VUT Brno
Jednotnáautentizační
infrastrukturaVUT
Nové přihlašování
V průběhu léta 2024 získá informační systém VUT - VUTIS a další systémy novou podobu přihlašovacích dialogů. Byť z pohledu uživatele půjde o změnu grafické podoby přihlašovacích dialogů, ve skutečnosti se jedná o významný technologický krok realizovaný v rámci projektu CIS jednotné autentizační infrastruktury VUT.
Jak se vás změny dotknou?
Přestože se jedná o technicky a organizačně náročnou záležitost, celý proces přechodu jednotlivých systémů je navržen tak, aby dopad na uživatele byl co nejmenší. Fakticky jedinou pozorovatelnou změnou bude postupná výměna přihlašovacích dialogů do jednotlivých systémů a aplikací. V novém prostředí jsme pro uživatele připravili i možnost změny barevného zobrazení. Režim zobrazení můžete změnit po kliknutí na ikonu měsíce/slunce v pravém horním rohu.
Klíčové změny jsou soustředěny do období mimo semestr, kdy budou jednotlivé aplikace převáděny na jednotnou autentizační infrastrukturu VUT. Harmonogram zapojení jednotlivých systémů je uveden níže.
Přihlašovací dialog je možné vyzkoušet v předstihu na adrese https://id.vut.cz/
Často kladené dotazy ke změně přihlašování
-
Co je jednotná autentizační infrastruktura VUT?
Jedná se o službu umožňující jednotné a bezpečné přihlášení (Single Sign-On) do všech systémů a aplikací VUT provozovaných jak přímo na půdě VUT, tak i do externích systémů. To znamená, že uživatelé nemusí opakovaně zadávat přihlašovací údaje (VUT login a heslo) do těchto systémů.
-
Proč jsou změny v přihlašování nutné?
Současný systém přihlašování do jednotlivých aplikací vznikl více než před deseti lety a v současné době představuje, díky své monolitické architektuře, překážku v rozvoji dalších modulů VUTIS. Také omezuje implementaci dalších bezpečnostních prvků, jako je vícefaktorové ověření, ověření přes hardwarové bezpečnostní klíče či mobilní aplikaci VUT. Přechod na novou jednotnou autentizační infrastrukturu je nezbytným technologickým krokem, který podmiňuje další rozvoj VUTIS a dalších navazujících systémů.
-
Proč nový přihlašovací dialog vypadá odlišně od toho původního, nebylo možné zachovat jeho původní podobu?
Nová autentizační infrastruktura do budoucna počítá s moderními metodami autentizace, jako jsou hardwarové klíče, autentizace prostřednictvím mobilní aplikace nebo využití biometrických údajů. Z toho důvodu bylo nutné již v této fázi připravit přihlašovací dialogy tak, aby v budoucnu vyhovovaly těmto novým způsobům přihlašování.
-
Bude se změna týkat i přihlašování do IS Apollo?
Ano. S ohledem na rozsah změny bude implementace rozdělena do dvou fází. V první fázi bude zatím zachována možnost přihlášení stávajícím způsobem, přihlašovací dialog bude doplněn o alternativní možnost přihlášení prostřednictvím jednotné autentizační infrastruktury VUT. Nové přihlášení bude povinně vyžadováno v případě, že pro přihlášení uživatele bude nastaven jiný způsob ověřování než jen přihlašovacím jménem a heslem.
-
Bude se změna týkat i přihlašování do mobilní aplikace Moje VUT?
Ano, změny v přihlašování se postupem času dotknou všech aplikací, tedy i mobilní aplikace. Změny v přihlašování lze očekávat na přelomu roku 2024/2025.
Harmonogram změn
-
květen 2024
- 1.5.2024 - Testovací provoz nového rozhraní autentizační služby
- 1.5.2024 - Zpřístupnění aplikace pro správu uživatelského účtu https://id.vut.cz
- 9.5.2024 - Přepojení systému správy sítě NETIS
- 30.5.2024 - Přepojení CIS wiki, doc.vut.cz
-
červen 2024
- 20.6.2024 - Přepojení aplikace cestovní příkazy
- 15.6.2024 - Přepojení VUT slides
- 2.6.2024 - Webové API VUT (vut.cz/api)
-
červenec - srpen 2024
- 1.7.2024 - Útlum služby webového rozhraní VUT disku
- 29.7.2024 - Přepojení EduID (poznámka: distribuce změny v rámci systému EduID může trvat několik dnů)
- 30.7.2024 - Přepojení E-Přihlášky
- 8.8.2024 - Přepojení spisové služby
- 12.8.2024 - Přepojení G-Suite, informace v aktualitách
- 22.8.2024 - Přepojení SAP Fiori
- 22.8.2024 - eVýplata
- 26.8.2024 - Přepojení Moodle v rámci upgrade
-
září 2024
- 2.9.2024 - Přepojení Teacher
- 2.9.2024 - Přepojení Microsoft 365
- 9.9.2024 - Přepojení Studis
- 9.9.2024 - Přepojení Intraportálu
- Alternativní přihlášení v systému Apollo
Další kroky
Další kroky jsou předmětem projektu jednotné autentizační infrastruktury VUT avšak v současné době ještě nemají stanoven podrobný harmonogram pro realizaci.
- Experimentální prostředí pro vícefaktorové ověřování.
- Experimentální prostředí pro passwordless přihlašování.
- Podpora přihlašování prostřednictvím mobilní aplikace.
- Útlum podpory původního přihlašování v systému Apollo.
- Podpora přihlašování do domény Active Directory s identitou @vut.cz
- Revize procesů souvisejících s předáváním počátečních hesel
- Napojení autentizační služby na systémy bankovní identity a případně identitu občana.
Informace pro programátory, tvůrce a správce aplikací
Technicky je autentizační infrastruktura VUT realizována nad standardem OpenID Connect/OAuth 2.0. V případě nemožnosti využití standardu OpenID Connect/OAuth je možné alternativně využít protokol SAML 2.
OpenID Connect/OAuth2 - údaje pro konfiguraci
Konfigurační údaje jsou k dispozici na adrese
https://id.vut.cz/auth/.well-known/openid-configuration
Důrazně doporučujeme implementovat dynamické načítání adres endpointů pro OIDC/OAuth2 (pro vlastní implementace) z metadat a automatické stahování veřejných klíčů při využívání ID Tokenu z OIDC
Příprava aplikace
CIS připravil ukázkového PHP klienta (SP) pro zjednodušení napojení PHP aplikací do autentizační služby.
Připojení aplikace
Připojení aplikace je službou odboru infrastruktury dle katalogu služeb. Prostřednictvím požadavkového systému je třeba požádat o zařazení aplikace, přičemž pro většinu případů připojení aplikace je možné využít již předschválenou průvodku a postačuje schválení požadavku příslušným systémovým integrátorem nebo správcem fakultní sítě.
Alternativní použití SAML 2
Všechny údaje jsou k dispozici v souboru metadat. Předávané atributy je možné ověřit prostřednictvím služby https://attributes.eduid.cz/.