Dobrý den,
rádi bychom využili autentizační službu PVS pro přístup uživatelů k naší aplikaci. Aplikace poběží v cloudu a je určena pro více OVM, které nabízí své služby držitelům datových schránek. Uživatelská základna je jednotná pro všechny OVM v naší aplikaci. Tzn. uživatel může přistupovat k informacím kteréhokoliv OVM pod jedním účtem.
Komunikovali jsme s technickou podporou ISDS a dle jejich vyjádření musí být aplikace spárována s datovou schránkou OVM. zároveň autentizační služba neumožní spárování jedné url adresy pro více OVM.
Pro uživatele ani OVM není žádoucí, aby uživatelé jednoho OVM např. Magistrát města Praha přistupovali k aplikaci, která je registrována k jinému OVM např. krajský úřad...
Prosím o informaci, jakým způsobem je řešitelný tenhle problém.
Z naší strany jsou následující možnosti:
- umožnit využití autentizační služby pro aplikaci registrovanou na DS komerčního subjektu
- nebo povolit registraci jedné url adresy vůči více DS OVM
Případně prosím o návrh dalších možností.
Děkuji za odpověď.
S pozdravem
Martin Kališ
12.1 Re: Autentizační služba PVS volaná z aplikace určené pro více OVM
602jsima 19.05.2017 14:25Dobrý den.
Varianta
1. umožnit využití autentizační služby pro aplikaci registrovanou na DS komerčního subjektu
by se líbila nejen Vám, ale i mnoha dalším komerčním subjektům. Není to problém technický, ale stanovisko správce je již delší dobu neměnné a bohužel odmítavé z důvodů legislativních.
Variantu
2. nebo povolit registraci jedné url adresy vůči více DS OVM
mi prosím trochu rozveďte, abych si to dokázal představit. Nicméně, pokud technická podpora řekla, že to dnes nejde, tak má nejspíš pravdu. A žádné změny se v této oblasti pokud vím nechystají.
Jan Šíma
ISDS
12.2 Re: Autentizační služba PVS volaná z aplikace určené pro více OVM
ptesar 22.05.2017 09:58Doporučuji vycházet ze stávající dokumentace. Autentizační službu mohou používat jen OVM. Pokud OVM uzavře smlouvu s komerčním poskytovatelem IS, je to v pořádku, ale bude se to provádět jménem toho OVM. A každé OVM musí mít vlastní autentizační certifikát a v konfiguraci vlastní URL. Myslím, že ani tak vám to nebrání službu implementovat a hromadně nabízet, jen musíte respektovat to, co rozhraní ISDS požaduje.
12.3 Re: Autentizační služba PVS volaná z aplikace určené pro více OVM
kalism@tescosw.cz 25.05.2017 08:23děkuji za odpověď.
Pro rozlišení stačí doplnit třeba větev pro každé OVM v url adrese?
Např. www.aplikace.cz/Praha/registrace.htm
www.aplikace.cz/Brno/registrace.htm
Návratová url adresa pro redirect z AS PVS na aplikaci musí být taky pro každé OVM jedinečná? Nebo postačí jedna url?
Děkuji za odpověď.
Přeji hezký den
Kališ
12.3.1 Re: Re: Autentizační služba PVS volaná z aplikace určené pro více OVM
602jsima 25.05.2017 09:56Dobrý den.
Pro rozlišení stačí doplnit třeba větev pro každé OVM v url adrese? Např. www.aplikace.cz/Praha/registrace.htm
URL čeho? Vaší aplikace? Ta se nikam neregistruje, tu můžete použít jakoukoliv.
Návratová url adresa pro redirect z AS PVS na aplikaci musí být taky pro každé OVM jedinečná? Nebo postačí jedna url?
Návratové URL nemusí být mezi registracemi pro různá OVM jedinečné. Navíc si můžete do této adresy doplnit nějaký vlastní rozlišovací token.
Jan Šíma
ISDS
12.4 Re: Autentizační služba PVS volaná z aplikace určené pro více OVM
kalism@tescosw.cz 29.05.2017 08:33url adresou aplikace myslím url aplikace, ze které se volá AS PVS. Tahle se společně s certifikátem uvádí v konfiguraci přístupu k AS pro IS OVM jak to popisuje v komentáři p. Tesař. Stejnou informaci jsem dostal i od technické podpory s tím, že url adresa, která je uvedena v konfiguraci musí být pro každé OVM jedinečná.
Co na technické podpoře nevěděli, jestli nemá AS PVS omezení i na jedinečnou doménu. Tzn. jestli postačí rozlišení cestou: www.aplikace.cz/Praha.
Děkuji
Martin Kališ
12.4.1 Re: Re: Autentizační služba PVS volaná z aplikace určené pro více OVM
602jsima 29.05.2017 08:53Dobrý den.
Možná si nerozumíme v pojmech. Pokud používám registrace, tak hovořím o technické úrovni, ale je docela možné, že v nějaké obecné žádosti Správci ISDS o povolení tohoto rozhraní udáváte i další údaje včetně URL aplikace.
K registraci technické je potřeba jen jediné URL: návratová adresa, kam bude přesměrován uživatel po úspěšném přihlášení. A tato adresa se nekontroluje na duplicitu s jinou registrací. Takže když budete mít N registrací pod N schránkami (typu OVM), tak všechny mohou končit na stejné návratové adrese.
Viz veřejná dokumentace AutentizacniSluzba_PVS.pdf, kap. 2.3.
Jan Šíma
ISDS