Jednotné přihlášení MUNI


Informace pro správce webových serverů

Jednotné přihlášení MUNI je tzv. poskytovatel identit, který ověřuje uživatelská jména, hesla a další údaje uživatelů a vybrané informace vám dává k dispozici. Umožňuje vám to řídit přístup k vaší webové službě, aniž byste museli sami spravovat uživatelské účty.

Technicky je připojení k Jednotnému přihlášení možné dvěma způsoby. Preferovaným je protokol OpenID Connect (OIDC), pro nějž existuje řada knihoven a hotových implementací. Detaily jsou popsané níže, další postup pak na stránce Jak připojit službu.

Pro starší aplikace bez podpory OIDC a pro služby, které jsou připojené do federace eduID.cz, je možné využít protokol SAML2. Technická část integrace je popsaná v technické sekci eduID.cz. Službu pak můžete připojit buď k celé federaci eduID.cz (viz návod), anebo pouze k Jednotnému přihlášení – v tomto případě postupujte podobně jako při připojení služby přes OIDC, ale při registraci namísto OIDC zvolte SAML a vyplňte všechny potřebné položky. Dostupné atributy jsou popsané na samostatné stránce.

Informace o uživateli

Poskytovatel identity zajistí autentizaci uživatele a může poskytnout dodatečné informace o uživateli, které lze využít k personalizaci služby nebo k řízení přístupu. Informace o uživateli jsou získávány z interních informačních systémů, tzn. že jsou ověřené a aktuální. Pro zajištění ochrany soukromí a bezpečnosti uživatelů nejsou Vaší službě k dispozici hesla uživatelů a Vaší službě jsou poskytovány pouze osobní údaje uživatelů nezbytně nutné pro její provoz.

Oprávnění (scopes)

Jedno oprávnění (tzv. „scope“) opravňuje klienta získat jeden nebo více atributů (tzv. „claims“). Detaily jsou popsány ve specifikaci OIDC.

Kromě standardních oprávnění definovaných specifikací OIDC (openid, profile, email) poskytuje Jednotné přihlášení MUNI i některá další, buď povolující nestandardní atributy (např. eduperson_entitlement) nebo oprávnění zcela bez atributů, povolující určité operace (např. offline_access); viz specifikace OAuth2.

Atributy (claims) a oprávnění (scopes) podporované Jednotným přihlášením MUNI jsou popsány na samostatné stránce.

Řízení přístupu na základě členství uživatele ve skupině

Definujete si, jakou skupinu chcete vytvořit, jaké bude mít členy a poté tuto skupinu připojíme k Jednotnému přihlášení. Pouze členové této skupiny budou mít přístup ke službě.

Testovací prostředí

Po schválení žádosti službu připojíme do testovacího prostředí, které je shodné s produkčním, ale přístup je omezen pouze na správce. Po skončení testování zařídíme jednoduchý přechod do produkčního prostředí.

Vícefázové ověření

Jako správce služby můžete zvolit, jestli mají uživatelé při přihlášení použít vícefázové ověření, povinně nebo volitelně. Spolu s uživatelskými atributy obdržíte informaci o tom, jestli uživatel provedl vícefázové ověření. Pro signalizaci používáme REFEDS MFA Profile, jehož použití popisuje MFA Profile FAQ.

Související služby

Používáte starou verzi internetového prohlížeče. Doporučujeme aktualizovat Váš prohlížeč na nejnovější verzi.