Jednotné přihlášení MUNI


Informace pro správce webových serverů

Jednotné přihlášení MUNI je tzv. poskytovatel identit, který ověřuje uživatelská jména, hesla a další údaje uživatelů a vybrané informace vám dává k dispozici. Umožňuje vám to řídit přístup k vaší webové službě, aniž byste museli sami spravovat uživatelské účty.

Informace o uživateli

Poskytovatel identity zajistí autentizaci uživatele a může poskytnout dodatečné informace o uživateli, které lze využít k personalizaci služby nebo k řízení přístupu. Informace o uživateli jsou získávány z interních informačních systémů, tzn. že jsou ověřené a aktuální. Pro zajištění ochrany soukromí a bezpečnosti uživatelů nejsou Vaší službě k dispozici hesla uživatelů a Vaší službě jsou poskytovány pouze osobní údaje uživatelů nezbytně nutné pro její provoz.

Oprávnění (scopes)

Jedno oprávnění (tzv. „scope“) opravňuje klienta získat jeden nebo více atributů (tzv. „claims“). Detaily jsou popsány ve specifikaci OIDC.

Kromě standardních oprávnění definovaných specifikací OIDC (openid, profile, email) poskytuje Jednotné přihlášení MUNI i některá další, buď povolující nestandardní atributy (např. eduperson_entitlement) nebo oprávnění zcela bez atributů, povolující určité operace (např. offline_access); viz specifikace OAuth2.

openid
Název: openid
Popis: Jedinečný, nerecyklovaný identifikátor uživatele UČO@muni.cz
Claims:
sub: 1234@muni.cz

profile
Název: profile
Popis: Osobní profil, preferred_username obsahuje UČO
Claims:
name John Doe
given_name John
middle_name
family_name Doe
preferred_username 1234
 
email
Název: email
Popis: Email uživatele
Claims:
email email@example.org

eduperson_entitlement
Název: eduperson_entitlement
Popis: Seznam skupin, ve kterých je uživatel členem a jsou na službu přiřazeny, sloučený se seznamem skupin přijatých z IdP. Syntax hodnot dle doporučení AARC - <NAMESPACE>:group:<GROUP>[:<SUBGROUP>*][:role=<ROLE>]#<GROUP-AUTHORITY>
Claims:
eduperson_entitlement [urn:geant:muni.cz:group:MU#idm.ics.muni.cz, urn:geant:muni.cz:group:MU:workplaces:UVT#idm.ics.muni.cz]

offline_access
Název: offline_access
Popis: Možnost vydání refresh tokenu

Řízení přístupu na základě členství uživatele ve skupině

Definujete si, jakou skupinu chcete vytvořit, jaké bude mít členy a poté tuto skupinu připojíme k Jednotnému přihlášení. Pouze členové této skupiny budou mít přístup ke službě.

Testovací prostředí

Po schválení žádosti vám jako správci dáme časově omezený přístup do testovacího prostředí, které je shodné s produkčním, ale funguje na jiné IP adrese. Přístup je omezený na 1 měsíc, případně ho lze prodloužit. Po skončení testování zařídíme jednoduchý přechod do produkčního prostředí.

Návody

Používáte starou verzi internetového prohlížeče. Doporučujeme aktualizovat Váš prohlížeč na nejnovější verzi.