V průběhu léta 2024 získá informační systém VUT - VUTIS a další systémy novou podobu přihlašovacích dialogů. Byť z pohledu uživatele půjde o změnu grafické podoby přihlašovacích dialogů, ve skutečnosti se jedná o významný technologický krok realizovaný v rámci projektu CIS jednotné autentizační infrastruktury VUT.
Přestože se jedná o technicky a organizačně náročnou záležitost, celý proces přechodu jednotlivých systémů je navržen tak, aby dopad na uživatele byl co nejmenší. Fakticky jedinou pozorovatelnou změnou bude postupná výměna přihlašovacích dialogů do jednotlivých systémů a aplikací. V novém prostředí jsme pro uživatele připravili i možnost změny barevného zobrazení. Režim zobrazení můžete změnit po kliknutí na ikonu měsíce/slunce v pravém horním rohu.
Klíčové změny jsou soustředěny do období mimo semestr, kdy budou jednotlivé aplikace převáděny na jednotnou autentizační infrastrukturu VUT. Harmonogram zapojení jednotlivých systémů je uveden níže.
Přihlašovací dialog je možné vyzkoušet v předstihu na adrese https://id.vut.cz/
Jedná se o službu umožňující jednotné a bezpečné přihlášení (Single Sign-On) do všech systémů a aplikací VUT provozovaných jak přímo na půdě VUT, tak i do externích systémů. To znamená, že uživatelé nemusí opakovaně zadávat přihlašovací údaje (VUT login a heslo) do těchto systémů.
Současný systém přihlašování do jednotlivých aplikací vznikl více než před deseti lety a v současné době představuje, díky své monolitické architektuře, překážku v rozvoji dalších modulů VUTIS. Také omezuje implementaci dalších bezpečnostních prvků, jako je vícefaktorové ověření, ověření přes hardwarové bezpečnostní klíče či mobilní aplikaci VUT. Přechod na novou jednotnou autentizační infrastrukturu je nezbytným technologickým krokem, který podmiňuje další rozvoj VUTIS a dalších navazujících systémů.
Nová autentizační infrastruktura do budoucna počítá s moderními metodami autentizace, jako jsou hardwarové klíče, autentizace prostřednictvím mobilní aplikace nebo využití biometrických údajů. Z toho důvodu bylo nutné již v této fázi připravit přihlašovací dialogy tak, aby v budoucnu vyhovovaly těmto novým způsobům přihlašování.
Ano. S ohledem na rozsah změny bude implementace rozdělena do dvou fází. V první fázi bude zatím zachována možnost přihlášení stávajícím způsobem, přihlašovací dialog bude doplněn o alternativní možnost přihlášení prostřednictvím jednotné autentizační infrastruktury VUT. Nové přihlášení bude povinně vyžadováno v případě, že pro přihlášení uživatele bude nastaven jiný způsob ověřování než jen přihlašovacím jménem a heslem.
Ano, změny v přihlašování se postupem času dotknou všech aplikací, tedy i mobilní aplikace. Změny v přihlašování lze očekávat na přelomu roku 2024/2025.
květen 2024
červen 2024
červenec - srpen 2024
září 2024
Další kroky jsou předmětem projektu jednotné autentizační infrastruktury VUT avšak v současné době ještě nemají stanoven podrobný harmonogram pro realizaci.
Technicky je autentizační infrastruktura VUT realizována nad standardem OpenID Connect/OAuth 2.0. V případě nemožnosti využití standardu OpenID Connect/OAuth je možné alternativně využít protokol SAML 2.
OpenID Connect/OAuth2 - údaje pro konfiguraci
Konfigurační údaje jsou k dispozici na adrese
https://id.vut.cz/auth/.well-known/openid-configuration
Důrazně doporučujeme implementovat dynamické načítání adres endpointů pro OIDC/OAuth2 (pro vlastní implementace) z metadat a automatické stahování veřejných klíčů při využívání ID Tokenu z OIDC
Příprava aplikace
CIS připravil ukázkového PHP klienta (SP) pro zjednodušení napojení PHP aplikací do autentizační služby.
Připojení aplikace
Připojení aplikace je službou odboru infrastruktury dle katalogu služeb. Prostřednictvím požadavkového systému je třeba požádat o zařazení aplikace, přičemž pro většinu případů připojení aplikace je možné využít již předschválenou průvodku a postačuje schválení požadavku příslušným systémovým integrátorem nebo správcem fakultní sítě. Do požadavku vždy uveďte:
- název aplikace (pod tímto jménem se bude aplikace vyskytovat v přehledu přihlášení),
- požadovaný rozsah předávaných atributů (scopes) dle podporovaného výčtu,
- adresu (URL) aplikace pro přesměrování po úspěšné autentizaci (redirect_uri).
Alternativní použití SAML 2
Všechny údaje jsou k dispozici v souboru metadat. Předávané atributy je možné ověřit prostřednictvím služby https://attributes.eduid.cz/.