RISRE - Otázky a odpovědi - kategorie - 5. Správa uživatelů

Ve spolupráci s Kompetenčním centrem IISSP
Ve spolupráci s Kompetenčním centrem IISSP

Vydáno

Aktualizováno 11. 12. 2012
  • Přidána otázka a odpovědˇ v rozsahu - 5.10 - 5.15
  • Přidána otázka a odpovědˇ - 5.16

číslo/datum aktualizace Otázka Odpověd´
FAQ - Kategorie - Správa uživatelů
5.1/
30.10.2012
Jakým způsobem zaregistruji uživatele pro prostředí testování třetích stran RISRE? Pro registraci uživatelů je nutné použít výhradně Registrační formulář přiložený k dokumentu Pracovní postup pro testování třetích stran (tj. nelze použít Registrační formulář dostupný ve webové aplikaci pro produktivní prostředí). Ve vyplněném Registračním formuláři uvede Pověřená osoba za rozpočtovou kapitolu v poli „Poznámka“ text „Založení/změna/zrušení uživatele v prostředí Testování třetích stran“. Následně pověřená osoba pošle vyplněný Registrační formulář pro založení (změnu, zrušení) uživatele pro testování třetích stran RISRE prostřednictvím datové schránky ISDS (nikoliv prostřednictvím webové aplikace jak je tomu u registrací do produktivního prostředí IISSP). Detailní informace k registraci uživatelů naleznete v dokumentu Pracovní postup pro testování třetích stran.
5.2/
30.10.2012
Mohou být pro účely komunikace se systémem T3S a s produktivním systémem u nás nainstalované stejné serverové certifikáty? Ano mohou, ale v rámci obou prostředí se musí registrovat samostatně.
5.3/
30.10.2012
Máme 2 informační systémy, které komunikují s IISSP (jeden pro rozpočet, jeden pro platební styk) - potřebujeme v takovém případě 2 technické uživatele a 2 serverové certifikáty a ke každému z nich 1 komerční serverový certifikát? Z pohledu IISSP není nijak omezeno, kolik technických uživatelů a certifikátů má OSS mít. Závisí především na dané OSS a jejím bezpečnostním správci, jak se k této věci postaví. U tohoto konkrétního případu bychom spíše doporučovali používat ke každému systému samostatného technického uživatele s vlastním komerčním serverovým certifikátem.
5.4/
30.10.2012
Pokud jsem už jako uživatel zaregistrovaný v modulu Příprava rozpočtu (RISPR), musím znovu vyplňovat a poslat registrační formulář pro modul Realizace rozpočtu (RISRE)? Registrační formulář je zapotřebí vyplnit pokaždé, když požadujete změnu v roli, tj. přiřazení Typového uživatele, konkrétnímu uživateli. Tj. pokud budete jako současný uživatel modulu RISPR vykonávat v budoucnu i činnosti v modulu Realizace rozpočtu (RISRE) IISSP, je nezbytné aby za Vás Pověřená osoba zaslala registrační formulář a v něm požádala operací "Změna uživatele" o  přidání příslušných Typových uživatelů v modulu RISRE. Pověřená osoba může využít funkcionalitu zpětného generování registračního formuláře - v tomto případě se vybrané údaje o Vaší osobě již předvyplní.
5.5/
30.10.2012
Musím při vyplňování registračního formuláře zakliknout stávající role (Typové uživatele), které již mám přiřazené? Ne a nedoporučujeme to. Pověřená osoba by měla zaslat registrační formulář pouze se změnami, o které žádá, tj. zvolit typ operace "Změna uživatele", vybrat příslušné Typové uživatele (TU), které Vám chce přidat či odebrat a zvolit příslušný typ operace (Přidat resp. Odebrat). U TU, kteří nebudou na tomto registračním formuláři vybráni, zůstane rozsah oprávnění beze změny, tj. pokud jste jej již měla/-a konkrétního TU přiřazeného, pak Vám zůstane zachován, pokud jste jej neměl/-a, nebude Vám ani přidělen.
5.6/
30.10.2012
Správce rozpočtu v naší organizaci nemá přístup do EKISu, data vkládá někdo jiný - jak mám postupovat při registraci uživatelů? Je potřeba zaregistrovat tu osobu, jejímž jménem jsou data předávána do systému IISSP. Pokud bude na Vaší Kapitole realizováno automatizované rozhraní mezi Vaším informačním systémem (EKIS) a IISSP, pak je nutno zaregistrovat tu osobu, jejíž identifikace bude obsažena v datové zprávě, kterou Váš EKIS předává do IISSP. Typicky se bude jednat o osobu, která data vkládá nebo schvaluje ve Vašem EKIS. Pokud Váš EKIS nemá realizováno automatické rozhraní na IISSP, pak je nutno registrovat tu osobu, která bude data pořizovat přímo do Portálu IISSP.
5.7/
30.10.2012
Jaký Typový uživatel (TU) je potřeba, aby mohl zadávat do ČNB přímo číslo rezervace? Systém IISSP nepřiděluje přístupy do systému ABO-K České národní banky. Pokud bude Váš pracovník znát číslo rezervace např. přímo z Vašeho EKIS, není zapotřebí jej v IISSP registrovat na žádného TU. Pokud Váš pracovník potřebuje mít možnost nahlížet na stavy rezervací přímo v IISSP, pak jej registrujte na TU "Výkazník rezervací (OSS)".
5.8/
30.10.2012
Když bude pracovník Správce rozpočtu (Kapitola nebo OSS) a současně i Zakladatelem dokladů ROP (Kapitola nebo OSS), musí se registrovat na oba Typové uživatele (TU) a účastnit se obou příslušných školení? Ne, nemusí. Správce rozpočtu (Kapitole nebo OSS) jakožto TU již v sobě obsahuje agendu pro zakládání dokladů ROP, není proto potřeba dvojí registrace. Oba typoví uživatelé navíc vedou na shodné školení, tj. školení se zúčastní pouze jednou.
5.9/
30.10.2012
Musí být Typový uživatel (TU) "Administrátor WF (Kapitola)" zaregistrován i pro oblast RISRE, i když už je tento TU zaregistrován pro oblast RISPR a fyzicky se jedná o stejného pracovníka? TU "Administrátor WF" v oblasti RISPR neexistuje. Zřejmě jste měl/-a na mysli TU "Správce organizační struktury OJ". V každém případě musí být příslušný pracovník zaregistrován separátně i pro RISRE
5.10/
6.11.2012
Zaslal jsem registrační formulář na změnu Pověřené osoby, nic se však nestalo. Proč? Pověřenou osobu (PO) nelze měnit registračním formulářem, ale pouze žádostí zaslanou přes datovou schránku na MF. Prosím postupujte dle pokynů uvedených v Manuálu procesu registrace uživatelů, chcete-li změnit PO na produkčním prostředí IISSP, resp. podle pokynů uvedených v dokumentu Postup pro Testování třetích stran RISRE, chcete-li změnit PO na Prostředí pro Testování třetích stran RISRE.  
5.11/
6.11.2012
Používáme u nás dva informační systémy, jeden pro rozpočet a druhý pro účetnictví. Také v nich pracují různí uživatelé. Proto bychom potřebovali testovat spojení z obou systémů. Bohužel T3S nabídlo registraci pouze pro 4 uživatele, což se nám vzhledem k naší situaci jeví málo. Na prostředí Testování třetích stran RISRE je stanoveno omezení na 4 uživatele na 1 EKIS. Pokud používáte 2 EKISy, je možno tudíž registrovat až 8 uživatelů.
5.12/
6.11.2012
Koho registrovat jako Technického uživatele pro připojení EKIS k systému IISSP? Technický uživatel je v praxi "technický účet" v IISSP (tj. účet pro přihlášení serveru, nikoliv osoby), který je využíván pro přihlášení EKIS do IISSP. K technickému účtu jsou připojeny informace o EKIS, kontaktní osoba za EKIS a certifikát, kterým se EKIS bude autentizovat během navazování komunikace
5.13/
6.11.2012
Kdy proběhne registrace technických uživatelů pro produkční prostředí? Registraci technických uživatelů je možné provádět průběžně pro prostředí Testování třetích stran RISRE. Registrace technických uživatelů do produktivního systému bude pro nepilotní kapitoly zahájena v druhé polovině listopadu 2012 a o tomto kroku budete informováni. Pro komerční certifikáty pro autentizaci technických uživatelů (EKISů) do IISSP bude platit, že v případě, že jeden EKIS zasílá data do IISSP za více OSS, bude umožněno navázat spojení jedním certifikátem tohoto EKIS. Tzn. proces registrace technických uživatelů bude umožňovat přiřazení jednoho technického uživatele (EKISu) s jedním certifikátem k více OSS.
5.14/
6.11.2012
Náš dodavatel EKISu už testuje připojení na IISSP RISRE na jiné Kapitole - je nutné, abychom provedli registraci na T3S i za naši Kapitolu? Pokud ano, vysvětlete nám dobré důvody, proč se registrovat. Prostředí pro Testování třetích stran RISRE (T3S) slouží zástupcům organizačních jednotek (Kapitol, OSS) nebo softwarových společností k otestování komunikace mezi jejich software (EKIS) a IISSP.

Pokud Váš dodavatel EKISu otestuje schopnost komunikace na jiné Kapitole a všechny verze jejich software na ostatních Kapitolách včetně Vaší jsou zcela shodné, lze si teoreticky představit, že by registrace za Vaší kapitolu nutná nebyla.

Na druhou stranu - ze zkušeností z jiných Kapitol a dodavatelů EKIS lze vyvodit, že registrace ve finále téměř s jistotou nutná bude, a to minimálně ze 2 důvodů:

  1. Z důvodu odlišnosti technické infrastruktury mezi různými Kapitolami doporučujeme provést napojení na T3S i z Vaší kapitoly. To, že EKIS od vašeho dodavatele komunikuje s prostředím T3S na jedné Kapitole nutně neznamená, že bude automaticky schopen komunikovat i z Kapitoly Vaší bez toho aniž by nebylo nutno vyřešit problémy s technickým připojením apod.
  2. V dokumentu Plán přechodu RISRE Roll-out pro Kapitoly/OSS je uvedena činnost migrace počátečního stavu nároků z nespotřebovaných výdajů k 1. 1. 2013. Ověřovací migrace probíhá na prostředí T3S, finální migrace pak na produktivním prostředí IISSP. Budete-li migrovat nároky z nespotřebovaných údajů automaticky z EKIS, určitě bychom Vám doporučili registraci na T3S taktéž provést.
5.15/
6.11.2012
Proč musím registrovat technického uživatele pro každou OSS, když na naší Kapitole používáme jen jeden centrální EKIS? V nové verzi Agendy uživatelů, jejíž nasazení je naplánováno na druhou polovinu listopadu, bude umožněno registrovat v případě, že jeden EKIS zasílá data za více OSS, registrovat tento EKIS jako jednoho technického uživatele. K tomuto EKISu bude registrován právě jeden certifikát a EKIS bude přiřazen ke konkrétním OSS, za něž data posílá. Registrace technických uživatelů do produktivního systému bude pro nepilotní kapitoly zahájena v druhé polovině listopadu 2012 a o tomto kroku budete informováni.
5.16/
11.12.2012
V jakém formátu mají být zasílány veřejné klíče k systémovým serverovým certifikátům pro registraci technických uživatelů pro připojení externího systému? V T3S byly požadovány ve formátu PEM.
Proto i nyní jsme chtěli po organizacích resortu spravedlnosti stejný formát. Nyní mi však informatik z jedné z našich organizačních složek sdělil, že na Vašem Hotline mu řekli, že to může být v textovém formátu.
Požadavky na certifikát na Testování třetích stran RISRE (dále T3S) a na produktivním prostředí jsou shodné a nijak se nezměnily, jediný rozdíl je v tom, že na T3S se (prozatím) registrují techničtí uživatelé a vkládají certifikáty "po staru" přes registrační formulář, který je zasílán datovými schránkami, kdežto na produktivním prostředí se registrace provádí již on-line na Portále IISSP.
Veřejný klíč se vkládá ve formátu PEM, což je textový řetězec, který začíná řetězcem "-----BEGIN CERTIFICATE-----" a končí řetězcem "-----END CERTIFICATE-----".
Tj. PEM je v textovém formátu.

Užitečný článek naleznete např. zde:
http://www.digipodpis.cz/navod-cizi_certifikat.php

Zdroj: MF - komunikaceSP@mfcr.cz; RISRE – otázky a odpovědi - Správa uživatelů ; publikováno; 30.10.2012/ aktualizováno: 6.11.2012/11.12.2012