2. Terminologie¶
V dalších kapitolách týkajících se implementace MojeID bude používána následující terminologie:
- Poskytovatel služeb
provozovatel webové aplikace (či přeneseně samotná aplikace, protože vše je řešeno automaticky bez manuálních zásahů), která požaduje ověření uživatelovy identity pomocí MojeID.
- Plný přístup
varianta nasazení služby MojeID u poskytovatele služeb, pro podrobnosti viz https://www.mojeid.cz/cs/pro-poskytovatele/varianty-ceny/.
- Omezený přístup
varianta nasazení služby MojeID u poskytovatele služeb, pro podrobnosti viz https://www.mojeid.cz/cs/pro-poskytovatele/varianty-ceny/.
- Identita
soubor dat o uživateli, které jsou vázané na identifikátor a jsou spravované poskytovatelem OpenID.
- Identifikátor
URL se schématem
http
nebohttps
, pod kterým jsou definovaná a dostupná určitá data v rámci procesu ověřování identity, např.http://specs.nic.cz/attr/contact/valid
.- Realm
oblast URL poskytovatele služeb definující část prostoru URL, pro níž je žádost o ověření identity platná.
- OP
- Poskytovatel OpenID
- OpenID poskytovatel
zřizovatel a správce OpenID2 identit, na jehož webu dochází k autentizaci. V případě MojeID vždy CZ.NIC.
- OCP
- Poskytovatel OpenID Connect
- OpenID Connect poskytovatel
zřizovatel a správce OpenID Connect identit, na jehož webu dochází k autentizaci. V případě MojeID vždy CZ.NIC.
- Jméno identity
jméno MojeID identity ve tvaru
jmenoidentity.mojeid.cz
, které uživatel uvede do přihlašovacího formuláře jako identitu, pod kterou se chce přihlásit, např.demo.mojeid.cz
.- Prohlášený identifikátor
identifikátor vzniklý ze jména identity, pod kterým je tato identita dostupná u OpenID poskytovatele a odkud lze získat metadata k tomuto identifikátoru, např.
https://demo.mojeid.cz/#JeDineCny
.- Koncový bod OP
URL adresa, na které poskytovatel OpenID2 přijímá zprávy. V případě MojeID je to vždy
https://mojeid.cz/endpoint/
.- Registration Endpoint
adresa URL, na které je možné zaregistrovat nového poskytovatele služeb podle specifikace OpenID Connect Dynamic Client Registration.
- Client ID
jednoznačný identifikátor služby využívající OpenID Connect. K jeho přidělení dojde v průbehu registrace a používá se při veškeré komunikaci přes OpenID Connect.
- Client Secret
heslo, kterým se prokazuje autenticita poskytovatele služeb v souvislosti s jeho Client ID. Toto heslo je možné změnit se znalostí Registration Access Token.
- Registration Access Token
token, kterým je autentizovaná jakákoliv změna údajů o službě, například Client Secret.
adresa URL, na kterou poskytovatelé služeb přesměrovávají uživatele za účelem příhlášení.
- ID Token
obsahuje ujištění o úspěšně provedeném ověření totožnosti uživatele, jehož údaje jsou obsažené uvnitř ID Tokenu.
- Access Token
token, kterým je autentizovaný požadavek na UserInfo Endpoint.
- UserInfo Endpoint
adresa URL, na které je možné s využitím Access Token získat detailní údaje o uživateli, pokud nejsou přítomny v ID Tokenu.
- Token Endpoint
adresa URL, na které je možné získat Access Token, případně Refresh Token, pokud nebyly získány přímo v odpovědi na autentizaci.
- Refresh Token
token, který je možné použít pro získání údajů z UserInfo Endpoint i bez přítomnosti uživatele.