Informace pro správce webových serverů
Jednotné přihlášení MUNI je tzv. poskytovatel identit, který ověřuje uživatelská jména, hesla a další údaje uživatelů a vybrané informace vám dává k dispozici. Umožňuje vám to řídit přístup k vaší webové službě, aniž byste museli sami spravovat uživatelské účty.
Informace o uživateli
Poskytovatel identity zajistí autentizaci uživatele a může poskytnout dodatečné informace o uživateli, které lze využít k personalizaci služby nebo k řízení přístupu. Informace o uživateli jsou získávány z interních informačních systémů, tzn. že jsou ověřené a aktuální. Pro zajištění ochrany soukromí a bezpečnosti uživatelů nejsou Vaší službě k dispozici hesla uživatelů a Vaší službě jsou poskytovány pouze osobní údaje uživatelů nezbytně nutné pro její provoz.
Oprávnění (scopes)
Jedno oprávnění (tzv. „scope“) opravňuje klienta získat jeden nebo více atributů (tzv. „claims“). Detaily jsou popsány ve specifikaci OIDC.
Kromě standardních oprávnění definovaných specifikací OIDC (openid, profile, email) poskytuje Jednotné přihlášení MUNI i některá další, buď povolující nestandardní atributy (např. eduperson_entitlement) nebo oprávnění zcela bez atributů, povolující určité operace (např. offline_access); viz specifikace OAuth2.
openid
Název: openid
Popis: Jedinečný, nerecyklovaný identifikátor uživatele UČO@muni.cz
Claims:
sub: 1234@muni.cz
profile
Název: profile
Popis: Osobní profil, preferred_username obsahuje UČO
Claims:
name John Doe
given_name John
middle_name
family_name Doe
preferred_username 1234
email
Název: email
Popis: Email uživatele
Claims:
email email@example.org
eduperson_entitlement
Název: eduperson_entitlement
Popis: Seznam skupin, ve kterých je uživatel členem a jsou na službu přiřazeny, sloučený se seznamem skupin přijatých z IdP. Syntax hodnot dle doporučení AARC - <NAMESPACE>:group:<GROUP>[:<SUBGROUP>*][:role=<ROLE>]#<GROUP-AUTHORITY>
Claims:
eduperson_entitlement [urn:geant:muni.cz:group:MU#idm.ics.muni.cz, urn:geant:muni.cz:group:MU:workplaces:UVT#idm.ics.muni.cz]
offline_access
Název: offline_access
Popis: Možnost vydání refresh tokenu
Řízení přístupu na základě členství uživatele ve skupině
Definujete si, jakou skupinu chcete vytvořit, jaké bude mít členy a poté tuto skupinu připojíme k Jednotnému přihlášení. Pouze členové této skupiny budou mít přístup ke službě.
Testovací prostředí
Po schválení žádosti službu připojíme do testovacího prostředí, které je shodné s produkčním, ale přístup je omezen pouze na správce. Po skončení testování zařídíme jednoduchý přechod do produkčního prostředí.
Vícefázové ověření
Jako správce služby můžete zvolit, jestli mají uživatelé při přihlášení použít vícefázové ověření, povinně nebo volitelně. Spolu s uživatelskými atributy obdržíte informaci o tom, jestli uživatel provedl vícefázové ověření. Pro signalizaci používáme REFEDS MFA Profile, jehož použití popisuje MFA Profile FAQ.