Kategorie: MFA2: Porovnání verzí
Z Centrum Informatiky
Bez shrnutí editace značka: editace z Vizuálního editoru |
Bez shrnutí editace značky: ruční vrácení zpět přepnuto z Vizuálního editoru |
||
| (Není zobrazeno 33 mezilehlých verzí od 2 dalších uživatelů.) | |||
| Řádka 1: | Řádka 1: | ||
= Vícefaktorové ověřování na UJEP - MFA = | |||
''Dne 1. 11. 2025 vstoupil v platnost nový zákon o kybernetické bezpečnosti, který dopadá na naši univerzitu a přináší nové požadavky a povinnosti. Změny vedoucí k naplnění zákona budeme implementovat postupně. Po testovací fázi bude vedením univerzity stanoveno datum, kdy vícefaktorové ověřování bude povinné pro všechny uživatele.'' | |||
'''Podněty, poznatky a problémy prosím reportujte na adresu: sit@rt.ujep.cz''' | |||
''' | '''Pro pomoc s nastavením MFA neváhejte kontaktovat svého lokálního IT pracovníka nebo servis@rt.ujep.cz''' | ||
''Dne 1. 11. 2025 vstoupil v platnost nový zákon o kybernetické bezpečnosti, který dopadá na naši univerzitu a přináší nové požadavky a povinnosti. Změny vedoucí k naplnění zákona budeme implementovat postupně. Po testovací fázi bude vedením univerzity stanoveno datum, kdy vícefaktorové ověřování bude povinné pro všechny uživatele.'' | |||
''' | '''Podněty, poznatky a problémy prosím reportujte na adresu: sit@rt.ujep.cz''' | ||
'''Pro pomoc s nastavením MFA neváhejte kontaktovat svého lokálního IT pracovníka nebo servis@rt.ujep.cz''' | |||
''' | |||
== 1. Začínáme s MFA [[Soubor:Ikona 01 MFA.png|60px|link=]] == | |||
'''MFA''' (Multifactor Authentication) znamená v překladu '''vícefaktorové ověřování''' a slouží ke zvýšení bezpečnosti přihlašování uživatelů ke službám. Je to jako, když k trezoru potřebujete dva klíče místo jednoho. | |||
''' | '''Cíl:''' K vašemu heslu přidáte ještě '''druhý bezpečnostní prvek''' (např. PIN, otisk prstu atd.) a když někdo zjistí vaše heslo, bez druhého ověřovacího prvku se do Vašeho účtu / zařízení nedostane. | ||
'''WebAuthn''' | '''Proč to zavádíme?''' Pro zvýšení bezpečnosti vašich osobních dat a celé univerzity v souladu s novým zákonem o kybernetické bezpečnosti. | ||
'''Kdy MFA potřebuji?''' Při přihlašování do klíčových systémů, jako je '''IMIS, Moodle, iFIS, eduVPN''' a služby CESNET. | |||
'''Slovníček''' - obsahuje klíčové pojmy, se kterými se setkáte při nastavování MFA | |||
{| class="wikitable" | |||
|'''Odborný název''' | |||
|'''Vysvětlení''' | |||
|- | |||
|'''MFA''' | |||
|'''Vícefaktorové ověřování.''' Chrání váš účet, protože vyžaduje heslo + ověřovací kód / otisk prstu / rozpoznání obličeje. | |||
|- | |||
|'''Ověřovací klíč (Passkey)''' | |||
|'''Kryptografický klíč, který slouží k přihlášení do online služeb bez nutnosti používat heslo .''' Použijete otisk prstu, sken obličeje nebo PIN v zařízení (telefon / notebook). Jedná se o nejrychlejší metodu. | |||
|- | |||
|'''TOTP''' | |||
|'''Kód z aplikace.''' Časově omezené jednorázové kódy (OTP), které generuje mobilní aplikace (tzv. autentikátor) a které se '''každých 30 sekund mění'''. | |||
|- | |||
|'''WebAuthn''' | |||
|'''Moderní ověřování.''' Otevřený standard, který umožňuje bezpečné přihlašování bez hesla pomocí hardwarových klíčů (např. USB tokenů, biometrie) nebo softwarových autentizátorů. | |||
|- | |||
|'''PPR''' | |||
|'''Papírové kódy.''' Seznam jednorázových kódů, které si vytisknete. Používají se, když nemáte k dispozici mobilní zařízení. | |||
|- | |||
|'''Biometrie''' | |||
|Metoda '''identifikace lidí''' pomocí jejich '''jedinečných tělesných vlastností''', jako jsou otisky prstů, skenování obličeje atd. | |||
|} | |||
=== 1.1 Kterou metodu zvolit? [[Soubor:Ikona 022 rozcestnik.png|60px|link=]] === | |||
Nastavte si ideálně '''dvě metody'''. První (TOTP) je nezávislá na zařízení, ze kterého se přihlašujete, druhá metoda (WebAuthn/Passkey) slouží pro rychlé přihlášení z konkrétního zařízení a nouzová metoda (PPR) je naprosto nezávislá na zařízení. | |||
{| class="wikitable" | |||
|'''Volba''' | |||
|'''Proč ji zvolit?''' | |||
|'''Vhodné pro vás, pokud...''' | |||
|- | |||
|'''A. TOTP (Autentizační aplikace)''' | |||
|Je '''nezávislá na zařízení, ze kterého se uživatel přihlašuje,''' a funguje i bez internetu. | |||
|Chcete kód generovat v telefonu (např. Google Authenticator, Microsoft Authenticator atd.). | |||
|- | |||
|'''B. WebAuthn (Ověřovací klíč/Passkey)''' | |||
|'''Nejrychlejší metoda.''' Můžete se přihlašovat bez hesla pomocí PIN či biometrie (otisk prstu / obličej). | |||
|Máte moderní telefon nebo počítač s Face ID/Touch ID/Windows Hello. | |||
|- | |||
|'''C. PPR''' | |||
'''(Papírové kódy)''' | |||
|'''Je nezávislá na zařízení a slouží jako "poslední záchrana".''' Použijete, když ztratíte nebo nevlastníte chytrý telefon. | |||
|Pokud nevlastníte telefon a nevadí Vám opisovat kódy z lístečku :-) | |||
|} | |||
== 2. Obecný postup == | |||
'''Pozor!''' Stránka pro nastavování MFA je '''dostupná pouze z vnitřní sítě UJEP''' nebo přes '''VPN''' (<html><a href="https://ci.ujep.cz/index.php/EduVPN" target="_blank" rel="noopener noreferrer">viz návod pro nastavení VPN</a></html>). | |||
'''Stránka pro správu tokenů:''' '''<code>mfa.ujep.cz</code>''' | |||
=== 2.1 Doporučený postup pro všechny uživatele === | |||
Dále je uveden doporučený postup pro nastavení MFA - můžete použít všechny metody, ale nemusíte - můžete si vybrat pouze jednu, nebo dvě (což doporučujeme). | |||
{| class="wikitable" | |||
|+ | |||
! | |||
! | |||
! | |||
|- | |||
|'''2.1.1''' | |||
|'''Nastavte si TOTP token (A):''' | |||
|Toto je váš '''první a nezávislý''' faktor. Použijete mobilní aplikaci k vygenerování časově omezeného kódu - '''postup viz kap. 3.1.1.''' | |||
|- | |||
|'''2.1.2''' | |||
|'''Nastavte si WebAuthn (B):''' | |||
|Poté si přidejte '''ověřovací klíč''' pro každé zařízení, které pravidelně používáte (notebook, tablet, druhý telefon) - '''postup viz kap. 3.1.2.''' | |||
|- | |||
|'''2.1.2''' | |||
|'''Nastavte si PPR token (C):''' | |||
|Vytiskněte si sadu '''jednorázových papírových kódů''' a bezpečně je uschovejte. Tyto kódy vám umožní se přihlásit, když ztratíte mobilní zařízení - '''postup viz kap. 3.1.3.''' | |||
|}<blockquote>'''❗️ Důležité:''' Jakmile si nastavíte jakýkoliv druhý faktor, '''bude MFA vyžadováno při každém přihlášení!'''</blockquote> | |||
== 3. Návody krok za krokem [[Soubor:Ikona 03 navody.png|60px|link=]] == | |||
Pro podrobné nastavení konkrétní metody klikněte na odkaz, který odpovídá vaší volbě: | |||
=== 3.1 Nastavení ověřovacích metod === | |||
{| class="wikitable" | |||
|+ | |||
! | |||
!(volba A, B, C z kap. 2.1) | |||
|- | |||
|'''3.1.1''' | |||
|'''Nastavení TOTP tokenu (Časově omezený kód z aplikace)''' | |||
|- | |||
| | |||
|[https://ci.ujep.cz/index.php?title=Nastaven%C3%AD_tokenu_typu_TOTP Návod pro základní nastavení TOTP] | |||
|- | |||
| | |||
|[https://ci.ujep.cz/index.php?title=Nastaven%C3%AD_tokenu_typu_TOTP_na_za%C5%99%C3%ADzen%C3%AD_Apple Nastavení TOTP na zařízení Apple] | |||
|- | |||
| | |||
|[https://ci.ujep.cz/index.php?title=Nastaven%C3%AD_tokenu_typu_TOTP_v_OS_linux Nastavení TOTP v OS Linux] | |||
|- | |||
|'''3.1.2''' | |||
|'''Nastavení WebAuthn / Passkey (PIN / biometrie)''' | |||
|- | |||
| | |||
|[https://ci.ujep.cz/index.php?title=Nastaven%C3%AD_Windows_11_Hello Nastavení Windows 11 Hello (pro Passkey ve Windows)] | |||
|- | |||
| | |||
|[https://ci.ujep.cz/index.php?title=Nastaven%C3%AD_tokenu_typu_WebAuthn_na_za%C5%99%C3%ADzen%C3%AD_Apple_(Face_ID_nebo_Touch_ID) Nastavení WebAuthn na zařízení Apple (Face ID nebo Touch ID)] | |||
|- | |||
|'''3.1.3''' | |||
|'''Nastavení PPR tokenu (Papírové kódy)''' | |||
|- | |||
| | |||
|[https://ci.ujep.cz/index.php?title=Nastaven%C3%AD_tokenu_typu_PPR Návod na vygenerování sady jednorázových kódů PPR] | |||
|} | |||
* | |||
=== 3.2 Postupy přihlašování === | |||
{| class="wikitable" | |||
|+ | |||
! | |||
!Jak se přihlásím, když mám vše nastaveno | |||
|- | |||
|'''3.2.1''' | |||
|[https://ci.ujep.cz/index.php?title=P%C5%99ihl%C3%A1%C5%A1en%C3%AD_metodou_TOTP_(Apple_iOS18%2B) Přihlášení pomocí kódu z aplikace (TOTP) na Apple iOS18+] | |||
|- | |||
|'''3.2.2''' | |||
|[https://ci.ujep.cz/index.php?title=P%C5%99ihl%C3%A1%C5%A1en%C3%AD_metodou_TOTP_(opera%C4%8Dn%C3%AD_syst%C3%A9m_star%C5%A1%C3%AD_ne%C5%BE_Apple_iOS18) Přihlášení pomocí kódu z aplikace (TOTP) na Apple (starší operační systém)] | |||
|- | |||
|'''3.2.3''' | |||
|[https://ci.ujep.cz/index.php?title=P%C5%99ihl%C3%A1%C5%A1en%C3%AD_metodou_WebAuthn_(Apple) Přihlášení pomocí ověřovacího klíče (WebAuthn) na Apple] | |||
|- | |||
|'''3.2.4''' | |||
|[https://ci.ujep.cz/index.php?title=P%C5%99ihl%C3%A1%C5%A1en%C3%AD_metodou_WebAuthn_(Za%C5%99%C3%ADzen%C3%AD_Apple_bez_Face_ID_nebo_Touch_ID) Přihlášení ověřovacím klíčem (WebAuthn) na Apple (bez biometrie)] | |||
|} | |||
Aktuální verze z 24. 11. 2025, 11:51
Vícefaktorové ověřování na UJEP - MFA
Dne 1. 11. 2025 vstoupil v platnost nový zákon o kybernetické bezpečnosti, který dopadá na naši univerzitu a přináší nové požadavky a povinnosti. Změny vedoucí k naplnění zákona budeme implementovat postupně. Po testovací fázi bude vedením univerzity stanoveno datum, kdy vícefaktorové ověřování bude povinné pro všechny uživatele.
Podněty, poznatky a problémy prosím reportujte na adresu: sit@rt.ujep.cz
Pro pomoc s nastavením MFA neváhejte kontaktovat svého lokálního IT pracovníka nebo servis@rt.ujep.cz
Dne 1. 11. 2025 vstoupil v platnost nový zákon o kybernetické bezpečnosti, který dopadá na naši univerzitu a přináší nové požadavky a povinnosti. Změny vedoucí k naplnění zákona budeme implementovat postupně. Po testovací fázi bude vedením univerzity stanoveno datum, kdy vícefaktorové ověřování bude povinné pro všechny uživatele.
Podněty, poznatky a problémy prosím reportujte na adresu: sit@rt.ujep.cz
Pro pomoc s nastavením MFA neváhejte kontaktovat svého lokálního IT pracovníka nebo servis@rt.ujep.cz
1. Začínáme s MFA 
MFA (Multifactor Authentication) znamená v překladu vícefaktorové ověřování a slouží ke zvýšení bezpečnosti přihlašování uživatelů ke službám. Je to jako, když k trezoru potřebujete dva klíče místo jednoho.
Cíl: K vašemu heslu přidáte ještě druhý bezpečnostní prvek (např. PIN, otisk prstu atd.) a když někdo zjistí vaše heslo, bez druhého ověřovacího prvku se do Vašeho účtu / zařízení nedostane.
Proč to zavádíme? Pro zvýšení bezpečnosti vašich osobních dat a celé univerzity v souladu s novým zákonem o kybernetické bezpečnosti.
Kdy MFA potřebuji? Při přihlašování do klíčových systémů, jako je IMIS, Moodle, iFIS, eduVPN a služby CESNET.
Slovníček - obsahuje klíčové pojmy, se kterými se setkáte při nastavování MFA
| Odborný název | Vysvětlení |
| MFA | Vícefaktorové ověřování. Chrání váš účet, protože vyžaduje heslo + ověřovací kód / otisk prstu / rozpoznání obličeje. |
| Ověřovací klíč (Passkey) | Kryptografický klíč, který slouží k přihlášení do online služeb bez nutnosti používat heslo . Použijete otisk prstu, sken obličeje nebo PIN v zařízení (telefon / notebook). Jedná se o nejrychlejší metodu. |
| TOTP | Kód z aplikace. Časově omezené jednorázové kódy (OTP), které generuje mobilní aplikace (tzv. autentikátor) a které se každých 30 sekund mění. |
| WebAuthn | Moderní ověřování. Otevřený standard, který umožňuje bezpečné přihlašování bez hesla pomocí hardwarových klíčů (např. USB tokenů, biometrie) nebo softwarových autentizátorů. |
| PPR | Papírové kódy. Seznam jednorázových kódů, které si vytisknete. Používají se, když nemáte k dispozici mobilní zařízení. |
| Biometrie | Metoda identifikace lidí pomocí jejich jedinečných tělesných vlastností, jako jsou otisky prstů, skenování obličeje atd. |
1.1 Kterou metodu zvolit? 
Nastavte si ideálně dvě metody. První (TOTP) je nezávislá na zařízení, ze kterého se přihlašujete, druhá metoda (WebAuthn/Passkey) slouží pro rychlé přihlášení z konkrétního zařízení a nouzová metoda (PPR) je naprosto nezávislá na zařízení.
| Volba | Proč ji zvolit? | Vhodné pro vás, pokud... |
| A. TOTP (Autentizační aplikace) | Je nezávislá na zařízení, ze kterého se uživatel přihlašuje, a funguje i bez internetu. | Chcete kód generovat v telefonu (např. Google Authenticator, Microsoft Authenticator atd.). |
| B. WebAuthn (Ověřovací klíč/Passkey) | Nejrychlejší metoda. Můžete se přihlašovat bez hesla pomocí PIN či biometrie (otisk prstu / obličej). | Máte moderní telefon nebo počítač s Face ID/Touch ID/Windows Hello. |
| C. PPR
(Papírové kódy) |
Je nezávislá na zařízení a slouží jako "poslední záchrana". Použijete, když ztratíte nebo nevlastníte chytrý telefon. | Pokud nevlastníte telefon a nevadí Vám opisovat kódy z lístečku :-) |
2. Obecný postup
Pozor! Stránka pro nastavování MFA je dostupná pouze z vnitřní sítě UJEP nebo přes VPN (viz návod pro nastavení VPN).
Stránka pro správu tokenů: mfa.ujep.cz
2.1 Doporučený postup pro všechny uživatele
Dále je uveden doporučený postup pro nastavení MFA - můžete použít všechny metody, ale nemusíte - můžete si vybrat pouze jednu, nebo dvě (což doporučujeme).
| 2.1.1 | Nastavte si TOTP token (A): | Toto je váš první a nezávislý faktor. Použijete mobilní aplikaci k vygenerování časově omezeného kódu - postup viz kap. 3.1.1. |
| 2.1.2 | Nastavte si WebAuthn (B): | Poté si přidejte ověřovací klíč pro každé zařízení, které pravidelně používáte (notebook, tablet, druhý telefon) - postup viz kap. 3.1.2. |
| 2.1.2 | Nastavte si PPR token (C): | Vytiskněte si sadu jednorázových papírových kódů a bezpečně je uschovejte. Tyto kódy vám umožní se přihlásit, když ztratíte mobilní zařízení - postup viz kap. 3.1.3. |
❗️ Důležité: Jakmile si nastavíte jakýkoliv druhý faktor, bude MFA vyžadováno při každém přihlášení!
3. Návody krok za krokem 
Pro podrobné nastavení konkrétní metody klikněte na odkaz, který odpovídá vaší volbě:
3.1 Nastavení ověřovacích metod
| (volba A, B, C z kap. 2.1) | |
|---|---|
| 3.1.1 | Nastavení TOTP tokenu (Časově omezený kód z aplikace) |
| Návod pro základní nastavení TOTP | |
| Nastavení TOTP na zařízení Apple | |
| Nastavení TOTP v OS Linux | |
| 3.1.2 | Nastavení WebAuthn / Passkey (PIN / biometrie) |
| Nastavení Windows 11 Hello (pro Passkey ve Windows) | |
| Nastavení WebAuthn na zařízení Apple (Face ID nebo Touch ID) | |
| 3.1.3 | Nastavení PPR tokenu (Papírové kódy) |
| Návod na vygenerování sady jednorázových kódů PPR |
3.2 Postupy přihlašování
| Jak se přihlásím, když mám vše nastaveno | |
|---|---|
| 3.2.1 | Přihlášení pomocí kódu z aplikace (TOTP) na Apple iOS18+ |
| 3.2.2 | Přihlášení pomocí kódu z aplikace (TOTP) na Apple (starší operační systém) |
| 3.2.3 | Přihlášení pomocí ověřovacího klíče (WebAuthn) na Apple |
| 3.2.4 | Přihlášení ověřovacím klíčem (WebAuthn) na Apple (bez biometrie) |
Tato kategorie neobsahuje žádné stránky či soubory.