• Zapomněl jsem heslo nebo ztratil přihlašovací klíč. Jak mám postupovat?

  Postupujte dle návodu na adrese https://www.vut.cz/cis/navody/vut-login.

• Proč se musel změnit přihlašovací dialog do Apolla?

  Jedná se o dlouhodobý proces migrace jednotlivých systémů VUT do prostředí jednotné autentizace. Podpora přihlášení do Apolla prostřednictvím jednotného přihlášení byla k dispozici již od začátku roku 2025 jako alternativní varianta způsobu přihlášení. Od února 2026 bude metoda prostřednictvím jednotného přihlášení k dispozici jako primární. Nadále však, po omezenou dobu, zůstane k dispozici původní způsob přihlášení přístupný pod šipkou vedle pole pro výběr databáze.

• Co změna přihlašovacího dialogu pro mě znamená?

  Se změnou přihlašovacího dialogu do Apolla se nepojí žádná omezení. Naopak, díky této změně získáte lepší propojení Apolla s webovými aplikacemi VUT a nebudete se muset do každé části VUTIS přihlašovat zvlášť.

• Proč je nadále zachována možnost přihlášení do Apolla původním dialogem?

  Napojení Apolla na systém jednotného přihlášení je technologicky poměrně komplikovaná záležitost, která i přes rozsáhlé testování a dlouhý zkušební provoz může ve specifických a výjimečných případech vyžadovat původní metodu přihlášení. Pro tyto mimořádné situace je k dispozici nadále původní způsob přihlášení.

• Při práci s interními aplikacemi (Intraportál, Studis, Teacher, atd.) mám pocit, že se musím přihlašovat příliš často.

  Ačkoliv jsou jednotlivé části VUTIS napojeny na systém jednotného přihlášení, tak každý modul má z bezpečnostních důvodů nastaven časovač, který si vynutí opětovné přihlášení po 4 hodinách neaktivity v příslušném modulu/aplikaci. Každá aplikace/modul počítá čas neaktivity zvlášť. To v praxi znamená, že například aktivita v aplikaci Teacher neprodlužuje časovač neaktivity v Intraportálu a pokud se po 4 hodinách nečinnosti vrátíte k práci v Intraportálu, budete vyzváni k opětovnému přihlášení.

  Nutnost opakovaného ověřování po určité době nečinnosti je povinností vyplývající z vyhlášky o kybernetické bezpečnosti (a souvisejících vyhlášek), která se mimo jiné i vztahuje zejména na ty části IS, kde jsou vykonávány úkony související s výkonem veřejné moci.

  Pokud používáte vícefaktorové ověření a při přihlášení potvrdíte, že pracujete na svém vlastním zařízení (volba „zařízení je určeno výhradně pro vás“), prodlouží se platnost vašeho přihlášení na 72 hodin. (Poznámka: Tato funkce je do systému VUTIS zaváděna postupně a nemusí být zatím dostupná ve všech modulech.)

• Po přihlášení je mi nabízen dialog umožňující potvrzení, že jsem na svém/důvěryhodném zařízení. Jaký je jeho význam?

  Pokud na zařízení nepracuje nikdo další a současně je zabezpečeno dalšími prvky, můžete díky odsouhlasení tohoto dialogu zvětšit komfort své práce prodloužením času, po který zůstanete na daném zařízení přihlášení bez nutnosti opakovaného zadávání autentizačních údajů. Výchozí doba pro opakované zadávání autentizačních údajů se zvětší na 72 hodin.

  Tuto možnost využívejte pouze v případě, že zařízení je zabezpečeno dalšími prvky jako je automatické uzamčení plochy po určité době nečinnosti.
  
  

• Na jakých technologiích je postavena autentizační infrastruktura?

  Autentizační infrastruktura je vyvíjena interně s důrazem na využití ověřených Open Source komponent. Celý systém běží na PHP a Nette Frameworku, přičemž pro správu závislostí využíváme Composer. Mezi klíčové knihovny zajišťující přihlašování patří SimpleSAMLphp a thephpleague/oauth2-server.
  Data jsou ukládána v systému Oracle (stejně jako v celém VUTIS), zatímco vysokou dostupnost a robustnost zajišťuje in-memory databáze Redis. Jádro systému je uvolněno pod licencí GPL a je veřejně dostupné na GitHubu.

Multifaktorové přihlášení představuje klíčový bezpečnostní prvek chránící účet před jeho zneužitím. Nastavení multifaktorového přihlášení vám přinese rovněž zvýšení komfortu práce v prostředí VUTIS. Jedná se o následující benefity:

• Plnohodnotně budete moci využívat autentizační mechanismy na bázi biometrického ověření, jakými jsou Windows Hello nebo FaceID.
• Doba pro pravidelnou změnu hesla je prodloužená z 18 měsíců na 5 let.
• Dialog "jsem na svém/důvěryhodném zařízení", který prodlouží dobu pro opakované zadávání přihlašovacích údajů.
• Jedná se o zákonný požadavek vyplývající ze zákona o kybernetické bezpečnosti a souvisejících vyhlášek (Vyhláška č. 409/2025 Sb.).

Níže naleznete přehled podporovaných metod multifaktorové autentizace a jejich doporučení k použití.

• Kde si mohu nastavit zabezpečení účtu prostřednictvím multifaktorového ověření?

  V aplikaci Můj účet na adrese https://id.vut.cz/my-account/mfa

• Kterou metodu pro multifaktorové ověření mám používat?

  Přednostně doporučujeme používat zabezpečení prostřednictvím biometrického ověření nebo prostřednictvím bezpečnostních klíčů, tj. metody založené na standardu WebAuthn. Jedná se o nejkomfortnější a nejbezpečnější metodu autentizace. V současné době však ne všechna zařízení podporují tuto metodu, a proto je potřeba mít nastavenou také metodu založenou na jednorázových kódech (TOTP).

  Jako primární metodu zabezpečení doporučujeme použít biometrické ověření nebo USB klíče a jako záložní metodu ověřovací TOTP kódy.

• Jakou aplikaci mám použít pro ověřovací kódy?

  Mechanismus ověřovacích kódů je založen na standardu RFC 6238 a je tedy možné použít jakoukoliv aplikaci podporující tento standard. Příkladem takových aplikací může být Microsoft Authenticator nebo Google Authenticator.

• Chtěl bych si pořídit autentizační bezpečnostní klíč, který bych si měl vybrat?

  Pro zajištění vysoké úrovně zabezpečení v rámci jednotné autentizace VUT vybírejte klíče, které splňují standard WebAuthn / FIDO2. Tento protokol zajišťuje kompatibilitu s moderními webovými prohlížeči a naším autentizačním systémem.

  Naše infrastruktura byla primárně testována a je provozována s hardwarovými klíči značky YubiKey.

  Při výběru konkrétního modelu dbejte na to, aby disponoval vhodným konektorem pro vaše zařízení (USB-A, USB-C) nebo technologií NFC pro bezkontaktní přihlašování k mobilním telefonům.

• Nastavení multifaktorového přihlášení nemám k dispozici - kde je problém?

  Možnost multifaktorového přihlášení je postupně aktivována na https://id.vut.cz/my-account/mfa pro jednotlivé fakulty a součásti v průběhu první poloviny roku 2026. Podmínkou aktivace je určení osob odpovědných za správu autentizačních prostředků na příslušné fakultě či součásti.

Technicky je autentizační infrastruktura VUT realizována nad standardem OpenID Connect/OAuth 2.0. V případě nemožnosti využití standardu OpenID Connect/OAuth je možné alternativně využít protokol SAML 2.

• Kde najdu konfigurační údaje pro napojení vlastního systému či aplikace?

  OpenID Connect/OAuth2 - údaje pro konfiguraci
  Konfigurační údaje jsou k dispozici na adrese

  https://id.vut.cz/auth/.well-known/openid-configuration

  Důrazně doporučujeme implementovat dynamické načítání adres endpointů pro OIDC/OAuth2 (pro vlastní implementace) z metadat a automatické stahování veřejných klíčů při využívání ID Tokenu z OIDC

• Existuje nějaká vzorová implementace napojení?

  Ano, CIS připravil ukázkového PHP klienta (SP) pro zjednodušení napojení PHP aplikací do autentizační služby.

• Jak postupovat pro připojení vlastního systému nebo aplikace?

  Připojení aplikace je službou odboru infrastruktury dle katalogu služeb. Prostřednictvím požadavkového systému je třeba požádat o zařazení aplikace. Pro většinu případů připojení aplikace je možné využít již předschválenou průvodku a postačuje schválení požadavku příslušným systémovým integrátorem nebo správcem fakultní sítě. Do požadavku vždy uveďte:

  • název aplikace (pod tímto jménem se bude aplikace vyskytovat v přehledu přihlášení),
  • požadovaný rozsah předávaných atributů (scopes) dle podporovaného výčtu a popisu,
  • adresu (URL) aplikace pro přesměrování po úspěšné autentizaci (redirect_uri).

• Při napojování externí aplikace na jednotné přihlášení bychom potřebovali vhodný jednoznačný identifikátor osoby, jaký je nejvhodnější použít?

  V obecné rovině pro identifikaci osoby doporučujeme používat číselný identifikátor osoby - osobní číslo VUT (interně označovaný PER_ID). Jedná se o číselný identifikátor osoby přidělený všem studentům, zaměstnancům, externistům a dalším při prvním kontaktu s VUT. Identifikátor zůstává neměnný bez ohledu na změnu příjmení, pohlaví či dalších parametrů. Každá fyzická osoba má na VUT přiděleno právě jedno osobní číslo VUT.

  Důrazně nedoporučujeme pro identifikaci osoby využívat e-mailovou adresu, jelikož tento identifikátor se může v průběhu existence účtu opakovaně změnit.

• Je možné využít napojení prostřednictvím SAML2, kde najdu příslušná metadata?

  Pokud není možné využít standard OIDC, je možné využít napojení prostřednictvím standardu SAML2. Všechny údaje jsou k dispozici v souboru metadat (https://id.vut.cz/saml/.well-known/metadata.xml). Předávané atributy je možné ověřit prostřednictvím služby https://attributes.eduid.cz/.