Správa skupin a přístupů

Vznik interní identity je podmíněn aktivním závazkem vůči univerzitě. Standardně jde o zaměstnance a studenty, ale patří sem například i emeritní profesoři. Tito uživatelé se do systému pro správu identit a řízení přístupu synchronizují primárně ze studijní agendy IS MU a ekonomického systému INET MU.

V případě, že uživatel nemá aktivní závazek vůči univerzitě, ale přesto má mít možnost využívat IT zdroje univerzity, IAM systém podporuje tzv. sponzorované uživatele (účty). Díky sponzorovaným účtům získává osoba interní identitu, aniž by taková osoba vznikla v primárním zdroji identit (IS / INET). Tuto osobu sponzor zná (dokáže ji kontaktovat) a ví, za jakým účelem sponzorství vydal (například ví, že jde o účastníka konference). Z tohoto titulu je možné definovat i dobu platnosti, po kterou daný účet získává oprávnění. V kontextu řízení přístupu se sponzorovaný účet neliší od interních uživatelských účtů.

Sponzorovat je možné i účet s aktivním vztahem k univerzitě. Takový účet po skončení vztahu k univerzitě zůstane použitelný pro autentizaci nebo autorizaci k vybraným službám. Sponzorem může být jakýkoliv zaměstnanec Masarykovy Univerzity a účet může mít i několika sponzorů současně.

Koncept sponzorovaných účtů nám umožňuje lépe řešit situace vůči osobám, které na univerzitu přicházejí nebo z ní odcházejí (například prodloužením přístupu k nějakému zdroji). Sponzorování účtů je možné provádět zaměstnanci MU v uživatelském rozhraní systému pro správu identit a řízení přístupu Perun na adrese: https://perun.aai.muni.cz. Návody ke sponzorování účtů či zakládání účtů naleznete níže v sekci Návody. Detailnější obecná dokumentace (nejen ke sponzorovaným účtům) je dostupná zde.

Příklad: účastník workshopu
Příkladem sponzorování účtu je účet pro účastníky workshopu. V případě, že je pro účastníky potřeba pouze přístup k wifi síti, pak vytvoření sponzorovaného účtu není potřeba, stačí požádat o jednorázové vytvoření wifi pro danou příležitost skrze formulář. Pokud je potřeba, aby účastníci měli přístup k dalším IT zdrojům (např. tým MS Teams, nebo obecně nástroje M365 pro sdílení dokumentů), vytvořte pro každého účastníka sponzorovaný účet.

Servisní identita nereprezentuje fyzickou osobu, ale vzniká pro účel strojového přístupu (machine-to-machine) a využívá koncept sponzorovaného účtu.

Příklad:
Účet reprezentující oddělení Bezpečnost digitálních identit sloužící pro automatizace v GitLabu.

Změna preferovaného jazyka

V tomto jazyce bude Perun IdM posílat uživateli e‑mailové notifikace (pokud je daný jazyk k dispozici).

Změna preferovaného e-mailu

Návod na změnu preferovaného e-mailu najdete zde. Na zvolený e-mail jsou zasílány notifikace a je propagován do vybraných služeb za Perun IdM a do služeb za Jednotným přihlášením (služba pak na daný e‑mail může zasílat zprávy).

Přehled služeb, ke kterým má uživatel v jednotlivých organizacích přístup. Služby není možné upravovat, jedná se pouze o náhled.

Přehled skupin, které uživatel vytvořil, ve kterých je členem a ve kterých je správcem.

Přehled informací, které jsou o uživateli v rámci Perun IdM uloženy a zároveň přehled informací o uživateli, které využívají jednotlivé organizace.

Anti-phishingová ochrana

Uživatel zde může nastavit vlastní text včetně emojis, který se zobrazí na přihlašovací obrazovce. Jedná se o ochranu proti phishingu v případě, kdy se podvodná stránka vydává za stránku pro zadání přihlašovacích údajů Jednotného přihlášení. Pokud uživatel na stránce pro přihlášení uvidí svůj text, má velkou míru jistoty, že se nejedná o podvodnou stránku a smí zadat své přihlašovací údaje.
Více informací o anti-phisingové ochraně naleznete zde.

Vícefázové ověření

Zde uživatel spravuje nastavení, zda a na kterých službách bude zapnuté vícefázové ověření (i když ho služba samotná nevyžaduje) a také to, jakou bude mít podobu. Upozorňujeme, že některé služby vícefázové ověření vyžadují a uživatel tak nemá možnost další fázi ověření vypnout.
Více informací o vícefázové autentizaci se dozvíte v popisu Jednotného přihlášení MU.

SSH klíče

Jsou používány správci služeb. Umožňuje přidat si do systému Perun SSH klíče, které Perun propaguje na servery, kde řídí SSH přístup.

Změna primárního hesla je možná v IS na stránce Změna primárního hesla (islogin.cz).

Interní uživatelé nejsou zakládáni v systému Perun, ale načítají se z interních systémů IS a INET. Proto jméno uživatele přímo v systému Perun nelze měnit. Studenti se musí s žádostí obrátit na své studijní oddělení, zaměstnanci na své personální oddělení.
U sponzorovaného účtu je možné jméno a příjmení změnit. Žádost o změnu se zdůvodněním požadované změny je možné zaslat prostřednictvím formuláře.

Notifikace může souviset s blížící se expirací vašeho účtu. Pokud jste interním uživatelem, byl ukončen váš pracovní poměr nebo studium. Pokud používáte sponzorovaný účet, jeho platnost vypršela a prodloužit jeho platnost může jakýkoli zaměstnanec univerzity (sponzor).

Notifikace se může týkat ukončení platnosti vašeho členství ve skupině. Členství ve skupině zajišťuje váš přístup k IT zdrojům (např. přístup do konkrétního kanálu Teams, přístup k Wi-Fi eduroam, nebo přístup do dveří skrze čipovou kartu). Ukončení členství ve skupině fakticky znamená, že již nebudete mít k vybranému zdroji přístup. Pro obnovení členství je nutné kontaktovat správce dané skupiny.

MFA je při přihlášení vyžadováno pouze pokud ho vyžaduje konkrétní služba nebo si uživatel sám zapnul vynucení MFA pro tuto/všechny služby. V případě, kdy MFA vynucuje služba, nemůže uživatel MFA pro tuto službu vypnout.

Jak postupovat ve chvíli, kdy přihlášení vyžaduje vícefázové ověření, je popsáno zde.

Skupiny mohou být plněné synchronizací z externích systémů, například z IS MU nebo INET. Synchronizaci skupin nastavuje uživatelská podpora systému Perun – pro aktivaci je nezbytné požádat (možnost synchronizace skupiny). Další typy synchronizovaných skupin (například studenti konkrétního předmětu) jsou řešeny synchronizací z IS MU.

Příklad: automaticky plněná skupina na základě plnící funkce v IS MU
Pokud potřebujete řídit přístup pomocí pravidla, které Perun IdM nepodporuje, můžete vytvořit skupinu v IS MU, nastavit plnící funkci, a požádat o synchronizaci skupiny z IS do Perun IdM. Následně můžete pomocí této skupiny řídit přístup ke službám. Seznam členů skupiny se automaticky synchronizuje z IS MU.

Skupinu lze vložit do jiné skupiny, čímž se členové vkládané skupiny stanou zároveň členy cílové skupiny. Tímto způsobem je možné vytvořit skupinu, jejíž členové skládají z jiných skupin bez zbytečného duplicitního definování skupin.

Příklad: automaticky plněná skupina s manuálně přidanými členy
Pokud potřebujete vytvořit skupinu, která obsahuje většinu členů automaticky na základě nějakého pravidla, ale navíc několik manuálně spravovaných výjimek, lze vytvořit manuálně spravovanou skupinu, do které se vloží automaticky plněná skupina. Výsledná skupina tedy obsahuje všechny členy automaticky plněné skupiny i ručně přidané výjimky.

Každá skupina má správce, který tyto členy spravuje (přidává a odebírá členy skupiny). Správce je definován výčtem uživatelů nebo celou vybranou skupinou v systému Perun (například celé pracoviště).

Příklad: zakládání skupin jménem oddělení
Při vytvoření skupiny je její tvůrce automaticky nastaven jako jediný správce. Pokud zakládáte skupiny, se kterými budou pracovat kolegové z oddělení, můžete nastavit jako správce celou skupinu svého oddělení. Práva na správu skupin tak budou mít automaticky všichni zaměstnanci oddělení, bez nutnosti udržovat seznam ručně.

Samotné skupiny mohou obsahovat podskupiny. Toto členění je výhodně v případě reprezentace hierarchických organizačních struktur. Člen každé podskupiny je automaticky členem její nadskupiny.

Příklad: zakládání sady souvisejících skupin
Pokud zakládáte desítky skupin pro účel jednoho projektu či služby, je vhodné zřídit jednu skupinu nejvyšší úrovně s názvem projektu/služby, a následně další skupiny vytvářet jako podskupiny této skupiny. Tento postup má několik výhod oproti zakládání desítek skupin nejvyšší úrovně, především jednodušší správu (správci nadskupiny mají automaticky právo spravovat všechny podskupiny) a zároveň vznikne skupina obsahující všechny osoby související se službou/projektem.