Systém jednotného přihlášení id.vse.cz

Systém id.vse.cz poskytuje služby autorizace, autentizace a jednotného přihlášení (SSO) studentům a zaměstnancům VŠE.

Jak to funguje

Při pokusu o přístup ke službě (webové stránce) vyžadující autentizaci je uživatel přesměrován na id.vse.cz, kde zadá svoje jméno a heslo. Po úspěšném přihlášení je přesměrován zpět na stránky dané služby.

Výhody systému

Pohodlí – uživatel používá pro přístup k různým službám stále stejné jméno a heslo a nemusí se registrovat u jednotlivých poskytovatelů služeb. A pokud se úspěšně přihlásí k jedné službě, nemusí už podruhé zadávat heslo při přístupu k jiné službě – jednotné přihlášení (SSO).

Bezpečnost – uživatel zadává svoje přihlašovací údaje pouze u IdP, který je ověří – poskytovatel služby pak s heslem uživatele vůbec nepřijde do styku.

Přístup k externím službám – díky tomu se do systému můžou zapojit i externí poskytovatelé služeb (mimo VŠE), kteří od IdP získají bezpečnou cestou údaje o identitě uživatele a jeho oprávněních (např. nějaká služba se bude poskytovat jen studentům určité fakulty nebo jen zaměstnancům) a zároveň nebudou důvěrné informace opouštět školní síť.

Slovníček

  • IdPIdentity provider – v našem případě je to id.vse.cz. Ověřuje totožnost uživatele a po úspěšném přihlášení o něm předá informace poskytovateli služby (SP).
  • SPService provider – poskytuje nějakou užitečnou službu uživatelům. Nepřijde do styku s heslem uživatele a informace o přihlášeném uživateli přejímá od IdP.
  • SAMLSecurity Assertion Markup Language – XML standard a protokol sloužící k výměně autentizačních a autorizačních dat – používá se při komunikaci mezi IdP a SP.
  • Shibboleth – implementace SAML používaná na id.vse.cz. Shibboleth je svobodný software, který pochází od Middleware Initiative.
  • Metadata – XML soubor, který popisuje jednu část systému (IdP nebo SP) a obsahuje její šifrovací certifikát, kontaktní údaje a další informace. IdP a SP si musí navzájem vyměnit metadata, než spolu mohou komunikovat. Tento proces lze automatizovat zapojením se do stejné federace identit.
  • Atributy – informace o uživateli předávané od IdP k SP – např. jméno a příjmení, uživatelské jméno, e-mail, stav (student, zaměstnanec…), nebo přidělená oprávnění. Které atributy se předají, lze nastavit pro jednotlivé SP. IdP také může chránit soukromí uživatele a k SP předat např. pouze informaci, že se jedná o studenta VŠE, ale neprozradí kterého.
  • eduID.cz – Česká akademická federace identit, kterou provozuje sdružení CESNET.