Kategorie: MFA: Porovnání verzí

Z Centrum Informatiky
Přejít na: navigace, hledání
(Pridany odkazy na navody pro konkretni technologie)
 
(Není zobrazeno 60 mezilehlých verzí od 5 dalších uživatelů.)
Řádka 5: Řádka 5:
|}
|}


Vícefaktorové ověřování (MFA - Multifactor authentication) slouží ke zvýšení bezpečnosti přihlašování uživatelů ke službám. MFA vyžaduje užití více než jednoho ověřovacího faktoru. Např. Kombinace hesla a tokenu.
''Dne 1. 11. 2025 vstoupil v platnost nový zákon o kybernetické bezpečnosti, který dopadá na naši univerzitu a přináší nové požadavky a povinnosti. Změny vedoucí k naplnění zákona budeme implementovat postupně. Po testovací fázi bude vedením univerzity stanoveno datum, kdy vícefaktorové ověřování bude povinné pro všechny uživatele.''


MFA je zaveden pouze v systému jednotného přihlašování - eduID.cz
'''Podněty, poznatky a problémy prosím reportujte na adresu: sit@rt.ujep.cz'''


==== Obecný doporučený postup ====
'''Pro pomoc s nastavením MFA neváhejte kontaktovat svého lokálního IT pracovníka nebo servis@rt.ujep.cz'''
'''Je vhodné nastavit si více než jeden druhý faktor (token, ověřovací klíč) pro případ nedostupnosti jednoho zařízení.'''


# Nejprve si nastavte druhý faktor nezávislý na zařízení - typ TOTP
=== 1. Začínáme s MFA  [[Soubor:Ikona 01 MFA.png|60px|link=]] ===
# Poté si registrujte ověřovací klíč pro každé Vaše zařízení - typ WebAuthn
'''MFA''' (Multifactor Authentication) znamená v překladu '''vícefaktorové ověřování''' a slouží ke zvýšení bezpečnosti přihlašování uživatelů ke službám. ''Je to jako když se chcete dostat do jaderného sila - musíte zadat heslo a navíc ověřit skenerem zorničku oka - takovou ochranu mají jen ty nejdůležitější věci, jako jsou jaderné hlavice nebo Vaše univerzitní data 😉.''
# Ke službám se přihlašujte ověřovacím, klíčem


Jakmile má uživatel nastaven alespoň jeden druhý faktor, bude vícefaktorové ověřování vyžadováno při každém přihlášení!
'''Cíl:''' K vašemu heslu přidáte ještě '''druhý bezpečnostní prvek''' (např. PIN, otisk prstu atd.) a když někdo zjistí vaše heslo, bez druhého ověřovacího prvku se do Vašeho účtu / zařízení nedostane.


==== Slovníček ====
'''Proč to zavádíme?''' Pro zvýšení bezpečnosti Vašich osobních dat a dat celé univerzity v souladu s novým zákonem o kybernetické bezpečnosti.
Ověřovací klíč - (Passkey) - kryptografický klíč, který slouží k přihlášení do online služeb bez nutnosti používat heslo. Kombinuje soukromý klíč (uložený bezpečně ve vašem zařízení) a veřejný klíč (registrovaný u služby), a k přihlášení využívá biometrické údaje (otisk prstu, sken obličeje) nebo PIN. Passkeys jsou jednodušší, rychlejší a mnohem bezpečnější než tradiční hesla.


TOTP - (Time-based One-Time Password) - standardizovaný algoritmus pro vícefaktorovou autentizaci (MFA), který generuje časově omezené jednorázové kódy (OTP) pro přihlášení.
'''Kdy MFA potřebuji?''' Při přihlašování do klíčových systémů, jako je '''IMIS, Moodle, iFIS, eduVPN''' a služby CESNET.


WebAuthn - otevřený standard umožňující bezpečné přihlašování bez hesla pomocí hardwarových klíčů (např. USB tokenů, biometrie) nebo softwarových autentizátorů.
'''Slovníček''' - obsahuje klíčové pojmy, se kterými se setkáte při nastavování MFA
{| class="wikitable"
|'''Odborný název'''
|'''Vysvětlení'''
|-
|'''MFA'''
|'''Vícefaktorové ověřování.''' Chrání váš účet, protože vyžaduje heslo + ověřovací kód / otisk prstu / rozpoznání obličeje.
|-
|'''Ověřovací klíč (Passkey)'''
|'''Kryptografický klíč, který slouží k přihlášení do online služeb bez nutnosti používat heslo .''' Použijete otisk prstu, sken obličeje nebo PIN v zařízení (telefon / notebook). Jedná se o nejrychlejší metodu.
|-
|'''TOTP'''
|'''Kód z aplikace.''' Časově omezené jednorázové kódy (OTP), které generuje mobilní aplikace (tzv. autentikátor) a které se '''každých 30 sekund mění'''.
|-
|'''WebAuthn'''
|'''Moderní ověřování.''' Otevřený standard, který umožňuje bezpečné přihlašování bez hesla pomocí hardwarových klíčů (např. USB tokenů, biometrie) nebo softwarových autentizátorů.
|-
|'''PPR'''
|'''Papírové kódy.''' Seznam jednorázových kódů, které si vytisknete. Používají se, když nemáte k dispozici mobilní zařízení.
|-
|'''Biometrie'''
|Metoda '''identifikace lidí''' pomocí jejich '''jedinečných tělesných vlastností''', jako jsou otisky prstů, skenování obličeje atd.
|}


==== Návody na konkrétní typy tokenů ====
=== 1.1 Kterou metodu zvolit?  [[Soubor:Ikona 023 rozcestnik.png|50x50bod|link=]] ===
[[Nastavení tokenu typu TOTP]]
Nastavte si ideálně '''dvě metody'''. První (TOTP)  je nezávislá na zařízení, ze kterého se přihlašujete, druhá metoda (WebAuthn/Passkey) slouží pro rychlé přihlášení z konkrétního zařízení a nouzová metoda (PPR) je naprosto nezávislá na zařízení.
{| class="wikitable"
|'''Volba'''
|'''Proč ji zvolit?'''
|'''Vhodné pro vás, pokud...'''
|-
|'''A. TOTP (Autentizační aplikace)'''
|Je '''nezávislá na zařízení, ze kterého se uživatel přihlašuje,''' a funguje i bez internetu.
|Chcete kód generovat v telefonu (např. Google Authenticator, Microsoft Authenticator atd.).
|-
|'''B. WebAuthn (Ověřovací klíč/Passkey)'''
|'''Nejrychlejší metoda.''' Můžete se přihlašovat bez hesla pomocí PIN či biometrie (otisk prstu / obličej).
|Máte moderní telefon nebo počítač s Face ID/Touch ID/Windows Hello.
|-
|'''C. PPR'''
'''(Papírové kódy)'''
|'''Je nezávislá na zařízení a slouží jako "poslední záchrana".''' Použijete, když ztratíte nebo nevlastníte chytrý telefon.
|Pokud nevlastníte telefon a nevadí Vám opisovat kódy z lístečku :-)
|}


===== Nastavění ověřovacích klíčů - passkey =====
=== 2. Obecný postup [[Soubor:Ikona 02 navody.png|50px|link=]] ===
[[Nastavení Windows 11 Hello]]
'''Pozor!''' Stránka pro nastavování MFA je '''dostupná pouze z vnitřní sítě UJEP''' nebo přes '''VPN''' (<html><a href="https://ci.ujep.cz/index.php/EduVPN" target="_blank" rel="noopener noreferrer">viz návod pro nastavení VPN</a></html>).


[[Nastavení ověřovacího klíče u produktů Apple]]
'''Stránka pro správu tokenů:''' '''<html><a href="https://mfa.ujep.cz" target="_blank" rel="noopener noreferrer">mfa.ujep.cz</a></html>'''


#
=== 2.1 Doporučený postup pro všechny uživatele ===
Dále je uveden doporučený postup pro nastavení MFA - můžete použít všechny metody, ale nemusíte - můžete si vybrat pouze jednu, nebo dvě (což doporučujeme).
 
'''❗️ Důležité:''' Je vhodné jako první nastavit metodu TOTP a teprve poté WebAuthn a PPR  '''❗️'''
{| class="wikitable"
|-
|'''2.1.1'''
|'''Nastavte si TOTP token (A):'''
|Toto je váš '''první a nezávislý''' faktor. Použijete mobilní aplikaci k vygenerování časově omezeného kódu - '''postup viz kap. 3.1.1.'''
|-
|'''2.1.2'''
|'''Nastavte si WebAuthn (B):'''
|Poté si přidejte '''ověřovací klíč''' pro každé zařízení, které pravidelně používáte (notebook, tablet, druhý telefon) - '''postup viz kap. 3.1.2.'''
|-
|'''2.1.2'''
|'''Nastavte si PPR token (C):'''
|Vytiskněte si sadu '''jednorázových papírových kódů''' a bezpečně je uschovejte. Tyto kódy vám umožní se přihlásit, když ztratíte mobilní zařízení - '''postup viz kap. 3.1.3.'''
|}<blockquote>'''❗️ Důležité:''' Jakmile si nastavíte jakýkoliv druhý faktor, '''bude MFA vyžadováno při každém přihlášení ❗️'''</blockquote>
 
=== 3. Návody krok za krokem  [[Soubor:Ikona 03 navody.png|62x62bod|link=]] ===
Pro podrobné nastavení konkrétní metody klikněte na odkaz, který odpovídá vaší volbě.
 
'''❗️ Rychlý tip: Rozdíl v nastavení ověřování pro Windows a Apple ❗️'''
{| class="wikitable"
|+
!'''Platforma'''
!'''Chování nastavení MFA'''
|-
|'''Apple'''
|'''Nastavení se automaticky sdílí.''' Jakmile nastavíte ověřování (např. Passkey) na jednom zařízení, ostatní zařízení připojená k vašemu Apple ID si ho '''automaticky převezmou'''.
|-
|'''Microsoft'''
|'''Nastavení je třeba provést pro každé zařízení zvlášť.''' Každý váš notebook či počítač vyžaduje '''vlastní registraci''' ověřovacího klíče.
|}
*
 
=== 3.1 Nastavení ověřovacích metod ===
{| class="wikitable"
|+
!
!(volba A, B, C z kap. 2.1)
|-
|'''3.1.1 (A)'''
|'''Nastavení TOTP tokenu (Časově omezený kód z aplikace)'''
|-
|
|<html><a href="https://ci.ujep.cz/index.php?title=Nastaven%C3%AD_tokenu_typu_TOTP" target="_blank" rel="noopener noreferrer">Návod pro základní nastavení TOTP</a></html>
|-
|
|<html><a href="https://ci.ujep.cz/index.php?title=Nastaven%C3%AD_tokenu_typu_TOTP_na_za%C5%99%C3%ADzen%C3%AD_Apple" target="_blank" rel="noopener noreferrer">Nastavení TOTP na zařízení Apple</a></html>
|-
|
|<html><a href="https://ci.ujep.cz/index.php?title=Nastaven%C3%AD_tokenu_typu_TOTP_v_OS_linux" target="_blank" rel="noopener noreferrer">Nastavení TOTP v OS Linux</a></html>
|-
|'''3.1.2 (B)'''
|'''Nastavení WebAuthn / Passkey (PIN / biometrie)'''
|-
|
|<html><a href="https://ci.ujep.cz/index.php?title=Nastaven%C3%AD_Windows_11_Hello" target="_blank" rel="noopener noreferrer">Nastavení Windows 11 Hello (pro Passkey ve Windows)</a></html>
|-
|
|<html><a href="https://ci.ujep.cz/index.php?title=Nastaven%C3%AD_tokenu_typu_WebAuthn_na_za%C5%99%C3%ADzen%C3%AD_Apple_(Face_ID_nebo_Touch_ID)" target="_blank" rel="noopener noreferrer">Nastavení WebAuthn na zařízení Apple (Face ID nebo Touch ID)</a></html>
|-
|
|<html><a href="https://ci.ujep.cz/index.php?
title=Nastavení WebAuthn na mobilním zařízení s OS Android"
target="_blank" rel="noopener noreferrer">Nastavení WebAuthn na mobilním zařízení s OS Android
</a></html>
|-
|'''3.1.3 (C)'''
|'''Nastavení PPR tokenu (Papírové kódy)'''
|-
|
|<html><a href="https://ci.ujep.cz/index.php?title=Nastaven%C3%AD_tokenu_typu_PPR" target="_blank" rel="noopener noreferrer">Návod na vygenerování sady jednorázových kódů PPR</a></html>
|}
*
 
=== 3.2 Postupy přihlašování ===
{| class="wikitable"
|+
!
!Jak se přihlásím, když mám vše nastaveno
|-
|'''3.2.1'''
|<html><a href="https://ci.ujep.cz/index.php?
title=Přihlášení ověřovacím klíčem (WIN Hello)" target="_blank" rel="noopener noreferrer">Přihlášení ověřovacím klíčem (WIN Hello)</a></html>
|-
|'''3.2.2'''
|<html><a href="https://ci.ujep.cz/index.php?title=P%C5%99ihl%C3%A1%C5%A1en%C3%AD_metodou_TOTP_(Apple_iOS18%2B)" target="_blank" rel="noopener noreferrer">Přihlášení pomocí kódu z aplikace (TOTP) na Apple iOS18+</a></html>
|-
|'''3.2.3'''
|<html><a href="https://ci.ujep.cz/index.php?title=P%C5%99ihl%C3%A1%C5%A1en%C3%AD_metodou_TOTP_(opera%C4%8Dn%C3%AD_syst%C3%A9m_star%C5%A1%C3%AD_ne%C5%BE_Apple_iOS18)" target="_blank" rel="noopener noreferrer">Přihlášení pomocí kódu z aplikace (TOTP) na Apple (starší operační systém)</a></html>
|-
|'''3.2.4'''
|<html><a href="https://ci.ujep.cz/index.php?title=P%C5%99ihl%C3%A1%C5%A1en%C3%AD_metodou_WebAuthn_(Apple)" target="_blank" rel="noopener noreferrer">Přihlášení pomocí ověřovacího klíče (WebAuthn) na Apple</a></html>
|-
|'''3.2.5'''
|<html><a href="https://ci.ujep.cz/index.php?title=P%C5%99ihl%C3%A1%C5%A1en%C3%AD_metodou_WebAuthn_(Za%C5%99%C3%ADzen%C3%AD_Apple_bez_Face_ID_nebo_Touch_ID)" target="_blank" rel="noopener noreferrer">Přihlášení ověřovacím klíčem (WebAuthn) na Apple (bez biometrie)</a></html>
|}
 
=== 4. Řešení problémů [[Soubor:Ikona 04 navody.png|50x50bod|link=]]===
 
Při nastavování vícefaktorového ověřování se můžete setkat s potížemi způsobenými rozmanitostí zařízení, která používáte - počítače, tablety, telefony s různými operačními systémy a různým stářím a funkcemi.
 
Nejčastější problémy a návody, jak je odstranit, naleznete zde: <html><a href="https://ci.ujep.cz/index.php?
title=MFA - řešení problémů" target="_blank" rel="noopener noreferrer">MFA - řešení problémů</a></html>

Aktuální verze z 28. 11. 2025, 18:31

Vícefaktorové ověřování na UJEP - MFA

Testovací provoz

Dne 1. 11. 2025 vstoupil v platnost nový zákon o kybernetické bezpečnosti, který dopadá na naši univerzitu a přináší nové požadavky a povinnosti. Změny vedoucí k naplnění zákona budeme implementovat postupně. Po testovací fázi bude vedením univerzity stanoveno datum, kdy vícefaktorové ověřování bude povinné pro všechny uživatele.

Podněty, poznatky a problémy prosím reportujte na adresu: sit@rt.ujep.cz

Pro pomoc s nastavením MFA neváhejte kontaktovat svého lokálního IT pracovníka nebo servis@rt.ujep.cz

1. Začínáme s MFA Ikona 01 MFA.png

MFA (Multifactor Authentication) znamená v překladu vícefaktorové ověřování a slouží ke zvýšení bezpečnosti přihlašování uživatelů ke službám. Je to jako když se chcete dostat do jaderného sila - musíte zadat heslo a navíc ověřit skenerem zorničku oka - takovou ochranu mají jen ty nejdůležitější věci, jako jsou jaderné hlavice nebo Vaše univerzitní data 😉.

Cíl: K vašemu heslu přidáte ještě druhý bezpečnostní prvek (např. PIN, otisk prstu atd.) a když někdo zjistí vaše heslo, bez druhého ověřovacího prvku se do Vašeho účtu / zařízení nedostane.

Proč to zavádíme? Pro zvýšení bezpečnosti Vašich osobních dat a dat celé univerzity v souladu s novým zákonem o kybernetické bezpečnosti.

Kdy MFA potřebuji? Při přihlašování do klíčových systémů, jako je IMIS, Moodle, iFIS, eduVPN a služby CESNET.

Slovníček - obsahuje klíčové pojmy, se kterými se setkáte při nastavování MFA

Odborný název Vysvětlení
MFA Vícefaktorové ověřování. Chrání váš účet, protože vyžaduje heslo + ověřovací kód / otisk prstu / rozpoznání obličeje.
Ověřovací klíč (Passkey) Kryptografický klíč, který slouží k přihlášení do online služeb bez nutnosti používat heslo . Použijete otisk prstu, sken obličeje nebo PIN v zařízení (telefon / notebook). Jedná se o nejrychlejší metodu.
TOTP Kód z aplikace. Časově omezené jednorázové kódy (OTP), které generuje mobilní aplikace (tzv. autentikátor) a které se každých 30 sekund mění.
WebAuthn Moderní ověřování. Otevřený standard, který umožňuje bezpečné přihlašování bez hesla pomocí hardwarových klíčů (např. USB tokenů, biometrie) nebo softwarových autentizátorů.
PPR Papírové kódy. Seznam jednorázových kódů, které si vytisknete. Používají se, když nemáte k dispozici mobilní zařízení.
Biometrie Metoda identifikace lidí pomocí jejich jedinečných tělesných vlastností, jako jsou otisky prstů, skenování obličeje atd.

1.1 Kterou metodu zvolit? Ikona 023 rozcestnik.png

Nastavte si ideálně dvě metody. První (TOTP) je nezávislá na zařízení, ze kterého se přihlašujete, druhá metoda (WebAuthn/Passkey) slouží pro rychlé přihlášení z konkrétního zařízení a nouzová metoda (PPR) je naprosto nezávislá na zařízení.

Volba Proč ji zvolit? Vhodné pro vás, pokud...
A. TOTP (Autentizační aplikace) Je nezávislá na zařízení, ze kterého se uživatel přihlašuje, a funguje i bez internetu. Chcete kód generovat v telefonu (např. Google Authenticator, Microsoft Authenticator atd.).
B. WebAuthn (Ověřovací klíč/Passkey) Nejrychlejší metoda. Můžete se přihlašovat bez hesla pomocí PIN či biometrie (otisk prstu / obličej). Máte moderní telefon nebo počítač s Face ID/Touch ID/Windows Hello.
C. PPR

(Papírové kódy)

Je nezávislá na zařízení a slouží jako "poslední záchrana". Použijete, když ztratíte nebo nevlastníte chytrý telefon. Pokud nevlastníte telefon a nevadí Vám opisovat kódy z lístečku :-)

2. Obecný postup Ikona 02 navody.png

Pozor! Stránka pro nastavování MFA je dostupná pouze z vnitřní sítě UJEP nebo přes VPN (viz návod pro nastavení VPN).

Stránka pro správu tokenů: mfa.ujep.cz

2.1 Doporučený postup pro všechny uživatele

Dále je uveden doporučený postup pro nastavení MFA - můžete použít všechny metody, ale nemusíte - můžete si vybrat pouze jednu, nebo dvě (což doporučujeme).

❗️ Důležité: Je vhodné jako první nastavit metodu TOTP a teprve poté WebAuthn a PPR ❗️

2.1.1 Nastavte si TOTP token (A): Toto je váš první a nezávislý faktor. Použijete mobilní aplikaci k vygenerování časově omezeného kódu - postup viz kap. 3.1.1.
2.1.2 Nastavte si WebAuthn (B): Poté si přidejte ověřovací klíč pro každé zařízení, které pravidelně používáte (notebook, tablet, druhý telefon) - postup viz kap. 3.1.2.
2.1.2 Nastavte si PPR token (C): Vytiskněte si sadu jednorázových papírových kódů a bezpečně je uschovejte. Tyto kódy vám umožní se přihlásit, když ztratíte mobilní zařízení - postup viz kap. 3.1.3.

❗️ Důležité: Jakmile si nastavíte jakýkoliv druhý faktor, bude MFA vyžadováno při každém přihlášení ❗️

3. Návody krok za krokem Ikona 03 navody.png

Pro podrobné nastavení konkrétní metody klikněte na odkaz, který odpovídá vaší volbě.

❗️ Rychlý tip: Rozdíl v nastavení ověřování pro Windows a Apple ❗️

Platforma Chování nastavení MFA
Apple Nastavení se automaticky sdílí. Jakmile nastavíte ověřování (např. Passkey) na jednom zařízení, ostatní zařízení připojená k vašemu Apple ID si ho automaticky převezmou.
Microsoft Nastavení je třeba provést pro každé zařízení zvlášť. Každý váš notebook či počítač vyžaduje vlastní registraci ověřovacího klíče.

3.1 Nastavení ověřovacích metod

(volba A, B, C z kap. 2.1)
3.1.1 (A) Nastavení TOTP tokenu (Časově omezený kód z aplikace)
Návod pro základní nastavení TOTP
Nastavení TOTP na zařízení Apple
Nastavení TOTP v OS Linux
3.1.2 (B) Nastavení WebAuthn / Passkey (PIN / biometrie)
Nastavení Windows 11 Hello (pro Passkey ve Windows)
Nastavení WebAuthn na zařízení Apple (Face ID nebo Touch ID)
Nastavení WebAuthn na mobilním zařízení s OS Android
3.1.3 (C) Nastavení PPR tokenu (Papírové kódy)
Návod na vygenerování sady jednorázových kódů PPR

3.2 Postupy přihlašování

Jak se přihlásím, když mám vše nastaveno
3.2.1 Přihlášení ověřovacím klíčem (WIN Hello)
3.2.2 Přihlášení pomocí kódu z aplikace (TOTP) na Apple iOS18+
3.2.3 Přihlášení pomocí kódu z aplikace (TOTP) na Apple (starší operační systém)
3.2.4 Přihlášení pomocí ověřovacího klíče (WebAuthn) na Apple
3.2.5 Přihlášení ověřovacím klíčem (WebAuthn) na Apple (bez biometrie)

4. Řešení problémů Ikona 04 navody.png

Při nastavování vícefaktorového ověřování se můžete setkat s potížemi způsobenými rozmanitostí zařízení, která používáte - počítače, tablety, telefony s různými operačními systémy a různým stářím a funkcemi.

Nejčastější problémy a návody, jak je odstranit, naleznete zde: MFA - řešení problémů

Tato kategorie neobsahuje žádné stránky či soubory.

Citováno z „https://ci.ujep.cz/index.php?title=Kategorie:MFA&oldid=5878