Kategorie: MFA: Porovnání verzí
Z Centrum Informatiky
(důvod mfa) značka: editace z Vizuálního editoru |
značka: editace z Vizuálního editoru |
||
| (Není zobrazeno 50 mezilehlých verzí od 2 dalších uživatelů.) | |||
| Řádka 5: | Řádka 5: | ||
|} | |} | ||
Dne 1.11.2025 vstoupil v platnost nový zákon o kybernetické bezpečnosti, který dopadá na naši univerzitu a přináší nové požadavky a povinnosti. Změny vedoucí k naplnění zákona budeme implementovat postupně. Po testovací fázi bude vedením univerzity stanoveno datum, kdy vícefaktorové ověřování bude povinné pro všechny uživatele. | ''Dne 1. 11. 2025 vstoupil v platnost nový zákon o kybernetické bezpečnosti, který dopadá na naši univerzitu a přináší nové požadavky a povinnosti. Změny vedoucí k naplnění zákona budeme implementovat postupně. Po testovací fázi bude vedením univerzity stanoveno datum, kdy vícefaktorové ověřování bude povinné pro všechny uživatele.'' | ||
'''Podněty, poznatky a problémy prosím reportujte na adresu: sit@rt.ujep.cz''' | |||
'''Pro pomoc s nastavením MFA neváhejte kontaktovat svého lokálního IT pracovníka nebo servis@rt.ujep.cz''' | |||
=== 1. Začínáme s MFA [[Soubor:Ikona 01 MFA.png|60px|link=]] === | |||
'''MFA''' (Multifactor Authentication) znamená v překladu '''vícefaktorové ověřování''' a slouží ke zvýšení bezpečnosti přihlašování uživatelů ke službám. ''Je to jako když se chcete dostat do jaderného sila - musíte zadat heslo a navíc ověřit skenerem zorničku oka - takovou ochranu mají jen ty nejdůležitější věci, jako jsou jaderné hlavice nebo Vaše univerzitní data 😉.'' | |||
'''Cíl:''' K vašemu heslu přidáte ještě '''druhý bezpečnostní prvek''' (např. PIN, otisk prstu atd.) a když někdo zjistí vaše heslo, bez druhého ověřovacího prvku se do Vašeho účtu / zařízení nedostane. | |||
'''Proč to zavádíme?''' Pro zvýšení bezpečnosti Vašich osobních dat a dat celé univerzity v souladu s novým zákonem o kybernetické bezpečnosti. | |||
'''Kdy MFA potřebuji?''' Při přihlašování do klíčových systémů, jako je '''IMIS, Moodle, iFIS, eduVPN''' a služby CESNET. | |||
MFA | '''Slovníček''' - obsahuje klíčové pojmy, se kterými se setkáte při nastavování MFA | ||
{| class="wikitable" | |||
|'''Odborný název''' | |||
|'''Vysvětlení''' | |||
|- | |||
|'''MFA''' | |||
|'''Vícefaktorové ověřování.''' Chrání váš účet, protože vyžaduje heslo + ověřovací kód / otisk prstu / rozpoznání obličeje. | |||
|- | |||
|'''Ověřovací klíč (Passkey)''' | |||
|'''Kryptografický klíč, který slouží k přihlášení do online služeb bez nutnosti používat heslo .''' Použijete otisk prstu, sken obličeje nebo PIN v zařízení (telefon / notebook). Jedná se o nejrychlejší metodu. | |||
|- | |||
|'''TOTP''' | |||
|'''Kód z aplikace.''' Časově omezené jednorázové kódy (OTP), které generuje mobilní aplikace (tzv. autentikátor) a které se '''každých 30 sekund mění'''. | |||
|- | |||
|'''WebAuthn''' | |||
|'''Moderní ověřování.''' Otevřený standard, který umožňuje bezpečné přihlašování bez hesla pomocí hardwarových klíčů (např. USB tokenů, biometrie) nebo softwarových autentizátorů. | |||
|- | |||
|'''PPR''' | |||
|'''Papírové kódy.''' Seznam jednorázových kódů, které si vytisknete. Používají se, když nemáte k dispozici mobilní zařízení. | |||
|- | |||
|'''Biometrie''' | |||
|Metoda '''identifikace lidí''' pomocí jejich '''jedinečných tělesných vlastností''', jako jsou otisky prstů, skenování obličeje atd. | |||
|} | |||
==== | === 1.1 Kterou metodu zvolit? [[Soubor:Ikona 023 rozcestnik.png|50x50bod|link=]] === | ||
'''Je | Nastavte si ideálně '''dvě metody'''. První (TOTP) je nezávislá na zařízení, ze kterého se přihlašujete, druhá metoda (WebAuthn/Passkey) slouží pro rychlé přihlášení z konkrétního zařízení a nouzová metoda (PPR) je naprosto nezávislá na zařízení. | ||
{| class="wikitable" | |||
|'''Volba''' | |||
|'''Proč ji zvolit?''' | |||
|'''Vhodné pro vás, pokud...''' | |||
|- | |||
|'''A. TOTP (Autentizační aplikace)''' | |||
|Je '''nezávislá na zařízení, ze kterého se uživatel přihlašuje,''' a funguje i bez internetu. | |||
|Chcete kód generovat v telefonu (např. Google Authenticator, Microsoft Authenticator atd.). | |||
|- | |||
|'''B. WebAuthn (Ověřovací klíč/Passkey)''' | |||
|'''Nejrychlejší metoda.''' Můžete se přihlašovat bez hesla pomocí PIN či biometrie (otisk prstu / obličej). | |||
|Máte moderní telefon nebo počítač s Face ID/Touch ID/Windows Hello. | |||
|- | |||
|'''C. PPR''' | |||
'''(Papírové kódy)''' | |||
|'''Je nezávislá na zařízení a slouží jako "poslední záchrana".''' Použijete, když ztratíte nebo nevlastníte chytrý telefon. | |||
|Pokud nevlastníte telefon a nevadí Vám opisovat kódy z lístečku :-) | |||
|} | |||
=== 2. Obecný postup [[Soubor:Ikona 02 navody.png|50px|link=]] === | |||
'''Pozor!''' Stránka pro nastavování MFA je '''dostupná pouze z vnitřní sítě UJEP''' nebo přes '''VPN''' (<html><a href="https://ci.ujep.cz/index.php/EduVPN" target="_blank" rel="noopener noreferrer">viz návod pro nastavení VPN</a></html>). | |||
'''Stránka pro správu tokenů:''' '''<html><a href="https://mfa.ujep.cz" target="_blank" rel="noopener noreferrer">mfa.ujep.cz</a></html>''' | |||
''' | === 2.1 Doporučený postup pro všechny uživatele === | ||
Dále je uveden doporučený postup pro nastavení MFA - můžete použít všechny metody, ale nemusíte - můžete si vybrat pouze jednu, nebo dvě (což doporučujeme). | |||
'''❗️ Důležité:''' Je vhodné jako první nastavit metodu TOTP a teprve poté WebAuthn a PPR '''❗️''' | |||
{| class="wikitable" | |||
|- | |||
|'''2.1.1''' | |||
|'''Nastavte si TOTP token (A):''' | |||
|Toto je váš '''první a nezávislý''' faktor. Použijete mobilní aplikaci k vygenerování časově omezeného kódu - '''postup viz kap. 3.1.1.''' | |||
|- | |||
|'''2.1.2''' | |||
|'''Nastavte si WebAuthn (B):''' | |||
|Poté si přidejte '''ověřovací klíč''' pro každé zařízení, které pravidelně používáte (notebook, tablet, druhý telefon) - '''postup viz kap. 3.1.2.''' | |||
|- | |||
|'''2.1.2''' | |||
|'''Nastavte si PPR token (C):''' | |||
|Vytiskněte si sadu '''jednorázových papírových kódů''' a bezpečně je uschovejte. Tyto kódy vám umožní se přihlásit, když ztratíte mobilní zařízení - '''postup viz kap. 3.1.3.''' | |||
|}<blockquote>'''❗️ Důležité:''' Jakmile si nastavíte jakýkoliv druhý faktor, '''bude MFA vyžadováno při každém přihlášení ❗️'''</blockquote> | |||
=== 3. Návody krok za krokem [[Soubor:Ikona 03 navody.png|62x62bod|link=]] === | |||
Pro podrobné nastavení konkrétní metody klikněte na odkaz, který odpovídá vaší volbě. | |||
'''❗️ Rychlý tip: Rozdíl v nastavení ověřování pro Windows a Apple ❗️''' | |||
{| class="wikitable" | |||
|+ | |||
!'''Platforma''' | |||
!'''Chování nastavení MFA''' | |||
|- | |||
|'''Apple''' | |||
|'''Nastavení se automaticky sdílí.''' Jakmile nastavíte ověřování (např. Passkey) na jednom zařízení, ostatní zařízení připojená k vašemu Apple ID si ho '''automaticky převezmou'''. | |||
|- | |||
|'''Microsoft''' | |||
|'''Nastavení je třeba provést pro každé zařízení zvlášť.''' Každý váš notebook či počítač vyžaduje '''vlastní registraci''' ověřovacího klíče. | |||
|} | |||
* | |||
==== | === 3.1 Nastavení ověřovacích metod === | ||
{| class="wikitable" | |||
|+ | |||
! | |||
!(volba A, B, C z kap. 2.1) | |||
|- | |||
|'''3.1.1 (A)''' | |||
|'''Nastavení TOTP tokenu (Časově omezený kód z aplikace)''' | |||
|- | |||
| | |||
|<html><a href="https://ci.ujep.cz/index.php?title=Nastaven%C3%AD_tokenu_typu_TOTP" target="_blank" rel="noopener noreferrer">Návod pro základní nastavení TOTP</a></html> | |||
|- | |||
| | |||
|<html><a href="https://ci.ujep.cz/index.php?title=Nastaven%C3%AD_tokenu_typu_TOTP_na_za%C5%99%C3%ADzen%C3%AD_Apple" target="_blank" rel="noopener noreferrer">Nastavení TOTP na zařízení Apple</a></html> | |||
|- | |||
| | |||
|<html><a href="https://ci.ujep.cz/index.php?title=Nastaven%C3%AD_tokenu_typu_TOTP_v_OS_linux" target="_blank" rel="noopener noreferrer">Nastavení TOTP v OS Linux</a></html> | |||
|- | |||
|'''3.1.2 (B)''' | |||
|'''Nastavení WebAuthn / Passkey (PIN / biometrie)''' | |||
|- | |||
| | |||
|<html><a href="https://ci.ujep.cz/index.php?title=Nastaven%C3%AD_Windows_11_Hello" target="_blank" rel="noopener noreferrer">Nastavení Windows 11 Hello (pro Passkey ve Windows)</a></html> | |||
|- | |||
| | |||
|<html><a href="https://ci.ujep.cz/index.php?title=Nastaven%C3%AD_tokenu_typu_WebAuthn_na_za%C5%99%C3%ADzen%C3%AD_Apple_(Face_ID_nebo_Touch_ID)" target="_blank" rel="noopener noreferrer">Nastavení WebAuthn na zařízení Apple (Face ID nebo Touch ID)</a></html> | |||
|- | |||
| | |||
|<html><a href="https://ci.ujep.cz/index.php? | |||
title=Nastavení WebAuthn na mobilním zařízení s OS Android" | |||
target="_blank" rel="noopener noreferrer">Nastavení WebAuthn na mobilním zařízení s OS Android | |||
</a></html> | |||
|- | |||
|'''3.1.3 (C)''' | |||
|'''Nastavení PPR tokenu (Papírové kódy)''' | |||
|- | |||
| | |||
|<html><a href="https://ci.ujep.cz/index.php?title=Nastaven%C3%AD_tokenu_typu_PPR" target="_blank" rel="noopener noreferrer">Návod na vygenerování sady jednorázových kódů PPR</a></html> | |||
|} | |||
* | |||
=== 3.2 Postupy přihlašování === | |||
{| class="wikitable" | |||
|+ | |||
! | |||
!Jak se přihlásím, když mám vše nastaveno | |||
|- | |||
|'''3.2.1''' | |||
|<html><a href="https://ci.ujep.cz/index.php? | |||
title=Přihlášení ověřovacím klíčem (WIN Hello)" target="_blank" rel="noopener noreferrer">Přihlášení ověřovacím klíčem (WIN Hello)</a></html> | |||
|- | |||
|'''3.2.2''' | |||
|<html><a href="https://ci.ujep.cz/index.php?title=P%C5%99ihl%C3%A1%C5%A1en%C3%AD_metodou_TOTP_(Apple_iOS18%2B)" target="_blank" rel="noopener noreferrer">Přihlášení pomocí kódu z aplikace (TOTP) na Apple iOS18+</a></html> | |||
|- | |||
|'''3.2.3''' | |||
|<html><a href="https://ci.ujep.cz/index.php?title=P%C5%99ihl%C3%A1%C5%A1en%C3%AD_metodou_TOTP_(opera%C4%8Dn%C3%AD_syst%C3%A9m_star%C5%A1%C3%AD_ne%C5%BE_Apple_iOS18)" target="_blank" rel="noopener noreferrer">Přihlášení pomocí kódu z aplikace (TOTP) na Apple (starší operační systém)</a></html> | |||
|- | |||
|'''3.2.4''' | |||
|<html><a href="https://ci.ujep.cz/index.php?title=P%C5%99ihl%C3%A1%C5%A1en%C3%AD_metodou_WebAuthn_(Apple)" target="_blank" rel="noopener noreferrer">Přihlášení pomocí ověřovacího klíče (WebAuthn) na Apple</a></html> | |||
|- | |||
|'''3.2.5''' | |||
|<html><a href="https://ci.ujep.cz/index.php?title=P%C5%99ihl%C3%A1%C5%A1en%C3%AD_metodou_WebAuthn_(Za%C5%99%C3%ADzen%C3%AD_Apple_bez_Face_ID_nebo_Touch_ID)" target="_blank" rel="noopener noreferrer">Přihlášení ověřovacím klíčem (WebAuthn) na Apple (bez biometrie)</a></html> | |||
|} | |||
==== | === 4. Řešení problémů [[Soubor:Ikona 04 navody.png|50x50bod|link=]]=== | ||
Při nastavování vícefaktorového ověřování se můžete setkat s potížemi způsobenými rozmanitostí zařízení, která používáte - počítače, tablety, telefony s různými operačními systémy a různým stářím a funkcemi. | |||
==== | Nejčastější problémy a návody, jak je odstranit, naleznete zde: <html><a href="https://ci.ujep.cz/index.php? | ||
title=MFA - řešení problémů" target="_blank" rel="noopener noreferrer">MFA - řešení problémů</a></html> | |||
Aktuální verze z 28. 11. 2025, 18:31
Vícefaktorové ověřování na UJEP - MFA
Testovací provoz |
Dne 1. 11. 2025 vstoupil v platnost nový zákon o kybernetické bezpečnosti, který dopadá na naši univerzitu a přináší nové požadavky a povinnosti. Změny vedoucí k naplnění zákona budeme implementovat postupně. Po testovací fázi bude vedením univerzity stanoveno datum, kdy vícefaktorové ověřování bude povinné pro všechny uživatele.
Podněty, poznatky a problémy prosím reportujte na adresu: sit@rt.ujep.cz
Pro pomoc s nastavením MFA neváhejte kontaktovat svého lokálního IT pracovníka nebo servis@rt.ujep.cz
1. Začínáme s MFA 
MFA (Multifactor Authentication) znamená v překladu vícefaktorové ověřování a slouží ke zvýšení bezpečnosti přihlašování uživatelů ke službám. Je to jako když se chcete dostat do jaderného sila - musíte zadat heslo a navíc ověřit skenerem zorničku oka - takovou ochranu mají jen ty nejdůležitější věci, jako jsou jaderné hlavice nebo Vaše univerzitní data 😉.
Cíl: K vašemu heslu přidáte ještě druhý bezpečnostní prvek (např. PIN, otisk prstu atd.) a když někdo zjistí vaše heslo, bez druhého ověřovacího prvku se do Vašeho účtu / zařízení nedostane.
Proč to zavádíme? Pro zvýšení bezpečnosti Vašich osobních dat a dat celé univerzity v souladu s novým zákonem o kybernetické bezpečnosti.
Kdy MFA potřebuji? Při přihlašování do klíčových systémů, jako je IMIS, Moodle, iFIS, eduVPN a služby CESNET.
Slovníček - obsahuje klíčové pojmy, se kterými se setkáte při nastavování MFA
| Odborný název | Vysvětlení |
| MFA | Vícefaktorové ověřování. Chrání váš účet, protože vyžaduje heslo + ověřovací kód / otisk prstu / rozpoznání obličeje. |
| Ověřovací klíč (Passkey) | Kryptografický klíč, který slouží k přihlášení do online služeb bez nutnosti používat heslo . Použijete otisk prstu, sken obličeje nebo PIN v zařízení (telefon / notebook). Jedná se o nejrychlejší metodu. |
| TOTP | Kód z aplikace. Časově omezené jednorázové kódy (OTP), které generuje mobilní aplikace (tzv. autentikátor) a které se každých 30 sekund mění. |
| WebAuthn | Moderní ověřování. Otevřený standard, který umožňuje bezpečné přihlašování bez hesla pomocí hardwarových klíčů (např. USB tokenů, biometrie) nebo softwarových autentizátorů. |
| PPR | Papírové kódy. Seznam jednorázových kódů, které si vytisknete. Používají se, když nemáte k dispozici mobilní zařízení. |
| Biometrie | Metoda identifikace lidí pomocí jejich jedinečných tělesných vlastností, jako jsou otisky prstů, skenování obličeje atd. |
1.1 Kterou metodu zvolit? 
Nastavte si ideálně dvě metody. První (TOTP) je nezávislá na zařízení, ze kterého se přihlašujete, druhá metoda (WebAuthn/Passkey) slouží pro rychlé přihlášení z konkrétního zařízení a nouzová metoda (PPR) je naprosto nezávislá na zařízení.
| Volba | Proč ji zvolit? | Vhodné pro vás, pokud... |
| A. TOTP (Autentizační aplikace) | Je nezávislá na zařízení, ze kterého se uživatel přihlašuje, a funguje i bez internetu. | Chcete kód generovat v telefonu (např. Google Authenticator, Microsoft Authenticator atd.). |
| B. WebAuthn (Ověřovací klíč/Passkey) | Nejrychlejší metoda. Můžete se přihlašovat bez hesla pomocí PIN či biometrie (otisk prstu / obličej). | Máte moderní telefon nebo počítač s Face ID/Touch ID/Windows Hello. |
| C. PPR
(Papírové kódy) |
Je nezávislá na zařízení a slouží jako "poslední záchrana". Použijete, když ztratíte nebo nevlastníte chytrý telefon. | Pokud nevlastníte telefon a nevadí Vám opisovat kódy z lístečku :-) |
2. Obecný postup 
Pozor! Stránka pro nastavování MFA je dostupná pouze z vnitřní sítě UJEP nebo přes VPN (viz návod pro nastavení VPN).
Stránka pro správu tokenů: mfa.ujep.cz
2.1 Doporučený postup pro všechny uživatele
Dále je uveden doporučený postup pro nastavení MFA - můžete použít všechny metody, ale nemusíte - můžete si vybrat pouze jednu, nebo dvě (což doporučujeme).
❗️ Důležité: Je vhodné jako první nastavit metodu TOTP a teprve poté WebAuthn a PPR ❗️
| 2.1.1 | Nastavte si TOTP token (A): | Toto je váš první a nezávislý faktor. Použijete mobilní aplikaci k vygenerování časově omezeného kódu - postup viz kap. 3.1.1. |
| 2.1.2 | Nastavte si WebAuthn (B): | Poté si přidejte ověřovací klíč pro každé zařízení, které pravidelně používáte (notebook, tablet, druhý telefon) - postup viz kap. 3.1.2. |
| 2.1.2 | Nastavte si PPR token (C): | Vytiskněte si sadu jednorázových papírových kódů a bezpečně je uschovejte. Tyto kódy vám umožní se přihlásit, když ztratíte mobilní zařízení - postup viz kap. 3.1.3. |
❗️ Důležité: Jakmile si nastavíte jakýkoliv druhý faktor, bude MFA vyžadováno při každém přihlášení ❗️
3. Návody krok za krokem 
Pro podrobné nastavení konkrétní metody klikněte na odkaz, který odpovídá vaší volbě.
❗️ Rychlý tip: Rozdíl v nastavení ověřování pro Windows a Apple ❗️
| Platforma | Chování nastavení MFA |
|---|---|
| Apple | Nastavení se automaticky sdílí. Jakmile nastavíte ověřování (např. Passkey) na jednom zařízení, ostatní zařízení připojená k vašemu Apple ID si ho automaticky převezmou. |
| Microsoft | Nastavení je třeba provést pro každé zařízení zvlášť. Každý váš notebook či počítač vyžaduje vlastní registraci ověřovacího klíče. |
3.1 Nastavení ověřovacích metod
| (volba A, B, C z kap. 2.1) | |
|---|---|
| 3.1.1 (A) | Nastavení TOTP tokenu (Časově omezený kód z aplikace) |
| Návod pro základní nastavení TOTP | |
| Nastavení TOTP na zařízení Apple | |
| Nastavení TOTP v OS Linux | |
| 3.1.2 (B) | Nastavení WebAuthn / Passkey (PIN / biometrie) |
| Nastavení Windows 11 Hello (pro Passkey ve Windows) | |
| Nastavení WebAuthn na zařízení Apple (Face ID nebo Touch ID) | |
| Nastavení WebAuthn na mobilním zařízení s OS Android | |
| 3.1.3 (C) | Nastavení PPR tokenu (Papírové kódy) |
| Návod na vygenerování sady jednorázových kódů PPR |
3.2 Postupy přihlašování
| Jak se přihlásím, když mám vše nastaveno | |
|---|---|
| 3.2.1 | Přihlášení ověřovacím klíčem (WIN Hello) |
| 3.2.2 | Přihlášení pomocí kódu z aplikace (TOTP) na Apple iOS18+ |
| 3.2.3 | Přihlášení pomocí kódu z aplikace (TOTP) na Apple (starší operační systém) |
| 3.2.4 | Přihlášení pomocí ověřovacího klíče (WebAuthn) na Apple |
| 3.2.5 | Přihlášení ověřovacím klíčem (WebAuthn) na Apple (bez biometrie) |
4. Řešení problémů 
Při nastavování vícefaktorového ověřování se můžete setkat s potížemi způsobenými rozmanitostí zařízení, která používáte - počítače, tablety, telefony s různými operačními systémy a různým stářím a funkcemi.
Nejčastější problémy a návody, jak je odstranit, naleznete zde: MFA - řešení problémů
Tato kategorie neobsahuje žádné stránky či soubory.