Czech POINT

Záznam ze školení JIP/KAAS, 2. srpna 2024

Školení zaměřené na Jednotný identitní prostor (JIP) a Katalog autentizačních a autorizačních služeb (KAAS). Připraveno pro všechny uživatele, kteří chtějí lépe porozumět procesům správy uživatelských účtů, systému samotnému, jeho funkcionalitě a možnostem nastavení agendových informačních systémů. Konkrétně zaměřené na ovládání JIP z pohledu lokálních administrátorů a garantů AIS.  

• Záznam ke spuštění 
• Prezentace ke stažení 

Otázky a odpovědi – Správa dat

Na základě otázek položených během online školení JIP/KAAS jsme připravili shrnující přehled nejčastějších otázek a odpovědí. Do přehledu jsme nezařadili témata, která byla pokryta samotným školením.  

Je pravda, že JIP/KAAS bude nahrazen systémem CAAIS?
Ano, k postupnému přechodu z JIP/KAAS na modernější CAAIS skutečně v průběhu následujících let dojde. Nové informační systémy by se měly v příštím roce napojovat již na CAAIS, což znamená, že pro přístup k nim bude nutný uživatelský účet v CAAIS. Stejně jako v JIP/KAAS, i v CAAIS již má každý OVM automaticky zřízený profil, který je možné využívat. Více informací, včetně detailní nápovědy, naleznete na stránce caais.gov.cz. Obecně lze konstatovat, že principy správy uživatelů a subjektů jsou zde velmi podobné tomu, jak se spravují v JIP/KAAS. Změna se netýká uživatelů Czech POINT, ti se budou stále hlásit prostřednictvím JIP/KAAS.

Plánujete modernizaci JIP/KAAS? 
Vzhledem k přechodu na CAAIS by celková modernizace JIP/KASS nebyla efektivní investicí. Nicméně přibudou některé funkcionality, které mimo jiné přechod na CAAIS usnadní. Jedná se například o hromadný export uživatelů. 

V roce 2025 končí podpora Windows 10 a bude se přecházet na Windows 11. Počítáte s tím? 
Tuto problematiku pečlivě sledujeme. V současné době bohužel stále řešíme potíže s uživateli, kteří dodnes používají Windows 7. Uživatele, kteří používají operační systémy bez podpory, vyzýváme k nápravě.  

Je pro ZFO formuláře na hlášení změn OVM vůči DIA třeba FormFiller, nebo jde o online (webovou) podobu? 
Je zapotřebí program FormFiller. 

Zajímala by mě problematika zneplatňování uživatelských účtů. Lze uživatele nejen zneplatnit, ale i smazat? 
Po ukončení pracovního poměru je nutné uvést uživatelský účet daného zaměstnance do stavu „blokován“. Takový účet již pro přihlašování používat nelze. Úplně odstranit uživatele ze systému není možné, a to kvůli možnému auditu. Nicméně v nastavení si může lokální administrátor nastavit filtrování nad uživateli tak, aby blokované účty zůstaly skryté. Zablokovaný uživatelský účet lze znovu aktivovat, takže pokud se zaměstnanec například vrací z rodičovské dovolené, není nutné zakládat účet nový. 

Dobrý den. Pokud jeden uživatel přebírá kompletní agendu jiného, nejde to nějak ve Správě dat udělat jedním úkonem? 
Bohužel, role je zapotřebí přidat ručně. Chápeme, že tuto činnost můžete vnímat jako zbytečnou zátěž, ale prosíme vás o dodržení tohoto postupu a vyvarování se přístupu, kdy zaměstnanec používá účet svého předchůdce. Každý zaměstnanec, který potřebuje využívat přihlašování prostřednictvím JIP/KAAS, musí mít svůj vlastní účet. 

Je možné změnit uživatelské jméno, případně jméno a příjmení, například z důvodu svatby? 
Jméno a příjmení jsou při aktivaci účtu ověřeny oproti registru obyvatel. Následně se z ROB dozvíme o změně a jméno či příjmení se aktualizuje samo. Uživatelské jméno však změnit nelze. Pokud je požadována změna uživatelského jména, nezbývá, než původní účet zablokovat a založit nový. 

Ve Správě dat jsou jména a příjmení některých uživatelů v kapitálkách, jiná jsou uvedena standardně (velká jsou pouze počáteční písmena). Jak to změním? 
Jméno a příjmení, stejně jako uživatelské jméno, změnit nelze. Otázku velikosti písmen jsme nicméně konzultovali s provozovatelem systému. Dle jeho vyjádření přejímá systém jméno a příjmení, včetně formy jeho zápisu, z registru obyvatel a na podobu jeho zápisu nemá vliv. Z historických důvodů došlo k rozdílnému zápisu, nicméně funkčně to není podstatné. 

Některé údaje o subjektu nelze editovat ve Správě dat (například číslo účtu, e-mailová adresa). Jak je tedy změním? A k čemu je kategorie URL WWW adres, které jsou uloženy v JIP? Kde se to propisuje? 
O změnu údajů, u kterých to není možné ve Správě dat, je zapotřebí požádat prostřednictvím formuláře odeslaného z datové schránky subjektu do datové schránky Automat SOVM. 
Část vedených údajů je pouze informativního rázu a je pouze na daném subjektu, zda se je rozhodne vyplňovat. Dříve se tato metadata publikovala na Portálu veřejné správy a tvořila veřejný zdroj údajů o orgánech veřejné moci. To je dnes již překonáno, nicméně údaje stále publikujeme formou open dat. 

Jaká je role JIP ve smyslu editora údajů v registru osob (ROS) ve vztahu k různým právním formám (např. lékařská komora, obec, správní úřad)? 
Editorem údajů ROS je JIP pouze ve vztahu k vybrané množině právních forem, typicky pokrývajícím veřejnou správu a samosprávu (obce, kraje, organizační složky státu). Například při změně sídla úřadu změní lokální administrátor adresu přímo ve Správě dat, odkud se změny propíší do ROS a následně do dalších AIS čerpající údaje z ROS. 
Údaje všech ostatních subjektů se mění prostřednictvím aplikace ROS-IAIS, případně je do ROS editují jiné připojené systémy, jako jsou veřejné rejstříky. Návod na práci s ROS-IAIS naleznete ke stažení na adrese https://www.dia.gov.cz/wp-content/uploads/2024/01/CzechPOINT_zmena_statutarniho_zastupce_v_ROS-IAIS.pdf 

Mohu jako státní zaměstnanec pro výkon své úřední činnosti použít přihlášení pomocí NIA?  
O tom, zda se zaměstnanci mohou přihlašovat prostřednictvím NIA, rozhoduje každý subjekt sám. A i když to svým zaměstnancům dovolí, lze se NIA přihlašovat jen do systémů, které tuto možnost podporují. Údaje, které připojený systém získá, se nijak neliší od údajů, které získává při přihlášení pomocí účtu JIP. Detailní seznam poskytovaných údajů naleznete v technické dokumentaci ke službám JIP/KAAS. Z osobních údajů se jedná vlastně jen o jméno a příjmení. Pokud má konkrétní fyzická osoba účty u více subjektů, je po přihlášení pomocí NIA vyzvána, aby si zvolila jeden z nich. Externí systém se o existenci ostatních účtů nedozví. 

Zajímala by mě správa jiných organizací, tedy subjektů s duplicitním IČO a zřizovaných organizací. Kdy se využívá a jakým způsobem probíhá? Co mohu jako nadřízený orgán ve Správě dat řídit? 
JIP přebírá strukturu orgánů veřejné moci především z Registru práv a povinností, kde je každý OVM veden pod vlastním identifikátorem, bez ohledu na to, zda jeho právní subjektivita je samostatná (má vlastní IČO), nebo je svázaná s hlavním subjektem. Každý OVM je pro nás tedy samostatným subjektem s vlastním vedoucím představitelem. „Nadřízený subjekt“ tedy z našeho pohledu vlastně nadřízeným není a nemá žádná oprávnění ve vztahu k jinému OVM. Pokud dochází ke změně struktury a např. regionální úřadovny zanikají nebo se slučují, je nutné, aby nadřízený úřad s dostatečným předstihem kontaktoval DIA. Následně společně připravíme projekt transformace, což může zahrnovat změny v ROS, změny v datových schránkách a také v JIP. 

Jaký je vztah role v JIP k roli v RPP? Jde mi o nalezení spojitosti mezi názvem (označením) role v JIP a rolí/úkony/službami v RPP. A za jak dlouho se změny provedené v RPP projeví v JIP? 
JIP načítá změny z RPP na základě obdržených notifikací generovaných z ISZR. Změny by se standardně měly z RPP do JIP načíst nejpozději o druhého dne. Do JIP přebíráme kompletní působnost OVM v členění na agendy a činnostní role. Lokální administrátor si jejich přehled může zobrazit a zkontrolovat na záložce „AGENDY A ROLE“, případně „Správa rolí“. Pokud se zobrazený obsah liší od údajů vedených v RPP, kontaktujte helpdesk. Oproti tomu tzv. Přístupové role nemají s údaji v RPP nic společného a nijak se na údaje RPP nevážou. S údaji o digitálních úkonech a službách z Katalogu služeb v JIP nijak nepracujeme. 

Jako gestor centrálního systému jsem pro něj nadefinoval několik přístupových rolí, které jsem podle nějakého klíče přidělil všem obcím v ČR. Pokud dojde k přidání nové funkčnosti, která vyžaduje novou přístupovou roli, je možné tuto roli obcím přidělit hromadně, nebo je možné postupovat pouze jednotlivě? 
Aktuálně nemáme funkci pro hromadné přidělení. Lze vybírat jen všechny subjekty zobrazené na jedné stránce a těm hromadně roli přidělit, ale pokud je subjektů několik tisíc, pak je to bohužel zdlouhavá práce. Pokusíme se najít řešení pro zlepšení situace. 

Dají se metody přidělení rolí kombinovat? 
Z pohledu garanta AIS platí, že může nebo nemusí u konkrétního AIS definovat přístupové role. Zároveň AIS může využívat pro vyhodnocení oprávnění uživatele činnostní role, ale ty není v prostředí JIP potřeba předem párovat s konkrétním AIS. Tzn. garant AIS se činnostními rolemi v prostředí JIP nezabývá. Jejich vyhodnocení je čistě záležitostí uvnitř daného AIS. Obě metody je dokonce možné kombinovat, ale koncepčně zastáváme názor, že metoda autorizace pomocí činnostních rolí je modernější, protože garantovi AIS odpadne práce s přidělováním rolí množině subjektů. 
Z pohledu lokálního administrátora se s přístupovými i činnostními rolemi pracuje shodně.  

Je možné registrovat AIS do JIP/KAAS, i když ještě nefunguje, teprve vzniká? Jak se žádá o testovací prostředí? A kolik AIS si může OVM v produkčním, případně testovacím prostředí zaregistrovat? 
Žádost o registraci do testovacího prostředí je zapotřebí odeslat z datové schránky registrujícího subjektu do datové schránky Automat SOVM. Formulář ke stažení naleznete na adrese https://www.czechpoint.cz/data/formulare/files/zadost_registrace_do_testovaciho_JIP_KAAS.zfo. 
Limit na počet registrovaných AIS neexistuje. 

Je nutné u metody autorizace pomocí Přístupových rolí přidělit role konkrétním OVM, nebo je možné přidělovat role konkrétním skupinám, druhům (např. všem obcím)? 
Přidělování rolí si je možné usnadnit prostřednictvím filtrů. 

Pochopil jsem správně, že JIP/KAAS má vystavené rozhraní, na které mohu napojit HR systém a záležitosti typy nástup zaměstnance nebo jeho odchod řešit automaticky ze strany HR systému?
JIP/KAAS webové služby skutečně nabízí. Veškeré informace naleznete ke stažení na adrese https://www.czechpoint.cz/data/formulare/files/popis_WS_KAAS-JIP.zip 

Potřebujeme naše programy od Gordicu (spisovka, ROB, Matrika) propojit na ISZR, aby se nám ověřovaly, propisovaly a aktualizovaly údaje. Pan starosta žádal o přístup do Extranetu, ale nakonec jsme zjistili, že je pro nás nemožné se připojit, protože u nás není potřebná infrastruktura. Je možné toto vyřešit registrací AIS? 
Ne, toto se musí řešit jinde, zřejmě v prostředí portálu CMS. Nicméně i pro přístup do Portálu CMS potřebujete účet JIP a příslušnou roli. 

Je možné se dozvědět u různých AIS (myslím tím někde na jednom místě), jaké vyžadují přihlášení, předtím než se např. vydají komerční certifikáty (mnohdy zbytečně protože stačí přihl. jméno a heslo). 
DIA, jako správce JIP, nemůže znát všechny podmínky a požadavky na přístup do konkrétních jednotlivých systémů. Podmínky pro přístup, tedy např. úroveň autentizace a zejména množinu potřebných rolí, stanovuje správce daného systému. 

Existuje nějaká služba / podpora malých obcí s IT? Nemáme IT pracovníka a nejsme schopni jej najít, resp. zaplatit. Externí firmy zase nezajímají zákony a paragrafy. Vše děláme svépomocí a takříkajíc na koleni a neradi bychom měli něco špatně. 
Dotaz nespadá do kompetence správce JIP, neumíme tedy odpovědět. Doporučujeme obrátit se například na Ministerstvo vnitra.

Otázky a odpovědi – jiné systémy

Když na obec přijde zpráva z registru práv a povinností – Sdělení o registraci změny agendy a níže je napsáno… „oznamte vykonávání agendy ve lhůtě 30 dnů prostřednictvím AIS RPP Působností“, jaký je správný postup tohoto oznámení? Je to povinné?
Ano, povinné to ze zákona je. Navíc, když subjekt v RPP technicky neoznámí vykonávání agendy, daná agenda nemusí fungovat.
Návod k problematice naleznete na adrese https://archi.gov.cz/znalostni_baze:aisp_oznameni_vykonu_agendy.

Kdy bude možné provést synchronizaci uživatelů z JIP/KAAS do Portálu správy uživatelů eSEL na produkčním prostředí?  
Otázku směřujte na správce eSEL. Za DIA ani nevíme, že nějaká synchronizace byla vyžadována / plánována. 

Je možné přistupovat soudními pracovníky přes JIP/KAAS do agendy ČSSZ? A případně jak. 
Otázku směřuje na správce dotčených systémů, zřejmě na ČSSZ nebo MPSV. 

Jsem lokálním administrátorem ČP a zajímalo by mne, kde naleznu přístup do testovacího prostředí eDoklady. Prosím o informaci, kdo mi bude schopen poradit, k jakému subjektu ČP v JIP lze přístup k testovacímu prostředí eDokladům nastavit. 
Na otázky týkající se nastavení prostředí České pošty bohužel neumíme odpovědět. Je nutné obrátit se na Help Desk ČP 

Bylo by možné přistupovat do aplikace e-Doklady přes Czech Point? Všichni, kdo jsou oprávněni, mají přiděleny přístupové role v seznamu OVM a nemuseli bychom zdlouhavě nastavovat různé přepážky a pracovní místa a mobilní čtečky apod. V tomto jsou e-Doklady zbytečně komplikované. Při žádostech občana v rámci výpisů z CzechPoint při prokázání totožnosti eDokladem dle metodiky máme vytisknout verzi eDokladu a založit k žádosti, to mi přijde úplně komické, stačilo by do žádosti přidat proklik na eDoklady a ztotožnit přes QR kód. 
Na lepším řešení načítání eDokladů pracujeme a do provozu ho nasadíme co nejdříve to bude možné. 

Otázky a odpovědi – Portál stavebníka

Následující otázky jsme postoupili Ministerstvu pro místní rozvoj, na odpovědi čekáme.

Kde a jak je možné nastavit přístup do portálu stavebníka? 

Příslušné políčko pro zaškrtnutí v nastavení JIP KAAS nemáme zpřístupněno.

Je opravdu nutné zakládat v JIP duplicitně účty (jeden pro stavební úřad a jeden pro dotčený orgán)? 

Referentka byla zadána přímo v ISSŘ, aniž by se předtím přihlásila přes JIP/KAAS. Nyní se po přihlášení přes JIP/KAAS zobrazuje hláška účet již existuje a nelze pokračovat dál. Prosím o radu, co s tím. 

Dobrý den, proč se lze do digi stavebního řízení přihlásit jen jménem a heslem? Mně to přijde jako dost veliké bezpečnostní riziko. Změní se to? 

Máme dotaz k Portálu stavebníka. Jakým způsobem se může do Portálu stavebníka přihlásit obec jako právnická osoba (např. chce podat žádost o vydání povolení stavby)? Nikde jsme nenašli možnost přihlášení přes certifikát, kterou se např. přihlašujeme do Czech Pointu.

5. srpna 2024