Služba Web SSO
Modul IAM (Identity and Access Management) poskytuje funkcionalitu overenia identity používateľa a odovzdáva identifikačné údaje (federáciu identity) ostatným zapojeným systémom. Výhodou použitia jednotného prihlásenia je to, že používateľ môže prechádzať celým prostredím na poskytovanie služieb bez nutnosti znova zadávať svoje identifikačné údaje. Z pohľadu používateľa je jedno, v ktorom systéme svoje prihlásenie realizuje, žiadny z partnerských systémov (Service Provider Portál) už od neho opätovne prihlásenie nepožaduje.
Modul IAM funguje na princípe Single Sign-On (SSO), čo znamená „jednotné prihlásenie sa“. Používateľ sa prihlási prostredníctvom prihlasovacej webovej stránky s využitím autentifikačného prostriedku, čim preukaze svoju totožnosť.
Modul IAM podporuje viaceré autentifikačné spôsoby prihlásenia (menom a heslom, GRID kartou, eID kartou, technickým autentifikačným certifikátom, sociálnou sieťou). Modul IAM poskytuje aj funkcionalitu správy identít, autentifikačných údajov a splnomocnení. Všeobecne zabezpečuje všetky potrebné funkcie v oblasti riadenia životného cyklu identít, autentifikácie, federácie a provisioningu identít, ako aj správu prístupových práv riadenia prístupu k službám a modulom Ústredného portálu verejnej správy (ÚPVS).
Identitou je:
- fyzická osoba (občan),
- právnická osoba, podnikateľ,
- oprávnený subjekt zastupujúci organ verejnej moci – fyzická osoba, štatutár,
- technicky účet organizácie – právnická osoba, organ verejnej moci,
- zamestnanec verejnej správy.
Hlavne služby modulu IAM:
- správa identít, profilov, rolí a autentifikačných prostriedkov,
- single sign-on a federácia identity,
- provisioning,
- monitorovanie a audit,
- technická autentifikácia technických účtov s využitím protokolu SAML.
Úlohou centrálneho systému správy identít (IAM - Identity and Access management) je zjednodušiť prístup občanov k službám jednotlivých informačných systémov verejnej správy (ISVS). Zabezpečuje funkcionalitu:
- Jednotné vytvorenie používateľského účtu
Občan alebo podnikateľ má automaticky vytvorené používateľské konto len na jednom mieste a ISVS poskytovateľov služieb priraďujú používateľovi prístup prostredníctvom takto vytvorenej a spravovanej identity. Správa používateľských účtov, ako aj ich autentifikácia, je vykonávaná na jednom mieste, čo šetrí prostriedky potrebné pre čiastkové riešenia v jednotlivých ISVS a zároveň umožní uplatniť jednotnú bezpečnostnú politiku. Identita fyzickej osoby je overovaná prostredníctvom eID karty, identita právnickej osoby prostredníctvom eID karty zastupujúcej oprávnenej fyzickej osoby. V prípade zamestnancov verejnej správy je možné v špecifických prípadoch aj overenie prostredníctvom GRID karty. Podporovaná je aj autentifikácia menom a heslom pre prípady, kedy nie je podstatná autenticita prihlásenej osoby a tiež možnosť prihlásenia sa cez sociálne siete pre IS, ktoré pre poskytovanie svojich služieb nepožadujú vysokú úroveň zabezpečenia.
- Jednotná správa údajov používateľského účtu – personalizácia.
Používateľ si spravuje svoje údaje na jednom mieste, takže napr. pri zmene kontaktných informácií (telefónne číslo, email a pod.) nie je nútený vykonávať zmenu opakovane v každom ISVS.
- Jednotná autentifikáciu požívateľov pri používaní portálov verejnej správy – SSO.
Princíp jediného prihlásenia umožňuje, aby sa používateľ po autentifikácii na jeden z portálov verejnej správy pri prechode na iný portál verejnej správy nemusel opätovne prihlasovať. Partnerské portálové riešenia (Poskytovatelia služieb – Service provideri), ktoré vyžadujú autentifikáciu používateľa, poskytujú funkcionalitu autentifikácie sprostredkovávanú modulom IAM, ktorý vystupuje v roli centrálneho poskytovateľa informácií o identitách. V prípade, že sa používateľ už autentifikoval na inom Service provider portáli a používateľ sa presmeroval na iný portál, jeho autentifikačné údaje sa automaticky prenesú na aktuálny portál. Používateľ pri takejto akcii nie je nútený sa do systému opätovne prihlasovať.
Autentifikácia používateľa s využitím autentifikačného prostriedku eID je realizovaná v súčinnosti s vypublikovanou službou Ministerstva vnútra SR, ktorá umožňuje overiť/validovať použitý autentifikačný prostriedok – eID kartu. Prihlásenie prebieha prostredníctvom login stránky Identity Providera (ÚPVS), na ktorú sú všetky partnerské Service provider portáli integrovane a pri požiadavke na autentifikáciu používateľa presmerovane. Používateľ, ktorý vykonáva prihlásenie využíva platnú eID kartu a ochranne overovacie kódy, ktorými preukazuje svoju totožnosť. Bezpečnostné kódy ako aj autenticita použitého autentifikačného prostriedku sú zaslane ako vstup na overovaciu službu MVSR, ktorá ako odpoveď vystaví Identity providerovi autentifikačné rozhodnutie. Identity provider následne informáciu posúva partnerskému Service provider portálu.
Autentifikačné rozhodnutie ma platnosť 20 minút. V prípade otvorenia iného portálu po procese prihlásenia sa prostredníctvom autentifikačného modulu ÚPVS, je používateľ v rámci Single sign-on princípu automaticky na tento portál prihlásený (až do momentu vypnutia webového prehliadača alebo uloženia počítača do režimu spánok.)
Predlžovanie 20 minútovej platnosti:
- v prípade PK (slovensko.sk bez prechodu do prostredia e-schránky alebo iného modulu) = nedochádza k predlžovaniu, neaktivita dlhšia
ako 20 minút používateľa odhlási,
- v prípade e-schránky = dochádza k automatickému predlžovaniu,
- v prípade eDemokracie (open.slovensko.sk) = dochádza k automatickému predlžovaniu vo všetkých moduloch.
Pre komunikáciu medzi IAM modulom a partnerskými ISVS sa využíva protokol SAML verzie 2.0. SAML 2.0 je otvorený štandard založený na XML, používaný pre zabezpečenie federovaného Web SSO. V komunikačnej infraštruktúre SAML sa centrálny poskytovateľ informácií o identitách označuje pojmom Identity Provider (IdP). Ostatné ISVS vystupujú v úlohe Service Provider (SP).
Využívanie funkcionality Web SSO zo strany partnerského portálu vyžaduje registráciu Service provider metaudajov (xml súbor), ktoré špecifikujú jednoznačný identifikátor SP portálu, šifrovací kľuč, ktorým portál podpisuje svoje požiadavky voči Identity providerovi a tiež špecifikuje url adresy, na ktoré identity provider odosiela požiadavky na odhlásenie používateľa pri inicializovaní tejto akcie z niektorého z partnerských SP portálov. Pripojenie SP na systém IDP je z pohľadu integrácie realizovane v zmysle pokynov z integračného manuálu k modulu IAM UPVS.
V prípade, ak niektorý subjekt, orgán verejnej moci alebo právnická osoba, má ambíciu poskytovať službu jednotného prihlásenia pre iné subjekty z vlastného prostredia, inými slovami chcel by vystupovať v roli alternatívneho / ďalšieho Identity Providera, tak takýto subjekt musí osloviť zástupcov Ministerstva vnútra SR s požiadavkou na priame využívanie služby overenia autentifikačného prostriedku – eIDAS*. Takýto systém by v rámci prevádzky vystupoval v roli ďalšieho Identity providera. Voči Ministerstvu vnútra SR bude takýto systém vystupovať v roli Service Provider, podobne ako centrálny IDP – IAM ÚPVS a v systéme Ministerstva vnútra SR si zaregistruje svoje metaudaje.
IAM poskytuje viacero možností autentifikácie pre overenie identity používateľa, s rôznou úrovňou zabezpečenia. V zásade môžeme rozlíšiť mechanizmy pre zabezpečenie slabej autentifikácie (používateľské meno a heslo) a silnej autentifikácie (EP, mobil, HW token, eID). Jednotlivé služby ISVS v rámci Web SSO môžu požadovať autentifikáciu používateľa na konkrétnu úroveň zabezpečenia. Pre potreby slabej autentifikácie bude správa hesiel súčasťou správy používateľov. Ostatné autentifikačné mechanizmy môžu byť zabezpečené aj inými poskytovateľmi služby autentifikácie a IAM modul si od nich vyžiada overenie identity.
Modul poskytuje funkcionalitu pre centrálnu správu používateľov (identít). Každý občan po vytvorení používateľ konta môže spravovať svoje kontaktné informácie centrálne na jednom mieste prostredníctvom jednoduchého používateľského rozhrania.
Modul umožňuje identite delegovať oprávnenia na používanie služieb IISVS vo svojom mene na inú osobu. Modul automaticky nastaví splnomocnenie právnickej osoby na fyzickú osobu určenú vopred definovaným spôsobom (osoba určená zo zákona, v prípade obchodnej spoločnosti konateľ).
V prípade záujmu o využitie funkcionality Web SSO je potrebné sa zaregistrovať na Partner Framework Portál (PFP), kde nájdete technickú dokumentáciu k integrácii na Web SSO ako aj procesné usmernenia a návody. Registráčný formulár je dostupný na odkaze: https://www.nases.gov.sk/sluzby/usmernenie-k-integracii/index.html.
V prípade otázok sa, prosím, obráťte na e-mailovú adresu integracie@nases.gov.sk.
* eIDAS sú pravidlá Európskej únie pre elektronickú identifikáciu, autentifikáciu, dôveryhodné služby, elektronické podpisy, elektronické pečate, elektronické časové pečiatky, elektronické dokumenty, elektronické doručovacie služby pre registrované zásielky, certifikačné služby pre autentifikáciu webových sídiel, predpísané Nariadením Európskeho parlamentu a Rady EÚ č. 910/2014.