Kategorie: MFA2: Porovnání verzí
Z Centrum Informatiky
Bez shrnutí editace značka: editace z Vizuálního editoru |
Bez shrnutí editace značky: ruční vrácení zpět přepnuto z Vizuálního editoru |
||
| (Není zobrazeno 25 mezilehlých verzí od 2 dalších uživatelů.) | |||
| Řádka 1: | Řádka 1: | ||
- | = Vícefaktorové ověřování na UJEP - MFA = | ||
''Dne 1. 11. 2025 vstoupil v platnost nový zákon o kybernetické bezpečnosti, který dopadá na naši univerzitu a přináší nové požadavky a povinnosti. Změny vedoucí k naplnění zákona budeme implementovat postupně. Po testovací fázi bude vedením univerzity stanoveno datum, kdy vícefaktorové ověřování bude povinné pro všechny uživatele.'' | |||
'''Podněty, poznatky a problémy prosím reportujte na adresu: sit@rt.ujep.cz''' | |||
'''Pro pomoc s nastavením MFA neváhejte kontaktovat svého lokálního IT pracovníka nebo servis@rt.ujep.cz''' | |||
''Dne 1. 11. 2025 vstoupil v platnost nový zákon o kybernetické bezpečnosti, který dopadá na naši univerzitu a přináší nové požadavky a povinnosti. Změny vedoucí k naplnění zákona budeme implementovat postupně. Po testovací fázi bude vedením univerzity stanoveno datum, kdy vícefaktorové ověřování bude povinné pro všechny uživatele.'' | ''Dne 1. 11. 2025 vstoupil v platnost nový zákon o kybernetické bezpečnosti, který dopadá na naši univerzitu a přináší nové požadavky a povinnosti. Změny vedoucí k naplnění zákona budeme implementovat postupně. Po testovací fázi bude vedením univerzity stanoveno datum, kdy vícefaktorové ověřování bude povinné pro všechny uživatele.'' | ||
| Řádka 7: | Řádka 13: | ||
'''Pro pomoc s nastavením MFA neváhejte kontaktovat svého lokálního IT pracovníka nebo servis@rt.ujep.cz''' | '''Pro pomoc s nastavením MFA neváhejte kontaktovat svého lokálního IT pracovníka nebo servis@rt.ujep.cz''' | ||
== 1. Začínáme s MFA [[Soubor:Ikona 01 MFA.png|60px|link=]] == | |||
'''MFA''' (Multifactor Authentication) znamená v překladu '''vícefaktorové ověřování''' a slouží ke zvýšení bezpečnosti přihlašování uživatelů ke službám. Je to jako, když k trezoru potřebujete dva klíče místo jednoho. | '''MFA''' (Multifactor Authentication) znamená v překladu '''vícefaktorové ověřování''' a slouží ke zvýšení bezpečnosti přihlašování uživatelů ke službám. Je to jako, když k trezoru potřebujete dva klíče místo jednoho. | ||
| Řádka 14: | Řádka 20: | ||
'''Proč to zavádíme?''' Pro zvýšení bezpečnosti vašich osobních dat a celé univerzity v souladu s novým zákonem o kybernetické bezpečnosti. | '''Proč to zavádíme?''' Pro zvýšení bezpečnosti vašich osobních dat a celé univerzity v souladu s novým zákonem o kybernetické bezpečnosti. | ||
'''Kdy MFA potřebuji?''' Při přihlašování do klíčových systémů, jako je '''Moodle | '''Kdy MFA potřebuji?''' Při přihlašování do klíčových systémů, jako je '''IMIS, Moodle, iFIS, eduVPN''' a služby CESNET. | ||
'''Slovníček''' - obsahuje klíčové pojmy, se kterými se setkáte při nastavování MFA | '''Slovníček''' - obsahuje klíčové pojmy, se kterými se setkáte při nastavování MFA | ||
| Řádka 35: | Řádka 41: | ||
|'''PPR''' | |'''PPR''' | ||
|'''Papírové kódy.''' Seznam jednorázových kódů, které si vytisknete. Používají se, když nemáte k dispozici mobilní zařízení. | |'''Papírové kódy.''' Seznam jednorázových kódů, které si vytisknete. Používají se, když nemáte k dispozici mobilní zařízení. | ||
|- | |||
|'''Biometrie''' | |||
|Metoda '''identifikace lidí''' pomocí jejich '''jedinečných tělesných vlastností''', jako jsou otisky prstů, skenování obličeje atd. | |||
|} | |} | ||
=== 1.1 Kterou metodu zvolit? [[Soubor:Ikona 022 rozcestnik.png|60px|link=]] === | |||
Nastavte si ideálně '''dvě metody'''. První (TOTP) je nezávislá na zařízení | Nastavte si ideálně '''dvě metody'''. První (TOTP) je nezávislá na zařízení, ze kterého se přihlašujete, druhá metoda (WebAuthn/Passkey) slouží pro rychlé přihlášení z konkrétního zařízení a nouzová metoda (PPR) je naprosto nezávislá na zařízení. | ||
{| class="wikitable" | {| class="wikitable" | ||
|'''Volba''' | |'''Volba''' | ||
| Řádka 45: | Řádka 54: | ||
|- | |- | ||
|'''A. TOTP (Autentizační aplikace)''' | |'''A. TOTP (Autentizační aplikace)''' | ||
|Je '''nezávislá na zařízení''' a funguje i bez internetu. | |Je '''nezávislá na zařízení, ze kterého se uživatel přihlašuje,''' a funguje i bez internetu. | ||
|Chcete kód generovat v telefonu (např. Google Authenticator, Microsoft Authenticator atd.). | |Chcete kód generovat v telefonu (např. Google Authenticator, Microsoft Authenticator atd.). | ||
|- | |- | ||
| Řádka 58: | Řádka 67: | ||
|} | |} | ||
== 2. Obecný postup == | |||
'''Pozor!''' Stránka pro nastavování MFA je '''dostupná pouze z vnitřní sítě UJEP''' nebo přes '''VPN'''. | '''Pozor!''' Stránka pro nastavování MFA je '''dostupná pouze z vnitřní sítě UJEP''' nebo přes '''VPN''' (<html><a href="https://ci.ujep.cz/index.php/EduVPN" target="_blank" rel="noopener noreferrer">viz návod pro nastavení VPN</a></html>). | ||
'''Stránka pro správu tokenů:''' '''<code>mfa.ujep.cz</code>''' | '''Stránka pro správu tokenů:''' '''<code>mfa.ujep.cz</code>''' | ||
=== 2.1 Doporučený postup pro všechny uživatele === | |||
Dále je uveden doporučený postup pro nastavení MFA - můžete použít všechny metody, ale nemusíte - můžete si vybrat pouze jednu, nebo dvě. | Dále je uveden doporučený postup pro nastavení MFA - můžete použít všechny metody, ale nemusíte - můžete si vybrat pouze jednu, nebo dvě (což doporučujeme). | ||
{| class="wikitable" | |||
|+ | |||
! | |||
! | |||
! | |||
<blockquote>'''❗️ Důležité:''' Jakmile si nastavíte jakýkoliv druhý faktor, '''bude MFA vyžadováno při každém přihlášení!'''</blockquote> | |- | ||
|'''2.1.1''' | |||
|'''Nastavte si TOTP token (A):''' | |||
|Toto je váš '''první a nezávislý''' faktor. Použijete mobilní aplikaci k vygenerování časově omezeného kódu - '''postup viz kap. 3.1.1.''' | |||
|- | |||
|'''2.1.2''' | |||
|'''Nastavte si WebAuthn (B):''' | |||
|Poté si přidejte '''ověřovací klíč''' pro každé zařízení, které pravidelně používáte (notebook, tablet, druhý telefon) - '''postup viz kap. 3.1.2.''' | |||
|- | |||
|'''2.1.2''' | |||
|'''Nastavte si PPR token (C):''' | |||
|Vytiskněte si sadu '''jednorázových papírových kódů''' a bezpečně je uschovejte. Tyto kódy vám umožní se přihlásit, když ztratíte mobilní zařízení - '''postup viz kap. 3.1.3.''' | |||
|}<blockquote>'''❗️ Důležité:''' Jakmile si nastavíte jakýkoliv druhý faktor, '''bude MFA vyžadováno při každém přihlášení!'''</blockquote> | |||
== 3. Návody krok za krokem [[Soubor:Ikona 03 navody.png|60px|link=]] == | |||
Pro podrobné nastavení konkrétní metody klikněte na odkaz, který odpovídá vaší volbě: | Pro podrobné nastavení konkrétní metody klikněte na odkaz, který odpovídá vaší volbě: | ||
=== 3.1 Nastavení ověřovacích metod === | |||
{| class="wikitable" | {| class="wikitable" | ||
|+ | |+ | ||
| Řádka 85: | Řádka 107: | ||
|- | |- | ||
| | | | ||
|Návod pro základní nastavení TOTP | |[https://ci.ujep.cz/index.php?title=Nastaven%C3%AD_tokenu_typu_TOTP Návod pro základní nastavení TOTP] | ||
|- | |- | ||
| | | | ||
|Nastavení TOTP na zařízení Apple | |[https://ci.ujep.cz/index.php?title=Nastaven%C3%AD_tokenu_typu_TOTP_na_za%C5%99%C3%ADzen%C3%AD_Apple Nastavení TOTP na zařízení Apple] | ||
|- | |- | ||
| | | | ||
|Nastavení TOTP v OS Linux | |[https://ci.ujep.cz/index.php?title=Nastaven%C3%AD_tokenu_typu_TOTP_v_OS_linux Nastavení TOTP v OS Linux] | ||
|- | |- | ||
|'''3.1.2''' | |'''3.1.2''' | ||
| Řádka 97: | Řádka 119: | ||
|- | |- | ||
| | | | ||
|Nastavení Windows 11 Hello (pro Passkey ve Windows) | |[https://ci.ujep.cz/index.php?title=Nastaven%C3%AD_Windows_11_Hello Nastavení Windows 11 Hello (pro Passkey ve Windows)] | ||
|- | |- | ||
| | | | ||
|Nastavení WebAuthn na zařízení Apple (Face ID nebo Touch ID) | |[https://ci.ujep.cz/index.php?title=Nastaven%C3%AD_tokenu_typu_WebAuthn_na_za%C5%99%C3%ADzen%C3%AD_Apple_(Face_ID_nebo_Touch_ID) Nastavení WebAuthn na zařízení Apple (Face ID nebo Touch ID)] | ||
|- | |- | ||
|'''3.1.3''' | |'''3.1.3''' | ||
| Řádka 106: | Řádka 128: | ||
|- | |- | ||
| | | | ||
|Návod na vygenerování sady jednorázových kódů PPR | |[https://ci.ujep.cz/index.php?title=Nastaven%C3%AD_tokenu_typu_PPR Návod na vygenerování sady jednorázových kódů PPR] | ||
|} | |} | ||
* | * | ||
=== 3.2 Postupy přihlašování === | |||
{| class="wikitable" | {| class="wikitable" | ||
|+ | |+ | ||
| Řádka 117: | Řádka 139: | ||
|- | |- | ||
|'''3.2.1''' | |'''3.2.1''' | ||
|Přihlášení pomocí kódu z aplikace (TOTP) na Apple iOS18+ | |[https://ci.ujep.cz/index.php?title=P%C5%99ihl%C3%A1%C5%A1en%C3%AD_metodou_TOTP_(Apple_iOS18%2B) Přihlášení pomocí kódu z aplikace (TOTP) na Apple iOS18+] | ||
|- | |- | ||
|'''3.2.2''' | |'''3.2.2''' | ||
|Přihlášení pomocí kódu z aplikace (TOTP) na Apple (starší operační systém) | |[https://ci.ujep.cz/index.php?title=P%C5%99ihl%C3%A1%C5%A1en%C3%AD_metodou_TOTP_(opera%C4%8Dn%C3%AD_syst%C3%A9m_star%C5%A1%C3%AD_ne%C5%BE_Apple_iOS18) Přihlášení pomocí kódu z aplikace (TOTP) na Apple (starší operační systém)] | ||
|- | |- | ||
|'''3.2.3''' | |'''3.2.3''' | ||
|Přihlášení pomocí ověřovacího klíče (WebAuthn) na Apple | |[https://ci.ujep.cz/index.php?title=P%C5%99ihl%C3%A1%C5%A1en%C3%AD_metodou_WebAuthn_(Apple) Přihlášení pomocí ověřovacího klíče (WebAuthn) na Apple] | ||
|- | |- | ||
|'''3.2.4''' | |'''3.2.4''' | ||
|Přihlášení ověřovacím klíčem (WebAuthn) na Apple (bez biometrie) | |[https://ci.ujep.cz/index.php?title=P%C5%99ihl%C3%A1%C5%A1en%C3%AD_metodou_WebAuthn_(Za%C5%99%C3%ADzen%C3%AD_Apple_bez_Face_ID_nebo_Touch_ID) Přihlášení ověřovacím klíčem (WebAuthn) na Apple (bez biometrie)] | ||
|} | |} | ||
Aktuální verze z 24. 11. 2025, 11:51
Vícefaktorové ověřování na UJEP - MFA
Dne 1. 11. 2025 vstoupil v platnost nový zákon o kybernetické bezpečnosti, který dopadá na naši univerzitu a přináší nové požadavky a povinnosti. Změny vedoucí k naplnění zákona budeme implementovat postupně. Po testovací fázi bude vedením univerzity stanoveno datum, kdy vícefaktorové ověřování bude povinné pro všechny uživatele.
Podněty, poznatky a problémy prosím reportujte na adresu: sit@rt.ujep.cz
Pro pomoc s nastavením MFA neváhejte kontaktovat svého lokálního IT pracovníka nebo servis@rt.ujep.cz
Dne 1. 11. 2025 vstoupil v platnost nový zákon o kybernetické bezpečnosti, který dopadá na naši univerzitu a přináší nové požadavky a povinnosti. Změny vedoucí k naplnění zákona budeme implementovat postupně. Po testovací fázi bude vedením univerzity stanoveno datum, kdy vícefaktorové ověřování bude povinné pro všechny uživatele.
Podněty, poznatky a problémy prosím reportujte na adresu: sit@rt.ujep.cz
Pro pomoc s nastavením MFA neváhejte kontaktovat svého lokálního IT pracovníka nebo servis@rt.ujep.cz
1. Začínáme s MFA 
MFA (Multifactor Authentication) znamená v překladu vícefaktorové ověřování a slouží ke zvýšení bezpečnosti přihlašování uživatelů ke službám. Je to jako, když k trezoru potřebujete dva klíče místo jednoho.
Cíl: K vašemu heslu přidáte ještě druhý bezpečnostní prvek (např. PIN, otisk prstu atd.) a když někdo zjistí vaše heslo, bez druhého ověřovacího prvku se do Vašeho účtu / zařízení nedostane.
Proč to zavádíme? Pro zvýšení bezpečnosti vašich osobních dat a celé univerzity v souladu s novým zákonem o kybernetické bezpečnosti.
Kdy MFA potřebuji? Při přihlašování do klíčových systémů, jako je IMIS, Moodle, iFIS, eduVPN a služby CESNET.
Slovníček - obsahuje klíčové pojmy, se kterými se setkáte při nastavování MFA
| Odborný název | Vysvětlení |
| MFA | Vícefaktorové ověřování. Chrání váš účet, protože vyžaduje heslo + ověřovací kód / otisk prstu / rozpoznání obličeje. |
| Ověřovací klíč (Passkey) | Kryptografický klíč, který slouží k přihlášení do online služeb bez nutnosti používat heslo . Použijete otisk prstu, sken obličeje nebo PIN v zařízení (telefon / notebook). Jedná se o nejrychlejší metodu. |
| TOTP | Kód z aplikace. Časově omezené jednorázové kódy (OTP), které generuje mobilní aplikace (tzv. autentikátor) a které se každých 30 sekund mění. |
| WebAuthn | Moderní ověřování. Otevřený standard, který umožňuje bezpečné přihlašování bez hesla pomocí hardwarových klíčů (např. USB tokenů, biometrie) nebo softwarových autentizátorů. |
| PPR | Papírové kódy. Seznam jednorázových kódů, které si vytisknete. Používají se, když nemáte k dispozici mobilní zařízení. |
| Biometrie | Metoda identifikace lidí pomocí jejich jedinečných tělesných vlastností, jako jsou otisky prstů, skenování obličeje atd. |
1.1 Kterou metodu zvolit? 
Nastavte si ideálně dvě metody. První (TOTP) je nezávislá na zařízení, ze kterého se přihlašujete, druhá metoda (WebAuthn/Passkey) slouží pro rychlé přihlášení z konkrétního zařízení a nouzová metoda (PPR) je naprosto nezávislá na zařízení.
| Volba | Proč ji zvolit? | Vhodné pro vás, pokud... |
| A. TOTP (Autentizační aplikace) | Je nezávislá na zařízení, ze kterého se uživatel přihlašuje, a funguje i bez internetu. | Chcete kód generovat v telefonu (např. Google Authenticator, Microsoft Authenticator atd.). |
| B. WebAuthn (Ověřovací klíč/Passkey) | Nejrychlejší metoda. Můžete se přihlašovat bez hesla pomocí PIN či biometrie (otisk prstu / obličej). | Máte moderní telefon nebo počítač s Face ID/Touch ID/Windows Hello. |
| C. PPR
(Papírové kódy) |
Je nezávislá na zařízení a slouží jako "poslední záchrana". Použijete, když ztratíte nebo nevlastníte chytrý telefon. | Pokud nevlastníte telefon a nevadí Vám opisovat kódy z lístečku :-) |
2. Obecný postup
Pozor! Stránka pro nastavování MFA je dostupná pouze z vnitřní sítě UJEP nebo přes VPN (viz návod pro nastavení VPN).
Stránka pro správu tokenů: mfa.ujep.cz
2.1 Doporučený postup pro všechny uživatele
Dále je uveden doporučený postup pro nastavení MFA - můžete použít všechny metody, ale nemusíte - můžete si vybrat pouze jednu, nebo dvě (což doporučujeme).
| 2.1.1 | Nastavte si TOTP token (A): | Toto je váš první a nezávislý faktor. Použijete mobilní aplikaci k vygenerování časově omezeného kódu - postup viz kap. 3.1.1. |
| 2.1.2 | Nastavte si WebAuthn (B): | Poté si přidejte ověřovací klíč pro každé zařízení, které pravidelně používáte (notebook, tablet, druhý telefon) - postup viz kap. 3.1.2. |
| 2.1.2 | Nastavte si PPR token (C): | Vytiskněte si sadu jednorázových papírových kódů a bezpečně je uschovejte. Tyto kódy vám umožní se přihlásit, když ztratíte mobilní zařízení - postup viz kap. 3.1.3. |
❗️ Důležité: Jakmile si nastavíte jakýkoliv druhý faktor, bude MFA vyžadováno při každém přihlášení!
3. Návody krok za krokem 
Pro podrobné nastavení konkrétní metody klikněte na odkaz, který odpovídá vaší volbě:
3.1 Nastavení ověřovacích metod
| (volba A, B, C z kap. 2.1) | |
|---|---|
| 3.1.1 | Nastavení TOTP tokenu (Časově omezený kód z aplikace) |
| Návod pro základní nastavení TOTP | |
| Nastavení TOTP na zařízení Apple | |
| Nastavení TOTP v OS Linux | |
| 3.1.2 | Nastavení WebAuthn / Passkey (PIN / biometrie) |
| Nastavení Windows 11 Hello (pro Passkey ve Windows) | |
| Nastavení WebAuthn na zařízení Apple (Face ID nebo Touch ID) | |
| 3.1.3 | Nastavení PPR tokenu (Papírové kódy) |
| Návod na vygenerování sady jednorázových kódů PPR |
3.2 Postupy přihlašování
| Jak se přihlásím, když mám vše nastaveno | |
|---|---|
| 3.2.1 | Přihlášení pomocí kódu z aplikace (TOTP) na Apple iOS18+ |
| 3.2.2 | Přihlášení pomocí kódu z aplikace (TOTP) na Apple (starší operační systém) |
| 3.2.3 | Přihlášení pomocí ověřovacího klíče (WebAuthn) na Apple |
| 3.2.4 | Přihlášení ověřovacím klíčem (WebAuthn) na Apple (bez biometrie) |
Tato kategorie neobsahuje žádné stránky či soubory.