Ve svém nedávném blogpostu o identitách jsem zmiňoval finišující proces standardizace protokolu OAuth 2.0 směřující do podoby RFC a novou iniciativu v podobě protokolu OpenID Connect. Tyto technologie a digitální identity vůbec budou zdá se jedním z důležitých témat blížícího se setkání IETF 83. Jako první se iniciativy chopil ISOC, který na příští úterý ohlásil panelovou diskuzi na téma Authentication and Authorization: Next steps for OpenID and OAuth. Vzápětí se na čtvrteční program konference dostala sada prezentací následovaná otevřenou diskuzí na téma Beyond HTTP Authentication: OAuth, OpenID, and BrowserID. Na oboje jsem velice zvědavý, stejně tak na výsledek, které obě akce přinesou.

Na IETF se tyto technologie objevují ještě v jednom ne úplně nevýznamném kontextu. V pracovní skupině KITTEN (Common Authentication Technology Next Generation) se například řeší, jak využít OpenID, OAuth nebo SAML pro autentizaci v běžných internetových protokolech používajících standardy GSS a SASL. Nemusí tak být úplně nesmyslná představa, že jednou bude možné se pomocí OpenID přihlašovat i do LDAPu, IMAPu a dalších. Třeba to nebude trvat dlouho, nechme se překvapit.

Jaromír Talíř

Jak jsme se nedávno dozvěděli z novin a televizí, naši mladí (čti nezletilí) lámou rekordy, snad i celoevropské, v pití alkoholu. Tyto informace nenechaly nečinnými zaměstnance společnosti dTest, kteří vyzkoušeli 12 českých eshopů věnujících se i prodeji alkoholických nápojů. Výsledek nepotěší a taky nepřekvapí: 10 z 12 online obchodů umožňuje prodej alkoholu osobám mladším 18 let. Zbývající dva z toho vyšly bez ztráty kytičky, a to proto, že mají propracovanou distribuci, na jejímž konci je fyzické ověření odběratele zboží při jejím předávání.

Co si z toho vzít? Alkohol je mezi mladými stále velkým fenoménem. Ten jak vidíme pomáhají svým způsobem posilovat i někteří provozovatelé elektronických obchodů. Dobrá zpráva je, že tu jsou ale i takoví, kteří se drží zákona. A kromě jednoho již aplikovaného řešení se nabízí doslova na míru ušitá služba umožňující vyžadovat při objednání některé, v tomto případě podstatné osobní údaje. Na jejich základě by potom bylo zájemci o alkohol povoleno nebo nepovoleno toto zboží získat.

Snad se časem najdou další a další příklady z praxe, které povedou po té správné cestě, ať už je zvolený způsob ověření věku jakýkoliv. Za jak dlouho se tak stane, kdo ví.

VS

Přestože je téma digitální identity (a souvisejících distribuovaných „single sign-on“ přihlašovacích mechanismů) staré možná jako internet sám, troufám si tvrdit, že jeho největší okamžiky teprve přijdou. Po úspěších centrální správy identit, které v současnosti ukazují veřejné služby jako Facebook, nebo Google+, přirozeně pokukují propagátoři různých forem e-governmentu. V něm mohou některé mechanismy fungovat na podobných principech, přičemž přidaná hodnota je určitě validita údajů identit, které veřejné služby mohou jen těžko dosáhnout. Nesmělé náznaky v podobě elektronických občanek u nás, připravované rozhraní k datovým schránkám, ale i aktivity vlád v celém světě (německý projekt de-ident, americká strategie pro důvěryhodné identity v kyberprostoru NSTIC, nebo projekt evropské identity STORK) naznačují, že tato oblast v blízké době zažije velké změny. Bylo by jistě užitečné, kdyby jednotlivé implementace místo proprietárních řešení vycházely z konsensuálních standardů, které i v této oblasti existují a není jich málo.

Jednou z platforem, na které kooperují autoři těchto standardů, je například Internet Identity Workshop. V rámci pravidelných konferencí této platformy, které se konají dvakrát ročně si zástupci nejrůznějších standardizačních organizací vyměňují informace o novinkách ve svých produktech. Na následujících řádcích bych rád shrnul nejvýznamnější standardy na tomto poli a upozornil na nejnovější aktivitu, která se objevila v průběhu minulého roku.

Asi nejstarším zástupcem  protokolů této kategorie je SAML. Jeho první verze pochází z roku 2002 a zatím poslední verze z roku 2005. Za tento, na jazyku XML založený, protokol nese odpovědnost standardizační organizace OASIS, známá svými dalšími „XML aktivitami“ jako Docbook nebo DITA. SAML se poměrně pevně usadil v akademickém světě. Například u nás je to protokol, na kterém funguje Česká akademická federace identit známá pod zkratkou EduID,  provozovaná sdružením CESNET. Takže pokud máte účet v systému své vysoké školy, s velkou pravděpodobností můžete používat SAML pro přihlašování u systémů poskytovatelů služeb, které jej podporují. Těch bohužel není mnoho a zejména jsou to opět akademické instituce. Jedním z těchto poskytovatelů služeb by, alespoň podle dokumentace, měly být i GoogleApps.

V roce 2005 se na poli standardů objevil protokol OpenID. Jeho jádro prošlo vývojem a ustálilo se na verzi 2.0 z konce roku 2007. V průběhu dalších zhruba tří let si získal velkou popularitu a podporovali ho i velcí hráči jako Google nebo Microsoft. Za účelem rozvoje tohoto standardu vznikla organizace OpenID Foundation, která sdružuje jak zástupce poskytovatelů identit, tak poskytovatelů služeb. U nás byl dlouho jediným větším průkopníkem této technologie Seznam.cz. Předloni jsme si OpenID jako komunikační protokol zvolili i my s naší službou ověřených identit mojeID. Důležitou vlastností tohoto protokolu je možnost standardizované výměny atributů identity.

Při práci na implementaci OpenID do služby Twitter vznikla další významná technologie pojmenovaná OAuth. Na rozdíl od OpenID má tato technologie jako cíl umožnit poskytovatelům služeb zabezpečený přístup k nějaké obecně libovolné sadě funkcí, kterou jiná služba nabízí. První draft byl publikován v roce 2007 a jeho vývoj se v průběhu roku 2010 přesunul na půdu asi nejvýznamnější internetové standardizační organizace IETF. V této době probíhá práce na dokončení verze 2.0 standardu, jehož finální vydání ve formě RFC je „snad“ otázkou příštích několika týdnů. Po Twitteru přijal tuto technologii za vlastní také Facebook a nakonec ji do repertoáru svých autentizačních mechanismů přidal i Google.

Co se týká srovnáni OAuth a OpenID tak OAuth sice nabízí asi jen polovinu vlastností které má OpenID, ale na druhou stranu to dělá mnohem lépe. Vzhledem k tomu vzniklo v průběhu posledních dvou let několik pokusů, jak zkombinovat to nejlepší z nich do ideálního výsledku. Těchto několik pokusů se nakonec spojilo dohromady a v polovině roku 2011 byl prezentován výsledek v podobě specifikace nazvané OpenID Connect. Toto řešení ve své „spodní“ části využívá OAuth 2.0 a obaluje ho vlastnostmi specifickými pro OpenID. Zajímavou změnou je i následování trendu a nahrazení jazyka XML na příslučných místech jazykem JSON. Od prosince je návrh standardu v připomínkovém řízení a pokud vše půjde hladce, mohli bychom se už letos dočkat jeho finální verze. Za touto specifikací stojí všichni velcí hráči jako Facebook, Google i Microsoft což jí dává poměrně dobré vyhlídky na její budoucí rozšíření.

Jak je vidět, ve světě digitálních identit je hodně živo a my věříme, že minimálně u nás nechá služba mojeID v této diskuzi viditelný otisk. Rodina použitelných specifikací je široká a rozhodně neumírá. Nové generace těží ze zkušeností svých předchůdců a většinou přidávají nové pohledy a nové myšlenky. Z pohledu mojeID samozřejmě nepřestáváme sledovat aktuální vývoj. Charakter této služby nijak nebrání tomu použít několik přístupových technologií paralelně a tím nabídnout poskytovatelům služeb větší výběr možností implementace. Pokud zjistíme vzrůstající poptávku po některém ze zmiňovaných protokolů, pokusíme se této poptávce vyhovět.

Jaromír Talíř

Všechno, co je první, si zpravidla zaslouží více pozornosti. Ne jinak tomu bude ani v případě první mobilní aplikace, která podporuje mojeID. Protože nás zajímaly podrobnosti, obrátili jsme se s několika všetečnými otázkami na Tomáše Pětivokého, pachatele tohoto nástroje.

S jakou webovou službou je první mobilní aplikace s přihlašováním přes mojeID spojená?
Jedná se o web KalorickéTabulky.cz. Důvodů, proč jsme se do vývoje aplikace pustili, je více. Hlavním je určitě zvyšující se popularita a rychlý růst návštěvnosti stránek KalorickéTabulky.cz. Dalšími jsou potom možnost využití dalších funkcí, například snímání čárového kódu na potravinách při jejich vkládání do jídelníčku, nebo praktičtější použití služby, kdy si díky mobilní aplikaci může uživatel své údaje o snědených potravinách zadávat průběžně. Možnost přihlásit se přes mojeID jsme do aplikace zapracovali, protože této službě věříme a předpokládáme, že bude mezi jejími uživateli čím dál více těch, kteří své mojeID mají, a bude tedy pro ně přihlašování do aplikace pohodlnější.

Co aplikace umí, umožňuje?
Aplikace nabízí uživatelům možnost vyhodnocovat veškerá snědená jídla, pitný režim a aktivity spalující kalorie, a tím zábavnou formou pomáhá ve snaze o zdravý životní styl. Velkou výhodou aplikace je přístup k unikátní databázi nutričních hodnot více než 10 000 potravin dostupných na českém trhu. Aplikace je k dispozici zdarma.

V jakých systémech nyní tato aplikace podporující mojeID funguje?
Naplno funguje na zařízeních s operačním systémem Android, takže si ji mohou stáhnout všichni, kteří mají přístup do Android marketu. V plánu máme i její novou verzi pro iPhone i iPad.

Co si od aplikace slibujete a jaké na ní zatím máte ohlasy?
Slibujeme si spokojené uživatele. Dosavadní ohlasy jsou velmi pozitivní. Prakticky každý den nám posílají uživatelé prostřednictvím formuláře pro zpětnou vazbu slova chvály a uznání, protože jim aplikace pomohla pozitivně změnit životní styl. Ohlasy najdete také na stránkách Android marketu. Jsou i od držitelů mojeID identit, kterých bude, jak doufáme, stále přibývat.

Možná právě vy nepatříte mezi cílovou skupinu návštěvníků stránek KalorickéTabulky.cz. I z tohoto důvodu by nás zajímalo, kde byste přihlášení přes mojeID využili nejlépe. Podělte se s námi ve komentářích.

VS

Možná jste si už chtěli založit mojeID s pomocí údajů, které máte u své domény v registru, a nemohli jste. Na vině byla neaktuální data, díky nimž nebylo možné absolvovat základní kroky k vytvoření vaši identity, a to předání PIN 1 a PIN 2; číslo mobilního telefonu a e-mail nebyly v registru uvedeny správně. To ale od ledna díky novému nástroji v mojeID neplatí. Při zakládání identity si totiž můžete vybrat možnost, při níž uvedené kontaktní údaje v registru nejdříve opravíte a na základě těchto změn zažádáte o vytvoření mojeID (pokud tuto změnu nechcete udělat přes svého registrátora). Nejedná se přitom o žádný náročný proces. Vše jde zvládnout rychle a pohodlně. Jestli vás zajímá jak, pojďme si tento nový nástroj představit z blízka.

Je to jednoduché. Stačí si díky službě WHOIS zobrazit svůj kontakt a po najetí na tlačítko Založit mojeID kliknout na odkaz Založit MojeID se změnou údajů. Během chvíle budete přesměrováni na Žádost o převod kontaktu do registru identit služby mojeID a provedení změn tohoto kontaktu. Zde můžete aktualizovat téměř veškeré údaje vedené u vašeho kontaktu, kromě identifikátoru kontaktu (uživatelské jméno) a jména a příjmení, které se vám zobrazí na šedém pozadí.

Žádost je samozřejmě nutné autorizovat, a to pouze pomocí úředně ověřeného podpisu oprávněné osoby. Teprve poté budou změny provedeny v Centrálním registru.

Tuto užitečnou novinku bohužel nebudou moci využít všichni. Kontakt, jehož identifikátor neobsahuje jen povolené znaky, nelze totiž k mojeID převést. Povolenými znaky jsou písmena, číslice a pomlčka uprostřed jména.

Seznam důvodů proč mít své mojeID je tedy zase o jeden bohatší. Nečekejte, až budete muset aktualizovat údaje v registru, a založte si účet už dnes.

Vilém Sládek (s pomocí Zuzany Pochopové ze zákaznické podpory CZ.NIC)

Máte blog či webové stránky postavené na systému WordPress? Nový plugin umožňuje přihlašování do WordPressu pomocí mojeID a nejen to. Systém interně pracuje i s úrovněmi ověření uživatelů mojeID. Tedy pokud máte nad WordPressem ještě nějakou vlastní aplikaci, můžete v ní údaj o ověření využít. Plugin stahujte na stránce modulů pro opensource.

PT

Je to přibližně rok, co jsme spustili službu mojeID. Nebojte se, neplánuji zde na blogu udělat nějaký sáhodlouhý rozbor toho, co se nám za tu dobu povedlo či nepovedlo. Konečně to jsem v podstatě provedl nad otázkami pana Vyleťala nedávno na Lupě.

Pro úspěch této služby je pochopitelně klíčový přístup poskytovatelů služeb, například e-shopů či internetových vydavatelství. No a právě v případě druhé jmenované skupiny se nám podařilo za ten rok „získat“ dva významné zástupce. Prvním je Internet Info, které adaptovalo většinu svých webů. Druhým je mediální skupina Economia, jež zahájila spolupráci se svým portálem Volny.cz.

Po našem upozornění na první narozeniny nám napsalo pár gratulantů, za což jsme pochopitelně vděční. Asi nejlepším způsobem nám ale poblahopřál právě další mediální dům a to opět zvučného jména. Mladá Fronta a.s. se rozhodla využít výhody této služby a implementovala podporu mojeID na osmnácti svých webech jako jsou například Živě.cz, Mobilmania či E15.cz.

Děkujeme tedy tomuto milému gratulantovi! Ať vám mojeID slouží!

Ondřej Filip

Obecně platí, že se v létě nic neděje; jsou prázdniny, dovolené, okurková sezóna jede na plné pecky. Pořekadlo o tom, že výjimka potvrzuje pravidlo ale platí i v létě a v tomto případě pro společnost ZONER software a registrátora domén KRAXNET. Obě jmenované firmy totiž nedávno oznámily zavedení služby mojeID do svých systémů.

V případě ZONERu se jedná o implementaci mojeID do služby inPage, která nabízí moderní systém pro snadné vytvoření a správu webových stránek včetně e-mailu, registrace domény a e-shopu. Jak je uvedeno v dnešní tiskové zprávě, majitelé stránek mohou autorizaci pomocí mojeID jednoduše zapnout v administraci a zákazníkům tak usnadnit nakupování bez zdlouhavého vyplňování objednávkového formuláře. MojeID může od července na plno využívat více než 2 000 uživatelů služby inPage.

Dalším, kdo v nedávné době zavedl mojeID pro své zákazníky, je registrátor domén a poskytovatel webhostingu, společnost KRAXNET. Ta se tak stala už druhým registrátorem, který mojeID implementoval. Zákazníci KRAXNETu se s mojeID mohou setkat na www.xnet.cz. Do budoucna plánuje tento registrátor používat mojeID i pro autorizaci požadavků na změnu údajů v rejstříku domén.

Toto léto tedy zdá se mojeID přeje. Pevně věříme, že to nebyly poslední novinky co se této služby týče, a že nás „okurková sezóna“ dokáže letos ještě příjemně překvapit.

Vilém Sládek