UNICORN COLLEGE BAKALÁŘSKÁ PRÁCE

Rozměr: px
Začít zobrazení ze stránky:

Download "UNICORN COLLEGE BAKALÁŘSKÁ PRÁCE"

Transkript

1 UNICORN COLLEGE Katedra informačních technologií BAKALÁŘSKÁ PRÁCE Analýza protokolů pro distribuovanou autentizaci Autor BP: Jaromír Talíř Vedoucí BP: Ing. David Hartman, Ph.D Praha

2

3 6

4 Čestné prohlášení Prohlašuji, že jsem svou bakalářskou práci na téma Analýza protokolů pro distribuovanou autentizaci vypracoval samostatně pod vedením vedoucího bakalářské práce a s použitím výhradně odborné literatury a dalších informačních zdrojů, které jsou v práci citovány a jsou také uvedeny v seznamu literatury a použitých zdrojů. Jako autor této bakalářské práce dále prohlašuji, že v souvislosti s jejím vytvořením jsem neporušil autorská práva třetích osob a jsem si plně vědom následků porušení ustanovení 11 a následujících autorského zákona č. 121/2000 Sb. V Praze dne Jaromír Talíř

5 Poděkování Děkuji vedoucímu bakalářské práce Ing. Davidu Hartmanovi Ph.D. za účinnou metodickou, pedagogickou a odbornou pomoc a další cenné rady při zpracování mé bakalářské práce.

6 Analýza protokolů pro distribuovanou autentizaci Analysis of Protocols for Distributed Authentication 6

7 Abstrakt Tématem práce jsou internetové autentizační protokoly jako například SAML nebo OpenID. V internetové historii bylo standardizováno takových protokolů několik, a přestože se v mnoha aspektech liší, existují společné stavební prvky, které lze nalézt v každém z nich. Práce si klade za cíl poskytnout přehled těchto protokolů, identifikovat společné principy, na kterých jsou tyto protokoly postavené, a porovnat, jak jsou tyto principy v jednotlivých protokolech implementovány. Klíčová slova: Autentizační protokol, Kerberos, SAML, OpenID, OAuth, OpenID Connect, Mozilla BrowserID Abstract The topic of the thesis are authentication protocols like SAML or OpenID. Several such protocols have been standardized in the history of the Internet and despite they differ in many ways, many common building blocks exists in each of them. The goal of the thesis is to provide overview of protocols, to identify common principles used to construct these protocols and to compare how these principles are implemented in individual protocols. Keywords: Authentication protocol, Kerberos, SAML, OpenID, OAuth, OpenID Connect, Mozilla BrowserID 7

8 Obsah 1 Úvod Distribuovaná autentizace Problémy autentizačních mechanismů Koncept distribuované autentizace a jeho výhody Rizika distribuované autentizace Významní poskytovatelé identit Autentizační protokoly Standardizační organizace definující autentizační protokoly Kerberos SAML OpenID Mozilla BrowserID OAuth a OpenID Connect Stavební prvky autentizačních protokolů Identita uživatele Potvrzené prohlášení o uživatelově identitě Počáteční nastavení důvěry Předání dalších údajů Závěr Seznam použitých zdrojů Seznam obrázků

9 1 Úvod Webové autentizační protokoly zažívají v posledních letech svou renesanci. Je to způsobeno jak rostoucí popularitou cloudových služeb v komerční sféře, tak i zrychlováním tempa rozvoje služeb e-governmentu ve vládních sektorech. V těchto oblastech je jedním ze základních atributů právě koncept jednotné elektronické identifikace a autentizace. V internetové historii bylo standardizováno několik protokolů pro distribuovanou autentizaci, ale ne všechny byly úspěšné. Na poli distribuované autentizace v lokálních sítích dosáhl největšího úspěchu protokol Kerberos a z jeho architektury vycházeli i návrháři webových protokolů. První protokol, který uspěl na webové vrstvě, byl SAML. Jeho zjednodušením poté vznikl protokol OpenID. Nedostatky OpenID se v poslední době pokouší napravit nová verze OpenID Connect využívající nový autorizační protokol OAuth. Jako alternativa se také v nedávné době objevil projekt Mozilla BrowserID. V české literatuře dosud nebylo toto téma systematicky podchyceno, a proto je jedním z cílů této práce poskytnout úvodní seznámení s problematikou. Dále si práce klade za cíl popsat historii vývoje zmíněných autentizačních protokolů, identifikovat jejich základní stavební prvky a v závěru provést komparativní analýzu těchto prvků v jednotlivých protokolech. Přestože se v historii vývoje konceptu distribuované autentizace objevilo mnohem více řešení (například WS-Federation nebo InformationCards), práce se těmto nevěnuje a omezuje se pouze na ty nejpopulárnější protokoly zmíněné v prvním odstavci. Ve druhé kapitole bude představen koncept distribuované autentizace, důvody jeho uplatnění a hlavní aktéři prosazující jeho zavádění. Třetí kapitola poskytne přehled jednotlivých protokolů a jejich základní vlastnosti. Čtvrtá kapitola poté identifikuje, jaké jsou hlavní stavební prvky těchto protokolů, jako nastavení prvotní důvěry, dynamické zjišťování informací o protistraně nebo předávaní potvrzení o identitě uživatele. Závěrečná kapitola pak poskytne shrnutí problému. 9

10 2 Distribuovaná autentizace Trendem dnešní doby je implementace řešení IT problémů ve formě služeb dostupných přes internet, ať už ve formě IaaS (Infrastructure as a Service), PaaS (Platform as a Service), nebo SaaS (Software as a Service). Ve všech těchto případech je klíčovou vlastností takového řešení nutnost zabezpečení služby pomocí autentizace uživatele. Implementace autentizačních mechanismů do každé služby s sebou ovšem nese celou řadu problémů. 2.1 Problémy autentizačních mechanismů V první řadě roste počet autentizačních údajů, které musí uživatel udržovat. Převažujícím autentizačním mechanismem jsou stále hesla, která si uživatel musí pamatovat, a jejichž vzrůstající množství může mít negativní vliv na bezpečnost. Uživatelé se snaží používat jednoduchá nebo snadno zapamatovatelná hesla, která je ovšem pak velice snadné prolomit. Nutnost pamatovat si všechna hesla vede k tomu, že si je uživatelé zapisují na papír, ale už neřeší zabezpečení této papírové formy. Odstrašujícím příkladem jsou hesla napsaná na papírcích nalepená na krajích monitoru v kanceláři. Nedostatek fantazie ve vymýšlení nových silných hesel způsobuje, že uživatelé používají stejná hesla pro více služeb. To však v kombinaci s nedostatečným zabezpečení jednotlivých služeb vytváří riziko zneužití získaného hesla pro více služeb. Implementace pokročilých metod detekce průniku, která by měla být součástí autentizačního řešení, však přináší provozovatelům služeb nemalé náklady. I s použitím těchto pokročilých bezpečnostních metod je ovšem používání hesel rizikové, neboť není odolné proti útokům na hesla označovaným jako phishing. Útočník chytrým způsobem vzbudí v uživateli dojem, že přistupuje na reálnou stránku, a donutí ho zadat heslo, které nakonec skončí ve špatných rukou. Z těchto důvodů je u důležitých služeb nutné implementovat takové metody autentizace uživatele, které jsou proti phishingu odolné a vycházejí z kombinace více faktorů. Uživatel musí v těchto metodách prezentovat službě jak znalost nějakého sdíleného tajemství, tak i vlastnictví nějakého soukromého prvku, který nemůže mít nikdo jiný. Opět zde však platí nutnost nemalých investic do implementace těchto autentizačních mechanismů. 10

11 Většina provozovatelů internetových služeb musí také řešit správu osobních údajů svých uživatelů. V minimalistické variantě to obvykle znamená evidovat kromě jména a příjmení některé kontaktní údaje jako ovou adresu nebo telefonní číslo. Z důvodu fyzického doručování zboží nebo dopisové korespondence je někdy nutné udržovat také uživatelovu fyzickou adresu nebo několik takových adres. Většina služeb na internetu tedy začíná svůj vztah se svým uživatelem procesem registrace, ve kterém musí uživatel tyto údaje službě předat. Rostoucí počet opakovaných procesů registrace, při kterých uživatel předává službám stále tatáž data, zaručeně nepřispívá k jeho komfortnímu pocitu. Pro poskytovatele služeb je v souvislosti s osobními údaji důležitá jejich správnost a aktuálnost, protože např. doručení zboží na nesprávnou adresu mu přináší nemalé náklady. Je nasnadě, že uživatel, který musí udržovat kopie svých údajů v desítkách služeb, při změně nějakého údaje buď jejich aktualizaci ve všech těchto službách odmítne, nebo na některou z těchto služeb zapomene. Nesprávnost údajů může být ovšem také záměrná s cílem poskytovatele nějak poškodit. Z těchto důvodů se v internetových službách stále častěji objevují techniky ověřování poskytnutých údajů. V zásadě jsou možné dva přístupy k těmto kontrolám. V prvním přístupu může poskytovatel služby provést pokusné doručení nějakého jednorázového kódu na kontaktní údaj, např formou u, zprávy SMS nebo dopisu. Po zpětném obdržení tohoto kódu od uživatele má poskytovatel jistotu, že poskytnuté údaje existují a jsou pod kontrolou tohoto uživatele. Druhým, silnějším přístupem je fyzická kontrola údajů uživatele proti údajům v občanském průkazu při osobní návštěvě. Opět je zřejmé, že ověření poskytnutých údajů některým z popsaných způsobů znamená významné zvýšení nákladu na provoz služby. Poskytování osobních údajů na internetu je navíc obecně citlivé téma a obvykle na něj dohlíží regulátor, v případě České republiky je to Úřad pro ochranu osobních údajů. Ten má za úkol dohlížet, aby s údaji bylo nakládáno v souladu se zákonem. To mimo jiné znamená počínat si tak, aby údaje byly uchovávány bezpečně. Splnění této povinnosti vyžaduje, aby byla data u poskytovatele služby zabezpečena už při svém sběru, což lze zajistit implementací bezpečnostních prvků do procesu registrace, jako například šifrováním komunikace s uživatelem prostřednictvím technologie SSL. Jak ukazují výzkumy prováděné organizacemi jako EFF (Electronic Frontier Foundation), rozšířenost tohoto typu zabezpečení je stále minimální. 11

12 2.2 Koncept distribuované autentizace a jeho výhody Výše popsané problémy postupně vedly ke změně paradigmatu v oblasti autentizace uživatelů internetových služeb a k zavedení konceptu distribuované autentizace, někdy též označované jako AaaS (Authentication as a Service) nebo SSO (Single Sign-On). Klíčovou vlastností tohoto konceptu je přenesení zodpovědnosti za řešení části nebo všech výše uvedených problémů na třetí stranu, která má dostatečné zdroje, zázemí nebo zkušenosti pro jejich úspěšné řešení. Tato strana se obvykle označuje jako poskytovatel identit (IdP Identity provider) a má za úkol bezpečně spravovat údaje uživatelů a provádět jejich autentizaci bezpečnou a dostatečně silnou metodou. Na opačné straně stojí poskytovatel služby (SP Service provider), který potřebuje s využitím poskytovatele identit ověřit totožnost uživatele požadující službu. Někdy se tato strana také označuje jako důvěřující strana (RP Relying party). Schématicky je koncept distribuované autentizace znázorněn na následujícím obrázku: Obrázek 1: Schéma distribuované autentizace 1. Uživatel se pokusí o přístup ke službě (SP), která vyžaduje autentizaci. 12

13 2. SP z předaných údajů zjistí, kde se nachází poskytovatel identity pro daného uživatele (IdP) a přesměruje uživatele na vstupní bránu IdP. 3. Uživatel zadá autentizační údaje, které po něm požaduje IdP, a tím se autentizuje. 4. IdP přesměruje uživatele zpátky na SP a přibalí k přesměrování informaci, ze které je možné získat identifikaci uživatele. 5. SP vybalí identifikaci uživatele, ověří si, že pochází od prověřeného IdP, a pokud je vše v pořádku, uživateli umožní využívat službu. Rozhodnutím se pro využití distribuované autentizace uvolňuje poskytovatel služeb interní zdroje, které by jinak musel věnovat na zajištění vlastního řešení, a může je tím pádem využít na svou hlavní činnost. Zároveň tím získává jeho systém vlastnosti, které jej dělají mnohem robustnějším. Poskytovatel identit se totiž na autentizaci specializuje, a může ji tak vykonávat mnohem lépe. V první řadě může nabídnou celou škálu autentizačních metod jako klientské SSL certifikáty, jednorázová hesla (OTP One Time Password) nebo třeba i otisk prstu. Objevují se však i nové přístupy k vlastnímu ověření uživatele jako např. různé grafické metody spojování obrázkových komponent v předloženém obrázku. S každým rozšířením těchto metod ji přirozeně mohou okamžitě používat všichni poskytovatelé služeb napojení na tohoto poskytovatele identit. Samozřejmostí je, že poskytovatel služby si může vyžádat konkrétní metodu autentizace, zejména pokud se jedná o službu s citlivými údaji. Vedle toho může poskytovatel identit nabídnou vysokou úroveň ochrany proti podvržené autentizaci. Systém poskytovatele může třeba hlídat, jak často se uživatel přihlašuje nebo odkud se uživatel přihlašuje, a v případě detekce nějaké anomálie vyžádat dodatečné potvrzení identity uživatele. Google například během každého přihlášení analyzuje více než 120 proměnných, aby zjistil, zda-li se nejedná o pokus o unesení účtu[1]. Z pohledu správy údajů mohou poskytovatelé identit nabídnout jedinečnou možnost ověřování vložených údajů. Mnoho internetových zpravodajských portálů od roku 2010 postupně ruší anonymní registrace uživatelů diskutujících pod jednotlivými články. Důvodem je zejména boj proti vzrůstající verbální agresivitě těchto diskutujících. Obvyklým řešením neanonymní registrace je zaslání přístupového hesla dopisem na 13

14 poštovní adresu zadanou při registraci. Ale nejsou to jenom zpravodajské portály vyšší úroveň ověření uživatelů vyžadují i prodejní portály jako například Aukro.cz. Je zřejmé, že toto zasílání dopisů je ekonomicky nákladné. Poskytovatelé identity ovšem mohou toto ověření provést jednou pro mnoho poskytovatelů služeb, čímž se celý model rázem stává ekonomicky mnohem výhodnějším. 2.3 Rizika distribuované autentizace Přestože koncept distribuované autentizace přináší uživatelům větší pohodlí a vyšší bezpečnost při pohybu na internetu, má tento koncept také svá rizika, kterých by si každý uživatel měl být vědom. Tato rizika jsou ovšem obdobná jako například rizika rozhodnutí svěřit své finanční prostředky bankovnímu ústavu a používání platebních karet. Prvním rizikem je fakt, že poskytovatel identity, kterému uživatel svěří správu svých údajů, má přehled o všech poskytovatelích služeb, ke kterým se uživatel tímto způsobem přihlásí. Je to důsledek toho, že uživatel má v rámci přihlášení u poskytovatele identity možnost odsouhlasit, jaké informace se k poskytovateli služby přenesou. Je zde pak otázka důvěry v daného poskytovatele identity, tedy zda uživatel důvěřuje tomu, že tato data nebudou žádným způsobem zneužita. Konec konců v nastíněné analogii ví uživatelův bankovní ústav přesně o každém použití jeho platební karty a ve kterých obchodech byla použita. I přesto většina lidí tento fakt nevnímá jako zásadní problém a platební karty jsou čím dál populárnější. Právě tuto vlastnost distribuované autentizace se snažil vyřešit protokol Mozilla BrowserID, nicméně za cenu odmítnutí většiny výhod, které právě distribuovaná autentizace přináší. Jako riziko je svým způsobem možné chápat také hlavní vlastnost tohoto konceptu, tedy to, že je možné s jedněmi autentizačními údaji získat přístup k velkému množství služeb na internetu. Pokud uživateli někdo přístupové údaje odcizí, získá tím přístup ke všem jeho službám. Uživatel by tedy nadále neměl podceňovat bezpečnost nakládání s autentizačními údaji a v ideálním případě používat takové metody, které bezpečí zvyšují, jako například vícefaktorovou autentizaci. Na druhou stranu již bylo zmíněno, že uživatelé mají tendenci používat jedno a to samé heslo u více služeb, a oproti takovémuto stavu je v konceptu distribuované autentizace pravděpodobnější, že míra zabezpečení bude u důvěryhodného poskytovatele identit vyšší než u celé řady poskytovatelů služeb, které uživatel navštěvuje. 14

15 Výše popsaná rizika se týkala distribuované autentizace z pohledu uživatele. Existuje však také pohled implementátorů informačních systémů, které tento způsob autentizace využívají. Oproti klasické autentizaci je distribuovaný koncept implementačně náročnější, a to přirozeně přináší dodatečná rizika. Většina autentizačních protokolů má ve svých definujících dokumentech pasáž týkající se právě rizik při jejich implementaci. Implementátoři nesmí tato rizika ignorovat, neboť případná chyba může otřást důvěrou uživatelů a právě důvěra je jedním z klíčových prvků celého konceptu. 2.4 Významní poskytovatelé identit Celosvětově známé organizace, které lze označit za poskytovatele identit, jsou provozovatelé významných sociálních sítí jako Facebook, Google nebo LinkedIn. Z popsaných charakteristik distribuované autentizace se však tyto služby koncentrují pouze na oblast jednotného přihlašování, tzn. je možné do systémů poskytovatelů služeb implementovat možnost přihlášení se např. přes Facebook. Založit si účet u těchto služeb ovšem může kdokoliv a bez jakéhokoliv ověřování. V případě těchto sociálních sítí tedy rozhodně není možné spoléhat na správnost údajů, které o svých uživatelích evidují. V České republice je v tuto chvíli asi nejvýznamnějším zástupcem poskytovatelů identit služba mojeid, která je provozovaná správcem národní domény, sdružením CZ.NIC. Tato služba má ambice naplnit všechny aspekty problematiky zmiňované v předchozím textu. Služba mojeid byla představena na podzim v roce 2010 a podle zveřejněných statistik tuto službu od jejího zavedení alespoň jednou použilo již přes uživatelů[2]. Jednou z jejich klíčových vlastností je právě několikastupňové ověřování údajů uživatelů. Nejvyšší stupeň ověření představující kontrolu údajů proti dokladu totožnosti je prakticky totožný s ověřováním, jaké provádějí některé certifikační autority. V tuto chvíli jediný autentizační protokol, který tato služba podporuje, je protokol OpenID 2.0. V tuzemské akademické sféře již od roku 2005 existuje projekt EduID, který lze označit jako federaci vzájemně uznávaných poskytovatelů služeb a poskytovatelů identit. Stranu poskytovatelů identit tvoří vysoké školy, které disponují širokou uživatelskou bází studentů, učitelů a zaměstnanců. Vzhledem k tomu, že zařazení do této skupiny vyžaduje osobní souhlas a podpis řady dokumentů, dá se předpokládat vysoký stupeň důvěry v údaje 15

16 těchto osob. Stranu poskytovatelů služeb tvoří různé akademické instituce jako například knihovny, ale také opět samy vysoké školy. Je tedy např. Možné, aby se student přihlašoval do systémů cizí školy s autentizačními údaji ze své školy. Tuto federaci provozuje sdružení CESNET a jedná se víceméně o uzavřenou skupinu systémů. Služba EduID je celá postavená na standardizovaném protokolu SAML 2.0. Vzhledem k tomu, že asi nejkompletnější a obvykle nejaktuálnější databázi údajů o osobách eviduje každý stát, je nasnadě, že se oblast distribuované autentizace úzce dotýká konceptu e-governmentu, tedy možnosti elektronické komunikace státu a jeho občanů. V České republice jsme v tomto ohledu bohužel významně pozadu a projekt elektronické identity občanů v podobě elektronických občanských průkazů zatím stále ještě nepřekročil hranici diskuzí architektů. Zatím posledním počinem v této oblasti bylo zavedení základních registrů a jejich propojení se systémem datových schránek. Zatímco systém základních registrů poprvé představuje jednu kompletní, důvěryhodnou a centrální databázi občanů, systém datových schránek zavedený o pár let dříve poskytuje důvěryhodnou metodu autentizace pro elektronické služby. Díky tomuto propojení se začínají objevovat elektronické služby státní správy vyžadující přihlášení a využívající autentizační rozhraní datových schránek jako poskytovatele identit. Aby tento proces mohly využívat i služby mimo státní správu, bylo nutné novelizovat příslušný zákon a implementovat nové přístupové rozhraní. To bylo nabídnuto k dispozici soukromému sektoru až v roce Používání tohoto rozhraní je zpoplatněné a vzhledem k poměrně vysokým nárokům na subjekty, které se rozhodnout toto rozhraní používat (zejména v podobě splnění všech možných bezpečnostních certifikací), se zatím podařilo integrovat ho do svého systému pouze jednomu subjektu, a to bance ČSOB. Zajímavé také je (a je to již bohužel zvykem ve státní správě), že návrháři tohoto nového rozhraní nevyužili možností sáhnout po libovolném existujícím standardu na autentizační protokoly a vyvinuli proprietární, s ničím nekompatibilní vlastní protokol. Ostatní státy Evropské unie jsou na tom o poznání lépe. Některé z nich již dokonce několikrát testovaly možnost elektronických voleb, kde je jednou z klíčových vlastností právě jednoznačná elektronická identifikace občana. Přestože většina států, snad kromě Estonska, od elektronických voleb zatím ustoupila, koncept jednotné centrální elektronické autentizace využívá pro řadu svých služeb dále. V letech 2010 až 2012 probíhal v rámci rámcových operačních programů Evropské unie projekt STORK, jehož cílem bylo vytvořit 16

17 platformu na propojení existujících elektronických identifikačních systému států Evropské unie. Smysl projektu byl často demonstrován na příkladu potenciálního studenta, který se jde zapsat do zahraniční školy a použije k tomu eid (elektronickou identitu) ze svého domovského státu. Do projektu bylo zapojeno 10 států a na konci projektu bylo opravdu docíleno nasazení funkčního řešení. To spočívá v tom, že každý stát ve své zemi nasadí a bude provozovat bránu PEPS (Pan European Proxy Server). Všechny tyto brány budou nakonfigurovány tak, že o sobě budou vědět a budou si mezi sebou pomocí standardizovaného protokolu SAML předávat požadavky na autentizaci. Na každou bránu je pak v každé zemi připojen poskytovatel identity garantovaný státem a řada poskytovatelů služeb (například zmíněné univerzity), kteří celý systém přeshraniční autentizace využívají. Součástí celé elektronické transakce samozřejmě je předání zaručených osobních údajů uživatelů do systému poskytovatele služby. Přestože systém běží v produkčním provozu, existuje jen velice málo služeb, kde jej je možné reálně použít. Jediný, o kterém se veřejně mluví a na kterém se celý projekt STORK demonstruje, je interní systém Evropské komise ECAS (European Commison Authentication Service) sloužící pro autentizaci v elektronických agendách Evropské komise. Pro období 2013 až 2015 byl proto vypsán projekt STORK2, který má na infrastruktuře vybudované v rámci předchozího projektu postavit další užitečné služby. Tohoto projektu se již účastní i Česká republika. V rámci dohody mezi ministerstvem vnitra a sdružením CZ.NIC bude aktuálně jako jediný poskytovatel identity Českou republiku reprezentovat služba mojeid. Obsahem projektu STORK2 je hlavně řešení standardizace mezistátně předávaných údajů. Projekt využívá novou roli subjektu v rámci distribuované autentizace, a tím je poskytovatel atributů (AP Attribute Provider). Tento AP doplňuje roli IdP v tom smyslu, že zatímco IdP se stará pouze o autentizaci uživatele, AP přidává k identitě uživatele sadu atributů. K jednomu IdP tak může existovat několik AP. Jedním z tzv. pilotů projektu STORK2 je akademický pilot, jehož cílem je definovat sadu údajů poskytujících informace o dosaženém vzdělání. Představa je taková, že evropské vysoké školy by hrály právě roli poskytovatele atributů v rámci své země. Občan Evropské unie by tedy mohl kdekoliv v zahraničí elektronickým způsobem prokázat svoje vzdělání pouze předložením své elektronické identity. V rámci projektu STORK2 běží také pilot, který se snaží podchytit komplikovanou oblast právnických osob a na základě 17

18 elektronické evidence v jednotlivých státech umožnit zachytit situaci, kdy identifikovaná osoba jedná za někoho jiného, například jako jednatel nějaké společnosti. Z uvedených skutečností je patrné, že koncept distribuované autentizace je řešením reálných problémů světa na internetu a řada společností investuje nemalé úsilí do jeho prosazení v mnohem větším měřítku, než je zatím patrné. Dá se tedy předpokládat, že v nejbližších letech bude tento trend nadále pokračovat. V jádru každé zmíněné služby existuje nějaký autentizační protokol a o těchto bude pojednávat následující kapitola. 18

19 3 Autentizační protokoly Autentizačním protokolem je myšlen standardizovaný předpis, podle kterého se chovají systémy, které spolu komunikují za účelem provedení autentizace nějakého uživatele. Obecné schéma autentizačního protokolu je znázorněno v kapitole 2.2. V této kapitole budou popsány nejvýznamnější autentizační protokoly, a to Kerberos, SAML, OpenID 2.0, OpenID Connect a Mozilla BrowserID. Tyto protokoly vznikají postupně již od devadesátých let, a to obvykle na půdě hned několika standardizačních organizací. 3.1 Standardizační organizace definující autentizační protokoly O definování autentizačních protokolů se starají standardizační organizace. Ty jsou většinou (s výjimkou IETF) sdružením velkých firem, které se snaží udržet vzájemnou kompatibilitu svých systémů. Asi nejznámější standardizační organizací ve světě internetu je IETF (Internet Engeneering Task Force). Tato organizace vydává svá doporučení v řadě dokumentů označovaných jako RFC (Request For Comment). IETF stojí za celou řadou standardů v oblasti autentizace, mimo jiné za protokolem Kerberos nebo v posledních letech za protokolem OAuth. Do tvorby standardů v IETF se může zapojit prakticky každý, protože většina vývoje probíhá uvnitř otevřených ových konferencí. Další standardizační autoritou je organizace OASIS, která má na starosti většinu standardů, které nějakým způsobem využívají značkovací jazyk XML. Takovým standardem je právě autentizační protokol SAML, využívající XML jazyk pro formát svých zpráv. OASIS je členská organizace, a tudíž pro zapojení se do vývoje standardů je nutné kvalifikovat se do některé z členských kategorií. S organizací OASIS je úzce propojená standardizační organizace W3C, která definuje některé podpůrné standardy jako vlastní jazyk XML nebo digitální podepisování XML dokumentů XML-SIG. W3C je konsorcium sdružující více než tři stovky organizací. Poslední významnou institucí v této oblasti je OpenID Foundation, organizace založená specifický za účelem vyvinutí univerzálně akceptovaného autentizační standardu. 19

20 Jak je z názvu patrné, organizace stála u zrodu protokolu OpenID a průběžně tento protokol stále inovuje. Ne každý protokol však vzniká přímo u některé standardizační organizace. Často se stává, že protokol navrhne společnost nebo jedinec a teprve ve chvíli, kdy začne být protokol populární, se přesune do procesu standardizace. Tak například autentizační protokol Mozilla BrowserID je stále pouze návrhem od organizace Mozilla vyvíjející populární webový prohlížeč Firefox a v tuto chvíli neprobíhají žádné iniciativy směřující k jeho standardizaci. 3.2 Kerberos Vznik protokolu Kerberos spadá do druhé poloviny osmdesátých let a stojí za ním skupina vědců z americké univerzity MIT. Tato skupina nejprve vytvořila tři interní verze protokolu, a tak první verze, která se objevila na veřejnosti, byla verze 4. Tato verze vznikla v rámci většího projektu Athena, jehož cílem bylo vytvoření kampusové sítě propojující systémy univerzity a zaměřené na podporu vzdělávání studentů[3]. Krátce na to, v roce 1993 byla představena verze 5, která již vznikla na půdě IETF jako RFC 1510[4]. V rámci IETF byl standard v roce 2005 aktualizován, a tak je jeho aktuální podoba definována v RFC 4120[5]. Základní charakteristikou protokolu Kerberos je využití symetrické kryptografie za účelem jednoznačné identifikace uživatele bez nutnosti předání jakéhokoliv hesla v průběhu autentizace. Roli správce identity zde přebírá Kerberos Distribution Center (KDC), které udržuje databázi všech uživatelů a všech služeb ve spravované oblasti (realmu) včetně jejich hesel neboli klíčů. Jako klíč uživatele se používá hash jeho hesla. Tyto údaje je tedy nutné na začátku komunikace do KDC vložit. Každá služba a uživatel jsou v této databázi identifikováni pomocí strukturovaného řetězce označovaného jako principal. Pokud se chce uživatel autentizovat u některé služby, provede to tak, že požádá o spolupráci KDC. Od KDC dostane potvrzení autentizace zašifrované klíčem služby, ke které se uživatel hlásí, takzvaný tiket. Tiket také obsahuje náhodně vygenerovaný klíč sezení. Kromě tiketu, který je určený službě a k jehož obsahu uživatel nemá přístup, předá KDC uživateli klíč sezení ještě jednou, tentokrát zašifrovaný klíčem uživatele. Ze znalosti svého hesla může uživatel dekódovat klíč sezení, který v tuto chvíli sdílí se službou. 20

21 Uživatel mající tiket pro službu a klíč sezení pak již komunikuje přímo se službou. Té zašle pro identifikaci tiket a dvojici časová značka a principal, zašifrovanou klíčem sezení. Z těchto informací již služba může jednoznačně odvodit, s kým komunikuje. Aby nebylo nutné při každé této operaci požívat heslo uživatele, je KDC rozděleno na dvě komponenty, autentizační server (AS) a tiketovou službu (TGS). Uživatel nejprve provede výše popsanou transakci ve vztahu k tiketové službě a ze znalostí hesla obdrží tiket (TGT) a klíč sezení pro TGS. Při přihlášení k jakékoliv další službě již nepoužívá své heslo. S využitím získaného TGT obdrží od TGS tiket a klíč sezení k službě, ke které se chce přihlásit. Schéma komunikace je znázorněno na následujícím obrázku: Obrázek 2: Schéma komunikace protokolu Kerberos 1. Uživatel požádá o TGT. 2. AS vrátí TGT a zašifrovaný klíč sezení k TGS. 21

22 3. Uživatel pomocí svého hesla dešifruje klíč sezení a s tímto klíčem a TGT požádá TGS o tiket ke službě. 4. TGS vrátí tiket ke službě a klíč sezení ke službě. 5. Uživatel se přihlásí ke službě pomocí tiketu a klíče sezení ke službě. 6. Služba potvrdí přihlášení. Přes svoje stáří je protokol Kerberos stále velice populární v podnikových sítích. Je integrální součástí řešení Active Directory od firmy Microsoft, a tak bývá často využit v podnikových sítí provozovaných na platformě Windows. Zaměstnanci se tak mohou jedním heslem přihlašovat do všech podnikových služeb jako u, souborového serveru, webového intranetu a dalších. Bohužel tento protokol nikdy také rozsah podnikové sítě neopustil. Přes pokusy přenést protokol do webového prostředí[6], získaly nakonec v globálním internetu větší popularitu jiné protokoly. 3.3 SAML Na konci druhého tisíciletí se ve světě internetu objevil fenomén webových služeb. Rozvoj internetu umožnil, aby spolu komunikovaly systémy na mnohem větší vzdálenosti, a tak služby, které uživatelé požadovali, přestaly být lokální z pohledu podnikové nebo školní sítě. I v rámci těchto služeb, používajících prověřené webové prostředí, brzy vznikla potřeba nějakým způsobem řešit distribuovanou autentizaci. Vzniklo několik proprietárních řešení, ale první protokol který byl standardizován, byl právě SAML Security Assertion Markup Language. První verze SAML 1.0 byla publikována na půdě standardizační organizace OASIS v roce 2002 a o rok později byla na základě prvních zkušeností upravena do verze 1.1[7]. V roce 2005 byla vydána zatím poslední verze označená jako SAML 2.0, která již nebyla zpětně kompatibilní a přinášela některá potřebná rozšíření užitečná zejména pro takzvané federace identit. Tyto federace tvoří několik poskytovatelů identit, kteří navzájem uznávají své identity. Protokol SAML kombinuje několik ve své době populárních technologií. Především je to jazyk XML, který je použit jako formát zpráv. S tímto jazykem pak souvisí využití technologií jako XML Schema pro popis formátu zpráv a XML Signatures spolu 22

POKYNY K REGISTRACI PROFILU ZADAVATELE

POKYNY K REGISTRACI PROFILU ZADAVATELE POKYNY K REGISTRACI PROFILU ZADAVATELE Stav ke dni 4. 12. 2012 Obsah: 1 Úvod... 3 1.1 Podmínky provozu... 3 1.2 Pokyny k užívání dokumentu... 3 2 Registrace profilu zadavatele... 4 2.1 Přihlášení uživatele...

Více

Federativní přístup k autentizaci

Federativní přístup k autentizaci Federativní přístup k autentizaci Milan Sova * sova@cesnet.cz 1 Úvod Abstrakt: Příspěvek předkládá stručný úvod do problematiky autentizace a autorizace a seznamuje s koncepcí autentizačních federací.

Více

Nařízení eidas aneb elektronická identifikace nezná hranice

Nařízení eidas aneb elektronická identifikace nezná hranice Nařízení eidas aneb elektronická identifikace nezná hranice Mikulov, září 2014 Ing. Radek Horáček odbor egovernmentu MVČR Co znamená zkratka eidas Co znamená zkratka eidas electronic identification and

Více

IDENTITY MANAGEMENT Bc. Tomáš PRŮCHA

IDENTITY MANAGEMENT Bc. Tomáš PRŮCHA IDENTITY MANAGEMENT Bc. Tomáš PRŮCHA 20. 12. 2013 ÚVOD S penetrací IT do fungování společnosti roste důraz na zabezpečení důvěrnosti a opravdovosti (autenticity) informací a potvrzení (autorizaci) přístupu

Více

TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY

TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY Příloha č. 3 k č.j. MV-159754-3/VZ-2013 Počet listů: 7 TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY Nové funkcionality Czech POINT 2012 Popis rozhraní egon Service Bus Centrální Místo Služeb 2.0 (dále jen CMS

Více

eid Kolokvium Kontext a východiska Ing. Zdeněk Jiříček AFCEA - Pracovní skupina Kybernetická bezpečnost

eid Kolokvium Kontext a východiska Ing. Zdeněk Jiříček AFCEA - Pracovní skupina Kybernetická bezpečnost eid Kolokvium Kontext a východiska Ing. Zdeněk Jiříček AFCEA - Pracovní skupina Kybernetická bezpečnost Rezervy, rezervy, rezervy... Náklady na jednu egov transakci [USD] 8 7 6 5 4 3 2 1 0 7,19 In Person

Více

Provozní dokumentace. Seznam orgánů veřejné moci. Příručka pro běžného uživatele

Provozní dokumentace. Seznam orgánů veřejné moci. Příručka pro běžného uživatele Provozní dokumentace Seznam orgánů veřejné moci Příručka pro běžného uživatele Vytvořeno dne: 7. 7. 2011 Aktualizováno: 11. 2. 2015 Verze: 2.2 2015 MVČR Obsah Příručka pro běžného uživatele 1 Úvod...3

Více

Národní elektronický nástroj. Import profilu zadavatele do NEN

Národní elektronický nástroj. Import profilu zadavatele do NEN Národní elektronický nástroj Import profilu zadavatele do NEN V 1.2 2014 Obsah 1 Cíl...... 2 2 Nutné podmínky k umožnění importu profilu zadavatele...... 2 3 Povinnosti zadavatele dle metodiky k vyhlášce

Více

Bezpečnost v Gridech. Daniel Kouřil EGEE kurz 12. prosince 2006. Enabling Grids for E-sciencE. www.eu-egee.org

Bezpečnost v Gridech. Daniel Kouřil EGEE kurz 12. prosince 2006. Enabling Grids for E-sciencE. www.eu-egee.org Bezpečnost v Gridech Daniel Kouřil EGEE kurz 12. prosince 2006 www.eu-egee.org EGEE and glite are registered trademarks Proč bezpečnost Ochrana uživatele citlivá data ochrana výzkumu Ochrana majitele prostředků

Více

Obsah. Úroveň I - Přehled. Úroveň II - Principy. Kapitola 1. Kapitola 2

Obsah. Úroveň I - Přehled. Úroveň II - Principy. Kapitola 1. Kapitola 2 Úroveň I - Přehled Úroveň II - Principy Kapitola 1 Kapitola 2 1. Základní pojmy a souvislosti 27 1.1 Zpráva vs. dokument 27 1.2 Písemná, listinná a elektronická podoba dokumentu 27 1.3 Podpis, elektronický

Více

Provozní dokumentace. Seznam orgánů veřejné moci. Příručka pro administrátora zřizované organizace

Provozní dokumentace. Seznam orgánů veřejné moci. Příručka pro administrátora zřizované organizace Provozní dokumentace Seznam orgánů veřejné moci Příručka pro administrátora zřizované organizace Vytvořeno dne: 30. 6. 2011 Aktualizováno: 17. 10. 2014 Verze: 2.1 2014 MVČR Obsah Příručka pro administrátora

Více

Certifikáty a jejich použití

Certifikáty a jejich použití Certifikáty a jejich použití Verze 1.0 Vydání certifikátu pro AIS Aby mohl AIS volat egon služby ISZR, musí mít povolen přístup k vnějšímu rozhraní ISZR. Přístup povoluje SZR na žádost OVM, který je správcem

Více

Uživatelská dokumentace

Uživatelská dokumentace Uživatelská dokumentace k projektu CZECH POINT Popis použití komerčního a kvalifikovaného certifikátu Vytvořeno dne: 20.5.2008 Aktualizováno: 23.5.2008 Verze: 1.3 Obsah Uživatelská dokumentace...1 Obsah...2

Více

Šifrování Autentizace Bezpečnostní slabiny. Bezpečnost. Lenka Kosková Třísková, NTI TUL. 22. března 2013

Šifrování Autentizace Bezpečnostní slabiny. Bezpečnost. Lenka Kosková Třísková, NTI TUL. 22. března 2013 Šifrování Autentizace ní slabiny 22. března 2013 Šifrování Autentizace ní slabiny Technologie Symetrické vs. asymetrické šifry (dnes kombinace) HTTPS Funguje nad HTTP Šifrování s pomocí SSL nebo TLS Šifrování

Více

Česká pošta, s.p. Certifikační autorita PostSignum

Česká pošta, s.p. Certifikační autorita PostSignum Česká pošta, s.p. Certifikační autorita PostSignum 6. 12. 2012 Ing. Miroslav Trávníček Služby certifikační autority Kvalifikované certifikáty komunikace s úřady státní správy Komerční certifikáty bezpečný

Více

Windows Server 2003 Active Directory

Windows Server 2003 Active Directory Windows Server 2003 Active Directory Active Directory ukládá informace o počítačích, uživatelích a ostatních objektech v síti. Zpřístupňuje tyto zdroje uživatelům. Poskytuje komplexní informace o organizaci,

Více

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM Petr Dolejší Senior Solution Consultant OCHRANA KLÍČŮ A ZOKB Hlavní termín kryptografické prostředky Vyhláška 316/2014Sb. o kybernetické bezpečnosti zmiňuje: v 17 nástroj

Více

MojeID: Pravidla motivačního programu pro poskytovatele služeb

MojeID: Pravidla motivačního programu pro poskytovatele služeb MojeID: Pravidla motivačního programu pro poskytovatele služeb V platnosti od 1. 3. 2015 1 Vyhlašovatel CZ.NIC, z. s. p. o. Milešovská 5, 130 00 Praha 3 IČ: 67985726 DIČ: CZ67985726 Zapsáno ve spolkovém

Více

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Projekt je realizován v rámci Operačního programu Vzdělávání pro konkurence

Více

Aktuální stav ISDS. e-government 20:10, Mikulov. Česká pošta, s.p. 6.9.2011

Aktuální stav ISDS. e-government 20:10, Mikulov. Česká pošta, s.p. 6.9.2011 Aktuální stav ISDS e-government 20:10, Mikulov Česká pošta, s.p. 6.9.2011 Informační systém datových Aktuální data k 31. 8. 2011 442 124 aktivních datových schránek v druhé polovině 2012 očekáváme 500

Více

Příloha č. 12. Systém společného přihlašování, tzv. Single Sign On, ochrana dat

Příloha č. 12. Systém společného přihlašování, tzv. Single Sign On, ochrana dat Název projektu: Redesign Statistického informačního systému v návaznosti na zavádění egovernmentu v ČR Příjemce: Česká republika Český statistický úřad Registrační číslo projektu: CZ.1.06/1.1.00/07.06396

Více

KSRZIS. Postup kroků nutných pro napojení nemocničního informačního systému s registrem NSHNU v prostředí registrů resortu zdravotnictví

KSRZIS. Postup kroků nutných pro napojení nemocničního informačního systému s registrem NSHNU v prostředí registrů resortu zdravotnictví Koordinační středisko pro resortní zdravotnické informační systémy Budějovická 15/743 140 00 Praha 4 Počet stran: 10 KSRZIS Postup kroků nutných pro napojení nemocničního informačního systému s registrem

Více

Specifikace rozhraní. Oznamovací povinnost podle zákona č. 307/2013 Sb., ve znění pozdějších předpisů. Martin Falc, SW architekt.

Specifikace rozhraní. Oznamovací povinnost podle zákona č. 307/2013 Sb., ve znění pozdějších předpisů. Martin Falc, SW architekt. C E R T I C O N www.certicon.cz V Á C L A V S K Á 1 2 1 2 0 0 0 P R A H A 2 Specifikace rozhraní Oznamovací povinnost podle zákona č. 307/2013 Sb., ve znění pozdějších předpisů Martin Falc, SW architekt

Více

Microsoft Windows Server System

Microsoft Windows Server System Microsoft Windows Server System Uživatelský autentikační systém od společnosti truconnexion komplexně řeší otázku bezpečnosti interních počítačových systémů ebanky, a.s. Přehled Země: Česká republika Odvětví:

Více

Pokyny pro školy. Jak používat webový portál. informačního systému NZZ

Pokyny pro školy. Jak používat webový portál. informačního systému NZZ Pokyny pro školy Jak používat webový portál informačního systému NZZ NUOV Praha, duben 2009 Obsah Základní informace... 3 Přihlášení škol... 5 Změna účtu... 6 Změna hesla... 6 Vstup do systému... 7 Správa

Více

Představení systému MAP

Představení systému MAP Představení systému MAP 22.11.2013 1 Obsah prezentace Důvod vzniku systému MAP Nové prvky systému MAP Kde lze MAP kartu použít? Bezpečnost systému MAP karty Architektura systému Centrální MAP autorita

Více

Dokumentace. k projektu Czech POINT. Popis použití komerčního a kvalifikovaného certifikátu

Dokumentace. k projektu Czech POINT. Popis použití komerčního a kvalifikovaného certifikátu Dokumentace k projektu Czech POINT Popis použití komerčního a kvalifikovaného certifikátu Vytvořeno dne: 11.4.2007 Aktualizováno: 19.2.2009 Verze: 3.3 2009 MVČR Obsah 1. Vysvětleme si pár pojmů...3 1.1.

Více

VÝBĚR CLOUDU, ANEB JAK ZVOLIT TEN NEJLEPŠÍ

VÝBĚR CLOUDU, ANEB JAK ZVOLIT TEN NEJLEPŠÍ VÝBĚR CLOUDU, ANEB JAK ZVOLIT TEN NEJLEPŠÍ Infinity, a.s. U Panasonicu 375 Pardubice 530 06 Tel.: (+420) 467 005 333 www.infinity.cz PROČ SE ZABÝVAT VÝBĚREM CLOUDU 2 IT služba Jakákoliv služba poskytovaná

Více

E-DOKLAD. Elektronický občanský průkaz. STÁTNÍ TISKÁRNA CENIN, státní podnik. Petr Fikar, ředitel rozvoje produktů a služeb

E-DOKLAD. Elektronický občanský průkaz. STÁTNÍ TISKÁRNA CENIN, státní podnik. Petr Fikar, ředitel rozvoje produktů a služeb E-DOKLAD Elektronický občanský průkaz STÁTNÍ TISKÁRNA CENIN, státní podnik Petr Fikar, ředitel rozvoje produktů a služeb Občanský průkaz - základní informace V ČR vydávány od 1. 1. 2012 eop bez čipu eop

Více

Tovek Server. Tovek Server nabízí následující základní a servisní funkce: Bezpečnost Statistiky Locale

Tovek Server. Tovek Server nabízí následující základní a servisní funkce: Bezpečnost Statistiky Locale je serverová aplikace určená pro efektivní zpracování velkého objemu sdílených nestrukturovaných dat. Umožňuje automaticky indexovat data z různých informačních zdrojů, intuitivně vyhledávat informace,

Více

Autorizační systém Uživatelská příručka pro Samoobslužnou aplikaci

Autorizační systém Uživatelská příručka pro Samoobslužnou aplikaci Autorizační systém Uživatelská příručka pro Samoobslužnou aplikaci Obsah 1 Základní informace o aplikaci... 2 2 Uživatelský účet... 2 2.1 Dodatečná autentizace... 2 2.2 Aktivace nově založeného uživatelského

Více

Uživatelská dokumentace

Uživatelská dokumentace Uživatelská dokumentace Verze 14-06 2010 Stahování DTMM (v rámci služby Geodata Distribution) OBSAH OBSAH...2 1. O MAPOVÉM SERVERU...3 2. NASTAVENÍ PROSTŘEDÍ...3 2.1 Hardwarové požadavky...3 2.2 Softwarové

Více

Federační politika eduid.cz

Federační politika eduid.cz Obsah Federační politika eduid.cz Verze 1.1 1. Úvod...1 2. Definice...1 3. Obecná ustanovení...3 4. Vymezení rolí a povinností subjektů zapojených do federace...3 4.1. Operátor federace...3 4.2. Poskytovatelé

Více

DOPLNĚK. Projekt Informační systém základních registrů je spolufinancován Evropskou unií z Evropského fondu pro regionální rozvoj.

DOPLNĚK. Projekt Informační systém základních registrů je spolufinancován Evropskou unií z Evropského fondu pro regionální rozvoj. GLOBÁLNÍ ARCHITEKTURA ZÁKLADNÍCH REGISTRŮ DOPLNĚK Projekt Informační systém základních registrů je spolufinancován Evropskou unií z Evropského fondu pro regionální rozvoj. Obsah 1 Cíle dokumentu...3 2

Více

Extrémně silné zabezpečení mobilního přístupu do sítě.

Extrémně silné zabezpečení mobilního přístupu do sítě. Extrémně silné zabezpečení mobilního přístupu do sítě. ESET Secure Authentication (ESA) poskytuje silné ověření oprávnění přístupu do firemní sítě a k jejímu obsahu. Jedná se o mobilní řešení, které používá

Více

Role datových schránek v elektronické komunikaci zdravotnických zařízení

Role datových schránek v elektronické komunikaci zdravotnických zařízení Role datových schránek v elektronické komunikaci zdravotnických zařízení Ing. Svetlana Drábková konzultant pro oblast zdravotnictví email: drabkova@datasys.cz Základní fakta o společnosti DATASYS Společnost

Více

Nápověda pro systém ehelpdesk.eu

Nápověda pro systém ehelpdesk.eu www.ehelpdesk.eu Nápověda pro systém ehelpdesk.eu Obsah 1. Základní informace o ehelpdesk.eu... 2 1.1 Rychlé použití aplikace ehelpdesk.eu... 2 1.2 Příklady nasazení... 2 2. Příručka pro uživatele ehelpdesk.eu...

Více

CLOUD COMPUTING PRO MALÉ A STŘEDNÍ FIRMY

CLOUD COMPUTING PRO MALÉ A STŘEDNÍ FIRMY 1 CLOUD COMPUTING PRO MALÉ A STŘEDNÍ FIRMY Ing. Martin Pochyla, Ph.D. VŠB TU Ostrava, Ekonomická fakulta Katedra Aplikovaná informatika martin.pochyla@vsb.cz Informační technologie pro praxi 2010 Definice

Více

Vývoj moderních technologií při vyhledávání. Patrik Plachý SEFIRA spol. s.r.o. plachy@sefira.cz

Vývoj moderních technologií při vyhledávání. Patrik Plachý SEFIRA spol. s.r.o. plachy@sefira.cz Vývoj moderních technologií při vyhledávání Patrik Plachý SEFIRA spol. s.r.o. plachy@sefira.cz INFORUM 2007: 13. konference o profesionálních informačních zdrojích Praha, 22. - 24.5. 2007 Abstrakt Vzhledem

Více

Jednorázová hesla pro zvýšení bezpečnosti vzdáleného přístupu mobilních uživatelů

Jednorázová hesla pro zvýšení bezpečnosti vzdáleného přístupu mobilních uživatelů Jednorázová hesla pro zvýšení bezpečnosti vzdáleného přístupu mobilních uživatelů Jedním z řešení bezpečného vzdáleného přístupu mobilních uživatelů k firemnímu informačnímu systému je použití technologie

Více

Přichází nová éra. Petr Jaroš 6. 9. 2011 / Mikulov Připraveno pro konferenci e-government 20:10

Přichází nová éra. Petr Jaroš 6. 9. 2011 / Mikulov Připraveno pro konferenci e-government 20:10 Přichází nová éra Petr Jaroš 6. 9. 2011 / Mikulov Připraveno pro konferenci e-government 20:10 Skupina ČSOB vedoucí hráč na trhu finančních služeb v České republice součást mezinárodní bankopojišťovací

Více

ZPŘÍSTUPNĚNÍ RESORTNÍCH REGISTRŮ VEŘEJNOSTI. Webový Portál farmáře byl vytvořen pro Ministerstvo zemědělství České republiky (MZe).

ZPŘÍSTUPNĚNÍ RESORTNÍCH REGISTRŮ VEŘEJNOSTI. Webový Portál farmáře byl vytvořen pro Ministerstvo zemědělství České republiky (MZe). PORTÁL FARMÁŘE MZE ZPŘÍSTUPNĚNÍ RESORTNÍCH REGISTRŮ VEŘEJNOSTI - PŘÍPADOVÁ STUDIE O zákazníkovi Webový Portál farmáře byl vytvořen pro Ministerstvo zemědělství České republiky (MZe). Ministerstvo zemědělství

Více

Autentizace uživatelů

Autentizace uživatelů Autentizace uživatelů základní prvek ochrany sítí a systémů kromě povolování přístupu lze uživatele členit do skupin, nastavovat různá oprávnění apod. nejčastěji dvojicí jméno a heslo další varianty: jednorázová

Více

KVALIFIKOVANÉ CERTIFIKÁTY

KVALIFIKOVANÉ CERTIFIKÁTY Ondřej Ševeček PM Windows Server GOPAS a.s. MCM: Directory Services MVP: Enterprise Security ondrej@sevecek.com www.sevecek.com KVALIFIKOVANÉ CERTIFIKÁTY Slovníček Česky veřejný / soukromý klíč otisk podepsat

Více

Návod pro použití bezpečnostního tokenu SafeNet etoken PASS s Portálem datových stránek. Poslední verze ze dne 6. 6. 2011

Návod pro použití bezpečnostního tokenu SafeNet etoken PASS s Portálem datových stránek. Poslední verze ze dne 6. 6. 2011 Návod pro použití bezpečnostního tokenu SafeNet etoken PASS s Portálem datových stránek Poslední verze ze dne 6. 6. 2011 OBSAH: Aktivace tokenu etokenpass...4 Přihlášení k Portálu datových stránek...7

Více

Novinky v registru domén a mojeid. Jaromír Talíř jaromir.talir@nic.cz 21.05.2013

Novinky v registru domén a mojeid. Jaromír Talíř jaromir.talir@nic.cz 21.05.2013 Novinky v registru domén a mojeid Jaromír Talíř jaromir.talir@nic.cz 21.05.2013 Obsah Skrývání adresy v WHOIS Slučování duplicitních kontaktů Novinky v mojeid Doménový prohlížeč Skrývání adresy v WHOIS

Více

Pravidla komunikace LRR

Pravidla komunikace LRR Pravidla komunikace LRR Verze 20040801 V platnosti od 1.8.2004 0. OBSAH 1. Úvodní ustanovení 2. Subjekty 3. Registrace Doménového jména 4. Prodloužení registrace Doménového jména 5. Změna údajů subjektů

Více

Provozní dokumentace. Seznam orgánů veřejné moci. Příručka pro běžného uživatele

Provozní dokumentace. Seznam orgánů veřejné moci. Příručka pro běžného uživatele Provozní dokumentace Seznam orgánů veřejné moci Příručka pro běžného uživatele Vytvořeno dne: 7. 7. 2011 Aktualizováno: 18. 7. 2011 Verze: 1.1 2011 MVČR Obsah 1 Úvod...3 1.1 Cíl dokumentu...3 1.2 Zkratky

Více

Návrh funkcí webových služeb (WS) pro komunikaci mezi Informačním systémem datových schránek (ISDS) a spisovými službami (SS)

Návrh funkcí webových služeb (WS) pro komunikaci mezi Informačním systémem datových schránek (ISDS) a spisovými službami (SS) Návrh funkcí webových služeb (WS) pro komunikaci mezi Informačním systémem datových schránek (ISDS) a spisovými službami (SS) Úvod Návrh funkcí WS pro komunikaci mezi IS DS a SS vychází z výsledků předchozích

Více

Autorizovaná konverze dokumentů

Autorizovaná konverze dokumentů Autorizovaná konverze dokumentů Autorizovaná konverze Konverze z pohledu občana a úředníka CzechPOINT@office Principy konverze, centrální evidence doložek Poplatky za konverzi, digitální podpis Zkoušky

Více

Elektronický podpis význam pro komunikaci. elektronickými prostředky

Elektronický podpis význam pro komunikaci. elektronickými prostředky MASARYKOVA UNIVERZITA V BRNĚ PRÁVNICKÁ FAKULTA Elektronický podpis význam pro komunikaci elektronickými prostředky (seminární práce) Lýdia Regéciová, UČO: 108551 Brno 2005 Úvod Snad každý z nás se v životě

Více

Dokumentace aplikace Chemon

Dokumentace aplikace Chemon Dokumentace aplikace Chemon Vydání 2.0 Technologie 2000 18.09.2015 Obsah 1 Správa uživatelů programu Chemon 1 1.1 Popis systému uživatelů....................................... 1 1.2 Identifikace uživatelů.........................................

Více

Národní elektronický nástroj. Metodika při připojování individuálních elektronických nástrojů (včetně elektronických tržišť veřejné správy) k NEN

Národní elektronický nástroj. Metodika při připojování individuálních elektronických nástrojů (včetně elektronických tržišť veřejné správy) k NEN Národní elektronický nástroj Metodika při připojování individuálních elektronických nástrojů (včetně elektronických tržišť veřejné správy) k NEN V 1.2 31.10.2014 Obsah 1 Vymezení pojmů... 3 1.1 Vymezení

Více

[1] ICAReNewZEP v1.2 Uživatelská příručka

[1] ICAReNewZEP v1.2 Uživatelská příručka [1] ICAReNewZEP v1.2 Uživatelská příručka 06.10.2011 [2] Obsah 1 - ÚVOD... 3 2 - POUŽITÉ ZKRATKY... 3 3 POŽADAVKY... 4 3.1 POŽADAVKY PRO SPRÁVNÝ CHOD APLIKACE... 4 3.2 POŽADAVKY NA OBNOVOVANÝ CERTIFIKÁT...

Více

Centrální portál knihoven a knihovní systémy. Petr Žabička, Moravská zemská knihovna v Brně

Centrální portál knihoven a knihovní systémy. Petr Žabička, Moravská zemská knihovna v Brně Centrální portál knihoven a knihovní systémy Petr Žabička, v Brně Obsah 1. Centrální portál knihoven 2. Agregace metadat 3. Standard Z39.83 4. Identity uživatelů 5. Online platby Centrální portál knihoven

Více

Platební systém XPAY [www.xpay.cz]

Platební systém XPAY [www.xpay.cz] Platební systém XPAY [www.xpay.cz] popis platební metody MTSMS a průběhu platby verze / 9..0 Obsah Přehled platebních metod. MTSMS. MTSMS [erotický obsah] Průběh platby. Platba s přesměrování na platební

Více

Koncept řešení EOS EVIDENCE ORGANIZAČNÍ STRUKTURY

Koncept řešení EOS EVIDENCE ORGANIZAČNÍ STRUKTURY Koncept řešení EOS komplexní řešení informačních systémů EVIDENCE ORGANIZAČNÍ STRUKTURY Městský rok informatiky v Olomouci Datum: 12.6. 2009 MARBES CONSULTING s.r.o. Brojova 16, 326 00 Plzeň Jaroslav PEROUTKA

Více

l Kontakt s klientem SSP Popis automatizované komunikace s ÚP ČR v součinnosti a exekuci

l Kontakt s klientem SSP Popis automatizované komunikace s ÚP ČR v součinnosti a exekuci l Kontakt s klientem SSP automatizované komunikace s ÚP ČR v součinnosti a exekuci Obsah: 1. SEZNAM POUŽITÝCH ZKRATEK... 3 2. POPIS SLUŽBY... 4 2.1 Forma a struktura rozhraní... 4 2.2 Dostupnost služby...

Více

DATOVÉ SCHRÁNKY Petr Stiegler

DATOVÉ SCHRÁNKY Petr Stiegler DATOVÉ SCHRÁNKY Petr Stiegler ředitel sekce egovernmentu Česká pošta, s.p. Česká pošta a datové schránky Česká pošta je na základě zákona a na základě smlouvy s Ministerstvem vnitra provozovatelem informačního

Více

Už ivatelska dokumentace

Už ivatelska dokumentace Už ivatelska dokumentace Aplikace Portál úspěšných projektů je určena k publikování informací o projektech realizovaných za přispění některého z Operačních programů v gesci Ministerstva vnitra České republiky.

Více

SSL Secure Sockets Layer

SSL Secure Sockets Layer SSL Secure Sockets Layer internetové aplikační protokoly jsou nezabezpečené SSL vkládá do architektury šifrující vrstvu aplikační (HTTP, IMAP,...) SSL transportní (TCP, UDP) síťová (IP) SSL poskytuje zabezpečenou

Více

ZIFO, AIFO a bezpečnost osobních údajů

ZIFO, AIFO a bezpečnost osobních údajů ZIFO, AIFO a bezpečnost osobních údajů v systému ZR Ing. Eva Vrbová ředitelka Odboru základních identifikátorů Hradec Králové 2. 3. 4. 2012 Agenda Postavení informačního systému ORG Aktuální problematika

Více

REGISTRACE UŽIVATELE

REGISTRACE UŽIVATELE OBCHODOVÁNÍ S POVOLENKAMI REJSTŘÍK UNIE REGISTRACE UŽIVATELE Stručná uživatelská příručka Obsah Spuštění aplikace... 2 Přihlášení a odhlášení... 3 Vytvoření uživatelského účtu ECAS a přidání čísla mobilního

Více

Zabezpečené vzdálené přístupy k aplikacím případová studie. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

Zabezpečené vzdálené přístupy k aplikacím případová studie. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert případová studie Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert Sektor veřejné správy Zpracovává řadu agend potřebných pro život občanů IT představuje strategický pilíř, o který se opírá

Více

24 Uživatelské výběry

24 Uživatelské výběry 24 Uživatelské výběry Uživatelský modul Uživatelské výběry slouží k vytváření, správě a následnému používání tématicky seskupených osob a organizací včetně jejich kontaktních údajů. Modul umožňuje hromadnou

Více

o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná

o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná vazba o Příklad o Zákon č. 181/2014 Sb., o kybernetické

Více

Národní digitální archiv a egovernment 2. 12. 2009

Národní digitální archiv a egovernment 2. 12. 2009 Národní digitální archiv a egovernment 2. 12. 2009 Elektronizace veřejné správy - rok 2009 je z hlediska eletronizace přelomový - Informační systém datových schránek (ISDS) - zákon č. 300/2008 Sb. - povinnost

Více

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény DNSSEC Validátor - doplněk prohlížečů proti podvržení domény CZ.NIC z.s.p.o. Martin Straka / martin.straka@nic.cz Konference Internet a Technologie 12 24.11.2012 1 Obsah prezentace Stručný úvod do DNS

Více

Michal Kolařík 18.1.2012. ISZR - Brána k základním registrům

Michal Kolařík 18.1.2012. ISZR - Brána k základním registrům Michal Kolařík 18.1.2012 ISZR - Brána k základním registrům Informační systém základních registrů Informační systém základních registrů Registrační číslo: CZ.1.06/1.1.00/03.05891 Projekt Informační systém

Více

Dopady spuštění základních registrů na subjekty územní samosprávy

Dopady spuštění základních registrů na subjekty územní samosprávy Dopady spuštění základních registrů na subjekty územní samosprávy Příloha č. 7 Nezodpovězené dotazy a seznam doporučení Vydavatel: Ministerstvo vnitra ČR, ve spolupráci s kraji Zpracovatel: CORTIS Consulting

Více

Pravidla komunikace registrátora Web4u s.r.o.

Pravidla komunikace registrátora Web4u s.r.o. Pravidla komunikace registrátora Web4u s.r.o. V platnosti od 24.10.2003 OBSAH 1. Úvodní ustanovení 2. Subjekty 3. Registrace Doménového jména 4. Prodloužení registrace Doménového jména 5. Změna údajů subjektů

Více

DATOVÉ SCHRÁNKY. Petr Stiegler ředitel sekce egovernmentu Česká pošta, s.p.

DATOVÉ SCHRÁNKY. Petr Stiegler ředitel sekce egovernmentu Česká pošta, s.p. DATOVÉ SCHRÁNKY Petr Stiegler ředitel sekce egovernmentu Česká pošta, s.p. ČESKÁ POŠTA A DATOVÉ SCHRÁNKY Česká pošta bude provozovatelem systému na základě zákona a na základě smlouvy s Ministerstvem vnitra.

Více

Bezpečná autentizace přístupu do firemní sítě

Bezpečná autentizace přístupu do firemní sítě Bezpečná autentizace přístupu do firemní sítě ESET Secure Authentication (ESA) poskytuje silné ověření oprávnění přístupu do firemní sítě a k jejímu obsahu. Jedná se o mobilní řešení, které používá dvoufaktorové

Více

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce Základní princip Elektronický podpis Odesílatel podepíše otevřený text vznikne digitálně podepsaný text Příjemce ověří zda podpis patří odesílateli uvěří v pravost podpisu ověří zda podpis a text k sobě

Více

Elektronická aukce na dříví Lesy ČR, s.p. Registrace zájemce a oprávněných osob

Elektronická aukce na dříví Lesy ČR, s.p. Registrace zájemce a oprávněných osob Elektronická aukce na dříví Lesy ČR, s.p. Registrace zájemce a oprávněných osob Tento dokument popisuje postup registrace Zájemce a jeho Oprávněných osob v aplikaci Elektronické aukce dříví Lesy ČR, a.p.

Více

Desktop systémy Microsoft Windows

Desktop systémy Microsoft Windows Desktop systémy Microsoft Windows IW1/XMW1 2011/2012 Jan Fiedor ifiedor@fit.vutbr.cz Fakulta Informačních Technologií Vysoké Učení Technické v Brně Božetěchova 2, 612 66 Brno Revize 12.12.2011 12.12.2011

Více

Pravidla komunikace registrátora ZONER software, a.s. V platnosti od 1.8.2004 OBSAH 1. Úvodní ustanovení 2. Subjekty 3. Registrace Doménového jména 4. Prodloužení registrace Doménového jména 5. Změna údajů

Více

Registrace pro Intrastat v roce 2012. Přechody z aplikací, které nebudou v roce 2012 podporovány.

Registrace pro Intrastat v roce 2012. Přechody z aplikací, které nebudou v roce 2012 podporovány. Registrace pro Intrastat v roce 2012. Přechody z aplikací, které nebudou v roce 2012 podporovány. 1. Vymezení pojmů a. Situace v roce 2012. V roce 2012 budou platné pouze aplikace InstatOnline (dále IO)

Více

Správa probíhá v přehledné webové konzoli.

Správa probíhá v přehledné webové konzoli. Služba SkolniLogin.cz je nástroj pro správu uživatelských účtů a nástavba pro Microsoft Office 365. Naším cílem je poskytnout školám ucelené řešení, zjednodušit nasazení, správu uživatelů a sjednotit přihlašován.

Více

Sdílené služby českého egovernmentu. Ing. Ondřej Felix CSc Hlavní architekt egovernmentu MVČR

Sdílené služby českého egovernmentu. Ing. Ondřej Felix CSc Hlavní architekt egovernmentu MVČR Sdílené služby českého egovernmentu Ing. Ondřej Felix CSc Hlavní architekt egovernmentu MVČR Praha, 25. září 2014 Zákon 365/2000 Sb. Informační systémy veřejné správy Regulace izolovaných informačních

Více

CZ.1.07/1.5.00/34.0527

CZ.1.07/1.5.00/34.0527 Projekt: Příjemce: Digitální učební materiály ve škole, registrační číslo projektu CZ.1.07/1.5.00/34.0527 Střední zdravotnická škola a Vyšší odborná škola zdravotnická, Husova 3, 371 60 České Budějovice

Více

Úvod do informatiky 5)

Úvod do informatiky 5) PŘEHLED PŘEDNÁŠKY Internet Protokol a služba Jmenná služba (DNS) URL adresa Elektronická pošta Přenos souborů (FTP) World Wide Web (WWW) Téměř zapomenuté služby 1 INTERNET 2 PROTOKOL A SLUŽBA Protokol

Více

PŘEHLED SLUŽEB A PARAMETRŮ INTERNETOVÉHO BANKOVNICTVÍ CREDITAS

PŘEHLED SLUŽEB A PARAMETRŮ INTERNETOVÉHO BANKOVNICTVÍ CREDITAS PŘEHLED SLUŽEB A PARAMETRŮ INTERNETOVÉHO BANKOVNICTVÍ CREDITAS ÚČINNÝ OD 1. ÚNORA 2015 OBSAH Technické požadavky 01 Bezpečnostní prvky 01 Povinnost zřízení a vedení účtu 01 Dostupnost 01 Limity aktivních

Více

Platební systém XPAY [www.xpay.cz]

Platební systém XPAY [www.xpay.cz] Platební systém XPAY [www.xpay.cz] implementace přenosu informace o doručení SMS verze 166 / 1.3.2012 1 Obsah 1 Implementace platebního systému 3 1.1 Nároky platebního systému na klienta 3 1.2 Komunikace

Více

epasy - cestovní doklady nově s otisky prstů Projekt CDBP

epasy - cestovní doklady nově s otisky prstů Projekt CDBP epasy - cestovní doklady nově s otisky prstů Projekt CDBP ISSS 2009 Hradec Králové, 6. 4. 2009 Ing. Petr Mayer, SI II Obsah 1. Cíl projektu: Nový biometrický epas 2. Organizace projektu 3. Harmonogram

Více

TRANSPORTY výbušnin (TranV)

TRANSPORTY výbušnin (TranV) TRANSPORTY výbušnin (TranV) Ze zákona vyplývá povinnost sledování přeprav výbušnin. Předpokladem zajištění provázanosti polohy vozidel v čase a PČR je poskytování polohy vozidla předepsaným způsobem. Komunikace

Více

Funkční specifikace ABOKWS. Aplikační rozhraní elektronického bankovnictví ABO-K. Verze 0.5

Funkční specifikace ABOKWS. Aplikační rozhraní elektronického bankovnictví ABO-K. Verze 0.5 Funkční specifikace ABOKWS Aplikační rozhraní elektronického bankovnictví ABO-K Verze 0.5 Přehled změn Verze Datum Změnil Popis 0.1 26.2.2013 MB Úvod, Osnova dokumentu, funkce ABOKWS 0.2 18.4.2014 MB Tabulky

Více

Odesílání citlivých dat prostřednictvím šifrovaného emailu s elektronickým podpisem standardem S/MIME

Odesílání citlivých dat prostřednictvím šifrovaného emailu s elektronickým podpisem standardem S/MIME Odesílání citlivých dat prostřednictvím šifrovaného emailu s elektronickým podpisem standardem S/MIME Je dostupnou možností, jak lze zaslat lékařskou dokumentaci elektronicky. Co je třeba k odeslání šifrovaného

Více

Akreditovaná certifikační autorita eidentity

Akreditovaná certifikační autorita eidentity Akreditovaná certifikační autorita eidentity ACAeID 35 Zpráva pro uživatele Verze: 1.2 Odpovídá: Ing. Jiří Hejl Datum: 21. 12. 2012 Utajení: Veřejný dokument eidentity a.s. Vinohradská 184,130 00 Praha

Více

VYHLÁŠKA ze dne 23. června 2009 o stanovení podrobností užívání a provozování informačního systému datových schránek

VYHLÁŠKA ze dne 23. června 2009 o stanovení podrobností užívání a provozování informačního systému datových schránek VYHLÁŠKA ze dne 23. června 2009 o stanovení podrobností užívání a provozování informačního systému datových schránek Ministerstvo vnitra stanoví podle 9 odst. 3 a 4, 20 odst. 3 a 21 zákona č. 300/2008

Více

36 Elektronické knihy

36 Elektronické knihy 36 Elektronické knihy Uživatelský modul Elektronické knihy slouží k přípravě a publikování informací ve formátu HTML. Tento formát je vhodný pro prezentaci informací na internetu a je široce podporován

Více

Platební systém XPAY [www.xpay.cz]

Platební systém XPAY [www.xpay.cz] Platební systém XPAY [www.xpay.cz] popis platebních metod Bankovní převod a Poštovní poukázka v ČR a SR a průběhu platby verze 19 / 29.2.2012 1 Obsah 1 Přehled platebních metod 3 1.1 Bankovní převod v

Více

Slovenská spořitelna:

Slovenská spořitelna: Případová studie Slovenská spořitelna: Microsoft Dynamics CRM pro správu klientů ze segmentu malých a středních podniků Jak jsme Slovenské spořitelně usnadnily a zefektivnily práci s klienty ze segmentu

Více

BUSINESS 24 Databanking

BUSINESS 24 Databanking BUSINESS 24 Databanking Z ÚČETNÍHO SYSTÉMU PŘÍMO DO BANKY Martin Brabec Česká spořitelna, a.s. úsek Přímé bankovnictví OBSAH 1. Jaká je Česká spořitelna? 2. Přímé bankovnictví pro obce, města a kraje:

Více

JAK ČÍST ZÁZNAM O VYUŽÍVÁNÍ ÚDAJŮ V REGISTRU OBYVATEL

JAK ČÍST ZÁZNAM O VYUŽÍVÁNÍ ÚDAJŮ V REGISTRU OBYVATEL JAK ČÍST ZÁZNAM O VYUŽÍVÁNÍ ÚDAJŮ V REGISTRU OBYVATEL Název dokumentu: Jak číst záznam o využívání údajů v registru obyvatel Verze: 1.8 Autor: Správa základních registrů Datum aktualizace: 25. 2. 2014

Více

Ondřej Caletka. 13. března 2014

Ondřej Caletka. 13. března 2014 Mobilní zranitelnosti Ondřej Caletka 13 března 2014 Uvedené dílo podléhá licenci Creative Commons Uveďte autora 30 Česko Ondřej Caletka (CESNET, z s p o) Mobilní zranitelnosti 13 března 2014 1 / 18 Geolokace

Více

Microsoft SharePoint Portal Server 2003. Zvýšená týmová produktivita a úspora času při správě dokumentů ve společnosti Makro Cash & Carry ČR

Microsoft SharePoint Portal Server 2003. Zvýšená týmová produktivita a úspora času při správě dokumentů ve společnosti Makro Cash & Carry ČR Microsoft SharePoint Portal Server 2003 Zvýšená týmová produktivita a úspora času při správě dokumentů ve společnosti Makro Cash & Carry ČR Přehled Země: Česká republika Odvětví: Velkoobchod Profil zákazníka

Více