Nový spôsob prístupu do elektronickej schránky technickými alebo programovými prostriedkami
Vážení používatelia,
z dôvodu lepšej orientácie uvádzame stručný prehľad odlišností medzi pôvodným a novým spôsobom spolu s odporúčaním, aké máte momentálne možnosti.
Pôvodný spôsob - registrácia autentifikačného certifikátu
- pre každú elektronickú schránku vyžaduje vytvoriť technický účet a autentifikačný certifikát,
- pri volaní STS sa vždy používa certifikát tej osoby, v mene ktorej sa systém prihlasuje,
- vyžaduje sa podpísanie Dodatku k Dohode o integračnom zámere (DIZ),
- žiadosť sa zasiela vo forme formulára s priloženým certifikátom, prípadne hromadne e-mailom v zaheslovanom súbore .zip, (formulár sa v NASES spracúva manuálne).
Nový spôsob - udeľovanie oprávnenia na prístup a disponovanie s elektronickou schránkou
-
vyžaduje vyplniť nový formulár pre udelenie oprávnenia na prístup a disponovanie s elektronickou schránkou, ktorý udelí zastupovanie len pre prístup technickým účtom s autentifikačným certifikátom (s voliteľnou možnosťou aj cez eID a pod.) s automatickým zasielaním správy o vytvorení zastupovania obsahujúcej údaj UPVS IdentityID (UUID identifikátor) zastupovanej identity,
Upozornenie: Do času sprístupnenia nového formulára neodporúčame udeľovať všeobecné oprávnenie na prístup a disponovanie s elektronickou schránkou, ktoré oprávňuje prístup všetkými prostriedkami elektronickej identifikácie (viac informácií nižšie).
- pri volaní STS sa použije certifikát osoby, ktorej bolo udelené oprávnenie na disponovanie so schránkou, pričom bude volať službu s parametrom OnBehlafOfId, do ktorého sa musí uviesť UUID identifikátor (UPVS IdentityID) tejto zastupovanej osoby, (t. j. nedá sa použiť URI)
- nový Dodatok k DIZ oprávňuje, aby sa v mene klientov (ich autentifikačnými certifikátmi) udelilo oprávnenie na prístup a disponovanie so schránkou týchto klientov, t. j. aby sa zrealizovala migrácia z pôvodného na nový spôsob.
Ďalšie zlepšenia:
- nové formuláre pre automatizovaný zápis autentifikačného certifikátu do registra autentifikačných certifikátov (ak žiadosť splní validačné pravidlá, v opačnom prípade podlieha manuálnemu schváleniu NASES). Uvedený formulár bude slúžiť len na individuálne registrácie certifikátov, nakoľko sa bude podporovať migrácia na nový spôsob bez potreby registrácie certifikátov pre každú jednu elektronickú schránku.
Momentálne vám odporúčame vybaviť si podpísanie nového Dodatku k DIZ zo strany vašich klientov a následne máte možnosti:
- vygenerovať nové certifikáty (napr. tie, pre ktoré sa blíži termín konca platnosti) a zaregistrovať ich,
- s ostatnými certifikátmi odporúčame počkať na riešenie s udelením oprávnenia na prístup a disponovanie s elektronickou schránkou, t. j. budete môcť hromadne udeliť oprávnenie pre viacerých klientov a nebudete musieť registrovať nové autentifikačné certifikáty, a teda budete už len volať STS s OnBehalfOfId,
- ak na základe nového Dodatku k DIZ zaregistrujete nové certifikáty alebo budete používať staré certifikáty počas ich platnosti, budete môcť kedykoľvek sami migrovať na nový spôsob - t. j. udeliť si oprávnenie na prístup a disponovanie so schránkou a zrušiť autentifikačný certifikát.
Súvisiace otázky
Po zaslaní nového certifikátu k technickému účtu, sa starý zneplatní okamžite či ho bude možné využívať súbežne, kým mu neuplynie platnosť ?
Nie je potrebné zneplatňovať platný certifikát, môže sa používať, kým mu skončí platnosť. Naraz môžu byť platné a používané oba certifikáty pre rovnaký technický účet. Počet certifikátov pre jeden technický účet už nie je obmedzený. Nové certifikáty môžu mať dlhšiu platnosť - plánujeme ju predĺžiť na 3 roky a čiastočne upraviť požiadavky. Informácie budú včas oznámené.
Poznámka: Po vyriešení funkčnosti udeľovania oprávnenia na prístup a disponovanie s elektronickou schránkou pre konkrétny technický účet nebude potrebné registrovať nové certifikáty pre jednotlivých klientov. Do vyriešenia tejto funkčnosti však je potrebné podpisovať Dodatky k DIZ a registrovať certifikát pre každého klienta.
Bude aj naďalej potrebné zasielať Dodatok k DIZ (príloha splnomocnenie)?
Dočasne je potrebné zasielať novú verziu Dodatku k DIZ, ktorého prílohou je splnomocnenie, aby bola umožnená migrácia (z dnešného používania certifikátov jednotlivých klientov na nové volanie STS služby s parametrom OnBehalfOfId s UUID identifikátorom klienta). Novými splnomocneniami vás klienti môžu splnomocniť na podanie žiadosti o udelenie oprávnenia na prístup a disponovanie s elektronickou schránkou v ich mene a na zrušenie certifikátov po úspešnej migrácii.
Tým bude umožnené vykonať migráciu bez toho, aby ste potrebovali nové splnomocnenia od vašich klientov pre takúto migráciu. V splnomocnení ide o nasledovnú novú možnosť:
„Nastavenie zastupovania identity Koncového konzumenta identitou Konzumenta výlučne pre prístup technickým alebo programovým prostriedkom s použitím autentifikačného certifikátu Konzumenta."
Odporúčame, aby ste si na základe týchto nových splnomocnení zatiaľ neudeľovali v mene vašich klientov oprávnenie na prístup a disponovanie s ich elektronickou schránkou cez existujúci formulár udelenia oprávnenia dostupný v elektronickej schránke. Dôvodom je, že tento existujúci elektronický formulár:
- nemá nastavené automatické zasielanie UPVS IdentityID (UUID identifikátora) zastupovanej identity, takže nebudete mať identifikátor potrebný pre volanie STS služby,
- udeľuje zastupovanie pre všetky prostriedky elektronickej identifikácie a mohlo by ísť o prístup nad rámec oprávnení udelených v zastupovaní.
NASES pripraví nový elektronický formulár pre udelenie oprávnenia na prístup a disponovanie s elektronickou schránkou, ktorý:
- bude určený pre prístup technickým účtom s autentifikačným certifikátom (a s voliteľnou možnosťou aj cez eID a pod.),
- bude ponúkať číselník so zoznamom „schránkových riešení", do ktorého NASES zaradí jednotlivé riešenia na jednoduchú žiadosť (k čomu sa plánuje nový formulár),
- po úspešnom spracovaní vám automaticky zašle informáciu o vytvorenom zastupovaní s UPVS IdentityID (UUID identifikátorom) potrebným pre parameter OnBehalfOfI,
- umožní aj anonymné elektronické vyplnenie a odoslanie, pričom vás vyzve na vytlačenie žiadosti, úradné overenie podpisu a zaslanie poštou (pričom zaslaním aj elektronickej žiadosti sa skráti administratívna náročnosť spracovania listinných žiadostí v NASES odbúraním nutnosti prepisovania obsahu žiadostí).
Po vytvorení tohto nového formulára vás budeme informovať o novom zjednodušenom spôsobe zasielania žiadostí o udelenie oprávnenia na prístup a disponovanie s elektronickou schránkou namiesto aktuálneho splnomocnenia a Dodatku k DIZ. Riešenie bez Dodatku k DIZ však bude možné len v prípade, ak pôjde o základné oprávnenie na disponovanie so schránkou a zasielanie elektronických správ.
Ako bude vyzerať listinná/elektronická registrácia po novom?
Formuláre pre automatizovanú registráciu autentifikačných certifikátov si viete pozrieť v testovacom (FIX) prostredí ÚPVS v sekcii „Profil" a následne „Autentifikačné certifikáty". Je tam k dispozícii pracovná verzia formulára pre registráciu autentifikačného certifikátu. Inštrukcie k týmto formulárom pripravujeme a po dokončení implementácie ich sprístupníme.
Nový formulár pre udelenie oprávnenia na prístup a disponovanie s elektronickou schránkou technickým účtom je v štádiu prípravy. Jeho predbežne plánované polia (môžu sa ešte meniť) sú:
Listinná žiadosť (so zasielaním v elektronickej forme v anonymnom režime a následnou tlačou) pre udelenie oprávnenia identite typu PO/OVM pre automatizovaný prístup k schránke FO/PO.
Predbežné navrhované polia formulára:
- Údaje o zastupovanej identite.
- Typ identity *: (výber hodnôt: fyzická alebo právnická osoba)
- Meno * (zobrazí sa v prípade typu identity = fyzická osoba)
- Priezvisko * (zobrazí sa v prípade typu identity = fyzická osoba)
- Rodné číslo/identifikátor * (zobrazí sa v prípade typu identity = fyzická osoba)
- IČO * (zobrazí sa v prípade typu identity = právnická osoba)
- Suffix (zobrazí sa v prípade typu identity = právnická osoba)
- Telefónne číslo / kontaktný údaj
- Identifikácia prevádzkovateľa schránkových riešení, ktorému zastupovaná identita udeľuje oprávnenie. Registráciu nových prevádzkovateľov a ich riešení (t. j. zavedenie hodnôt do číselníkov uvedených nižšie) vykoná NASES na základe vyplnenej a odoslanej elektronickej žiadosti
- Názov prevádzkovateľa * (výber z číselníka prevádzkovateľov schránkových riešení)
- URI * (obsahuje ICO a prípadne suffix prevádzkovateľa v tvare URI, pole je read only, prípadne skryté a doťahuje sa z číselníka prevádzkovateľov schránkovýchriešení. Pri výbere z číselníka je však viditeľné)
- Opakovaná sekcia s informáciami o systémoch prevádzkovateľa, ktorým je udeľovaný prístup (možnosť uviesť viacero systémov prevádzkovateľa)
- Názov systému * (výber z číselníka systémov, ktorý bude obmedzený na systémy prevádzkovateľa zvoleného v bode vyššie. Tieto dva číselníky budú prepojené parent reláciou.)
- Identifikátor systému * (read only pole, doťahuje za z číselníka a je uvedený vo forme UID TÚ t. j. napr. T0000000001).
- Voľby oprávnenia udeľovaného prevádzkovateľovi
- Prístup do elektronickej schránky * (výber hodnôt: čiastočný alebo úplný prístup)
- Možnosť postúpiť oprávnenie * (checkbox) - zvažujeme vypustiť
- Platnosť od *
- Platnosť do
- Povoliť prístup k schránke eID kartou prevádzkovateľa schránkového riešenia * (checkbox)
- Povoliť prístup k schránke eIDAS prostriedkom prevádzkovateľa schránkového riešenia * (checkbox)
- Povoliť prístup k schránke MobileID prevádzkovateľa schránkového riešenia * (checkbox)
Ako prebehne migrácia existujúcich splnomocnení do nového riešenia?
Po podpísaní nového splnomocnenia v Dodatku k DIZ klientmi budete môcť vykonať migráciu bez toho, aby ste museli znova kontaktovať svojich klientov. O možnom termíne migrácie vás bude NASES informovať po úplnom dokončení riešenia.
Udelenie oprávnenia na prístup a disponovanie s elektronickou schránkou použitím technického účtu s autentifikačným certifikátom bude možné zaslať aj automatizovane použitím príslušného nového technického formulára, ktorý sa ešte len pripravuje. Následne môžete pri volaní služby ÚPVS uviesť, v koho mene sa chce autentifikovať a následne pristupovať do schránok tých osôb, ktoré mu oprávnenie udelili. Do schránok tých osôb, ktoré vyplnili staré splnomocnenie a nevyplnili nové, bude možné pristupovať len pôvodným spôsobom, t. j. ich autentifikačným certifikátom. Po migrácii bude potrebné zrušiť platnosť pôvodných autentifikačných certifikátov a zničiť privátne kľúče, prípadne ich predtým odovzdať klientom.