eIDAS autentifikácia cudzincov cez WebSSO
V druhej polovici septembra 2018 bude v IAM ÚPVS umožnené prihlasovanie prostredníctvom eIDAS Node pre zahraničné fyzické osoby s nemeckým občianskym preukazom alebo dokladom o pobyte cudzinca žijúceho v Nemecku. To znamená, že cudzinec s takýmto dokladom sa bude môcť prihlásiť na ÚPVS a aj na všetky portály, ktoré prostredníctvom ÚPVS využívajú jednotné prihlásenie (WebSSO) a technicky akceptujú tento typ autentifikačného prostriedku. Naplánovaný je termín po 22. septembri 2018 a bude oznámený samostatne rozposlaným oznamom.
Identifikácie z ďalších štátov sa budú do ÚPVS IAM pridávať postupne v súlade s notifikačným procesom v zmysle nariadenia Európskeho parlamentu a Rady (EÚ) č. 910/2014 z 23. júla 2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zrušení smernice 1999/93/ES (ďalej len „Nariadenie eIDAS“).
Cieľom Nariadenia eIDAS je, aby členské štáty Európskej únie od 29. septembra 2018 uznávali prostriedky elektronickej identifikácie vydané v inom členskom štáte na účely prístupu k službám, ktoré poskytuje subjekt verejného sektora online, ak sú splnené podmienky. Jednou z týchto podmienok je, aby bol prostriedok elektronickej identifikácie notifikovaný Európskej komisii v rámci schémy elektronickej identifikácie. Proces notifikácie pozostáva z niekoľkých krokov. Jedným z nich je tzv. prednotifikácia, ktorá musí byť vykonaná minimálne 6 mesiacov pred samotnou notifikáciou. V súčasnosti proces notifikácie skompletizovalo len Nemecko. Portugalsko, Belgicko, Taliansko, Estónsko, Chorvátsko, Luxembursko, Španielsko a Spojené kráľovstvo sú v prednotifikačnej fáze. Aktuálny zoznam krajín sa nachádza na portáli Európskej komisie.
Všetky subjekty integrované na IAM WebSSO budú mať k dispozícii výsledok overenia identity získaný cez eIDAS Node. Pre integrované subjekty bude teda zabezpečená rovnaká funkčnosť ako v prípade doterajšieho overenia identity pri použití autentifikátora podľa § 21 zákona o e-Governmente.
Údaje o cudzincovi sa pri prvom prihlásení zapíšu z eIDAS Node do IAM a vytvorí sa mu elektronická schránka. Identita získaná cez eIDAS Node sa v súčasnosti nezapisuje do Registra fyzických osôb a ako zdroj údajov pre takéto identity je preto potrebné používať ÚPVS IAM. V tejto súvislosti je potrebné upozorniť, že jeden cudzinec môže mať viacero identifikátorov (napr. každé nové nemecké eID bude mať nový identifikátor) a keďže absentuje cezhraničný mechanizmus stotožňovania identít, budú vznikať duplicitné identity.
Vzhľadom na požiadavky na minimálny súbor osobných identifikačných údajov určené vo Vykonávacom rozhodnutí Komisie EÚ 2015/1501 bude o cudzincoch prihlásených prostredníctvom eIDAS Node k dispozícii len obmedzené množstvo údajov, ktoré nie je totožné s rozsahom údajov osôb zapísaným v Registri fyzických osôb.
Povinný rozsah údajov: súčasné priezvisko(-á), súčasné meno(-á), dátum narodenia, jedinečný identifikátor vytvorený odosielajúcim členským štátom.
Pri prihlásení cudzinca budú v SAML tokene vydanom ÚPVS IAM nasledovné údaje:
- Úroveň zabezpečenia (QAALevel) = 4 (prihlásenie eID kartou)
- Typ identity (IdentityType) = 1 (fyzická osoba)
- Typ zdroja autentifikácie (authResourceType) = 9 (eIDAS)
Pokiaľ špecializovaný portál z dôvodu technických obmedzení alebo legislatívnych prekážok nemôže v ponuke možností autentifikácie na prihlasovacej stránke WebSSO ponúkať možnosť prihlásenia cez eIDAS, musí o zablokovanie tejto možnosti požiadať NASES. Avšak aj v prípade, že na prihlasovacej stránke špecializovaného portálu nebude možnosť prihlásenia cez eIDAS, takéto prihlásenie prebehne automaticky, ak používateľ už bude prihlásený cez WebSSO cez iný portál, pokiaľ špecializovaný portál nebude obmedzovať takýto typ autentifikačného prostriedku. Je zodpovednosťou každého subjektu verejného sektora aby zabezpečil prístup v zmysle platnej legislatívy.
Technické informácie je možné nájsť aj v integračnom manuáli modulu IAM na Partner framework portáli.
URI identifikátor osoby si integrovaný subjekt musí zisťovať od ÚPVS prostredníctvom služieb IAM (podľa integračného manuálu IAM). URI si integrovaný subjekt nemá vyskladávať a ani ho parsovať, pretože takým postupom by dochádzalo k vyskladávaniu neexistujúcich URI identifikátorov alebo chybnej identifikácii. Informatívne uvádzame, že URI identifikátor cudzinca prihláseného cez eIDAS Node bude mať napríklad nasledujúci tvar:
rc:///__
Príklad: rc://de/1234567890atd_priezvisko_meno
Pre fyzické osoby prihlásené cez eIDAS zatiaľ nebude v IAM zapísané PČO, a preto pre tieto identity nie je možné volať službu GetIdentity s PCO parametrom na vstupe.
K téme elektronickej eIDAS identifikácie a autentifikácie cudzincov pripravujeme workshop, o ktorom budeme informovať.
Úprava je súčasťou zverejneného harmonogramu zmien nasadzovaných na ÚPVS, ktorých priebežne aktualizovaný relase plán nájdete na odkaze:
https://kp.gov.sk/pf/zdielane_dokumenty/Harmonogram/release_plán_nasadzovaných_zmien_na_ÚPVS.pdf.