Jak funguje centralizované přihlašování na webu

Z Liane

Řada služeb provozovaných naší univerzitou i jinými subjekty využívá systém centralizovaného přihlašování. Jeho cílem je, aby informace o uživatelích a jejich heslech byly jen na jednom místě, se kterým jednotlivé služby spolupracují. Obvykle využívají systém Shibboleth.

Základem je autentizační server, který obsahuje databázi uživatelů, jejich hesel a údajů o nich. V našem případě například, zda jste student nebo zaměstnanec. Tento server provozuje naše univerzita.

Když se chcete někam přihlásit – například si objednat v menze nebo otevřít neveřejnou část www.tul.cz – v terminologii autentizačních systémů přistupujete k nějaké službě. Pokud služba využívá centralizované přihlašování, proběhne zhruba následující postup:

  1. Na stránkách služby (menza, www.tul.cz apod.) kliknete na Přihlásit nebo podobný odkaz.
  2. Služba vás přehodí na náš autentizační server a sdělí mu cosi jako "Hlásí se mi sem někdo od vás. Potřebovala bych o něm tyto informace: uživatelské jméno a vztah k TUL (student/zaměstnanec/...)."
  3. Pro vás se to projeví tím, že se otevře přihlašovací dialog na serveru shibbo.tul,cz (čili u nás). Zde zadáte své uživatelské jméno a centrální heslo do sítě LIANE. Heslo nikdy neopustí tento server.
  4. Pokud je heslo správné, náš autentizační server vás ověřil a může službě poslat požadované údaje. Podle GDPR k tomu ovšem potřebuje vaše svolení. Proto vám zobrazí dialog, ve kterém je napsáno něco jako "Služba, ke které se přihlašujete, po mně chce následující údaje: ... Mohu jí je poslat?" Navíc vám dává na vybranou, jak se má zachovat příště. Máte na výběr tři varianty:
    • Zeptat se znovu při dalším přihlášení aneb při příštím přihlášení se bude opakovat přesně totéž.
    • Zeptat se mě znovu, pokud se změní informace posílané této službě aneb pokud se budete příště přihlašovat ke stejné službě a ona bude chtít stejné informace jako dnes, může jí je poslat bez ptaní. Pokud ale služba bude chtít nějaké další informace, autentizační server si znovu vyžádá svolení.
    • Již se znovu neptat aneb nechcete tento dialog už nikdy vidět, autentizační server může poslat kterékoli službě jakékoli údaje. (Teď trochu zjednodušujeme. Autentizační server má nastaveno, jaké údaje může posílat obecně či konkrétní službě. Touto poslední volbou v podstatě říkáte "Důvěřuji správě LIANE, že nastavila export mých informací rozumně.")
  5. Autentizační server vás přehodí zpět na stránky služby a poskytne jí požadované informace. Ta je využije k vaší obsluze – zpřístupní správné části webu, zobrazí objednaná jídla apod.

Popsaná procedura je zcela univerzální a funguje stejně, i když se jedná o službu provozovanou jinou organizací (za předpokladu, že je navázána na náš autentizační systém) – například FileSender. Jediným rozdílem je, že mezi kroky 1 a 2 se vás zeptá, ze které organizace pocházíte, aby věděla, na který autentizační server vás má přehodit.