Centrální registr osob (CRO)

Co to je CRO?

Centrální registr osob je systém elektronických identit uživatelů SU, který:

  • vytváří unikátní a trvalou elektronickou identitu uživatelů SU v našich systémech a službách informačních a komunikačních technologií (ICT),
  • synchronizuje a konsoliduje údaje v univerzitních systémech a službách ICT, které je potřeba mezi nimi sdílet,
  • umožňuje jednotné přihlašování k většině univerzitních ICT systémů a služeb pomocí jednoho uživatelského jména a hesla,
  • navazuje na předchozí SJP, který časem zcela nahradí.

Elektronická identita a přihlašovací údaje

  • Každý uživatel univerzitních ICT systémů a služeb má přidělenu jednu unikátní elektronickou identitu (CRO-ID)
          • CRO-ID je generována automaticky ve tvaru tři písmena a čtyři číslice
                  • tři písmena jsou většinou první tři písmena z příjmení uživatele - např. fiktivní uživatel Alfréd Novák může mít CRO-ID = nov0144
          • CRO-ID mj. tvoří uživatelské jméno pro přihlašování k ICT systémům a službám SU
          • CRO-ID lze zjistit na personálním portále moje.slu.cz - viz návod zde
  • Přihlašovací údaje k ICT systémům a službám SU jsou tvořeny uživatelským jménem a heslem.
          • Heslo si každý uživatel volí sám
                  • Musí být dostatečně silné: tedy musí obsahovat alespoň osm znaků, malé a velké písmeno a číslici a nesmí obsahovat mezery a speciální znaky
                  • Může se kdykoliv změnit: viz návod zde

Jaká jsou východiska a cíle zavedení CRO?

CRO jsme vyvinuli a zavádíme na základě rostoucích potřeb integrace ICT systémů a služeb provozovaných na SU. Nutným předpokladem úspěšného vývoje a implementace CRO bylo nespočet konzultací s partnery z ostatních VVŠ a s dodavateli našich ICT.

CRO je zásadní z pohledu správy a propojování systémů a databází, a to jak v současné době, tak také s výhledem do budoucna. Na SU provozujeme, vyvinuli jsme (portály absolventi.slu.cz a czv.slu.cz), vyvíjíme (personální portál, kariérní portál) nebo budeme vyvíjet (univerzitní komunitní síť) mnoho různých systémů a služeb. CRO urychlí a zjednoduší procesy související se zaváděním a rušením uživatelů těchto různých systémů a se změnami, které je provází v době, kdy jsou aktivní.

Jaká změna provází zavedení CRO?

Jde o změnu přihlašovacích údajů (uživatelského jména a hesla) do ICT systémů a služeb provozovaných na SU. Mění se pouze způsob, jak se přihlásit. Ve všech systémech budou uživatelé samozřejmě viditelní pod svými jmény a příjmeními tak, jak jsou na to zvyklí. Změna se také neprojeví ani v žádných údajích viditelných navenek ostatním (jako je např. e-mailová adresa, která zůstane stejná - uživatelské jméno, kterým se hlásíme do systému, je něco naprosto odlišného). Své uživatelské jméno a heslo znají jen uživatelé sami. Není nikde nijak zveřejňováno. Jde jen o identifikátor srovnatelný např. s PINem, který je ovšem navíc chráněným heslem. Z bezpečnostních důvodů je dobré, když se uživatelské jméno (stejně jako PIN) nedá snadno uhádnout. Na druhou stranu nebude nijak složité (tři písmena a čtyři číslice), takže si jej každý snadno zapamatuje; ale nikomu jej nebude sdělovat! :-).

A důvody?

Důvody pro zavedení CRO jsou následující:

  1. Bezpečnostní: Jde o bezpečnost dvojí - uživatelů i provozovaných systémů a služeb. Současná uživatelská jména zaměstnanců ve tvaru prijmeni nebo jmenoprijmeni může každý útočník snadno zjistit a jednoduchá hesla uhádnout. Zcizenou elektronickou identitu pak lze zneužít např. ke změně či vytěžení údajů v univerzitních systémech, čtení a posílání e-mailů a obecně k vystupování na internetu pod zcizenou elektornickou identitou. Tomu lze zabránit bezpečnějším nastavení systému uživatelských jmen a hesel, které kryjí elektronické identity v zaváděném CRO.
  2. Legislativní: Zvyšujeme šanci na to, že budeme mít naše systémy lépe připraveny na změny, které na nás dopadnou v souvislosti s chystanými proměnami evropské a tím i české legislativy jako je např. GDPR (General Data Protection Regulation).
  3. Závazkové: Závazek vyplývající z členství v z. s. p. o. CESNET, v rámci kterého se klade důraz na jednotnou metodiku správy životního cyklu elektronických identit uživatelů (a tím i na jejich vytváření), ke které dříve či později všichni členové (tedy VVŠ a AV ČR) přistoupili, přistupují nebo budou přistupovat. Ta vyžaduje, aby každý uživatel této e-infrastruktury pro vědu, výzkum a vzdělávání měl do budoucna unikátní elektronickou identitu s neopakovatelnými a v čase neměnnými přihlašovacími údaji.
  4. Sjednocující: Uživatelé s více rolemi (student, doktorand, zaměstnanec), stejně jako studenti s více studii anebo s přestupy a také uživatelé, kteří změní rodinný stav, budou již mít v systému pouze jeden účet - elektronickou identitu svázanou se svým automaticky generovaným neměnným uživatelským jménem. V současné době má každý uživatel pro každou svou jednotlivou roli, studium a/nebo stav samostatný účet a pro každý si musí pamatovat různé přístupové údaje.
  5. Praktické: Single-Sign-On (SSO) - do budoucna plánovaná funkčnost, po jejímž nasazení nebude potřeba po přihlášení do počítače zadávat znova uživatelské jméno a heslo do těch systémů, které jsou napojeny na CRO.
  6. Systémové:
                • Efektivnější správa všech elektronických identit SU spojená s automatizací a urychlením procesů při zavádění, rušení nebo jakýchkoliv jiných změnách uživatelů počítačové sítě SU.
                • Významným přínosem bude i efektivnější souhrn potřebných údajů o uživatelích a jejich přenos do stávajících i budoucích informačních systémů.
                • Efektivnější zavádění a propojování nových ICT systémů a služeb pro uživatele.
                • Uvedené změny mj. umožní celouniverzitní zavádění služeb typu Office365, GoogleDocs, SSO, apod.

Kdy se kterých systémů změna dotkne?

Od 20. března 2017 se změna bude týkat přihlašování do systému

Na CRO budeme postupně převádět i ostatní systémy a služby - viz harmonogram. Systémy připojené k CRO jsou označeny logem:

CRO connect

Co je třeba udělat ze strany uživatele?

Ze strany uživatele stačí učinit dvě jednoduché věci:

  1. Získat uživatelské jméno
  2. Nastavit si heslo

Jak získám nové uživatelské jméno a heslo?

Nové uživatelské jméno a heslo získáte registrací do CRO na adrese https://cro.slu.cz.

Abychom mohli naplnit výše uvedené potřeby a cíle, je třeba, aby se každý uživatel do CRO nejprve zaregistroval a získal tak svou elektronickou identitu (uživatelské jméno a heslo, které společně tvoří systémový identifikátor osoby). S ní pak bude moci přistupovat ke všem ICT systémům a službám, které jsou nebo budou na CRO napojeny. Elektronická identita každého uživatele bude prokazována uživatelským jménem a heslem.

Co přináší nové uživatelské jméno a na co byl kladen důraz?

Nové uživatelské jméno bude všem našim studentům i zaměstnancům automaticky generováno. Přitom jeho primární a nejdůležitější vlastností bude jedinečnost, neměnnost a neopakovatelnost. Díky jeho jednoduché skladbě (tři písmena a čtyři číslice) nebude problém si jej zapamatovat. Bude více nezávislé na příjmení uživatele, každá osoba bude mít jen jedno a nebude se tak muset měnit v mnoha různých situacích jako např.:

  • Uživatel může být student nebo zaměstnanec a běžně dochází k přechodům a/nebo souběhům mezi těmito rolemi (ze studenta se stává zaměstnanec nebo zároveň studuje i pracuje).
  • Student přestupuje mezi jednotlivými studii nebo jich má zapsáno více najednou.
  • U mnoha uživatelů dochází ke shodě příjmení.
  • Stejně tak běžně dochází ke změně rodinného stavu.
  • Ojediněle může dojít i ke změně pohlaví.

Ve všech těchto případech mají takoví uživatelé v současné době pro každou z těchto rolí a každý z těchto stavů jiné uživatelské jméno a heslo (různé identity). V CRO bude mít jen jedno (jednu identitu).

Při tvorbě uživatelského jména byl kladen důraz na:

  • Automatizaci: Zavedení nového účtu je řízeno zdrojovými systémy (IS Magion a IS STAG) tak, aby se uživatelé zakládali automaticky a data o nich byla vždy aktuální a správná (tj. tak, jak jsou ve zdrojových systémech). Potřebné údaje o osobě budou při zavedení, zrušení nebo změně ve zdrojovém systému automaticky přenesena do všech návazných systémů.
  • Bezpečnost: Uživatelské jméno je jedna z autorizačních informací (spolu s heslem), které slouží k ověření totožnosti uživatele. Jako takové by nemělo být lehce uhodnutelné. Současná uživatelská jména zaměstnanců ve tvaru prijmeni nebo jmenoprijmeni může každý potenciální útočník zjistit relativně jednoduchým způsobem, čímž nemusí řešit první část ochrany elektronické identity a zbývá mu více času na odhalení hesla. Bezpečnost bývá často v protikladu k uživatelskému komfortu a je vždy na zváženou, zda jej v tomto rozporu preferovat. Nicméně se touto změnou samozřejmě snažíme mj. i o uživatelskou přívětivost – viz zejména následující dvě odrážky.
  • Neměnnost a jednotnost: Uživatelé s více rolemi (student, doktorand, zaměstnanec), stejně jako studenti s více studii anebo s přestupy a také lidé, kteří změní rodinný stav, budou již mít v systému pouze jeden účet – elektronickou identitu svázanou se svým automaticky generovaným neměnným uživatelským jménem. Všichni uživatelé navíc budou mít jednotný tvar uživatelského jména, s čímž se efektivně pracuje při integraci ICT systémů a služeb.
  • Jednoduchost: V mnoha případech se uživatelské jméno zkrátí.
  • Jedinečnost: Žádné uživatelské jméno se nesmí a nebude opakovat.

Podobná tvorba uživatelských jmen je používaná i na jiných VVŠ. Uvedené podmínky (jedinečnost, neměnnost a neopakovatelnost) také vychází z politik z. s. p. o. CESNET, kdy se těchto vlastností využívá např. v rámci projektu akademické bezdrátové sítě Eduroam a české federace identit eduID.cz.

Jak si nastavím nové heslo?

Heslo k uživatelskému jménu si každý uživatele nastaví sám. Pravidla pro vytvoření hesla jsou následující:

  • musí obsahovat minimálně osm znaků
  • znaky musí být složeny z arabských číslic a písmen latinky
  • alespoň jedno písmeno je velké
  • alespoň jedno písmeno je malé

Heslo bude možné kdykoliv měnit. Na druhou stranu nebude vyžadována jeho pravidelná změna jako dosud (pokud nedojde ke změně legislativy a nějaké nařízení shůry to nepřikáže).

Se zavedením tohoto nového systému jsme v rámci zvýšení bezpečnosti zavedli bezpečnostní funkčnost dnes všeobecně známou jako dvoufázové ověřování. Znamená to, že každý uživatel při registraci uvede buď své mobilní telefonní číslo nebo soukromou e-mailovou adresu. Při změně hesla (po jeho zapomenutí nebo "provalení" či "prolomení"), pak dojde k ověření uživatele zasláním jednorázového kódu na jeden z uvedených prostředků (na mobil nebo e-mail). Tento způsob zároveň zabraňuje tomu, aby kdokoliv jiný měnil heslo uživatele bez jeho vědomí a spolupráce.

Na co se můžeme těšit?

Na nové služby, které zavedení CRO do budoucna umožní. Jako například:

  • Personální portál: V personálním portálu CRO uživatelé najdou vybrané informace související s jejich studiem či zaměstnáním na SU. Základní informace jsou již nyní v personálním portálu CRO k dispozici a postupně budeme přidávat další.
          • v základu již funkční + další rozvoj - splněno
          • Všichni studenti a zaměstnanci nyní mají díky CRO identitě přístup do personálního portálu moje.slu.cz
  • Office 365: Všichni studenti a zaměstnanci budou mít k dispozici přístup do služby Office 365 a s tím související možnost využít licencí Microsoft Office na domácích i mobilních zařízeních a velký úložný prostor na OneDrive pro pracovní i soukromé účely a mnoho dalších funkcí.
          • předpoklad do konce roku 2017 - splněno
          • Všichni studenti a zaměstnanci nyní mají díky CRO identitě přístup do služby Microsoft Office 365
  • GoogleApps: Obdobná služba pro všechny studenty a zaměstnace poskytovaná společností Google.
          • předpoklad do konce roku 2018
  • SSO: Systém, který po přihlášení uživatele prostřednictvím univerzitní CRO identity umožňuje nevyžadování opětovných přihlášení do ostatních univerzitních webových systémů a služeb, připojených na CRO.
          • předpoklad do konce roku 2018
  • Komunitní síť: Plánujeme vytvoření komunitní sítě SU, která bude zcela jistě využívat elektronických identit CRO.
          • předpoklad do konce roku 2018 v základní verzi, dokončení v rámci ESF/ERDF projektu spolu s novými souvisejícími systémy a službami

 

9. února 2017

aktualizováno 9. února 2018