Poskytovatel identit MU


  • Co je to Poskytoval identit MU?

    Poskytovatel identit MU poskytuje autentizační a autorizační služby pro řízení přístupu k webovým zdrojům dostupným jak v rámci MU tak i zdrojům dostupných v rámci národní federace identit eduID.cz.

  • Co je to národní federace identit eduID.cz?

    eduID.cz je sdružení akademických organizací poskytujících navzájem svým uživatelům služby pro řízení přístupu k www aplikacím s použitím federativních mechanismů.

  • Jak funguje autentizace v prostředí federace eduID.cz?

    Česká federace eduID.cz je založená na systému Shibboleth vyvíjený skupinou Internet2. Shibboleth se skládá ze dvou prvků. Prvním je poskytovatel služeb (Service provider, dále SP). Druhým je poskytovatel identit (Identity provider, dále IdP). SP poskytuje služby uživatelům na základě informací od IdP. Informace od IdP (předávaná v podobě sady atributů) není omezena pouze na uživatelské jméno, ale může obsahovat například E-mail, jméno domovské organizace nebo název fakulty/pracoviště uživatele. Obvyklá komunikace probíhá tak, že uživatel přistoupí k chráněnému zdroji na SP, ze kterého je přesměrován na stránku obsahující seznam organizací ve federaci. Zde si vybere, do které organizace patří. Následně je přesměrován na IdP své organizace, vůči jemuž se autentizuje. Při úspěšné autentizaci IdP vybere pro daný SP sadu atributů, na jejichž základě provede SP autorizaci.

  • Jaké jsou výhody použití služeb Poskytovatele identit MU?

    • Používá se jednotná autentizace pro všechny služby.
    • Odpadá nutnost vytvářet a spravovat duplicitní uživatelské účty
    • Autorizace nemusí probíhat pouze na základě znalosti uživatelského jména, ale je možné využít i atributů jako příslušnost k fakultě/pracovišti
    • Zadání přihlašovacích údajů probíhá pouze u první navštívené služby. Při přistoupení k dalším službám dojde k automatickému přihlášení a to až do odhlášení od poskytovatele identit.
       
  • Chtěl bych zpřístupnit svoji aplikaci uživatelům národní federace eduID.cz. Jak mám postupovat?

    V případě zájmů o použití této technologie pište na idp@icsdotmunidotcz.

  • Chtěl bych pouze zpřístupnit svoji webovou aplikaci uživatelům z MU a nestojím o členství ve federaci eduID.cz. Je možné využít služeb Poskytovatele identit MU?

    Ano. Při přistoupení k chráněnému webovému zdroji lze aplikaci přímo přesměrovat na Poskytovatele identit MU místo na seznam všech poskytovatelů identit ve federaci.

  • Jakým způsobem se řeší odhlášení z www aplikace?

    Systém Shibboleth v současné verzi nepodporuje globální odhlášení v prostředí SSO a jedinou alternativou je ukončení internetového prohlížeče. Nicméně je možné tuto vlastnost u jednotlivých poskytovatelů služeb částečně nahradit následujícím postupem.

    • Použití parametru forceAuthn v URL nebo v konfiguračním souboru SP. Parametr forceAuthn vynutí ověření autentizačních údajů u IdP. Aplikace i nadále může používat služeb poskytovatele identit, ale nikoli výhod SSO.
    • Lokální odhlášení ve spojení s ohlášením z poskytovatele idenit.
       
  • Jaké informace o uživatelích může poskytovatel služeb (webová aplikace) získat od poskytovatele identit?

    Seznam poskytovaných atributů lze zjistit zde: politika_idp_mu.pdf

  • Kde najdu další informace?