HLEDAT
Databáze znalostí: eCity
eCity - komunikace systému s externími webovými službami
Záznam vytvořil Jan Hercog dne 15. 04. 2025, 13:57

Možnosti komunikace eCity s potřebnými doménami

Pro správné fungování systému eCity je nezbytné, aby mohl komunikovat s vybranými externími internetovými službami. Tato komunikace probíhá přes zabezpečené připojení (HTTPS) a zahrnuje například: 

  • ověřování uživatelů přes licence 

  • načítání obsahu a knihoven z webu 

  • spojení s aktualizačním serverem

Bez přístupu k těmto doménám nemůže aplikace eCity plně fungovat – některé funkce mohou být omezené nebo zcela nedostupné (např. přihlášení, databáze ARES, materiály online, aktualizace programuatd.).

 

Možnosti nastavení komunikace s různou úrovní zabezpečení 

Pro zajištění správné a bezpečné funkce systému je možné využít několik přístupů. Níže uvádíme doporučené varianty podle úrovně kontroly a zabezpečení: 

  1. Nastavení HTTPS a DNS bez restrikcí (nulová kontrola, slabé zabezpečení) 

    • výchozí stav u většiny serverů a pracovních stanic, bez omezení přístupu na web 

    • otevřený HTTPS port (443) a povolené DNS požadavky 

 

  1. Použití doménového whitelistu a DNS proxy (kontrola, zabezpečené) 

    • povolit přístup pouze na domény uvedené ve schváleném seznamu [whitelist - viz konec stránky], včetně cloudových služeb, a to výhradně na doménové úrovni (nikoliv na úrovni IP adres) 

    • v rámci vaší sítě nasadit DNS resolver nebo proxy

    • umožňuje překlad pouze pro domény ze schváleného seznamu

  1. Využití SNI/SSL inspekce (pokročilé řešení)

    1. pokud firewall podporuje SSL inspection, je možné monitorovat hostname cílových serverů i u HTTPS spojení

    2. na základě těchto údajů lze dynamicky rozšiřovat seznam adres [whitelist - viz konec stránky] a lépe řídit přístup i „běžně používaných“ služeb

 

Přehledová tabulka:

Typ serveru 

Funkčnost eCity 

Poznámka 

Běžný server, bez restrikcí 

Ano 

DNS + HTTPS jsou otevřené, rizikové z hlediska bezpečnosti 

Server s DNS blokací 

Ne 

DNS nepřeloží potřebné domény 

Správce přidá jen eCity adresy 

Většinou ano, ale… 

Je potřeba mít nasazený DNS resolver/proxy, který povoluje standartní cloudové služby a html knihovny 

Server s whitelistem, ale pouze FQDN eCity adres 

Ne 

Např. domény Azure by potřebné pro chod aplikace budou zablokovány 

Správce přidá eCity adresy + vytvoří vlastní FQDN whitelist 

Ano, ale bude potřeba je spravovat 

Lze použít SNI/SSL inspection, a propsané adresy manuálně přidat  

 

Seznam potřebných adres pro chod eCity [whitelist] 

Cíl / význam  

Primární adresa  

Komunikace přes port 443  

Callida licenční server – ověřování pojmenované licence * 

https://license.callida.cz/ 

https://app.callida.cz/  

Aplikační server  

Callida update server – dostupnost aktualizace, zdroj aktualizačních balíčků * 

https://update.callida.cz 

Aplikační server  

DEK knihovna – zdroj rozpočtů, skladeb a prvků  

https://deksoft.eu/www/bimplugin/ 

Aplikační server  

ARES – vyhledávání vdatabázi ekonomických subjektů, vedené ministerstvemfin. ČR 

https://ares.gov.cz 

 

Aplikační server  

SCI-DATA – portál materiálů  

https://sci-data.cz 

Klientská stanice - prohlížeč 

Callida web – informace o aktualitách a obsahu aktualizací produktů euroCALC a eCity 

https://callida.cz/cs/ 

Klientská stanice – prohlížeč  

Portál zákaznické podpory – zadávání požadavků na spol. Callida a sledování jejich stavu  

https://podpora.callida.cz/ 

Klientská stanice – prohlížeč  
 
 
(1 hlas(ů))
Tento článek mi pomohl
Tento článek nebyl užitečný
Komentáře (0)
Přidat komentář
 
 
Celé jméno:
E-mail:
Komentáře:
Ověření 
 
Prosím opište text z obrázku do níže uvedeného pole. Je to nutné kvůli ochraně proti spamu.