Přejít k obsahu | Přejít k hlavnímu menu | Přejít k vyhledávání

Jednotné přihlášení MUNI

Vydávání atributů z Jednotného přihlášení do federací

Jednotné přihlášení MUNI jako tzv. poskytovatel identit (identity provider, IdP) je členem české akademické federace identit eduID.cz a celosvětové interfederace eduGAIN. Služby (service providers, SP) zapojené do těchto federací se nemusí individuálně registrovat k Jednotnému přihlášení, integrace je automatická. Jednotné přihlášení MUNI si automaticky několikrát denně stahuje aktuální seznam členů federace včetně technických metadat, čímž je nahrazena registrace. Členy federací lze prohlížet např. pomocí nástroje Metadata Explorer Tool. Mezi členy federací patří různé služby poskytované univerzitami, sdružením CESNET nebo třeba elektronické informační zdroje.

Aby bylo docíleno přiměřené ochrany osobních údajů, nevydává Jednotné přihlášení MUNI automaticky všechny atributy všem zapojeným službám. Aby služba připojená skrz federaci mohla obdržet základní uživatelovy osobní údaje (jméno, e-mail atd.) bez nutnosti registrace skrz SP reg app (viz Jak připojit službu k Jednotnému přihlášení MUNI), musí splňovat dvě podmínky:

  1. v metadatech SP ve federaci musí být uveden úplný seznam atributů, které služba vyžaduje (značky RequestedAttribute),
  2. SP musí být členem eduID.cz (doporučeno je mít v metadatech SP ve federaci značku PrivacyStatementURL) nebo SP musí být členem eduGAIN a musí být v kategorii Code of Conduct (a tedy mít v metadatech značku PrivacyStatementURL).

Pouze u takových služeb je možné zajistit minimalizaci osobních údajů a informovat uživatele o účelu zpracování a komu jsou jeho osobní údaje předávány. Ostatním službám Jednotné přihlášení MUNI nevydává žádné osobní údaje.

Pro vydávání některých atributů je navíc potřeba splňovat další podmínky:

Atribut Popis Podmínka pro vydání bez registrace SP
pkcs9email (urn:oid:1.2.840.113549.1.9.1) seznam všech uživatelových adres včetně soukromých SP je členem eduID.cz a má PrivacyStatementURL
mefaperson (http://www.mefanet.cz/mefaperson/) Vzdělávací síť Mefanet – příslušnost k lékařské fakultě SP je členem eduID.cz a je v kategorii MEFANET (http://eduid.cz/uri/group/mefanet)
schacPersonalUniqueCode (urn:oid:1.3.6.1.4.1.25178.1.2.14) European Student Identifier – Erasmus Without Paper SP je v kategorii European Student Identifier (https://myacademicid.org/entity-categories/esi)

Jednotné přihlášení MUNI nepodporuje kategorii Research & Scholarship. Pokud je SP v této kategorii a nemá uveden seznam požadovaných atributů, použije se seznam atributů pro tuto kategorii (tedy není nutné splnit podmínku č. 1 viz výše), ale stále je potřeba splnit podmínku č. 2.

Citlivější osobní údaje (např. datum narození nebo bydliště) nejsou Jednotným přihlášením MUNI vydávány službám ve federaci. Pro získání těchto údajů (v odůvodněných případech) je potřeba provést registraci služby v SP reg app (viz Jak připojit službu k Jednotnému přihlášení MUNI) a uzavřít smlouvu o zpracování údajů s Masarykovou univerzitou.

Pokud jste správce služby ve federaci eduID.cz či eduGAIN a chcete, aby Jednotné přihlášení MUNI vydávalo osobní údaje:

  1. Zkontrolujte, že metadata obsahují značky RequestedAttribute pro všechny atributy, které potřebujete, a případně je doplňte.
  2. Zkontrolujte, že metadata obsahují značku PrivacyStatementURL s odkazem na stránku popisující ochranu osobních údajů (ideálně v české i anglické verzi), a případně ji doplňte.
  3. Pokud se jedná o službu mimo federaci eduID.cz (zahraniční), zkontrolujte, že je zařazena do kategorie Code of Conduct, a případně ji doplňte (pokud služba splňuje podmínky).

Návody na přípravu a publikaci metadat najdete na eduID.cz.

Pokud potřebujete, aby Jednotné přihlášení MUNI vydávalo osobní údaje službě ve federaci eduID.cz či eduGAIN, ale nejste její správce:

  1. proveďte registraci služby v SP reg app (viz Jak připojit službu k Jednotnému přihlášení MUNI).
    1. Při registraci zvolte protokol SAML;
    2. vyplňte všechny potřebné položky podle metadat služby ve federaci (viz např. Metadata Explorer Tool);
    3. pokud potřebujete do jednoho pole vložit více URL adres (Assertion consumer service, Single logout service), oddělte je čárkou;
    4. jako registrátora služby uveďte svůj e-mail, přidejte ho i mezi administrativní kontakty;
    5. seznam požadovaných atributů zvolte podle potřeby – může být obsáhlejší než seznam v metadatech SP (v případě elektronických informačních zdrojů se můžete inspirovat návody na eduID.cz);
    6. do položky URL metadat vložte:
      1. https://metadata.eduid.cz/entities/eduid+sp pokud se jedná o službu v české federaci eduID.cz;
      2. https://metadata.eduid.cz/entities/edugain+sp pokud jde o službu ve federaci eduGAIN (a není v české federaci).

Pokud přihláška projde schválením, Jednotné přihlášení MUNI začne používat údaje zadané do SP reg app namísto údajů z federace, a není už potřeba splňovat výše zmíněné podmínky.

Další informace

Informace pro správce webových serverů

Používáte starou verzi internetového prohlížeče. Doporučujeme aktualizovat Váš prohlížeč na nejnovější verzi.