======Jednotný identitní prostor veřejné správy======
Jednotný identitní prostor - v současném provedení systému JIP/KAAS bude postupně nahrazen systémem CAAIS (Centrální autentizační a autorizační informační systém), jehož popis API je k dispozici {{ :dokumenty:caais_api.zip |zde}}
===== Popis Jednotného identitního prostoru veřejné správy =====
Jednotný identitní prostor (JIP) informačních systémů veřejné správy a Katalog autentizačních a autorizačních služeb (KAAS) je autentizační informační systém podle § 56a zákona o základních registrech a jeho správcem je Digitální a informační agentura. Na základě znění zákona zavedení jakékoli osoby do tohoto autentizačního informačního systému vyžaduje její jednoznačné ztotožnění oproti základnímu registru obyvatel. Ministerstvo dále spravuje prostředky pro autentizaci, které vydává.
V rámci současného stavu (As-Is 2018) předpokládá co nejširší používání autentizačního informačního systému JIP/KAAS pro splnění zásadních podmínek pro identifikaci a autentizaci interních uživatelů informačních systémů veřejné správy. **Pro ty informační systémy, kde interní uživatelé informačního systému jsou zaváděni úřady, které nejsou správci tohoto informačního systému, je použití autentizačního informačního systému JIP/KAAS povinností. **
Využití systému JIP/KAAS je možné i s pomocí prostředků [[nap:elektronicka_identifikace_pro_klienty_verejne_spravy|národního identitního prostoru]]. Aby přihlašování do JIP/KAAS bylo umožněno i jinými prostředky [[nap:elektronicka_identifikace_pro_klienty_verejne_spravy|národního identitního prostoru]], než je např. občanský průkaz nebo jméno+heslo+sms, je potřeba zajistit úředníkům jiný prostředek jedním z následujících způsobů:
* Sekce pro státní službu na MV zajistí jednotný prostředek identity úředníka v rámci [[nap:elektronicka_identifikace_pro_klienty_verejne_spravy|národního identitního prostoru]].
* Jiný orgán veřejné moci zajistí vydávání profesních identit v rámci [[nap:elektronicka_identifikace_pro_klienty_verejne_spravy|národního identitního prostoru]] z nichž požadavky na úřední identitu (včetně zajištění finančních prostředků) sdělí Sekce pro státní službu na MV.
Unikátní a jednotná identita zaměstnance v rámci veřejné správy jako celku je nutná ve dvou rovinách, jako:
* Aktivní identita a identifikace - opravňuje zaměstnance k přístupu k informacím a informačním systémům, (+ k prostorám a zařízením) - zaměstnanec jako subjekt
* Pasivní identita a identifikace - jednoznačně označuje předmětného (většinou zodpovědného) zaměstnance v rámci centrálních nástrojů řízení a koordinace veřejné správy - zaměstnanec jako objekt evidence (totéž pro pozici - služební místo a vzájemný vztah k zaměstnanci).
Stávající řešení JIP/KAAS nebylo určeno pro takto široké účely a koncepčně ani fyzicky nevyhovuje změněným nárokům. Jeho budoucí rozvoj musí vycházet z diskuse o reálných potřebách všech zainteresovaných.
Předpokladem budoucího efektivního využívání jednotného identitního prostoru veřejné správy a naplnění některých konceptů architektonické vize eGovernmentu, jako je například transakční Portál úředníka, poskytující kromě jiného i společné personální, vzdělávací, nákupní a další funkce, musí dojít ke sjednocení identit a identifikací pracovníků veřejné správy bez ohledu na typ zaměstnaneckého/ služebního poměru, tj. společně pro:
* státní službu, dle zák. č. 234/2014 Sb., o státní službě,
* služební poměr, dle zák. č. 361/2003 Sb. o služebním poměru příslušníků bezpečnostních sborů,
* poměr dle zák. č. 312/2002 Sb. Zákon o úřednících územních samosprávných celků,
* zaměstnanecký poměr, dle zák. č. 262/2006 Sb. Zákoník práce.
Důležité je, že vznik a zejména zánik identifikace a oprávnění k roli musí v JIP vznikat na základě jeho integrace s lokálními personálními systémy, resp. s centrálními služebními a zaměstnaneckými registry na jedné straně a v integraci na lokální IDM/IAM systémy na druhé straně. Tyto základní požadavky a potřeby budou formovat budoucí architekturu JIP a nezbytných spolupracujících systémů.
==== Procesy založení a zjištění lokálního administrátora ====
Pro zjištění informací o lokálním administrátorovi subjektu a zároveň i pro registraci nového, slouží formulář pro správu lokálních administrátorů. Najdete jej na stránce Czech POINT – ke stažení [[https://www.czechpoint.cz/data/formulare/files/sprava_lokalnich_administratoru.zfo]].
Formulář je ve formátu ZFO, pro jeho otevření a vyplnění je zapotřebí mít nainstalovaný program „Software602 Form Filler“, který je zdarma ke stažení na [[https://www.602.cz/form-filler]].
Formulář je tříkrokový:
- Otevřete formulář prostřednictvím programu Software602 Form Filler a v rámci prvního kroku pouze zaškrtněte políčko „Žádám o zaslání aktuálního seznamu lokálních administrátorů“. Formulář odešlete buď přímo z formuláře (formulář vás vyzve k zadání údajů o datové schránce vašeho subjektu) nebo jej uložte na lokální disk a odešlete jako přílohu z datové schránky vašeho subjektu, případně prostřednictvím spisové služby. Formulář pošlete ve formátu ZFO do tzv. „další datové schránky“ Digitální a informační agentury – Automat SOVM (vu33nsr). Průvodní dopis není zapotřebí, ale není na překážku.
- Systém vaši žádost automaticky zpracuje a pošle odpověď do datové schránky vašeho subjektu (spisové služby). Odpověď má podobu předvyplněného formuláře ZFO. Ve formuláři bude uveden seznam všech lokálních administrátorů registrovaných pod vaším subjektem. V rámci tohoto formuláře proveďte editaci již existujících lokálních administrátorů (včetně možnosti deaktivace účtu) nebo požádejte o zřízení nového účtu. Upravený formulář opět odešlete ke zpracování do DS DIA buď přímo z programu, nebo prostřednictvím datové schránky.
- V rámci posledního kroku obdržíte do datové schránky odpověď s výsledkem zpracování vaší žádosti. V případě založení nového účtu budou k odpovědi připojeny pokyny pro lokálního administrátora k vyzvednutí přihlašovacích údajů k účtu.
POZOR_ Jakmile pošlete formulář se žádostí o informace/registraci nového lokálního administrátora, pokračujte prosím v provedení i zbývajících kroků, i když jste s aktuálním nastavením lokálního administrátora spokojení a nechcete ho měnit
==== Pohledy na jednotný identitní prostor ====
{{ :nap-dokument:kaas - cs.png |}}
{{ :nap-dokument:kaas_copy_.png |}}
===== Pravidla Jednotného identitního prostoru veřejné správy =====
Úřad musí zajistit propojení svého identitního systému (AD/LDAP/IDM) se systémem Jednotného identitního prostoru (také jako JIP/KAAS) pro tu část zaměstnanců, kteří se přihlašují k informačním systémům veřejné správy. Využití může být provedeno 2 druhy:
* Vytvoření vlastních aplikačních rolí pro systémy, jejichž je OVM správce
* Využití existujících rolí v registru práv a povinností
Pro uživatele, kteří nejsou pokrytí centrální licencí provozovatele, lze zakoupit licenci zvlášť. Cena takovéto licence je pro 1 uživatele přibližně 2 000 Kč za první rok a 500 pro další roky.
==== Uživatelé ISVS a způsob jejich autentizace ====
1. Klient veřejné správy
Uživatel, který se do AIS přihlašuje z důvodu, aby veřejnou správu požádal o nějaký úkon.
Povinnost autentizace: NIA (jakýkoliv identifikační prostředek např. bankovní identita, NIA ID, Mobilní klíč egovernmentu atd.)
2. Zaměstnanec veřejné správy
Uživatel, který se do AIS přihlašuje z důvodu, aby úkon o který klient žádá řešil.
Povinnost autentizace: JIP/KAAS (přes NIA nebo jméno a heslo a druhý faktor: Aplikace, SMS, certifikát), CAAIS (přes NIA nebo CAAIS IdP: jméno + heslo + certifikát)
3. Správce AIS
Uživatel, který se do AIS přihlašuje z důvodu řízení a participace na správě, údržbě, řešení vad a změn a výkonu podpory.
Povinnost autentizace: Jakýkoliv přístup s druhým faktorem. Např. i Proprietární software + druhý faktor
4. Dodavatel (provozovatel a poskytovatel) AIS
Uživatel, který se do AIS přihlašuje z důvodu jeho správy, údržby, řešení vad a změn a výkonu podpory.
Povinnost autentizace: Jakýkoliv přístup s druhým faktorem. Např. i Proprietární software + druhý faktor
{{tag>JIP KAAS "JIP/KAAS" "Funkční celek"}}