Nezkrácená verze mé úvodní přednášky na konferenci "Internet a technologie 21", kterou uspořádalo sdružení CZ.NIC dne 10.6.2021 (a která se konala on-line). Přímo na konferenci zazněla zkrácená verze v délce 20 minut, tato nezkrácená verze má 65 minut.
Video s přednáškou (a komentářem) je dostupné na adrese https://youtu.be/oAKxIq7MA3A
Přednáška je pojata jako úvod do problematiky elektronické identifikace, s vysvětlením základních pojmů z oblastni praxi i právní úpravy. Konkrétně jsou probírány pojmy:
- elektronická identita vs. uživatelský účet
- atributy (elektronické identity)
- elektronická identifikace
- autentizace, autentizační faktory
- autorizace
- poskytovatel identity (IdP, Identity Provider)
- poskytovatel služeb (SeP, Service Provider)
- principy Same Sign On a Single Sign On
- federace identit
a z oblasti práva pak:
- systém elektronické identifikace
- kvalifikovaný systém (el. identifikace)
- kvalifikovaný správce
- prostředek elektronické identifikace
- kvalifikovaný prostředek
- úroveň záruky
- kvalifikovaný poskytovatel
- národní bod (pro identifikaci a autentizaci)
- Národní identitní autorita (NIA)
- zaručená identita
- bankovní identita, SONIA, BankID
Praktický pohled na elektronické podpisy a jejich fungování Jiří Peterka
Na kolokviu práva IT/IP dne 17.1.2018 jsem měl krátkou přednášku k praktickým aspektům elektronických podpisů - v čem se liší, jak fungují a jaké vlastnosti mají jednotlivé varianty elektronických podpisù.
Menaxhimi i personelit dhe vlerësimi i performancësyllferizi
Hyrje
Ne vlerësohemi, shpeshherë pa e ditur, nga publiku të cilit i shërbejmë, nga mbikqyrësit, nga kolegët- bile dhe nga vetja jonë. Vlerësimi është një udhëzues për veprim.
Përdorimin e teknologjisë së informacionit në menaxhimin e burimeve njerëzore ka rëndësi të veqantë për një institucion apo kompani dhe është vitale në lidhje me shumë vendime që kanë të bëjnë me personelit të tilla si: mbledhja e informacionit për pranimin, rekrutimin, përzgjedhjen e punonjësve dhe vlerësimin e tyre.
Praktický pohled na elektronické podpisy a jejich fungování Jiří Peterka
Na kolokviu práva IT/IP dne 17.1.2018 jsem měl krátkou přednášku k praktickým aspektům elektronických podpisů - v čem se liší, jak fungují a jaké vlastnosti mají jednotlivé varianty elektronických podpisù.
Menaxhimi i personelit dhe vlerësimi i performancësyllferizi
Hyrje
Ne vlerësohemi, shpeshherë pa e ditur, nga publiku të cilit i shërbejmë, nga mbikqyrësit, nga kolegët- bile dhe nga vetja jonë. Vlerësimi është një udhëzues për veprim.
Përdorimin e teknologjisë së informacionit në menaxhimin e burimeve njerëzore ka rëndësi të veqantë për një institucion apo kompani dhe është vitale në lidhje me shumë vendime që kanë të bëjnë me personelit të tilla si: mbledhja e informacionit për pranimin, rekrutimin, përzgjedhjen e punonjësve dhe vlerësimin e tyre.
Computing Performance: On the Horizon (2021)Brendan Gregg
Talk by Brendan Gregg for USENIX LISA 2021. https://www.youtube.com/watch?v=5nN1wjA_S30 . "The future of computer performance involves clouds with hardware hypervisors and custom processors, servers running a new type of BPF software to allow high-speed applications and kernel customizations, observability of everything in production, new Linux kernel technologies, and more. This talk covers interesting developments in systems and computing performance, their challenges, and where things are headed."
Video: https://www.youtube.com/watch?v=FJW8nGV4jxY and https://www.youtube.com/watch?v=zrr2nUln9Kk . Tutorial slides for O'Reilly Velocity SC 2015, by Brendan Gregg.
There are many performance tools nowadays for Linux, but how do they all fit together, and when do we use them? This tutorial explains methodologies for using these tools, and provides a tour of four tool types: observability, benchmarking, tuning, and static tuning. Many tools will be discussed, including top, iostat, tcpdump, sar, perf_events, ftrace, SystemTap, sysdig, and others, as well observability frameworks in the Linux kernel: PMCs, tracepoints, kprobes, and uprobes.
This tutorial is updated and extended on an earlier talk that summarizes the Linux performance tool landscape. The value of this tutorial is not just learning that these tools exist and what they do, but hearing when and how they are used by a performance engineer to solve real world problems — important context that is typically not included in the standard documentation.
검색이 무엇인지, 검색모델링이 어떤 역할을 하는지 알아보고, 쇼핑 검색을 서비스하면서 발생했던 품질 문제와 이를 해결하기 위해 시도해본 것을 이야기하고자 합니다.
목차
1. 검색이란
2. 검색모델링
3. 검색모델 유사도
4. 구조적 검색 모델
대상
검색이나 검색모델링에 대해 알고 싶거나, NHN에서 서비스 중인 쇼핑 검색에 대해 알고 싶은 개발자
Talk for SCaLE13x. Video: https://www.youtube.com/watch?v=_Ik8oiQvWgo . Profiling can show what your Linux kernel and appliacations are doing in detail, across all software stack layers. This talk shows how we are using Linux perf_events (aka "perf") and flame graphs at Netflix to understand CPU usage in detail, to optimize our cloud usage, solve performance issues, and identify regressions. This will be more than just an intro: profiling difficult targets, including Java and Node.js, will be covered, which includes ways to resolve JITed symbols and broken stacks. Included are the easy examples, the hard, and the cutting edge.
Má elektronický podpis identifikovat podepsanou osobu? A pokud ano: jak?Jiří Peterka
Moje přednáška na konferenci k 15. výročí vzniku Úřadu pro ochranu osobních údajů. Snažil jsem se v ní představit aktuální problém ze světa elektronických podpisů (a nařízení 910/2014, neboli: eIDAS), který ale úzce souvisí s ochranou osobních údajů.
Postatou tohoto problému je to, do jaké míry mají elektronické podpisy identifikovat podepsanou osobu - a v závislosti na tom pak jakým způsobem: jaké údaje, identifikující držitele, mají být obsažené v certifikátu, který je ze své podstaty veřejný.
Má zde být například rodné číslo držitele certifikátu, jako je tomu na Slovensku? Nebo IK MPSV, jako je tomu obvykle (ale ne nutně vždy) u nás v ČR?
Co bychom měli vědět o elektronických podpisechJiří Peterka
Stručné shrnutí toho, co je vhodné vědět o elektronických podpisech - o jejich principu, praktickém používání, právních aspektech i předpokládaném vývoji legislativy.
Další info na http://www.bajecnysvet.cz. Nabídka mnou vedených kurzů elektronického podpisu na http://www.bajecnysvet.cz/kurzy/
Computing Performance: On the Horizon (2021)Brendan Gregg
Talk by Brendan Gregg for USENIX LISA 2021. https://www.youtube.com/watch?v=5nN1wjA_S30 . "The future of computer performance involves clouds with hardware hypervisors and custom processors, servers running a new type of BPF software to allow high-speed applications and kernel customizations, observability of everything in production, new Linux kernel technologies, and more. This talk covers interesting developments in systems and computing performance, their challenges, and where things are headed."
Video: https://www.youtube.com/watch?v=FJW8nGV4jxY and https://www.youtube.com/watch?v=zrr2nUln9Kk . Tutorial slides for O'Reilly Velocity SC 2015, by Brendan Gregg.
There are many performance tools nowadays for Linux, but how do they all fit together, and when do we use them? This tutorial explains methodologies for using these tools, and provides a tour of four tool types: observability, benchmarking, tuning, and static tuning. Many tools will be discussed, including top, iostat, tcpdump, sar, perf_events, ftrace, SystemTap, sysdig, and others, as well observability frameworks in the Linux kernel: PMCs, tracepoints, kprobes, and uprobes.
This tutorial is updated and extended on an earlier talk that summarizes the Linux performance tool landscape. The value of this tutorial is not just learning that these tools exist and what they do, but hearing when and how they are used by a performance engineer to solve real world problems — important context that is typically not included in the standard documentation.
검색이 무엇인지, 검색모델링이 어떤 역할을 하는지 알아보고, 쇼핑 검색을 서비스하면서 발생했던 품질 문제와 이를 해결하기 위해 시도해본 것을 이야기하고자 합니다.
목차
1. 검색이란
2. 검색모델링
3. 검색모델 유사도
4. 구조적 검색 모델
대상
검색이나 검색모델링에 대해 알고 싶거나, NHN에서 서비스 중인 쇼핑 검색에 대해 알고 싶은 개발자
Talk for SCaLE13x. Video: https://www.youtube.com/watch?v=_Ik8oiQvWgo . Profiling can show what your Linux kernel and appliacations are doing in detail, across all software stack layers. This talk shows how we are using Linux perf_events (aka "perf") and flame graphs at Netflix to understand CPU usage in detail, to optimize our cloud usage, solve performance issues, and identify regressions. This will be more than just an intro: profiling difficult targets, including Java and Node.js, will be covered, which includes ways to resolve JITed symbols and broken stacks. Included are the easy examples, the hard, and the cutting edge.
Má elektronický podpis identifikovat podepsanou osobu? A pokud ano: jak?Jiří Peterka
Moje přednáška na konferenci k 15. výročí vzniku Úřadu pro ochranu osobních údajů. Snažil jsem se v ní představit aktuální problém ze světa elektronických podpisů (a nařízení 910/2014, neboli: eIDAS), který ale úzce souvisí s ochranou osobních údajů.
Postatou tohoto problému je to, do jaké míry mají elektronické podpisy identifikovat podepsanou osobu - a v závislosti na tom pak jakým způsobem: jaké údaje, identifikující držitele, mají být obsažené v certifikátu, který je ze své podstaty veřejný.
Má zde být například rodné číslo držitele certifikátu, jako je tomu na Slovensku? Nebo IK MPSV, jako je tomu obvykle (ale ne nutně vždy) u nás v ČR?
Co bychom měli vědět o elektronických podpisechJiří Peterka
Stručné shrnutí toho, co je vhodné vědět o elektronických podpisech - o jejich principu, praktickém používání, právních aspektech i předpokládaném vývoji legislativy.
Další info na http://www.bajecnysvet.cz. Nabídka mnou vedených kurzů elektronického podpisu na http://www.bajecnysvet.cz/kurzy/
Naučíme se používat elektronický podpis? Nebo se za nás bude podepisovat někd...Jiří Peterka
Moje přednáška na Pedagogické fakultě UK (v pátek 20.2.2015). Snažil jsem se v ní shrnout současné problémy elektronického podpisu a naznačit změny, které k 1.7.2016 přinese unijní nařízení č. 910/2014 (eIDAS). Včetně popisu toho, co jsou dynamické biometrické podpisy a jak by mohl vypadat elektronický podpis jako služba.
Není podpis jako podpis, aneb: jak se vyznat v různých variantách elektronick...Jiří Peterka
Moje přednáška na semináři společnosti Adobe k představení nového Acrobatu DC (v pátek 17.4.2015). Snažil jsem se v ní udělat trochu pořádek ve změti termínů, které se kolem elektronických (či digitálních) podpisů vyskytují, a ukázat co ten který druh podpisu přináší - na co se u něj můžeme spoléhat, a na co naopak ne.
Originál této prezentace, stejně jako další mé příspěvky z různých konferencí, najdete v mém archivu, na adrese http://www.earchiv.cz/i_paper.php3
Jak rozumět dynamickým biometrickým podpisům?Jiří Peterka
Moje prezentace na kulatém stole, který 11.6.2014 uspořádal ÚOOÚ k problematice biometrické identifikace a dynamických biometrických podpisů. Snažil jsem se v ní nastínit svůj pohled na to, co jsou dynamické biometrické podpisy (DBP), v jakém vztahu jsou ke "klasickým" (kryptografickým) elektronickým podpisů, jak se používají a jaké mají vlastnosti.
Bankovní identita - zkušenosti z pilotních projektůJakub Hamerník
Praktické zkušenosti se zaváděním bankovní identity do online procesů.
1) Aktuality ke komerčnímu využití bankovní identity a ukázka developer portálu / Jan Blažek, ředitel Bankovní identita a.s.
2) Praktické zkušenosti z probíhajících pilotních projektů:
a) PXE - změna dodavatele energií / Jakub Hamerník, parc4u
b) Orkist - digitalizace realitních služeb / Vašek Novák, Lundegaard a Jan Procházka, changing.legal a.s.
Webinář proběhl 22.4.2021. Organizátor: Lundegaard, oficiální partner Bankovní identita, a.s.
Seminář se zaměřil na tři dílčí témata, která by pro vás mohla být zajímavá ve studiu i dalším životě a současně se o nich (stále) aktuálně živě mluví.
Nejdříve se zaměřil na postupy ověřování totožnosti v elektronickém prostředí, bez kterých byste se nedostali ani ke své studijní agendě v IS, řeč byla hlavně o bezpečné práci s hesly, ale stručně jsme se dotkli i šifrování nebo elektornického podpisu.
Na to navázala bezpečnost mobilních technologií, protože u nich se často využívají jiné typy hesel (grafické), dotkli se ale také bezpečnostních rozdílů Androidu a iOS a potřeby bezpečnostních aplikací jako je antivir.
Protože dnes se často využívá také tzv. smartbankingu, tj. ovládání bankovního účtu pomocí mobilního zařízení, přešli jsme skrz to ještě stručně k pravidlům bezpečného nakupování a prodávání přes internet.
Přehledový seminář nepůjde nikde zcela do hloubky, bude sloužit spíše k získání orientace ve jmenovaných směrech a osvojení základních bezpečných postupů při používání informačních technologií.
Mobilní bankovnictví a bezpečnostní rizikaPetr Dvorak
Co je mobilní bankovnictví, jaké jsou jeho nejčastější způsoby (SIM Toolkit, aplikace pro operační systémy iOS, Android, Symbian apod.). V čem jsou jeho výhody a v čem spočívá jeho nebezpečí a riziko? Je možné dlouhodobě spoléhat na jednofaktorovou bezpečnost řešení mobilních bankovnictví?
Digitální dokumenty a elektronické transakce v EU. Přednáška z konference eDoq aneb jak na správu digitálních dokumentů, pořádanou 20.4.2017 společností Evrofin v Praze.
Přístup vs. připojení, aneb mají se zákony vyjadřovat přesně?Jiří Peterka
Moje přednáška na konferenci Internet a technologie 16 (dne 1.6.2016): snažil jsem se v ní předestřít, jak špatně je napsána pasáž zákona o hazardních hrách, která požaduje blokování konkrétních webových stránek - vágně, neurčitě a pomocí takových pojmů, které zákon nezná.
Přenáška na semináři "FIlosofické problémy informatiky" na MFF UK 3.5.2016, na téma síťové neutrality a otevřeného přístupu k Internetu. Nebo spíše přístupu k otevřenému Internetu?
Počítačové sítě II, lekce 11: Broadband a síťová neutralitaJiří Peterka
Verze 4.0 mé kurzovní přednášky na MFF UK Praha (kód předmětu NSWI021), připravená pro letní semestr školního roku 2014/2015. Zdroj s možností tisku na http://www.earchiv.cz/l226/index.php3
Počítačové sítě II, lekce 10: Mobilní komunikaceJiří Peterka
Verze 4.0 mé kurzovní přednášky na MFF UK Praha (kód předmětu NSWI021), připravená pro letní semestr školního roku 2014/2015. Zdroj s možností tisku na http://www.earchiv.cz/l226/index.php3
Počítačové sítě II, lekce 9: xDSL, FTTx, PONJiří Peterka
Verze 4.0 mé kurzovní přednášky na MFF UK Praha (kód předmětu NSWI021), připravená pro letní semestr školního roku 2014/2015. Zdroj s možností tisku na http://www.earchiv.cz/l226/index.php3
Počítačové sítě II, lekce 8: POTS, ISDN a xDSLJiří Peterka
Verze 4.0 mé kurzovní přednášky na MFF UK Praha (kód předmětu NSWI021), připravená pro letní semestr školního roku 2014/2015. Zdroj s možností tisku na http://www.earchiv.cz/l226/index.php3
Počítačové sítě II, lekce 7: Telekomunikační přenosové technologieJiří Peterka
Verze 4.0 mé kurzovní přednášky na MFF UK Praha (kód předmětu NSWI021), připravená pro letní semestr školního roku 2014/2015. Zdroj s možností tisku na http://www.earchiv.cz/l226/index.php3
O aktuálních otázkách (a také o tom, co jsme kdysi s panem Sovou provedli ČTÚ)Jiří Peterka
Můj příspěvek (první v roli člena Rady ČTÚ) na konferenci "Kam kráčí telekomunikační sítě 2015" (Plzeň, 3.9.2015).
Nejprve jsem v něm připoměl jeden aprílový žertík z roku 2004 (kdy jsme spolu s panem Sovou, zakladatelem sdružení IPV, vydali rozhodnutí o propojení 03/PROP/2004 místo ČTÚ). Poté jsem se již věnoval ryze současným událostem. Ty na první pohled také vypadají jako apríl, ale aprílem očividně nejsou. Jde konkrétně o dění kolem podpory rozvoje sítí NGA.
Moje přednáška na odborném vzdělávacím semináři s názvem "Základy kybernetické bezpečnosti pro vedoucí pracovníky", který pořádala česká pobočka AFCEA při příležitosti veletrhu IDET 2015. Jejím cílem bylo seznámit (co nejsrozumitelnější formou) posluchače se základy kybernetické bezpečnosti, včetně její terminologie.
Originál této prezentace, stejně jako další mé příspěvky z různých konferencí, najdete v mém archivu, na adrese http://www.earchiv.cz/i_paper.php3
Moje přednáška na konferenci Law FIT 2015. Snažil jsem se v ní nastínit problém síťové neutrality (v jeho původním významu) formou, srozumitelnou i pro lidi z jiných oborů.
Originál této prezentace, stejně jako další mé příspěvky z různých konferencí, najdete v mém archivu, na adrese http://www.earchiv.cz/i_paper.php3
Počítačové sítě II, lekce 6: sítě WLAN IIJiří Peterka
Verze 4.0 mé kurzovní přednášky na MFF UK Praha (kód předmětu NSWI021), připravená pro letní semestr školního roku 2014/2015. Zdroj s možností tisku na http://www.earchiv.cz/l226/index.php3
Počítačové sítě II, lekce 2: Internetworking IIJiří Peterka
Verze 4.0 mé kurzovní přednášky na MFF UK Praha (kód předmětu NSWI021), připravená pro letní semestr školního roku 2014/2015. Zdroj s možností tisku na http://www.earchiv.cz/l226/index.php3
Počítačové sítě II, lekce 1: InternetworkingJiří Peterka
Verze 4.0 mé kurzovní přednášky na MFF UK Praha (kód předmětu NSWI021), připravená pro letní semestr školního roku 2014/2015. Zdroj s možností tisku na http://www.earchiv.cz/l226/index.php3
Historie a současný stav české mobilní telefonieJiří Peterka
Moje přednáška na konferenci "Teorie a praxe telefonie" ve středu 12.11.2014. Snažil jsem se v ní shrnout důležité momenty vývoje mobilního sektoru, se zaměřením na hlasové služby. Ale nejen na ně - zmiňuji například dopady exkluzivní licence Eurotelu z roku 1990 na liberalizaci Internetu v ČR, či kauzu Paegas Internet Call a její dopady na liberalizace trhu s hlasovými službami. Z novějších kauz popisuji například aukce kmitočtů pro LTE či příchoz a postavení virtuálů.
Rodina protokolů TCP/IP, téma 9: Transportní protokoly Jiří Peterka
Verze 3.0 mé kurzovní přednášky na MFF UK Praha (kód předmětu NSWI045), připravená pro letní semestr školního roku 2012/2013. Zdroj s možností tisku na http://www.earchiv.cz/l225/index.php3
Rodina protokolů TCP/IP, téma 8: Protokol IPv6Jiří Peterka
Verze 3.0 mé kurzovní přednášky na MFF UK Praha (kód předmětu NSWI045), připravená pro letní semestr školního roku 2012/2013. Zdroj s možností tisku na http://www.earchiv.cz/l225/index.php3
Rodina protokolů TCP/IP, téma 7: IP adresy verze 6Jiří Peterka
Verze 3.0 mé kurzovní přednášky na MFF UK Praha (kód předmětu NSWI045), připravená pro letní semestr školního roku 2012/2013. Zdroj s možností tisku na http://www.earchiv.cz/l225/index.php3
Rodina protokolů TCP/IP, téma 5: Protokol IPv4Jiří Peterka
Verze 3.0 mé kurzovní přednášky na MFF UK Praha (kód předmětu NSWI045), připravená pro letní semestr školního roku 2012/2013. Zdroj s možností tisku na http://www.earchiv.cz/l225/index.php3
2. s jakými pojmy se seznámíme?
• elektronická identita vs. uživatelský účet
• atributy (elektronické identity)
• elektronická identifikace
• autentizace, autentizační faktory
• autorizace
• poskytovatel identity (IdP, Identity Provider)
• poskytovatel služeb (SeP, Service Provider)
• principy Same Sign On a Single Sign On
• federace identit
• systém elektronické identifikace
• kvalifikovaný systém (el. identifikace)
• kvalifikovaný správce
• prostředek elektronické identifikace
• kvalifikovaný prostředek
• úroveň záruky
• kvalifikovaný poskytovatel
• národní bod (pro identifikaci a autentizaci)
• Národní identitní autorita (NIA)
• zaručená identita
• bankovní identita, SONIA, BankID
3. fyzická vs. elektronická identita
• každá fyzická osoba existuje jen 1x
‒ naše fyzická identita je jen jedna ….
• ale: údaje o jednotlivých osobách mohou být obsaženy v mnoha různých evidencích,
kartotékách, rejstřících, databázích, ……
‒ každá evidence shromažďuje určitý rozsah dílčích údajů o jednotlivých osobách – tzv. atributů,
které dohromady tvoří (elektronickou) identitu příslušné osoby
• jedna fyzická identita se může „promítat“ do
mnoha různých elektronických identit
‒ každá může pracovat s různou sadou atributů
1x
Nx
Josef Novák 12.3.1987 ženatý
jméno, příjmení datum narození rodinný stav
fyzická identita elektronická identita (pokud je evidence vedena v elektronické podobě)
Jan Nováček 23.4.1990 rozvedený
Petr Novotný 31.5.2002 svobodný
4. elektronická identita vs. uživatelský účet
• reálný význam je velmi podobný:
‒ jsou to nějaké údaje, které se týkají konkrétní osoby … subjektu, držitele, …
‒ někde se to uchovává …. databáze
‒ někdo tu databázi zřizuje / naplňuje / vede / spravuje / …. správce
• elektronická identita
‒ je to právní (ale i technický) pojem
‒ souvisí s (elektronickou) identifikací
• a autentizací i autorizací
‒ nemusí být (přímo) přístupná svému držiteli
• např. identita v základních registrech
‒ při potřebě „ukázat a prokázat, že jsem držitelem“
právo používá pojem „prostředek“ (pro el.
identifikaci)
• uživatelský účet
‒ spíše technický (praktický) pojem
‒ souvisí s přihlašováním
• a s možností využívat konkrétní službu
‒ pro držitele by měl být vždy přístupný
‒ při potřebě „ukázat a prokázat, že jsem držitelem“
se používá spíše pojem „přihlašovací údaje“
prostředek
(pro elektronickou identifikaci)
( electronic identification
means …. )
přihlašovací údaje
(např. uživatelské jméno + heslo)
( credentials)
5. elektronická identifikace
• je to společné označení pro dvě různé věci:
‒ vytvoření (elektronické) identity
• (počáteční) naplnění atributů konkrétními
hodnotami
• důležité je:
– odkud jsou údaje získávány
– zda jsou získané údaje ověřovány
– jak jsou údaje aktualizovány
– ……..
‒ v praxi jde (nejčastěji) o:
• (jednorázovou) registraci
– vytvoření nového uživatelského účtu
‒ výběr (elektronické) identity
• výběr z již existujících (vytvořených)
elektronických identit
– elektronické identity jsou již vytvořeny
• i „naplněny“ konkrétními hodnotami svých atributů
– cílem je určit (vybrat) jednu konkrétní identitu
‒ v praxi jde (typicky) o:
• (opakované) přihlašování
– pod příslušnou identitou
Josef Novák U Kliky 1 Praha josef.novak@seznam.cz
jméno, příjmení adresa město email jan2
honza21
pepanovak
josef.n
jp58
uživatelskéjméno
?
pepanovak
6. registrace vs. přihlašování
• při (jednorázové) registraci:
‒ uživatel je „zaveden do systému“
• uvnitř systému vzniká jeho elektronická
identita/uživatelský účet
‒ uživatel získává své „uživatelské jméno“
• identifikátor pro svou nově vytvořenou
elektronickou identitu/uživatelský účet
– aby se následně mohl na svou identitu/účet odkazovat
• například (uživatelským jménem je):
– emailová adresa
• dobře se pamatuje …
– uživatelem zvolený řetězec (identifikátor)
– identifikátor přidělený systémem
• při (opakovaném) přihlašování:
‒ uživatel (pokaždé) deklaruje, pod jakou identitou
se přihlašuje
– zadání uživatelského jména je pouze
deklarací: „za koho se vydávám“
– možný problém:
• někdo se může vydávat za někoho jiného
(deklarovat, že je někým jiným)
Registrační formulář
Jméno a příjmení:
Bydliště:
Datum a místo narození:
uživatelské jméno: XYZ
Přihlaste se:
XYZ
Uživatelské jméno:
Přihlaste se:
XYZ
Uživatelské jméno:
Přihlaste se:
XYZ
Uživatelské jméno:
identifikace je odpovědí na otázku:
„o koho jde?“
7. identifikace vs. autentizace
• jde o dva termíny, které se velmi často pletou ….
‒ identifikace
• je odpověď na otázku: „o koho jde?“
• k identifikaci dochází:
– jednorázově při registraci
• při vytváření identity / účtu
– opakovaně při přihlašování
• při „použití“ (deklarování) identity / účtu
• možný problém:
– někdo se může vydávat za někoho jiného
• identifikovat se jako někdo jiný
– příklad:
• nezletilý syn se vydává za otce, aby mohl nakoupit
v eshopu alkohol ….
‒ autentizace
• je odpověď na otázku: „jde skutečně o toho, o
koho má jít?“
• lze chápat jako:
– ověření identity
• že ji deklaruje její skutečný držitel
• provádí se:
– něčím, co může udělat/poskytnout jen skutečný
držitel identity / účtu
– prostřednictvím tzv. autentizačních faktorů
• v nejjednodušším případě: heslem
• další možnosti (autentizační faktory): PIN,
soukromý klíč, otisk prstu, jednorázové heslo
(OTP) …
Ověření vaší identity:
*************
Heslo:
Přihlaste se:
XYZ
Uživatelské jméno:
8. autentizační faktory
• autentizačním faktorem může být něco, co konkrétní osoba:
‒ ví/zná: PIN, (opakovaně použitelné) heslo, jednorázové heslo (OTP) ….
‒ má/vlastní: „kus HW“ / nakonfigurovaná aplikace / soukromý klíč (mobilní telefon, token,
čipová karta, ….)
‒ čím je (biometrika): otisk prstu, (rozpoznání) obličeje, …..
• jednofaktorová autentizace:
‒ používá jen jeden autentizační faktor
• nejčastěji: PIN nebo heslo
• vícefaktorová autentizace:
‒ vyžaduje více faktorů současně
‒ například:
• jméno, heslo a SMS
• jméno, mobil + otisk prstu
• jméno, heslo, mobil + otisk prstu
• příklad:
‒ přihlašování k internetbankingu ČS
jednorázové heslo, zaslané přes SMS
identifikace 2-faktorová autentizace
tzv. mobilní klíč
3-faktorová autentizace
tzv. mobilní klíč
zadání uživatelského jména
= identifikace
má na čem
potvrdit
= 1. faktor
autentizace
otisk prstu
= 2. faktor
autentizace
tzv. mobilní klíč
9. příklad jednofaktorové autentizace
• (stále) nejrozšířenější způsob přihlašování k datovým schránkám
‒ jen pomocí uživatelského jména a opakovaně použitelného hesla
identifikace
pomocí
uživatelského
jména
říká, jako (v jaké roli)
chce uživatel
vystupovat
(i vůči které datové
schránce)
autentizace pomocí
hesla
znalostí hesla dokládám,
že „jsem to skutečně já“
další možnosti přihlášení: se stejnou
identifikací, ale jinou autentizací
další možnosti přihlášení: se stejnou
identifikací, ale jinou autentizací
další možnosti přihlášení: se stejnou
identifikací, ale jinou autentizací
není to moc spolehlivé
identifikace autentizace (1 faktor)
10. vícefaktorová autentizace
• je taková autentizace, při které je využíváno více „faktorů“ souběžně
‒ a tyto faktory jsou různého typu
• pochází z jiných zdrojů / jsou získávány a přenášeny jinak
• příklad: datové schránky
‒ 2. faktor (jednorázový
kód) je zasílán skrze
Premium SMS
• v ceně 3 Kč/zprávu
identifikace pomocí
uživatelského jména
stejného, jako při
1-faktorové
autentizaci
1. autentizační
faktor: heslo
stejné heslo, jako
při 1-faktorové
autentizaci
2. autentizační
faktor: SMS kód
zasílá poskytovatel na
mobil zákazníka
2-faktorová
autentizace
11. • příklad 2-faktorové autentizace: přihlášení k datovým schránkám pomocí eOP
vícefaktorová autentizace
1. faktor (eOP)
„něco co mám“
2. faktor (PIN/IOK)
„něco co vím“
výběr schránky&role pro
přihlášení
identifikace
(konkrétní „kus plastu“)
12. autentizace certifikátem
• ve skutečnosti: autentizačním faktorem je soukromý klíč
‒ prokazuji, že vládnu tím soukromým klíčem, ke kterému byl certifikát vydán
1. protistrana (ke které se přihlašuji), pošle
mému browseru „výzvu“
• (… nějaká data ….)
4. protistrana si ověří platnost podpisu na výzvě
– pomocí veřejného klíče v certifikátu
• a z platnosti podpisu pozná, že vládnu
soukromým klíčem (autentizace)
– obsah certifikátu může využít i k identifikaci
2. vyberu certifikát, kterým
se chci autentizovat
3. můj browser podepíše
výzvu odpovídajícím
soukromým klíčem
• a spolu s certifikátem ji
vrátí protistraně
+
13. autentizace aplikací (mobilním klíčem)
• jde o jiné (pro uživatele jednodušší) provedení autentizace pomocí certifikátu
‒ navíc s identifikací konkrétního uživatele
• představa:
‒ poskytovatel služby (např. banka) konkrétnímu uživateli vygeneruje párová data (soukromý
+ veřejný klíč) a vystaví potřebný certifikát
• podle certifikátu následně poznává, o koho jde
‒ je nutná aktivace (počáteční individuální nastavení) aplikace
• do aplikace se „vloží“ soukromý klíč a certifikát uživatele
• princip fungování (již po konfiguraci aplikace)
QR kód
obsahuje výzvu
aplikace
podepíše výzvu
aplikace předává
podepsanou výzvu
služba si ověří
platnost podpisu na
výzvě (autentizace)
podle obsahu
certifikátu služba
určí uživatele
(identifikace)
+
+
14. autentizace bez identifikace
• neboli: autentizace s „nulovou“ identifikací (resp. bez identifikace)
‒ situace, kdy poskytovatel vůbec nezná svého zákazníka (neví nic o jeho identitě)
‒ ale: pro poskytování svých služeb potřebuje vždy vědět, že je to „ten samý zákazník“
• příklad: předplacená SIM karta od mobilního operátora
‒ je anonymní (při jejím zakoupení a používání není nutné sdělovat svou identitu)
• se SIM kartou je spojeno telefonní číslo
‒ anonymní zákazník se prokazuje (autentizuje)
schopností přijmout SMS zprávu na „své“
telefonní číslo
• může mít přiděleny přihlašovací údaje do
on-line portálu operátora
• a může provádět různé úkony
– objednávat/rušit služby
– dobíjet a čerpat kredit
15. identifikace bez autentizace
• v praxi velmi častá situace
‒ svou aktivitu (úkon, jednání, …) potřebuji adresovat někomu konkrétnímu
• například: poslat mu zprávu, vzkaz, soubor, ……
‒ musím určit (identifikovat) adresáta mé aktivity (úkonu, jednání, ….)
• jde o někoho jiného, než jsem já (jako „jednající strana“)
– nevydávám se za adresáta ……
‒ proto není zapotřebí (nepřipadá v úvahu, ani není možná) autentizace !!!
• příklady:
identifikace adresáta
(bez autentizace)
16. identifikace
autentizace
(1. faktor)
autentizace
(2. faktor)
autorizace
• je oprávnění ke konkrétnímu úkonu, činnosti, ….
‒ … zda něco mohu/smím (u)dělat
• příklad:
‒ autorizace uživatele v datových schránkách
• jde o jeho oprávnění pro konkrétní činnosti v datové schránce
autorizace
uživatele
je autorizován,
smí / může ….
není autorizován,
nesmí ….
není autorizován,
nesmí / nemůže ….
je autorizován,
smí / může ….
17. vývoj přihlašování k on-line službám
• tradiční řešení: vše „vlastními silami“
‒ poskytovatel on-line služby (např. eshop) vede uživatelům jejich uživatelské účty
‒ vytváří a udržuje elektronické identity (účty)
svých uživatelů
– v takovém rozsahu atributů, jaké potřebuje
k poskytování své služby
• chce vědět a pamatuje si (např.):
– jak se jmenují
– kde bydlí
– kdy se narodili
– ……
‒ vydává svým uživatelům vlastní prostředky pro
elektronickou identifikaci
• přihlašovací údaje (zde: jméno, heslo)
při registraci
uživatel získává
své uživatelské
jméno a heslo
‒ nevýhody pro uživatele:
• pro každou využívanou službu má samostatný (jiný)
uživatelský účet (samostatnou elektronickou identitu)
– i samostatnou sadu přihlašovacích údajů
• které by neměly být (ale bývají) stejné
• při každé změně svých údajů (např. bydliště) by měl
aktualizovat každý svůj uživatelský účet
elektronické identity
18. vývoj přihlašování k on-line službám
• modernější řešení: s rozdělením rolí ….
‒ poskytování služby (např. prodej zboží) je odděleno od vedení uživatelských účtů
‒ uživatelské účty zřizuje a vede jeden subjekt
• poskytovatel identity
– IdP, Identity Provider
– může být na tuto činnost specializován
• umí to, má to zabezpečené, …..
‒ služby poskytuje druhý subjekt
• poskytovatel služby
– SeP, Service Provider
– může se soustředit na „svůj byznys“
‒ výhoda pro uživatele: pomocí účtu u jednoho
poskytovatele identit (IdP) se může přihlašovat
k různým poskytovatelům služeb (SeP)
elektronických identit
19. vývoj přihlašování k on-line službám
• vznikli „velcí“ poskytovatelé služeb
‒ s velkým počtem uživatelů a jejich účtů (velkým rozsahem elektronických identit)
‒ s propracovaným řešením správy účtů, zajištění bezpečnosti, spolehlivosti, ……
• sami začali poskytovat více různých (vlastních) služeb
‒ a pro přihlašování k nim uživatelé využívají jeden (stejný) uživatelský účet
• časem umožnili využívat jejich uživatelské účty i pro přihlašování ke službám,
poskytovaným jinými („externími“) subjekty
„interní“ IdP „interní“ SeP
IdP, Identity Provider SeP, Service Provider
IdP, Identity Provider
SeP, Service Provider
20. Same Sign-On vs. Single Sign-On
• jde o dva různé způsoby využití „rozděleného řešení“ pro přihlašování
‒ kdy se uživatel přihlašuje k různým službám pomocí stejného účtu (identity)
‒ Same Sign-On (“stejné přihlášení“)
• ke každé službě se uživatel přihlašuje stejně
– ale vždy znovu
– znovu provádí jak svou identifikaci, tak i svou
autentizaci
• používá k tomu stejnou identitu, proto „Same ….“
‒ Single Sign-On („jediné přihlášení“)
• uživatel se přihlašuje jen k první službě
– a když pak přechází k další službě, už se
nepřihlašuje
• přechází jako již přihlášený uživatel
• nemusí se znovu identifikovat ani
autentizovat
přihlášení
přihlášení
přihlášení
přihlášení
…..
podporuje už i český
eGovernment
21. vývoj přihlašování k on-line službám
• většina poskytovatelů služeb dnes podporuje obě varianty:
‒ tradiční „řešení vlastními silami“
• nabízí uživatelům možnost zřídit si
„místní účet“
– účet vedený poskytovatelem služby
• umožňuje přihlašovat se „místním
účtem“
‒ modernější „rozdělené řešení“
• umožňuje přihlašovat se účtem u jiné
služby (“vzdálený účet“)
– obvykle: také vytvoří „místní účet“, ale naplní jej
podle „vzdáleného účtu“ a propojí s ním
první přihlášení
pomocí účtu u
Google
je vytvořen „místní účet“ (bez
hesla pro přihlášení), přihlašuje
se k němu přes účet u Google
22. přímý vs. nepřímý model el. identifikace
• pro celkové řešení elektronické identifikace připadají v úvahu dva různé modely
• přímý model:
‒ IdP komunikuje přímo se SeP
• IdP ví, kam se uživatel přihlašuje
• SeP ví, jak se k němu uživatel přihlašuje
‒ IdP identifikuje a autentizuje uživatele
• vede uživatelské účty
‒ IdP předává SeP údaje o uživateli
• jeho atributy
• IdP spravuje el. identitu uživatele
• nepřímý model:
‒ IdP nekomunikuje přímo se SeP
• ale jen přes prostředníka
– role a funkčnost prostředníka může být různá
‒ IdP identifikuje a autentizuje uživatele
• vede uživatelské účty
‒ a k čemu je prostředník?
• role prostředníka může být různá ….
IdP SeP
SeP
identifikace
autentizace
atributy
IdP
identifikace
autentizace ?
23. nepřímý model, „varianta NIA“
• model, zvolený (zákonem č. 250/2017 Sb. o elektronické identifikaci) pro
národní systém elektronické identifikace v ČR
‒ for the Czech National Electronic Identification Scheme
• prostředníkem je tzv. národní bod (pro identifikaci a autentizaci)
‒ je součástí Národní identitní autority (zkratkou: NIA)
• zjednodušeně: národní bod = NIA
‒ vzájemně odstiňuje IdP a SeP
• IdP neví, kam (k jakému SeP) se uživatel přihlašuje
• SeP neví, jak (přes jakého IdP) se uživatel přihlašuje
• národní bod „ví všechno“ – kdo, kam, kdy i jak se přihlašuje
• IdP
‒ zajišťuje identifikaci a autentizaci uživatele
• ten se přihlašuje ke svému účtu u IdP
• SeP
‒ informace o uživateli (jeho atributy)
získává od národního bodu, nikoli od IdP
IdP Národní
bod (NIA)
SeP
SeP
IdP
24. nepřímý model, „varianta NIA“
• dochází zde k oddělení uživatelských účtů a elektronické identity
• uživatelské účty
‒ vede a udržuje Identity Provider (IdP)
‒ využívá je k identifikaci a autentizaci (svých)
uživatelů
‒ národnímu bodu říká:
• o kterého uživatele jde (identifikace)
• že je to skutečně on (autentizace)
IdP
identifikace
autentizace
Národní
bod (NIA)
SeP
osoba XY jde o osobu, kterou
ty znáš jako MN
XY MN
XY
uživatelské
účty
převodní
tabulka
MN
předání atributů (je-li souhlas)
jméno
příjmení
datum n.
bydliště
******
******
******
******
elektronická identita (ROB)
• elektronická identita
‒ poskytuje ji prostředník (národní bod)
• ve smyslu: poskytovateli služeb (SeP) předává
„vlastní“ hodnoty atributů konkrétní osoby
– nikoli atributy, získané od IdP
‒ jde o jednotnou, státem garantovanou
elektronickou identitu
• vedenou v ROB-u (základním registru obyvatel)
25. terminologie právní úpravy el. identifikace
• vychází ze zákona č. 250/2017 Sb. o elektronické identifikaci
‒ týká se jen nepřímého modelu (ve „variantě NIA“)
kvalifikovaní poskytovatelé
(služeb)
SeP
IdP
kvalifikovaní správci
(kvalifikovaných systémů elektronické
identifikace)
národní bod
(soukromoprávní, nutná akreditace …)
(soukromoprávní, nutná zákonná
povinnost ztotožnění …..)
… a další
… a další
provozovatelem je
26. prostředky elektronické identifikace
• představa:
‒ každý IdP (kvalifikovaný správce) vydává svým uživatelům „klíče“ od jejich uživatelských účtů
• zákon tyto „klíče“ označuje jako prostředky elektronické identifikace
– slouží pro identifikaci a autentizaci uživatele vůči IdP (kvalifikovanému správci) – nikoli vůči národnímu bodu
‒ každý IdP (kvalifikovaný správce) může vydávat více různých druhů/typů prostředků
prostředky el. identifikace
kvalifikovaní správci
27. úroveň záruky (LoA, Level of Assurance)
• vztahuje se k prostředku pro elektronickou identifikaci
‒ jde o výsledné hodnocení celkové „kvality“ tohoto prostředku a jeho fungování/používání
• ve smyslu jeho: spolehlivosti, bezpečnosti, jednoznačnosti a úplnosti určení osoby, ……
• představa:
‒ jde o hodnocení „nejslabšího článku“ v celém řetězci faktorů kolem tohoto prostředku
• úroveň „nízká“
‒ stačí jen jméno a heslo
‒ …..
‒ aktuálně:
• „rychlý přístup“ od ČSOB
• úroveň „vysoká“
‒ musí být HW token/karta a „hard“ certifikát
‒ prostředek je předán „z ruky do ruky“
‒ ……..
‒ aktuálně:
• eOP, karta Starcos, token Idem Key
získání atributů
předání prostředku
použití prostředku
revokace …
vydání nového prostředku
• úroveň „značná“
‒ musí být 2 fakt. autentizace
• nestačí jen jméno a heslo
‒ …..
‒ aktuálně:
• … vše ostatní …..
28. úrovně záruky vs. poskytované služby
• praktický důsledek:
‒ uživateli jsou při přihlašování nabídnuty jen ty prostředky, které mají stejnou či vyšší úroveň
záruky
• obecně:
‒ každá služba, ke které se uživatel přihlašuje, by měla
(musí) deklarovat, jakou úroveň záruky požaduje
‒ úroveň záruky je vztahována
k prostředku pro el. identifikaci
• dle zákona č. 250/2017 Sb.
o elektronické identifikaci
jsou nabízeny jen možnosti
přihlášení s úrovní „vysoká“
jsou nabízeny možnosti přihlášení
alespoň s úrovní „značná“
jsou nabízeny
možnosti
přihlášení i s
úrovní „nízká“
úroveň „nízká“
29. kvalifikované systémy
• kvalifikovaný systém (elektronické identifikace)
‒ je dílčí část „celého řešení“ elektronické identifikace dle zákona č. 250/2017 Sb.
‒ má kvalifikovaného správce (kvalifikovaného systému)
• který (v rámci kvalifikovaného systému) vydává jeden nebo více prostředků el. identifikace
‒ musí:
• vycházet z nepřímého modelu ve variantě „NIA“ – musí podporovat národní bod
‒ v rámci jednoho kvalifikovaného systému
může jeden kvalifikovaný správce vydávat prostředky s různou úrovní záruky
+
kvalifikovaný
správce
vydávaný prostředek
elektronické identifikace
kvalifikovaný systém jméno heslo
+ +
jméno + heslo SMS
+
+
jméno
+
+ PIN
jméno heslo
+ úroveň „nízká“
úroveň „značná“
kvalifikovaný systém
úroveň záruky není předepsána
30. kvalifikovaný systém elektronické identifikace
• kvalifikované systémy, kvalifikovaní poskytovatelé a národní bod (dohromady) vytváří celý
systém elektronické identifikace (dle zákona č. 250/2017 Sb.)
‒ pozor: kvalifikovaný systém (elektronické identifikace) je jednou ze součástí systému elektronické identifikace !!
národní bod
státem garantovaná
elektronická identita
(v základním registru obyvatel)
jméno
heslo
………
soukromoprávní
kvalifikované
systémy
systém elektronické identifikace
kvalifikovaný systém kvalifikovaní poskytovatelé
soukromoprávní
poskytovatelé
… a další
… a další
scheme
31. výhody a nevýhody (našeho systému el. identifikace)
• výhody:
‒ je to univerzálnější řešení
• mohou přibývat noví IdP
– musí se pouze správně napojit na NIA
– nemusí se přizpůsobovat novým SeP
• vlastně o nich vůbec neví
• mohou přibývat noví SeP
– musí se pouze správně napojit na NIA
– nemusí se přizpůsobovat novým IdP
• vlastně o nich vůbec neví
• nevýhody (koncepční):
‒ je to komplikované
‒ má to single point of failure
• stojí a padá s NIA
‒ NIA ví o všem
• zaznamenává všechny transakce, ví kdo, kdy,
odkud a kam se přihlašoval
• nevýhody („právní“):
‒ je to uzavřený systém
• není otevřený pro soukromoprávní
poskytovatele služeb (SeP)
– např. eshopy, utility, operátory, ….
• zřejmě: stát nechce riskovat odpovědnost za
případné škody v důsledku chybné identifikace
paradox: v „kamenném“ světě se lidé mohou
prokazovat svými doklady (které jim vydal stát,
např. OP) vůči všem subjektům, včetně ryze
komerčních.
V elektronickém světě to stát nechce dovolit ……
33. omezení v (národním) systému elektronické identifikace
• kvalifikovaní správci (IdP), kteří jsou bankami, mohou poskytovat své identitní služby pouze
těm kvalifikovaným poskytovatelům (SeP), kteří „jsou státním orgánem nebo orgánem
územního samosprávného celku“.
‒ týká se jen nepřímého modelu ve „variantě NIA“
kvalifikovaní poskytovatelé
(služeb)
kvalifikovaní správci
(kvalifikovaných systémů elektronické
identifikace)
(soukromoprávní, nutná akreditace …)
(poskytovatel není státním orgánem nebo orgánem
územního samosprávného celku)
… a další
… a další
(banky)
§ 38ad odst. 3 zákona č. 21/1992 Sb., o bankách,
34. nástrahy (právní) terminologie
• právní terminologie občas „trochu přehání“
‒ nebo používá pojmy, které úplně nekorespondují s tím, co mají označovat
• zde hlavně:
‒ (nadměrné) používání přívlastku „kvalifikovaný“ v souvislosti s elektronickou identifikací
• nařízení eIDAS: „kvalifikované“ je to, co má nejvyšší možnou kvalitu, co je na škále vlastností
nejvýše ….
• kvalifikovaný prostředek
‒ legislativní zkratka pro „prostředek elektronické
identifikace, vydaný v rámci kvalifikovaného
systému elektronické identifikace“
‒ problém:
• nevypovídá nic o „kvalitě“ prostředku
– kvalifikovaným prostředkem je také takový, který má
úroveň záruky „nízká“
• zaručená identita, přístup se
zaručenou identitou …..
‒ legislativní zkratka pro přístup s
využitím kvalifikované prostředku ….
‒ problém:
• může jít i o prostředek s úrovní
„nízká“, který zaručuje identitu jen v
nízké míře …
35. nepřímý model, „varianta SONIA/BankID“
• řešení, připravované bankami, vychází také z nepřímého modelu
• ale s odlišnostmi od „varianty NIA“
‒ na straně SeP: kdokoli
• řešení je otevřené všem komerčním
subjektům
‒ na straně IdP: jen banky
• zapojené do projektu
– který zajišťuje spol. Bankovní identita, a.s.
‒ prostředníkem je „společné rozhraní bank“
• původně označované jako SONIA (Soukr. NIA)
• dnes označované jako BankID
‒ role prostředníka je odlišná oproti „variantě NIA“
• nedochází zde k rozdělení uživatelských účtů
a elektronických identit
– obojí zůstává u jednotlivých bank (jako IdP)
• banky jsou skutečnými IdP
• prostředník funguje jen jako
„výhybka“ mezi IdP a SeP
– uživatelům umožňuje vybrat si, přes kterou banku
se chtějí přihlásit
– a pak zprostředkuje předání atributů od IdP k SeP
IdP
identifikace
autentizace
BankID
(SONIA)
SeP
osoba XY
XY
jméno
příjmení
datum n.
bydliště
******
******
******
******
prostředník je „prázdný“
(sám nemá žádná data o uživatelích)
36. zobecnění: federace identit
• … společné řešení pro více subjektů, které si vzájemně důvěřují …..
• příklad: edu.id (společné řešení pro akademické subjekty (školy …..)
‒ cílem je, aby se uživatelé z různých škol mohli přihlašovat ke službám jiných škol
• stejným způsobem, jako se přihlašují ke službám své vlastní školy
• princip fungování
‒ jednotlivé školy mají „své lidi“
– studenty, zaměstnance, …..
• znají „své lidi“
– vedou jejich elektronické identity
• vedou databázi (svých) lidí
– dokáží je autentizovat
• přesvědčit se, že jsou to skutečně oni
• dokáží fungovat jako IdP
• jako poskytovatelé identity
– ale jen pokud jde o „jejich lidi“
‒ jednotlivé školy poskytují „své“ služby
– a jsou ochotny je poskytovat i „cizím“
• důvěřují „cizím lidem“
– pokud za jejich identitu ručí jiná škola v rámci federace
• nevedou databází „cizích“ lidí
• fungují jako SeP
• jako poskytovatelé služeb, a to nejenom pro „své lidi“
‒ prostředníkem je operátor federace
studenti zaměstnanci
IdP SeP
operátor
federace
– organizuje členy federace …
– pro uživatele zajišťuje vhodný
„rozcestník“ (WAYF)
37. zobecnění: federace identit
• federace sdružuje určitý počet subjektů (organizací), např. škol
• každá organizace:
‒ může poskytovat služby / fungovat jako SeP
• může poskytovat více služeb, jednu službu, nebo také
žádnou službu (N / 1 / 0)
‒ může poskytovat služby identifikace a autentizace / fungovat
jako IdP (pro „své“ lidi)
• nemusí – ale pokud poskytuje, stačí jí jen 1x IdP
• ve federaci je určitý počet organizací
‒ které vzájemně důvěřují identifikaci a autentizaci, kterou
provedla jiná organizace ve federaci ….
IdP
SeP SeP SeP
SeP
IdP
IdP
ke službě, poskytované jinou
organizací, se uživatel přihlašuje
stejně, jako v rámci své organizace
(i „skrze“ svou organizaci)
organizace
IdP
IdP
IdP
IdP
SeP
SeP SeP
SeP
SeP
SeP
38. příklad: přihlášení ke službě FileSender
organizace
ve
federaci
(jako
IdP)
přihlášení v rámci
vlastní organizace (IdP)
uživatel je
přihlášen ke službě
souhlas s
předáním údajů
WAYF
(Where Are You From?)
předání údajů
o uživateli