1.1. Úvod
Účelem tohoto dokumentu je popsat technické detaily uživatelské autentizace do agendových informačních systémů (AIS), které jsou registrovány v systému CAAIS.
Uživatel se přihlašuje do systému s využitím CAAIS-IdP (modul interního IdP CAAIS), který zde plní funkci autentizačního informačního systému dle § 56a zákona č. 111/2009 Sb., o základních registrech. Alternativně se může uživatel přihlašovat pomocí NIA (identitu občana), zřízenou zákonem č. 250/2017 Sb., o elektronické identifikaci. Pro AIS je zcela transparentní, který IdP byl v CAAIS použit.
Komunikace a předávání údajů o uživateli probíhá pomocí protokolu OIDC, který se využívá pro výměnu autentizačních a autorizačních dat. V terminologii OIDC vystupuje CAAIS v roli poskytovatele OpenID (OpenID Provider) a AIS v roli spoléhající se srany (Relying Party). Prostřednictvím OIDC protokolu předává CAAIS AIS definovanou sada atributů uživatele (viz kapitola Seznam atributů uživatele (profilu) v identity tokenu), která je podmnožinou všech atributů, které jsou o uživateli (profilu) v systému CAAIS evidovány.
CAAIS v souladu s doporučením poskytuje dobře známou URL pro autokonfiguraci:
Prostředí |
Adresa |
|---|---|
testovací |
https://rest-openidconnectapi.caais-test-ext.gov.cz/.well-known/openid-configuration |
provozní |
https://rest-openidconnectapi.caais.gov.cz/.well-known/openid-configuration |
Pokud je uživatel připojen do Centrálního místa služeb (CMS), používá místo domény gov.cz doménu cms2.cz.
Uvedené JSON soubory autokonfigurace obsahuje seznamy dostupných endpointů, stejně tak výčty podporovaných typů a služeb, proto doporučujeme se s jeho obsahem alespoň zběžně seznámit.