cs:tech:join

Realizace připojení

Technická realizace připojení do federace eduID.cz je možná až po jmenování administrativních (a případně i technických) kontaktů. Je také nutné splnit jeden z následujících požadavků na správu uživatelů v rámci organizace, tedy mít:

  • buď adresářový server s uživatelskými informacemi:
    • LDAP (preferované řešení),
    • Microsoft Active Directory (podporované řešení),
  • anebo databázový server s uživatelskými informacemi:
    • MySQL (nedoporučované, ale podporované řešení).

Adresářový (případně databázový) server s uživatelskými informacemi musí obsahovat platné údaje a aktivní mohou být pouze platné účty, případně musíte zařídit, že neaktivní uživatelé budou označeni tak, aby byli poznat. K tomuto vás zavazuje federační politika.

V případě, že nemáte ani jedno z výše uvedeného, doporučujeme zvolit open-source řešení s LDAP serverem – s touto variantou vám můžeme co nejvíce pomoci. Naopak ukládat uživatelské údaje do databáze MySQL sice podporujeme, ale silně nedoporučujeme.

Samotná realizace je možná dvěma způsoby:

  • vlastní infrastruktura,
  • hostovaná infrastruktura od sdružení CESNET.

Vlastní infrastruktura

Máte-li vlastní IT personál, nejvhodnější řešení je zprovoznit si vlastní infrastrukturu.

Pro provoz vlastní infrastruktury budete potřebovat nainstalovat a nakonfigurovat vlastního poskytovatele identity (Identity Provider, IdP). Své IdP musíte napojit na adresářovou službu jako LDAP nebo Microsoft Active Directory (anebo MySQL databázi s uživatelskými údaji), což je jediná prerekvizita pro zprovoznění IdP. Veškerá dokumentace k instalaci i konfiguraci IdP je k dispozici na našem webu.

V případě nutnosti můžete požádat o radu s konkrétním problémem na e-mailové adrese info@eduid.cz.

Hostovaná infrastruktura

Nemáte-li vlastní IT personál, můžete využít infrastruktury hostované sdružením CESNET.

Pro infrastrukturu spravovanou sdružením CESNET je potřeba, abyste kromě výše uvedeného adresářového serveru (LDAP nebo AD), dodali následující:

  • URL adresu adresářového serveru (SSL!),
    • servisní účet pouze pro čtení,
    • baseDN pro hledání uživatelů,
    • testovací účet pro naše techniky (affiliation: affiliate),
    • přístup stačí z IP adres, které Vám sdělíme po vytvoření virtuálního serveru u nás,
  • SSL certifikát (pro web server),
    • odpovídající hostname (idp.vaše_domena.cz),
    • nemáte-li certifikát, zařídíme certifikát od Let's Encrypt, následně (jste-li připojeni k CESNETu) je možné použít https://tcs.cesnet.cz (více informací v dokumentaci),
  • logo organizace.

V adresářovém serveru musíte mít u svých uživatelů následující atributy, které musí být přístupné pro čtení výše vyžadovaným servisním účtem s přístupem pouze pro čtení:

  • uid – identifikátor uživatele (např. přihlašovací jméno),
  • mailověřené e-mailové adresy uživatele,
  • cn – jméno a příjmení uživatele bez titulů a včetně diakritiky (např. Kryštof Šáteček),
  • commonNameASCII – jméno a příjmení uživatele bez titulů bez diakritiky (např. Krystof Satecek) – tento atribut umíme vygenerovat na základě givenName a sn níže,
  • givenName – křestní jméno včetně diakritiky (Kryštof),
  • sn – příjmení včetně diakritiky (Šáteček),
  • eduPersonScopedAffiliation – vztah osoby k organizaci (je nutné poznat, kdo je zaměstnanec),
  • unstructuredName – unikátní konstantní uživatelský identifikátor, který nebude nikdy přiřazen nikomu jinému,
  • eduPersonEntitlement – řízení přístupových práv ke službám.

Cena

Infrastruktura hostovaná sdružením CESNET je zpoplatněna částkou 940 Kč za měsíc bez DPH a zahrnuje:

  • rezervaci výkonu na naší virtualizační platformě,
  • instalaci, konfiguraci a správu operačního systému,
  • instalaci, konfiguraci a správu IdP,
  • základní zabezpečení (firewall, …).
Poslední úprava: 2018/05/31 14:43