Správa skupin a přístupů
Služba nabízí primárně zaměstnancům MUNI možnost samostatně a efektivním způsobem řídit přístup pro svůj tým či pracoviště k různým službám a dalším IT zdrojům, jako je například nastavení vstupů do místností, připojení na Wi-Fi, přístup do databáze, role administrátora v konkrétní aplikaci a jiné. Řízení přístupu ke službám je možné řešit pro jednotlivce i hromadně pro skupiny. Kromě zaměstnanců a studentů je možné k službám zřídit přístup i pro externisty za pomoci tzv. sponzorovaných účtů.
Stručný popis řešení
Masarykova univerzita využívá systém pro správu identit a řízení přístupu Perun IdM. Uživatel vidí pouze to, k čemu má práva (editovat, nahlížet). Systém obsahuje:
Účet | Jedná se o konkrétní uživatele. Každý člen může být veden v libovolném množství skupin a podskupin. Účty jsou rozděleny podle vztahu k univerzitě – interní uživatelé a sponzorované účty. |
Skupiny a podskupiny (Group and subgroup) | Seskupení účtů, které mají přístup ke stejným IT zdrojům. |
IT zdroje (Resource) | Označení konkrétního zdroje, například:
|
Skupiny a účty v nich jsou propojeny na IT zdroje. Bez propojení s IT zdrojem nemá skupina žádná práva ani význam.
Účty
Každá osoba se vztahem k univerzitě má záznam v systému pro správu identit a řízení přístupu (IAM systém), který slouží pro autentizaci a autorizaci uživatelů k IT zdrojům.
Každá fyzická osoba je tak ve virtuálním prostředí MU reprezentována svým uživatelem, ke kterému přistupuje skrze svoji digitální identitu, tj. digitální reprezentaci své osoby. Tato identita je specifikována sadou atributů, např. UČO, jméno a příjmení, e-mail, atp.
Na univerzitě jsou rozeznávány dva typy uživatelů. Dělí se na základě zdroje identity a podle funkce účtů (sponzorovaný, servisní účet). V současnosti se primárně využívá UČO ve spojení s primárním a sekundárním heslem.
Interní uživatelé
Vznik interní identity je podmíněn aktivním závazkem vůči univerzitě. Standardně jde o zaměstnance a studenty, ale patří sem například i emeritní profesoři. Tito uživatelé se do systému pro správu identit a řízení přístupu synchronizují primárně ze studijní agendy IS MU a ekonomického systému INET MU.
Sponzorované účty
V případě, že uživatel nemá aktivní závazek vůči univerzitě, ale přesto má mít možnost využívat IT zdroje univerzity, IAM systém podporuje tzv. sponzorované uživatele (účty). Díky sponzorovaným účtům získává osoba interní identitu, aniž by taková osoba vznikla v primárním zdroji identit (IS / INET). Tuto osobu sponzor zná (dokáže ji kontaktovat) a ví, za jakým účelem sponzorství vydal (například ví, že jde o účastníka konference). Z tohoto titulu je možné definovat i dobu platnosti, po kterou daný účet získává oprávnění. V kontextu řízení přístupu se sponzorovaný účet neliší od interních uživatelských účtů.
Sponzorovat je možné i účet s aktivním vztahem k univerzitě. Takový účet po skončení vztahu k univerzitě zůstane použitelný pro autentizaci nebo autorizaci k vybraným službám. Sponzorem může být jakýkoliv zaměstnanec Masarykovy Univerzity a účet může mít i několika sponzorů současně.
Koncept sponzorovaných účtů nám umožňuje lépe řešit situace vůči osobám, které na univerzitu přicházejí nebo z ní odcházejí (například prodloužením přístupu k nějakému zdroji). Sponzorování účtů je možné provádět zaměstnanci MU v uživatelském rozhraní systému pro správu identit a řízení přístupu Perun na adrese: https://perun.aai.muni.cz. Návody ke sponzorování účtů či zakládání účtů naleznete níže v sekci Návody. Detailnější obecná dokumentace (nejen ke sponzorovaným účtům) je dostupná zde.
Příklad: účastník workshopu
Příkladem sponzorování účtu je účet pro účastníky workshopu. V případě, že je pro účastníky potřeba pouze přístup k wifi síti, pak vytvoření sponzorovaného účtu není potřeba, stačí požádat o jednorázové vytvoření wifi pro danou příležitost skrze formulář. Pokud je potřeba, aby účastníci měli přístup k dalším IT zdrojům (např. tým MS Teams, nebo obecně nástroje M365 pro sdílení dokumentů), vytvořte pro každého účastníka sponzorovaný účet.
Servisní identita
Servisní identita nereprezentuje fyzickou osobu, ale vzniká pro účel strojového přístupu (machine-to-machine) a využívá koncept sponzorovaného účtu.
Příklad:
Účet reprezentující oddělení Bezpečnost digitálních identit sloužící pro automatizace v GitLabu.
Profil uživatele
Každý uživatel má k dispozici přístup do svého uživatelského profilu na adrese account.muni.cz, kde může editovat informace nebo měnit nastavení, na základě kterého se pak změní nastavení nebo chování služby.
Některé informace je možné editovat, jiné jsou pouze v režimu nahlížení.
Profil
Změna preferovaného jazyka
V tomto jazyce bude Perun IdM posílat uživateli e‑mailové notifikace (pokud je daný jazyk k dispozici).
Změna preferovaného e-mailu
Návod na změnu preferovaného e-mailu najdete zde. Na zvolený e-mail jsou zasílány notifikace a je propagován do vybraných služeb za Perun IdM a do služeb za Jednotným přihlášením (služba pak na daný e‑mail může zasílat zprávy).
Služby
Přehled služeb, ke kterým má uživatel v jednotlivých organizacích přístup. Služby není možné upravovat, jedná se pouze o náhled.
Skupiny
Přehled skupin, které uživatel vytvořil, ve kterých je členem a ve kterých je správcem.
Soukromí
Přehled informací, které jsou o uživateli v rámci Perun IdM uloženy a zároveň přehled informací o uživateli, které využívají jednotlivé organizace.
Autentizace
Anti-phishingová ochrana
Uživatel zde může nastavit vlastní text včetně emojis, který se zobrazí na přihlašovací obrazovce. Jedná se o ochranu proti phishingu v případě, kdy se podvodná stránka vydává za stránku pro zadání přihlašovacích údajů Jednotného přihlášení. Pokud uživatel na stránce pro přihlášení uvidí svůj text, má velkou míru jistoty, že se nejedná o podvodnou stránku a smí zadat své přihlašovací údaje.
Více informací o anti-phisingové ochraně naleznete zde.
Vícefázové ověření
Zde uživatel spravuje nastavení, zda a na kterých službách bude zapnuté vícefázové ověření (i když ho služba samotná nevyžaduje) a také to, jakou bude mít podobu. Upozorňujeme, že některé služby vícefázové ověření vyžadují a uživatel tak nemá možnost další fázi ověření vypnout.
Více informací o vícefázové autentizaci se dozvíte v popisu Jednotného přihlášení MU.
SSH klíče
Jsou používány správci služeb. Umožňuje přidat si do systému Perun SSH klíče, které Perun propaguje na servery, kde řídí SSH přístup.
Změna primárního hesla
Změna primárního hesla je možná v IS na stránce Změna primárního hesla (islogin.cz).
Často kladené otázky
Jak mohu změnit jméno a příjmení uživatele?
Interní uživatelé nejsou zakládáni v systému Perun, ale načítají se z interních systémů IS a INET. Proto jméno uživatele přímo v systému Perun nelze měnit. Studenti se musí s žádostí obrátit na své studijní oddělení, zaměstnanci na své personální oddělení.
U sponzorovaného účtu je možné jméno a příjmení změnit. Žádost o změnu se zdůvodněním požadované změny je možné zaslat prostřednictvím formuláře.
Přišla mi e-mailová notifikace, jak s ní naložit?
Notifikace může souviset s blížící se expirací vašeho účtu. Pokud jste interním uživatelem, byl ukončen váš pracovní poměr nebo studium. Pokud používáte sponzorovaný účet, jeho platnost vypršela a prodloužit jeho platnost může jakýkoli zaměstnanec univerzity (sponzor).
Notifikace se může týkat ukončení platnosti vašeho členství ve skupině. Členství ve skupině zajišťuje váš přístup k IT zdrojům (např. přístup do konkrétního kanálu Teams, přístup k Wi-Fi eduroam, nebo přístup do dveří skrze čipovou kartu). Ukončení členství ve skupině fakticky znamená, že již nebudete mít k vybranému zdroji přístup. Pro obnovení členství je nutné kontaktovat správce dané skupiny.
Nemohu se dostat ke službě, vyžaduje vícefázovou autentizac
MFA je při přihlášení vyžadováno pouze pokud ho vyžaduje konkrétní služba nebo si uživatel sám zapnul vynucení MFA pro tuto/všechny služby. V případě, kdy MFA vynucuje služba, nemůže uživatel MFA pro tuto službu vypnout.
Jak postupovat ve chvíli, kdy přihlášení vyžaduje vícefázové ověření, je popsáno zde.
Správa skupin
Skupinu má právo zakládat jakýkoliv aktivní uživatel. Uživatel může vytvořit skupinu například pro svůj tým a tuto skupinu propojit, nebo nechat propojit s požadovanými IT zdroji. Skupinu pak spravuje a plní osobami (včetně externistů), nebo je nechá plnit automaticky pomocí daných pravidel (např. pracoviště). Všechny osoby pak mají přístup k daným IT zdrojům bez nutnosti složité administrace.
Pozor! Skupina samotná nemá v systému pro řízení přístupů žádný význam – svoji funkci získává až v momentě přiřazení na IT zdroj, kde skupina reprezentuje přístup uživatelů k němu.
Synchronizované skupiny
Skupiny mohou být plněné synchronizací z externích systémů, například z IS MU nebo INET. Synchronizaci skupin nastavuje uživatelská podpora systému Perun – pro aktivaci je nezbytné požádat (možnost synchronizace skupiny). Další typy synchronizovaných skupin (například studenti konkrétního předmětu) jsou řešeny synchronizací z IS MU.
Příklad: automaticky plněná skupina na základě plnící funkce v IS MU
Pokud potřebujete řídit přístup pomocí pravidla, které Perun IdM nepodporuje, můžete vytvořit skupinu v IS MU, nastavit plnící funkci, a požádat o synchronizaci skupiny z IS do Perun IdM. Následně můžete pomocí této skupiny řídit přístup ke službám. Seznam členů skupiny se automaticky synchronizuje z IS MU.
Skládání skupin
Skupinu lze vložit do jiné skupiny, čímž se členové vkládané skupiny stanou zároveň členy cílové skupiny. Tímto způsobem je možné vytvořit skupinu, jejíž členové skládají z jiných skupin bez zbytečného duplicitního definování skupin.
Příklad: automaticky plněná skupina s manuálně přidanými členy
Pokud potřebujete vytvořit skupinu, která obsahuje většinu členů automaticky na základě nějakého pravidla, ale navíc několik manuálně spravovaných výjimek, lze vytvořit manuálně spravovanou skupinu, do které se vloží automaticky plněná skupina. Výsledná skupina tedy obsahuje všechny členy automaticky plněné skupiny i ručně přidané výjimky.
Správce skupiny
Každá skupina má správce, který tyto členy spravuje (přidává a odebírá členy skupiny). Správce je definován výčtem uživatelů nebo celou vybranou skupinou v systému Perun (například celé pracoviště).
Příklad: zakládání skupin jménem oddělení
Při vytvoření skupiny je její tvůrce automaticky nastaven jako jediný správce. Pokud zakládáte skupiny, se kterými budou pracovat kolegové z oddělení, můžete nastavit jako správce celou skupinu svého oddělení. Práva na správu skupin tak budou mít automaticky všichni zaměstnanci oddělení, bez nutnosti udržovat seznam ručně.
Podskupiny
Samotné skupiny mohou obsahovat podskupiny. Toto členění je výhodně v případě reprezentace hierarchických organizačních struktur. Člen každé podskupiny je automaticky členem její nadskupiny.
Příklad: zakládání sady souvisejících skupin
Pokud zakládáte desítky skupin pro účel jednoho projektu či služby, je vhodné zřídit jednu skupinu nejvyšší úrovně s názvem projektu/služby, a následně další skupiny vytvářet jako podskupiny této skupiny. Tento postup má několik výhod oproti zakládání desítek skupin nejvyšší úrovně, především jednodušší správu (správci nadskupiny mají automaticky právo spravovat všechny podskupiny) a zároveň vznikne skupina obsahující všechny osoby související se službou/projektem.
Propojení skupiny s IT zdroji
Uživatel může mít přidělená práva na správu potřebných IT zdrojů. V takovém případě může rovnou svým skupinám přidělit přístup. Pokud práva nemá, může požádat správce o jejich přidělení, a to buď:
- přímo, pokud ví, kdo je správcem / vlastníkem daného zdroje,
- nebo zprostředkovaně přes formulář.
Správce IT zdroje se může rozhodnout přidělit práva na IT zdroj, nebo jen autorizovat skupinu na daný zdroj (bez přidělení práva na správu), nebo může žádost zamítnout.
Další informace
Návody
- Jak vytvořit skupiny/podskupiny
- Jak přiřadit IT zdroje (resource) sponzorovanému účtu
- Jak propojit skupiny a IT zdroje (resource)
- Jak delegovat oprávnění skupiny
- Jak založit sponzorovaný účet
- Jak změnit heslo sponzorovaného účtu
- Jak resetovat heslo sponzorovaného účtu jeho sponzorem
- Jak sponzorovat existující účet
Přesměruje do systému správy identit a řízení přístupu Perun.
Žádost o:
- přiřazení IT zdroje
- synchronizaci skupiny
- změnu jména sponzorovaného účtu
- aktivaci účtu nově nastupujícího kolegu před datem
- přístup pro osobu se vztahem k MUNI v minulosti