třeba souhlas správce ISDS? Zda chápu správně, tak schránka v roli HSS může být i klidně fyzická osoba.
Jak je to následně tedy s doručováním fikcí při přihlášení? Pokud se připojím ke schránce A pomocí HSS schránky B, tak dojde k doručení pouze u té schránky A?
186.6.1 Re: Re: Jaký použít přístup pro klienty využívající naší hostovanou aplikaci v clodu
602jsima 22.07.2020 07:19Dobrý den,
o omezení na počet obsluhovaných schránek nevím, pro jistotu se ještě zeptám autorů, a kdyby bylo, dopíšu to sem.
V roli HSS může být schránka kteréhokoliv typu, neschvaluje se.
K doručování (píšete fikcí, ale myslíte přihlášením): k doručení přihlášením dojde ve schránce klienta (kterým může být i ta samá schránka, u které je HSS registrováno), zavoláním webové služby pro seznam přijatých zpráv (ve vašem příkladu u schránky A). K doručení fikcí dojde ve schránce, do níž se nikdo 10 dní nepřihlásí (zjednodušeně), to se netýká HSS aplikací, které se jistě hlásí do všech schránek alespoň 1x denně a zjišťují přijaté zprávy.
Jan Šíma
ISDS
186.6.1.1 Re: Re: Re: Jaký použít přístup pro klienty využívající naší hostovanou aplikaci v clodu
602jsima 22.07.2020 07:33Omezení na počet schránek není.
Jan Šíma