• Nový spôsob prístupu do elektronickej schránky technickými alebo programovými prostriedkami

• Návody:
  Register autentifikačných certifikátov (RAC) – technické účty a autentifikačné certifikáty [.pdf, 1426 kB]
  Evidencia poskytovateľov služieb (service provider) a SAML metadát [.pdf, 1355.8 kB]
  Vygenerovanie autentifikačného certifikátu - videonávod
  Metodické usmernenie

1. Čo je autentifikačný certifikát a na čo sa používa?

Autentifikačný certifikát je elektronický dokument - súbor vo formáte DER (.cer) podľa ISO/IEC 8825-1, ktorý obsahuje identifikátor osoby, ktorej bol vydaný a slúži na preukazovanie jej elektronickej identity.

Autentifikačný certifikát sa používa na účely identifikácie a autentifikácie pri automatizovanom prístupe k informačnému systému alebo elektronickej komunikácii, ktoré súvisia s výkonom verejnej moci, alebo na účely prístupu do elektronickej schránky a disponovania s elektronickou schránkou.

Používa sa na prístup technickými alebo programovými prostriedkami, ktoré sa prihlasujú automatizovane cez aplikačné rozhrania. Neslúži na prihlasovanie na portáli slovensko.sk prostredníctvom občianskeho preukazu s čipom (eID karta), dokladom o pobyte s čipom alebo alternatívnym autentifikátorom.

Certifikát si vytvára a vydáva žiadateľ sám (certifikát podpísaný sám sebou, z angl. self-signed certificate), alebo môže o vydanie požiadať inú osobu. 

Podmienkou použitia je úspešné zapísanie platného autentifikačného certifikátu do registra autentifikačných certifikátov na Ústrednom portáli verejnej správy (ÚPVS) na základe žiadosti podpísanej kvalifikovaným elektronickým podpisom alebo na základe úradne overeného podpisu.

2. Čo je technický účet a na čo sa používa?

Technický účet vzniká na základe žiadosti o registráciu autentifikačného certifikátu s technickým účtom. Je potrebný pre používanie autentifikačného certifikátu.

Technický účet je špeciálny typ identity vytvorený interne v systéme správy identít v module IAM, pre fyzickú osobu, právnickú osobu alebo orgán verejnej moci za účelom identifikácie a autentifikácie technickým alebo programovým prostriedkom použitím autentifikačného certifikátu. Technický účet zastupuje identitu vlastníka technického účtu.

Technický účet v module IAM (Identity Access Management, systém správy identít na ÚPVS) resp. zastupovanie technickým účtom určuje rozsah oprávnení a disponovania s elektronickou schránkou osoby zastupovanej technickými prostriedkami prostredníctvom podporovaných komunikačných rozhraní a v prípade orgánov verejnej moci aj rozsah oprávnení pri prístupe k službám spoločných modulov ÚPVS.

3. Kto môže o zápis autentifikačného certifikátu a o vytvorenie technického účtu požiadať?

Žiadateľom môže byť orgán verejnej moci, fyzická osoba, podnikateľ a právnická osoba.

4. Aké sú výhody použitia autentifikačného certifikátu?

Prostredníctvom technických alebo programových prostriedkov umožňuje získať automatizovaný prístup k službám spoločných modulov ÚPVS a automatizovaný prístup do elektronickej schránky alebo disponovanie s elektronickou schránkou na ÚPVS bez nutnosti použitia občianskeho preukazu s čipom (eID karta). Technické a programové prostriedky môže osoba získať od tretích strán alebo vytvoriť si vlastné po splnení podmienok úspešnej integrácie na ÚPVS.

5. Môže jeden autentifikačný certifikát pristupovať do viacerých elektronických schránok?

Áno, môže, v prípade, že má osoba, ku ktorej technickému účtu je platný autentifikačný certifikát priradený, udelené oprávnenie na prístup do viacerých elektronických schránok. V praxi to znamená, že po zaslaní formulára pre udelenie oprávnenia fyzickej alebo právnickej osobe (prípadne OVM) na prístup a disponovanie so schránkou, ktorý je dostupný priamo v elektronickej schránke, bude môcť takto oprávnená osoba pristupovať do elektronickej schránky aj použitím svojho autentifikačného certifikátu. Formulár pre udelenie oprávnenia je možné zaslať v elektronickej alebo v listinnej forme.

Jeden subjekt (FO/PO/OVM) môže na základe takto udeleného oprávnenia zastupovať neobmedzený počet iných subjektov. Pri každom takomto zastupovaní môže pre prístup využívať rovnaký autentifikačný certifikát priradený na svoj technický účet.

Pre volanie služieb ÚPVS v mene zastupovanej osoby (koncového konzumenta) je potrebné, aby informačný systém zastupujúceho subjektu (konzumenta) volal autentifikačnú službu IAM STS s parametrom OnBehalfOfId, v ktorom uvedie UPVSIdentityID (UUID identifikátor) tej identity, ktorá udelila zastupujúcemu subjektu oprávnenie na disponovanie so schránkou. Služba IAM na základe tohto volania v odpovedi vydá SAML token zastupovanej osoby, ktorý následne bude informačný systém používať štandardným spôsobom pri volaní jednotlivých služieb ÚPVS. Identifikátor zastupovanej osoby (UUID) potrebný pre parameter OnBehalfOfId je možné získať v grafickom rozhraní UPVS v sekcii "Profil" identity v poli "ID identity". Je dostupný jednak v Profile identity, ktorej bolo udelené zastupovanie a tiež identity, ktorá zastupovanie udelila.

Po začatí využívania služieb ÚPVS v mene zastupovanej osoby pomocou STS tokenu získaného s parametrom OnBehalfOfId je potrebné prestať používať autentifikačný certifikát zastupovanej osoby, ak ním zastupujúci subjekt disponuje na základe splnomocnenia tvoriaceho súčasť dodatku k dohode o integračnom zámere (DIZ). 

Súčasťou vzorového splnomocnenia zverejneného NASES v máji roku 2019 a tvoriaceho prílohu k DIZ je položka umožňujúca zastupujúcej osobe (konzumentovi) nastaviť oprávnenie na disponovanie s elektronickou schránkou zastupujúcej osoby (koncového konzumenta). Dodatok k DIZ v plnomocenstve teda umožňuje, aby si splnomocnenec (Konzument) udelil oprávnenie na prístup a disponovanie so schránkou týchto splnomocniteľov v ich mene ich autentifikačnými certifikátmi, t. j. aby sa zrealizovala migrácia z pôvodného na nový spôsob disponovania s elektronickými schránkami.

V prípade, ak má byť oprávnenie na disponovanie s elektronickými schránkami udelené len pre technický účet a teda štatutár organizácie, ktorej sa oprávnenie na disponovanie s elektronickou schránkou udeľuje, nemá mať so svojím eID alebo MobileID prístup do týchto schránok, je potrebné zaslať do NASES zoznam subjektov, pre ktoré sa má prístup obmedziť. Takéto obmedzenie je možné nastaviť pre už nastavené zastupovania.

Poznámka: V prípade, ak subjekt potrebuje používať služby v mene iných subjektov z rôznych informačných systémov a na tento účel chce svojim systémom nastaviť rôznu úroveň oprávnení alebo používať viac ako jeden certifikát alebo technický účet, je k dispozícii aj táto možnosť. V takom prípade je potrebné si zaregistrovať viaceré technické účty pre jednu identitu alebo viaceré certifikáty na jeden technický účet danej identity.

Do budúcna pripravujeme nový formulár, ktorý umožní udeliť oprávnenie na disponovanie so schránkou len pre prístup technickým účtom s autentifikačným certifikátom (s voliteľnou možnosťou aj cez eID a pod.), čím sa zamedzí nežiadúcemu zobrazovaniu zastupovaní na prihlasovacej stránke štatutárovi zastupujúcej identity pri jeho prihlasovaní s eID.

Obr.1 - Screenshot z profilu identitu s informáciou ID Identity

Obr.2 - Screenshoty súvisiacich ustanovení z Dodatku k DIZ - Príloha č. 1: Plnomocenstvo

6. Koľko autentifikačných certifikátov a technických účtov môže mať jedna identita?

Jedna identita môže mať zaregistrovaných viacero technických účtov a viacero autentifikačných certifikátov.

Jeden autentifikačný certifikát môže byť zaregistrovaný iba jedenkrát, a teda iba na jeden technický účet. Registrácia rovnakého autentifikačného certifikátu bude zamietnutá vzhľadom na zhodu jeho digitálneho odtlačku.

Pre jeden technický účet môže byť zaregistrovaný neobmedzený počet autentifikačných certifikátov. (Počet nie je obmedzený, avšak v prípade potreby veľkých počtov pre jednu identitu - rádovo stoviek - je žiadúce vopred konzultovať s odborom integrácií.)

7. Koľko subjektov môže zastupovať jeden technický účet ?

Technický účet zastupuje jeden subjekt FO/PO/OVM – vlastníka technického účtu. Následne tento subjekt môže zastupovať ľubovoľný počet subjektov na základe udeleného oprávnenia. Príklad: Právnická osoba - spoločnosť poskytujúca určité služby pre rôzne subjekty (klientov) si môže zaregistrovať technický účet s naparovaným autentifikačným certifikátom a následne na základe udelenia oprávnení môže zastupovať ľubovoľný počet klientov.

8. Ako sa vytvára autentifikačný certifikát?

Na vytvorenie autentifikačného certifikátu a privátneho kľúča je možné použiť napríklad voľne dostupný softvér OpenSSL s nasledovnými príkazmi:

• openssl req -newkey rsa:2048 -nodes -keyout key.pem -x509 -days 730 -out certificate.pem -subj /CN=ico-12345678
• openssl x509 -outform der -in certificate.pem -out certificate.cer
• openssl pkcs12 -export -out key.p12 -inkey key.pem -in certificate.pem

Po spustení prvého príkazu si aplikácia vyžiada údaje o identite. V údajoch sa nesmie vyplniť žiadna položka okrem CN - Subject.

Videonávod na vygenerovanie autentifikačného certifikátu je dostupný na tomto linku.

9.  Aké parametre musí spĺňať certifikát?

• Certifikát môže byť vydaný samotným žiadateľom (tzv. self-signed certifikát). V prípade certifikátu vydaného certifikačnou autoritou nie je potrebné údaje o tejto autorite vydávajúcej certifikát zasielať do NASES. Register autentifikačných certifikátov obsahuje všetky informácie  o platnosti certifikátov a nijako nezohľadňuje stav autentifikačného certifikátu podľa CRL vydávajúcej certifikačnej autority. Certifikáty je potrebné rušiť zaslaním žiadosti do registra.
• Formát certifikátu X.509 v kódovaní DER podľa ISO/IEC 8825-1 (obvyklá prípona súboru: „.cer“)
• Platnosť: 2 roky (729 až 731 dní)
• Distinguished name (DN): Môže obsahovať výlučne Common name (CN) a nesmie obsahovať žiadne ďalšie údaje.
• Common name (CN):
  - v prípade fyzickej osoby: rc-rodné číslo (príklad: rc-8001011234 ),
  - v prípade právnickej osoby: ico-identifikačné číslo organizácie _ suffix (príklad: ico-12345678 alebo ico-12345678_10001 alebo ico-123456789012 )
• Dĺžka kľúča: 2048 bit
• Algoritmus: Public Key Algorithm: RSA, Signature Algorithm - jedna z možností: sha256WithRSAEncryption, sha512WithRSAEncryption, SHA256withRSA SHA512withRSA

10. Aké údaje má certifikát správne obsahovať?

Vygenerovaný certifikát so správnou hodnotou CN a dobou platnosti 2 roky je znázornený na Obr. 1.

• Povinná hodnota CN je v tvare ico-XXXXXXXX , kde „XXXXXXXX" je IČO subjektu, pre ktorý certifikát registrujete. Ak by ste mali zriadenú organizačnú jednotku, tak sa uvádza v tvare ico-XXXXXXXX_suffix.
• Povinná doba platnosti je aktuálne 2 roky (t. j. 729 až 731 dní).

Správny tvar subjektu certifikátu, algoritmu a dĺžky kľúča je zobrazený na Obr. 2. 

Obr. 3 - Hodnota CN bez suffixu/Hodnota CN so suffixom

Obr. 4 - Správny tvar držiteľa, algoritmu a dĺžky kľúča 

11. Má autentifikačný certifikát a technický účet obmedzenú platnosť ?

V zmysle aktuálne platného integračného manuálu IAM je platnosť autentifikačného certifikátu 2 roky. Platnosť technického účtu je neobmedzená.

Žiadateľ môže obmedziť len platnosť zastupovania medzi technickým účtom a vlastníkom. „Platnosť od“ a „Platnosť do“ určuje platnosť zastupovania a tým aj oprávnenia na prístup a disponovanie s elektronickou schránkou. Koniec platnosti zastupovania nie je povinné uvádzať. Technický účet je aktívny aj po skončení platnosti autentifikačného certifikátu, ale nie je ním možné sa prihlásiť. Po zaregistrovaní platného autentifikačného certifikátu je opäť možné sa technickým účtom prihlasovať. 

12. Ako sa dozviem o blížiacom sa uplynutí platnosti autentifikačného certifikátu alebo certifikátu z metadát poskytovateľa služieb (SP - service provider)?

Notifikačné správy o blížiacom sa uplynutí platnosti autentifikačného certifikátu alebo certifikátu poskytovateľa služieb (SP) sa zasielajú do elektronickej schránky vlastníka 30 dní, 14 dní, 7 dní, 1 deň pred uplynutím platnosti a aj posledný deň platnosti. V prípade, ak ste vyplnili kontaktné údaje v žiadosti, notifikačné správy vám budú doručené aj na vami uvedenú e-mailovú adresu.

13. Aký formulár mám použiť, ak chcem zaregistrovať autentifikačný certifikát a zároveň vytvoriť technický účet?

Technický účet je technickou podmienkou používania autentifikačného certifikátu a preto prvý zápis autentifkačného certifikátu musí byť zároveň s vytvorením technického účtu.

Je potrebné použiť formulár s názvom „Žiadosť o zápis autentifikačného certifikátu do registra autentifikačných certifikátov“. Formulár nájdete v časti „Profil“ po otvorení „Technické účty a certifikáty“ alebo na ÚPVS v sekcii „Nájsť službu“.

Žiadosť je možné podať aj bez prihlásenia, v takom prípade je potrebné po elektronickom odoslaní žiadosť vytlačiť, podpísať a podpis na nej úradne osvedčiť a zaslať do Národnej agentúry pre sieťové a elektronické služby.

14. Ako sa dozviem o úspešnej registrácii autentifikačného certifikátu a o vytvorení technického účtu? 

O úspešnej registrácii autentifikačného certifikátu a o vytvorení technického účtu sa dozviete prostredníctvom informačnej správy o výsledku spracovania žiadosti zaslanej do elektronickej schránky vlastníka a na e-mailovú adresu uvedenú v žiadosti ako kontaktný údaj.

15. Úspešne som si zaregistroval autentifikačný certifikát a vytvoril technický účet a zároveň mám integráciu na ÚPVS. Ako ďalej?

Zaregistrovaný technický účet s naparovaným autentifikačným certifikátom môže subjekt využiť  na získanie časovo obmedzeného SAML tokenu, ktorým preukáže svoju totožnosť pri autentifikovanom prístupe k službám ÚPVS napr. pri automatizovanom získavaní obsahu elektronickej schránky.

16. Úspešne som si zaregistroval autentifikačný certifikát a vytvoril technický účet a nemám integráciu na ÚPVS. Bude mi to fungovať?

Pre využívanie automatizovaného prístupu prostredníctvom autentifikačného certifikátu a technického účtu je potrebné sa najskôr integrovať na ÚPVS. O potrebných krokoch sa môžete informovať prostredníctvom Ústredného kontaktného centra na tel. č. +421 2 35 803 083 alebo vyplnením kontaktného formulára.

17. Aký formulár mám použiť, ak potrebujem pre existujúci technický  účet upraviť rozsah oprávnenia na prístup k elektronickej schránke alebo dobu platnosti oprávnenia?

Je potrebné použiť formulár s názvom „Žiadosť o zmenu v prístupových oprávneniach technického účtu“. Formulár nájdete po prihlásení sa na ÚPVS v sekcii „Nájsť službu“ alebo v sekcii „Profil“, časť „Technické účty a certifikáty“ pri konkrétnom technickom účte kliknutím na tlačidlo „Upraviť“ .

18. Aký formulár mám použiť, ak mi končí platnosť autentifikačného certifikátu k existujúcemu technickému účtu?

Je potrebné použiť formulár s názvom „Žiadosť o zmenu zápisu autentifikačného certifikátu v registri autentifikačných certifikátov“. Formulár nájdete po prihlásení sa na ÚPVS v sekcii „Nájsť službu“.

19. Aký formulár mám použiť, ak chcem zrušiť autentifikačný certifikát?

Je potrebné použiť formulár s názvom „Žiadosť o zrušenie autentifikačného certifikátu v registri autentifikačných certifikátov“. Formulár nájdete po prihlásení sa na ÚPVS v sekcii „Nájsť službu“ alebo v sekcii „Profil“, časť „Technické účty a certifikáty“ kliknutím na názov technického účtu, ku ktorému sa autentifikačný certifikát viaže a pri konkrétnom autentifikačnom certifikáte je potrebné kliknúť na tlačidlo „Zneplatniť“.

20. Aký formulár mám použiť, ak chcem zrušiť technický účet?

Je potrebné použiť formulár s názvom „Žiadosť o zrušenie prístupových oprávnení technického účtu (zrušenie technického účtu)“. Formulár nájdete po prihlásení sa na ÚPVS v sekcii „Nájsť službu“ alebo v sekcii „Profil“, časť „Technické účty a certifikáty“ pri konkrétnom technickom účte kliknutím na tlačidlo „Zrušiť“.

21. Kedy sa odoslané formuláre spracovávajú?

Žiadosti k registrácii a aktualizácii poskytovateľa služieb (service provider – SP) sa spracovávajú raz za 24 hodín, ostatné žiadosti každých 5 až 10 minút (ak sa pri nich nevyžaduje manuálne spracovanie pracovníkom ÚPVS, napr. v prípade anonymne podanej žiadosti a pod.).               

22. Čo potrebujem doložiť k žiadosti a ako sa žiadosť spracuje, ak odosielateľ žiadosti o registráciu autentifikačného certifikátu nie je totožný s držiteľom autentifikačného certifikátu a nemá udelené oprávnenie na prístup a disponovanie s elektronickou schránkou?

K žiadosti je potrebné priložiť splnomocnenie. Takáto žiadosť nie je spracovávaná automaticky, t. j. okamžite v momente odoslania žiadosti, ale podlieha manuálnej kontrole pracovníkom ÚPVS.

23. Ak sa vo formulári nachádza povinné pole „Názov technického účtu“, ako zistím tento údaj?

Názov technického účtu nájdete buď v informačnej správe o výsledku spracovania žiadosti o registráciu autentifikačného certifikátu a o vytvorení technického účtu (zaslanej do elektronickej schránky vlastníka) alebo po prihlásení sa na portál slovensko.sk v časti „Profil“, „Technické účty a certifikáty“, alebo sa môžete obrátiť na operátorov nášho Ústredného kontaktného centra. V prípade, že máte integráciu na ÚPVS, môžete zistiť názov technického účtu aj zavolaním požiadavky o vydanie STS tokenu v elemente Actor.ID.

24. Môžem si zaregistrovať autentifikačný certifikát aj bez existencie technického účtu?

Nie, nie je to možné, autentifikačný certifikát musí byť naviazaný na technický účet.

25. Aký formulár mám použiť, ak sa chcem zaregistrovať ako poskytovateľ služieb (SP – service provider)?

Je potrebné použiť formulár s názvom „Žiadosť o registráciu poskytovateľa služieb v module IAM“. Formulár nájdete po prihlásení sa na ÚPVS v sekcii „Nájsť službu“ alebo v sekcii „Profil“, v časti „Technické účty a certifikáty“ - Poskytovatelia služieb (Service provider).

26. Aký formulár mám použiť, ak mi končí platnosť certifikátu poskytovateľa služieb (SP – service provider)?

Je potrebné použiť formulár s názvom „Žiadosť o zmenu údajov poskytovateľa služieb v module IAM“. Formulár nájdete po prihlásení sa na ÚPVS v sekcii „Nájsť službu“ alebo v sekcii „Profil“, v časti „Technické účty a certifikáty“ - Poskytovatelia služieb (Service provider) kliknúť na tlačidlo „Upraviť“.

27. Aký formulár mám použiť, ak chcem zrušiť poskytovateľa služieb služieb (SP – service provider)?

Je potrebné použiť formulár s názvom „Žiadosť o zrušenie poskytovateľa služieb v module IAM“. Formulár nájdete po prihlásení sa na ÚPVS v sekcii „Nájsť službu“ alebo v sekcii „Profil“, v časti „Technické účty a certifikáty“ - Poskytovatelia služieb (Service provider) kliknúť na tlačidlo „Zrušiť“.

28. Ako postupovať v prípade potreby hromadnej registrácie autentifikačných certifikátov?

V rámci Registra autentifikačných certifikátov nie sú možné hromadné registrácie autentifikačných certifikátov jednou žiadosťou. V prípadoch potreby hromadných registrácií musí integrovaný subjekt postupovať jednou z možností: 

• začať využívať volania STS služby s jedným autentifikačným certifikátom v zastúpení iných osôb (s parametrom OnBehalfOfId) namiesto samostatnej registrácie certifikátov za každý zastupovaný subjekt (túto možnosť umožňuje aj dodatok k DIZ so splnomocnením na udelenie zastupovania a na zrušenie doterajšieho autentifikačného certifikátu, na základe ktorého môžete zmigrovať svoje súčasné riešenie z množstva samostatných autentifikačných certifikátov na jeden certifikát),
• implementovať si automatizovanú registráciu autentifikačných certifikátov prostredníctvom na to určeného elektronického formulára a zasielať žiadosti prostredníctvom integračného rozhrania,
• manuálne registrovať každý autentifikačný certifikát zvlášť.

29. Ako postupovať, keď mi do elektronickej schránky príde informácia o exspirácii autentifikačného certifikátu?

V správe (Obr. 5) nájdete aj názov technického účtu (ICO - ...), na ktorom platnosť autentifikačného certifikátu uplynie. V prípade, ak ste v minulosti registráciu nevykonávali a máte zazmluvneného dodávateľa/poskytovateľa riešenia, či už je to registratúra alebo iný informačný systém, ktorým sa prihlasujete na ÚPVS alebo ktorý využíva služby ÚPVS, informujte ho o tejto správe a dohodnite si s ním postup preregistrácie. Preregistráciu certifikátu môže dodávateľ/poskytovateľ riešenia vykonať za vás pri splnení všetkých náležitostí, ktoré sú popísané v metodickom usmernení 7/2023 a v prehľade príloh.