Aktuální verze z 28. 11. 2025, 18:31

Vícefaktorové ověřování na UJEP - MFA

Testovací provoz

Dne 1. 11. 2025 vstoupil v platnost nový zákon o kybernetické bezpečnosti, který dopadá na naši univerzitu a přináší nové požadavky a povinnosti. Změny vedoucí k naplnění zákona budeme implementovat postupně. Po testovací fázi bude vedením univerzity stanoveno datum, kdy vícefaktorové ověřování bude povinné pro všechny uživatele.

Podněty, poznatky a problémy prosím reportujte na adresu: sit@rt.ujep.cz

Pro pomoc s nastavením MFA neváhejte kontaktovat svého lokálního IT pracovníka nebo servis@rt.ujep.cz

1. Začínáme s MFA

MFA (Multifactor Authentication) znamená v překladu vícefaktorové ověřování a slouží ke zvýšení bezpečnosti přihlašování uživatelů ke službám. Je to jako když se chcete dostat do jaderného sila - musíte zadat heslo a navíc ověřit skenerem zorničku oka - takovou ochranu mají jen ty nejdůležitější věci, jako jsou jaderné hlavice nebo Vaše univerzitní data 😉.

Cíl: K vašemu heslu přidáte ještě druhý bezpečnostní prvek (např. PIN, otisk prstu atd.) a když někdo zjistí vaše heslo, bez druhého ověřovacího prvku se do Vašeho účtu / zařízení nedostane.

Proč to zavádíme? Pro zvýšení bezpečnosti Vašich osobních dat a dat celé univerzity v souladu s novým zákonem o kybernetické bezpečnosti.

Kdy MFA potřebuji? Při přihlašování do klíčových systémů, jako je IMIS, Moodle, iFIS, eduVPN a služby CESNET.

Slovníček - obsahuje klíčové pojmy, se kterými se setkáte při nastavování MFA

Odborný název	Vysvětlení
MFA	Vícefaktorové ověřování. Chrání váš účet, protože vyžaduje heslo + ověřovací kód / otisk prstu / rozpoznání obličeje.
Ověřovací klíč (Passkey)	Kryptografický klíč, který slouží k přihlášení do online služeb bez nutnosti používat heslo . Použijete otisk prstu, sken obličeje nebo PIN v zařízení (telefon / notebook). Jedná se o nejrychlejší metodu.
TOTP	Kód z aplikace. Časově omezené jednorázové kódy (OTP), které generuje mobilní aplikace (tzv. autentikátor) a které se každých 30 sekund mění.
WebAuthn	Moderní ověřování. Otevřený standard, který umožňuje bezpečné přihlašování bez hesla pomocí hardwarových klíčů (např. USB tokenů, biometrie) nebo softwarových autentizátorů.
PPR	Papírové kódy. Seznam jednorázových kódů, které si vytisknete. Používají se, když nemáte k dispozici mobilní zařízení.
Biometrie	Metoda identifikace lidí pomocí jejich jedinečných tělesných vlastností, jako jsou otisky prstů, skenování obličeje atd.

1.1 Kterou metodu zvolit?

Nastavte si ideálně dvě metody. První (TOTP) je nezávislá na zařízení, ze kterého se přihlašujete, druhá metoda (WebAuthn/Passkey) slouží pro rychlé přihlášení z konkrétního zařízení a nouzová metoda (PPR) je naprosto nezávislá na zařízení.

Volba	Proč ji zvolit?	Vhodné pro vás, pokud...
A. TOTP (Autentizační aplikace)	Je nezávislá na zařízení, ze kterého se uživatel přihlašuje, a funguje i bez internetu.	Chcete kód generovat v telefonu (např. Google Authenticator, Microsoft Authenticator atd.).
B. WebAuthn (Ověřovací klíč/Passkey)	Nejrychlejší metoda. Můžete se přihlašovat bez hesla pomocí PIN či biometrie (otisk prstu / obličej).	Máte moderní telefon nebo počítač s Face ID/Touch ID/Windows Hello.
C. PPR (Papírové kódy)	Je nezávislá na zařízení a slouží jako "poslední záchrana". Použijete, když ztratíte nebo nevlastníte chytrý telefon.	Pokud nevlastníte telefon a nevadí Vám opisovat kódy z lístečku :-)

2. Obecný postup

Pozor! Stránka pro nastavování MFA je dostupná pouze z vnitřní sítě UJEP nebo přes VPN (viz návod pro nastavení VPN).

Stránka pro správu tokenů: mfa.ujep.cz

2.1 Doporučený postup pro všechny uživatele

Dále je uveden doporučený postup pro nastavení MFA - můžete použít všechny metody, ale nemusíte - můžete si vybrat pouze jednu, nebo dvě (což doporučujeme).

❗️ Důležité: Je vhodné jako první nastavit metodu TOTP a teprve poté WebAuthn a PPR ❗️

2.1.1	Nastavte si TOTP token (A):	Toto je váš první a nezávislý faktor. Použijete mobilní aplikaci k vygenerování časově omezeného kódu - postup viz kap. 3.1.1.
2.1.2	Nastavte si WebAuthn (B):	Poté si přidejte ověřovací klíč pro každé zařízení, které pravidelně používáte (notebook, tablet, druhý telefon) - postup viz kap. 3.1.2.
2.1.2	Nastavte si PPR token (C):	Vytiskněte si sadu jednorázových papírových kódů a bezpečně je uschovejte. Tyto kódy vám umožní se přihlásit, když ztratíte mobilní zařízení - postup viz kap. 3.1.3.

❗️ Důležité: Jakmile si nastavíte jakýkoliv druhý faktor, bude MFA vyžadováno při každém přihlášení ❗️

3. Návody krok za krokem

Pro podrobné nastavení konkrétní metody klikněte na odkaz, který odpovídá vaší volbě.

❗️ Rychlý tip: Rozdíl v nastavení ověřování pro Windows a Apple ❗️


Platforma	Chování nastavení MFA
Apple	Nastavení se automaticky sdílí. Jakmile nastavíte ověřování (např. Passkey) na jednom zařízení, ostatní zařízení připojená k vašemu Apple ID si ho automaticky převezmou.
Microsoft	Nastavení je třeba provést pro každé zařízení zvlášť. Každý váš notebook či počítač vyžaduje vlastní registraci ověřovacího klíče.

3.1 Nastavení ověřovacích metod


	(volba A, B, C z kap. 2.1)
3.1.1 (A)	Nastavení TOTP tokenu (Časově omezený kód z aplikace)
	Návod pro základní nastavení TOTP
	Nastavení TOTP na zařízení Apple
	Nastavení TOTP v OS Linux
3.1.2 (B)	Nastavení WebAuthn / Passkey (PIN / biometrie)
	Nastavení Windows 11 Hello (pro Passkey ve Windows)
	Nastavení WebAuthn na zařízení Apple (Face ID nebo Touch ID)
	Nastavení WebAuthn na mobilním zařízení s OS Android
3.1.3 (C)	Nastavení PPR tokenu (Papírové kódy)
	Návod na vygenerování sady jednorázových kódů PPR

3.2 Postupy přihlašování


	Jak se přihlásím, když mám vše nastaveno
3.2.1	Přihlášení ověřovacím klíčem (WIN Hello)
3.2.2	Přihlášení pomocí kódu z aplikace (TOTP) na Apple iOS18+
3.2.3	Přihlášení pomocí kódu z aplikace (TOTP) na Apple (starší operační systém)
3.2.4	Přihlášení pomocí ověřovacího klíče (WebAuthn) na Apple
3.2.5	Přihlášení ověřovacím klíčem (WebAuthn) na Apple (bez biometrie)

4. Řešení problémů

Při nastavování vícefaktorového ověřování se můžete setkat s potížemi způsobenými rozmanitostí zařízení, která používáte - počítače, tablety, telefony s různými operačními systémy a různým stářím a funkcemi.

Nejčastější problémy a návody, jak je odstranit, naleznete zde: MFA - řešení problémů

Tato kategorie neobsahuje žádné stránky či soubory.

@@ Řádka 12: / Řádka 12: @@
 === 1. Začínáme s MFA   [[Soubor:Ikona 01 MFA.png|60px|link=]] ===
-'''MFA''' (Multifactor Authentication) znamená v překladu '''vícefaktorové ověřování''' a slouží ke zvýšení bezpečnosti přihlašování uživatelů ke službám. Je to jako, když k trezoru potřebujete dva klíče místo jednoho.
+'''MFA''' (Multifactor Authentication) znamená v překladu '''vícefaktorové ověřování''' a slouží ke zvýšení bezpečnosti přihlašování uživatelů ke službám. ''Je to jako když se chcete dostat do jaderného sila - musíte zadat heslo a navíc ověřit skenerem zorničku oka - takovou ochranu mají jen ty nejdůležitější věci, jako jsou jaderné hlavice nebo Vaše univerzitní data 😉.''
 '''Cíl:''' K vašemu heslu přidáte ještě '''druhý bezpečnostní prvek''' (např. PIN, otisk prstu atd.) a když někdo zjistí vaše heslo, bez druhého ověřovacího prvku se do Vašeho účtu / zařízení nedostane.
@@ Řádka 44: / Řádka 44: @@
 |}
-==== 1.1 Kterou metodu zvolit?  [[Soubor:Ikona 022 rozcestnik.png|60px|link=]] ====
+=== 1.1 Kterou metodu zvolit?  [[Soubor:Ikona 023 rozcestnik.png|50x50bod|link=]] ===
 Nastavte si ideálně '''dvě metody'''. První (TOTP)  je nezávislá na zařízení, ze kterého se přihlašujete, druhá metoda (WebAuthn/Passkey) slouží pro rychlé přihlášení z konkrétního zařízení a nouzová metoda (PPR) je naprosto nezávislá na zařízení.
 {| class="wikitable"
@@ Řádka 65: / Řádka 65: @@
 |}
-=== 2. Obecný postup ===
+=== 2. Obecný postup [[Soubor:Ikona 02 navody.png|50px|link=]] ===
 '''Pozor!''' Stránka pro nastavování MFA je '''dostupná pouze z vnitřní sítě UJEP''' nebo přes '''VPN''' (<html><a href="https://ci.ujep.cz/index.php/EduVPN" target="_blank" rel="noopener noreferrer">viz návod pro nastavení VPN</a></html>).
 '''Stránka pro správu tokenů:''' '''<html><a href="https://mfa.ujep.cz" target="_blank" rel="noopener noreferrer">mfa.ujep.cz</a></html>'''
-==== 2.1 Doporučený postup pro všechny uživatele ====
+=== 2.1 Doporučený postup pro všechny uživatele ===
 Dále je uveden doporučený postup pro nastavení MFA - můžete použít všechny metody, ale nemusíte - můžete si vybrat pouze jednu, nebo dvě (což doporučujeme).
+'''❗️ Důležité:''' Je vhodné jako první nastavit metodu TOTP a teprve poté WebAuthn a PPR   '''❗️'''
 {| class="wikitable"
-|+
-!
-!
-!
 |-
 |'''2.1.1'''
@@ Řádka 91: / Řádka 89: @@
 |}<blockquote>'''❗️ Důležité:''' Jakmile si nastavíte jakýkoliv druhý faktor, '''bude MFA vyžadováno při každém přihlášení ❗️'''</blockquote>
-=== 3. Návody krok za krokem   [[Soubor:Ikona 03 navody.png|60px|link=]] ===
+=== 3. Návody krok za krokem   [[Soubor:Ikona 03 navody.png|62x62bod|link=]] ===
-Pro podrobné nastavení konkrétní metody klikněte na odkaz, který odpovídá vaší volbě:
+Pro podrobné nastavení konkrétní metody klikněte na odkaz, který odpovídá vaší volbě.
+'''❗️ Rychlý tip: Rozdíl v nastavení ověřování pro Windows a Apple ❗️'''
+{| class="wikitable"
+|+
+!'''Platforma'''
+!'''Chování nastavení MFA'''
+|-
+|'''Apple'''
+|'''Nastavení se automaticky sdílí.''' Jakmile nastavíte ověřování (např. Passkey) na jednom zařízení, ostatní zařízení připojená k vašemu Apple ID si ho '''automaticky převezmou'''.
+|-
+|'''Microsoft'''
+|'''Nastavení je třeba provést pro každé zařízení zvlášť.''' Každý váš notebook či počítač vyžaduje '''vlastní registraci''' ověřovacího klíče.
+|}
+*
-==== 3.1 Nastavení ověřovacích metod ====
+=== 3.1 Nastavení ověřovacích metod ===
 {| class="wikitable"
 |+
@@ Řádka 100: / Řádka 112: @@
 !(volba A, B, C z kap. 2.1)
 |-
-|'''3.1.1'''
+|'''3.1.1 (A)'''
 |'''Nastavení TOTP tokenu (Časově omezený kód z aplikace)'''
 |-
 |
-|[https://ci.ujep.cz/index.php?title=Nastaven%C3%AD_tokenu_typu_TOTP Návod pro základní nastavení TOTP]
+|<html><a href="https://ci.ujep.cz/index.php?title=Nastaven%C3%AD_tokenu_typu_TOTP" target="_blank" rel="noopener noreferrer">Návod pro základní nastavení TOTP</a></html>
 |-
 |
-|[https://ci.ujep.cz/index.php?title=Nastaven%C3%AD_tokenu_typu_TOTP_na_za%C5%99%C3%ADzen%C3%AD_Apple Nastavení TOTP na zařízení Apple]
+|<html><a href="https://ci.ujep.cz/index.php?title=Nastaven%C3%AD_tokenu_typu_TOTP_na_za%C5%99%C3%ADzen%C3%AD_Apple" target="_blank" rel="noopener noreferrer">Nastavení TOTP na zařízení Apple</a></html>
 |-
 |
-|[https://ci.ujep.cz/index.php?title=Nastaven%C3%AD_tokenu_typu_TOTP_v_OS_linux Nastavení TOTP v OS Linux]
+|<html><a href="https://ci.ujep.cz/index.php?title=Nastaven%C3%AD_tokenu_typu_TOTP_v_OS_linux" target="_blank" rel="noopener noreferrer">Nastavení TOTP v OS Linux</a></html>
 |-
-|'''3.1.2'''
+|'''3.1.2 (B)'''
 |'''Nastavení WebAuthn / Passkey (PIN / biometrie)'''
 |-
 |
-|[https://ci.ujep.cz/index.php?title=Nastaven%C3%AD_Windows_11_Hello Nastavení Windows 11 Hello (pro Passkey ve Windows)]
+|<html><a href="https://ci.ujep.cz/index.php?title=Nastaven%C3%AD_Windows_11_Hello" target="_blank" rel="noopener noreferrer">Nastavení Windows 11 Hello (pro Passkey ve Windows)</a></html>
+|-
+|
+|<html><a href="https://ci.ujep.cz/index.php?title=Nastaven%C3%AD_tokenu_typu_WebAuthn_na_za%C5%99%C3%ADzen%C3%AD_Apple_(Face_ID_nebo_Touch_ID)" target="_blank" rel="noopener noreferrer">Nastavení WebAuthn na zařízení Apple (Face ID nebo Touch ID)</a></html>
 |-
 |
-|[https://ci.ujep.cz/index.php?title=Nastaven%C3%AD_tokenu_typu_WebAuthn_na_za%C5%99%C3%ADzen%C3%AD_Apple_(Face_ID_nebo_Touch_ID) Nastavení WebAuthn na zařízení Apple (Face ID nebo Touch ID)]
+|<html><a href="https://ci.ujep.cz/index.php?
+title=Nastavení WebAuthn na mobilním zařízení s OS Android"
+target="_blank" rel="noopener noreferrer">Nastavení WebAuthn na mobilním zařízení s OS Android
+</a></html>
 |-
-|'''3.1.3'''
+|'''3.1.3 (C)'''
 |'''Nastavení PPR tokenu (Papírové kódy)'''
 |-
 |
-|[https://ci.ujep.cz/index.php?title=Nastaven%C3%AD_tokenu_typu_PPR Návod na vygenerování sady jednorázových kódů PPR]
+|<html><a href="https://ci.ujep.cz/index.php?title=Nastaven%C3%AD_tokenu_typu_PPR" target="_blank" rel="noopener noreferrer">Návod na vygenerování sady jednorázových kódů PPR</a></html>
 |}
 *
-==== 3.2 Postupy přihlašování ====
+=== 3.2 Postupy přihlašování ===
 {| class="wikitable"
 |+
@@ Řádka 136: / Řádka 154: @@
 |-
 |'''3.2.1'''
+|<html><a href="https://ci.ujep.cz/index.php?
+title=Přihlášení ověřovacím klíčem (WIN Hello)" target="_blank" rel="noopener noreferrer">Přihlášení ověřovacím klíčem (WIN Hello)</a></html>
+|-
+|'''3.2.2'''
 |<html><a href="https://ci.ujep.cz/index.php?title=P%C5%99ihl%C3%A1%C5%A1en%C3%AD_metodou_TOTP_(Apple_iOS18%2B)" target="_blank" rel="noopener noreferrer">Přihlášení pomocí kódu z aplikace (TOTP) na Apple iOS18+</a></html>
 |-
-|'''3.2.2'''
+|'''3.2.3'''
 |<html><a href="https://ci.ujep.cz/index.php?title=P%C5%99ihl%C3%A1%C5%A1en%C3%AD_metodou_TOTP_(opera%C4%8Dn%C3%AD_syst%C3%A9m_star%C5%A1%C3%AD_ne%C5%BE_Apple_iOS18)" target="_blank" rel="noopener noreferrer">Přihlášení pomocí kódu z aplikace (TOTP) na Apple (starší operační systém)</a></html>
 |-
-|'''3.2.3'''
+|'''3.2.4'''
 |<html><a href="https://ci.ujep.cz/index.php?title=P%C5%99ihl%C3%A1%C5%A1en%C3%AD_metodou_WebAuthn_(Apple)" target="_blank" rel="noopener noreferrer">Přihlášení pomocí ověřovacího klíče (WebAuthn) na Apple</a></html>
 |-
-|'''3.2.4'''
+|'''3.2.5'''
 |<html><a href="https://ci.ujep.cz/index.php?title=P%C5%99ihl%C3%A1%C5%A1en%C3%AD_metodou_WebAuthn_(Za%C5%99%C3%ADzen%C3%AD_Apple_bez_Face_ID_nebo_Touch_ID)" target="_blank" rel="noopener noreferrer">Přihlášení ověřovacím klíčem (WebAuthn) na Apple (bez biometrie)</a></html>
 |}
+=== 4. Řešení problémů [[Soubor:Ikona 04 navody.png|50x50bod|link=]]===
+Při nastavování vícefaktorového ověřování se můžete setkat s potížemi způsobenými rozmanitostí zařízení, která používáte - počítače, tablety, telefony s různými operačními systémy a různým stářím a funkcemi.
+Nejčastější problémy a návody, jak je odstranit, naleznete zde: <html><a href="https://ci.ujep.cz/index.php?
+title=MFA - řešení problémů" target="_blank" rel="noopener noreferrer">MFA - řešení problémů</a></html>

Kategorie: MFA: Porovnání verzí