Κεντρική υπηρεσία πιστοποίησης ΠΣΔ

Κεντρική υπηρεσία πιστοποίησης ΠΣΔ


Εισαγωγή

Η Κεντρική Υπηρεσία Πιστοποίησης Χρηστών παρέχει τη δυνατότητα πρόσβασης ενός μέλους ΠΣΔ από ένα μόνο σημείο (Single Sign On) σε όλες τις συνεργαζόμενες εφαρμογές του ΠΣΔ, καθώς και σε διαπιστευμένες υπηρεσίες του Υπουργείου Παιδείας και άλλων δημοσίων φορέων της εκπαίδευσης.

Στην κεντρική υπηρεσία πιστοποίησης του ΠΣΔ (στο εξής θα αναφέρεται ως sso) θα μεταβεί ο χρήστης όταν στην εφαρμογή (πχ https://blogs.sch.gr, https://webhost.sch.gr, https://myschool.sch.gr)   επιλέξει σύνδεση ή τον ανάλογο σχετικό σύνδεσμο με σκοπό την πιστοποίηση του και την είσοδο στην εφαρμογή.

Με τη μετάβαση στη σελίδα της υπηρεσίας κεντρικής πιστοποίησης ζητείται το όνομα χρήστη και ο κωδικός πρόσβασης σε μια οθόνη της μορφής της εικόνας.

image1

Eγγραφή μιας Υπηρεσίας στην Κεντρική Υπηρεσία Πιστοποίησης (SSO) του Πανελλήνιου Σχολικού Δικτύου (ΠΣΔ)

Για να εγγράψετε μια υπηρεσία στην Κεντρική Υπηρεσία Πιστοποίησης (Single Sign-On - SSO) του ΠΣΔ (Πανελλήνιο Σχολικό Δίκτυο) απαιτούνται συγκεκριμένα βήματα και προσοχή στις τεχνικές προδιαγραφές. Οι οδηγίες χωρίζονται σε δύο κύριες ενότητες: Η πρώτη ενότητα καλύπτει τη διαδικασία εγγραφής και τα απαραίτητα βήματα που πρέπει να ακολουθήσετε, ενώ η δεύτερη ενότητα αναλύει τις απαιτούμενες τεχνικές προδιαγραφές που πρέπει να τηρήσετε.

Προαπαιτούμενα βήματα διασύνδεσης μιας υπηρεσίας:

  1. Υποβολή Αιτήματος: Πρέπει να υποβάλετε ένα αίτημα είτε μέσω του συστήματος στη διεύθυνση https://helpdesk.sch.gr/, είτε να απευθυνθείτε στο αρμόδιο helpdesk της περιοχής σας.
  2. Δήλωση Προστασίας και Εχεμύθειας: Η υπηρεσία πρέπει να πληροί τις προϋποθέσεις της Δήλωσης προστασίας και Εχεμύθειας Προσωπικών Δεδομένων Χρηστών του Π.Σ.Δ.
  3. Κριτήρια Διασύνδεσης: Πρέπει να μας γνωστοποιήσετε τα κριτήρια διασύνδεσης ενός χρήστη του ΠΣΔ στην υπηρεσία, προκειμένου να μπορέσουμε να εξακριβώσουμε την ορθή λειτουργία της με έναν demo χρήστη. Συγκεκριμένα, αυτά περιλαμβάνουν:
    • Umdobject: Κατηγορία του χρήστη (π.χ., teacher, ateacher, pteacher, student, personel, account).
    • Business Category: Κατηγορία μονάδας με δύο τιμές (Βαθμίδα / Κατηγορία).
    • Βαθμίδα: Πρωτοβάθμια/Δευτεροβάθμια.
    • Κατηγορία: Σχολική, Διοικητική, Υποστηρικτική μονάδα.
  4. Σύνδεσμοι Σύνδεσης και Αποσύνδεσης: Θα πρέπει να γνωστοποιήσετε τα σημεία της ιστοσελίδας όπου βρίσκονται οι σύνδεσμοι για το login και το logout.
  5. Διάρκεια Συνεδρίας (Session): Πρέπει να γνωστοποιηθεί ο χρόνος που η εφαρμογή διατηρεί ζωντανό το session του χρήστη μετά από ένα SSO login, χωρίς να ξαναρωτά τον SSO για την κατάσταση σύνδεσης του χρήστη.

Τεχνικές προδιαγραφές:

  1. Υποστήριξη HTTPS
    • Προδιαγραφή: Η υπηρεσία πρέπει πάντα να υποστηρίζει το HTTPS.
    • Εξήγηση: Η χρήση του HTTPS είναι απαραίτητη για να εξασφαλιστεί η ασφαλής επικοινωνία μεταξύ της υπηρεσίας και του συστήματος SSO. Το HTTPS κρυπτογραφεί τα δεδομένα που μεταδίδονται μεταξύ του περιηγητή του χρήστη και της υπηρεσίας, προστατεύοντας ευαίσθητες πληροφορίες, όπως τα διαπιστευτήρια σύνδεσης και τα δεδομένα του χρήστη.
    • Δράση: Πριν εγγράψετε μια υπηρεσία στο SSO του ΠΣΔ, βεβαιωθείτε ότι η υπηρεσία σας είναι ρυθμισμένη να χρησιμοποιεί HTTPS. Αποκτήστε και εγκαταστήστε ένα έγκυρο πιστοποιητικό SSL/TLS για να ενεργοποιήσετε ασφαλείς συνδέσεις.
  2. Υποστήριξη Λειτουργίας Αποσύνδεσης (Logout)
    • Προδιαγραφή: Η υπηρεσία πρέπει να υποστηρίζει τη λειτουργία αποσύνδεσης (logout).
    • Εξήγηση: Η αποσύνδεση είναι ουσιώδης για την εμπειρία του SSO. Όταν ένας χρήστης αποσυνδέεται από μια εφαρμογή, πρέπει να αποσυνδέεται και από όλες τις ενσωματωμένες εφαρμογές. Αυτό εξασφαλίζει ότι δεν μπορεί να προκύψει μη εξουσιοδοτημένη πρόσβαση αν ένας χρήστης αφήσει τη συνεδρία του χωρίς επίβλεψη.
    • Εξήγηση: Η αποσύνδεση είναι ουσιώδης για την λειτουργικότητα του SSO. Όταν ένας χρήστης αποσυνδέεται από μια εφαρμογή, πρέπει να επικοινωνείται η αποσύνδεση και στην Κεντρική Υπηρεσίας Πιστοποίησης.
    • Δράση: Όταν ένας χρήστης αποσυνδέεται από την εφαρμογή σας, πρέπει να αποστέλλετε ένα αίτημα GET στη διεύθυνση https://sso.sch.gr/logout?service={η_διεύθυνση_της_υπηρεσίας_σας_εδώ}
  3. Μοναδικό URL ανά Υπηρεσία
    • Προδιαγραφή: Η διεύθυνση URL που παρέχετε για την εγγραφή της υπηρεσίας στο SSO πρέπει να είναι μοναδική για κάθε εφαρμογή. Διάφορες εφαρμογές δεν πρέπει να χρησιμοποιούν την ίδια διεύθυνση URL
    • Εξήγηση: Για να διατηρηθεί μια καθαρή και οργανωμένη ενσωμάτωση των εφαρμογών στο SSO του ΠΣΔ, κάθε εφαρμογή πρέπει να έχει μοναδική διεύθυνση URL της υπηρεσίας. Αυτή η μοναδικότητα αποτρέπει τυχόν συγκρούσεις και εξασφαλίζει ότι το SSO του ΠΣΔ μπορεί να διακρίνει μεταξύ διαφορετικών εφαρμογών.
    • Δράση: Κατά την εγγραφή της υπηρεσίας σας στο SSO του ΠΣΔ, παράσχετε μια μοναδική διεύθυνση URL που αντιστοιχεί στην εφαρμογή σας. Για παράδειγμα, αν έχετε δύο εφαρμογές, “app01” και “app02,” που φιλοξενούνται στον ίδιο τομέα, βεβαιωθείτε ότι εγγράφονται με διακριτές διευθύνσεις URL της υπηρεσίας, όπως:
      • App01: https://example.sch.gr/app01
      • App02: https://example.sch.gr/app02
  4. Χρήση ενός συμβατού πρωτοκόλλου για τη διασύνδεση.

Τα υποστηριζόμενα πρωτόκολλα είναι τα ακόλουθα: CAS, OIDC, SAML 2.0. Το προτεινόμενο πρωτόκολλο διασύνδεσης είναι το CAS 3.0:

    • Προδιαγραφή: Βεβαιωθείτε ότι η υπηρεσία σας χρησιμοποιεί την τελευταία σταθερή έκδοση μιας βιβλιοθήκης CAS Client που είναι συμβατή με το SSO του ΠΣΔ για την γλώσσα προγραμματισμού σας. Για παράδειγμα, τον Java CAS Client0 ή τον PHP CAS Client 1.6.
    • Εξήγηση: Η διατήρηση της βιβλιοθήκης CAS Client σε ενημερωμένη κατάσταση είναι απαραίτητη για τη διατήρηση της συμβατότητας με το SSO του ΠΣΔ. Οι νεότερες εκδόσεις μπορεί να περιλαμβάνουν σημαντικές ενημερώσεις ασφαλείας, διορθώσεις σφαλμάτων και βελτιώσεις που ενισχύουν την αξιοπιστία και την ασφάλεια της ενσωμάτωσης.
    • Δράση: Ελέγξτε την επίσημη λίστα των CAS Clients που παρέχεται από το έργο CAS για την τελευταία σταθερή έκδοση που αντιστοιχεί στη γλώσσα προγραμματισμού σας. Μια ενδεικτική λίστα CAS Clients μπορεί να βρεθεί εδώ. Βεβαιωθείτε ότι η υπηρεσία σας χρησιμοποιεί τη συνιστώμενη έκδοση του CAS Client για μια ομαλή και ασφαλή ενσωμάτωση με το SSO του ΠΣΔ.

Σε περίπτωση που δεν μπορεί να χρησιμοποιηθεί το CAS πρωτόκολλο τότε μπορεί να χρησιμοποιηθούν τα πρωτόκολλα OIDC και SAML.

 

Πιστοποίηση Πολλών Παραγόντων στο sso του ΠΣΔ

Σε ορισμένες εφαρμογές (για παράδειγμα myschool, https://webhost.sch.gr) και κάτω από ορισμένες συνθήκες (για παράδειγμα πρόσβαση από χώρες τους εξωτερικού) για την είσοδο στην εφαρμογή απαιτείται πιστοποίηση πολλών παραγόντων, όπου πέρα από το όνομα χρήστη και τον κωδικό πρόσβασης ζητείται και επιπλέον κωδικός όπως στην ακόλουθη εικόνα.

image2

Ο επιπλέον κωδικός είναι κωδικός μιας χρήσης και παράγεται από κάποια κινητή συσκευή (application), κινητό τηλέφωνο (smartphone) ή tablet. Μια συνηθισμένη εφαρμογή παραγωγής κωδικών μια χρήσης είναι ο επαληθευτής Google ( Google Authenticator ).

Προϋποθέσεις

Για την είσοδο σε μια εφαρμογή που απαιτεί πιστοποίηση πολλών παραγόντων υπάρχουν οι ακόλουθες προϋποθέσεις και σημεία που χρειάζονται προσοχή.

  1. Απαιτεί ο χρήστης να διαθέτει έξυπνο τηλέφωνο (smart phone) ή tablet τύπου android.
  2. Η εγγραφή γίνεται μια φορά και απαιτεί την εγκατάσταση της εφαρμογής του επαληθευτή (google authenticator).
  3. Προσοχή στα ακόλουθα σημεία:
  • Μετά την εγκατάσταση του επαληθευτή και εγγραφή στην πιστοποίηση πολλών παραγόντων δεν θα πρέπει να γίνει το λάθος να διαγράψετε τον επαληθευτή.
  • Στην περίπτωση αυτή δεν θα είναι δυνατή η είσοδος σας σε εφαρμογές που χρησιμοποιούν πιστοποίηση πολλών παραγόντων (sso/MFA) του ΠΣΔ (για παράδειγμα myschool, webhost)

Ενεργοποίηση πιστοποίηση πολλών παραγόντων ( SSO Multi Factor Authenticator (SSO/MFA))

 Εγκατάσταση εφαρμογή παραγωγής κωδικών μιας χρήσης στην κινητή σας συσκευή.

Στην πρώτη χρήση μιας εφαρμογής  που  απαιτεί πιστοποίηση πολλών παραγόντων θα σας ζητηθεί η χρήση με αρχικοποίηση (εγγραφή) της στο σύστημα sso του ΠΣΔ.

Αυτό απαιτεί στην κινητή συσκευή σας να εγκαταστήσετε την εφαρμογή παραγωγής κωδικών μιας χρήσης. Μια τέτοια εφαρμογή  είναι ο  «Επαληθευτής Google» (Google Authenticator).

Για την εγκατάστασή της μεταβείτε στο Google Play  όπου μπορείτε να παραλάβετε και να εγκαταστήσετε τον Επαληθευτή Google.

image3

Είσοδος στην εφαρμογή

Εισέρχεστε στην Υπηρεσία που θέλετε να χρησιμοποιήσετε και επιλέγετε τη λειτουργία της σύνδεσης προκειμένου να αποκτήσετε πιστοποιημένη είσοδο (login) σε αυτή για τη χρήσης της.

Θα μεταβείτε στην οθόνη της κεντρικής υπηρεσίας πιστοποίησης (sso).

Το sso σας ζητάει όνομα χρήστη  (username) και κωδικό (password). Συμπληρώνετε τα στοιχεία αυτά με τα  στοιχεία σύνδεσης (λογαριασμό) που έχετε  στο Πανελλήνιο Σχολικό Δίκτυο και επιλέγετε Σύνδεση (Login).

 

image4
Αγγλικός φυλλομετρητής

 

image5
Ελληνικός φυλλομετρητής

Αφού έχετε συμπληρώσει σωστά τους κωδικούς σας θα εμφανιστεί στην οθόνη σας η απαίτηση για την εγγραφή της εφαρμογής παραγωγής κωδικών μιας χρήσης, Time Based OTP.

Αν δεν έχετε εγκαταστήσει την εφαρμογή κωδικών μιας χρήσης δείτε σχετικά στην προηγούμενη σχετική ενότητα.

image6
Αγγλικός φυλλομετρητής
image7
Ελληνικός φυλλομετρητής

Συνιστούμε  να αποθηκεύσετε τους κωδικούς επιλέγοντας Εκτύπωση δεξιά από το QR code, ώστε σε περίπτωση που χάσετε ή αλλάξετε την κινητή σας συσκευή ή διαγράψετε την εφαρμογή κωδικών μιας χρήσης από αυτή να μπορείτε με αυτούς τους κωδικούς να εγκαταστήσετε και ενεργοποιήσετε ξανά την  εφαρμογή.

Μετά θα πρέπει να ανοίξετε την εφαρμογή Επαληθευτής Google από την κινητή συσκευή σας και να σαρώσετε τον QR code προσαρμόζοντάς το μέσα στο πλαίσιο που εμφανίζεται στην εφαρμογή Επαληθευτής Google από την κάμερα του κινητού σας. Στον  υπολογιστή σας συνεχίζετε τη διαδικασία επιλέγοντας το πλήκτρο Επιβεβαίωση (Confirm) και θα σας εμφανιστεί ένα αναδυόμενο παράθυρο με τίτλο Επιβεβαίωση Εγγραφής (Confirm Account Registration).

Στο πρώτο πλαίσιο θα γράψετε εσείς ένα επιθυμητό όνομα που θα αναγνωρίζει ότι πρόκειται για το sso/MFA του ΠΣΔ. Δεν έχει σημασία αν είναι αυτό το πραγματικό όνομα της συσκευής σας.

Στο δεύτερο πλαίσιο θα πρέπει να γράψετε έναν εξαψήφιο κωδικό, τον ΤΟΤΡ Authenticator Token τον οποίο σας δίνει ο Επαληθευτής Google που έχετε εγκαταστήσει στην κινητή σας συσκευή.

image8
Αγγλικός φυλλομετρητής
image9
Ελληνικός φυλλομετρητής

Προσοχή! ο κωδικός αυτός αλλάζει κάθε 30 δευτερόλεπτα επομένως θα πρέπει να τον συμπληρώσετε μέσα στο χρονικό διάστημα αυτό.

  • Θα πρέπει τον κωδικό αυτόν να τον εισάγετε στη θέση ΤΟΤΡ Authenticator Token, (θέση 2 στην ως άνω εικόνα).
  • Προσέξετε να βάλετε τον κέρσορα αριστερά στο πλαίσιο ώστε να μπορέσετε να συμπληρώσετε και τους 6 αριθμούς, αν από λάθος είσαστε στην τέρμα δεξιά θέση δεν θα μπορείτε να γράψετε και τους 6 αριθμούς θα σας γράφει μόνο έναν αριθμό και όχι ολόκληρο τον εξαψήφιο κωδικό.

Αφού συμπληρώσετε σωστά τον κωδικό επιλέγετε Εγγραφή (Register).

Η διαδικασία εγγραφής του κινητού σας τελείωσε. Η διαδικασία της εγγραφής εφαρμόζεται μόνο μία φορά. Αυτό που θα χρησιμοποιείτε κάθε φορά που θέλετε να εισέλθετε σε μια εφαρμογή που απαιτεί sso του ΠΣΔ με πιστοποίηση πολλαπλών παραγόντων (MFA) περιγράφεται στην επόμενη ενότητα.

 

Χρήση sso του ΠΣΔ με πιστοποίηση πολλαπλών παραγόντων (MFA/sso)

Η διαδικασία αυτή γίνεται κάθε φορά που θέλετε να συνδεθείτε σε μια εφαρμογή που χρησιμοποιεί την κεντρική υπηρεσία πιστοποίησης του Πανελληνίου Σχολικού Δικτύου  και απαιτεί πιστοποίηση πολλών παραγόντων (multifactor authentication).

H επιλογή για σύνδεση στην εφαρμογή θα σας οδηγήσει στην υπηρεσία κεντρικής υποστήριξης του ΠΣΔ (sso).

Μετά το sso στο οποίο θα συμπληρώσετε το όνομα χρήστη (username) και τον κωδικό πρόσβασης (password) η εφαρμογή στον υπολογιστή σας θα σας εμφανίζει νέο παράθυρο και θα σας ζητά τον κωδικό μιας χρήσης (ΤΟΤΡ Authenticator Token).  Για την παραγωγή του κωδικού μιας χρήσης ανοίγουμε  την εφαρμογή Επαληθευτής Google στην κινητή συσκευή και επιλέγουμε SCH (username)

image10

Θα σας εμφανιστεί ένας εξαψήφιος κωδικός τον οποίο έχετε 30 δευτερόλεπτα να τον συμπληρώσετε στο πεδίο ΤΟΤΡ Authenticator Token. Αν δεν προλάβετε τότε ένας νέος κωδικός θα εμφανιστεί ξανά με διάρκεια πάλι 30 δευτερολέπτων κ.ο.κ.

image11
Αγγλικός φυλλομετρητής
image12
Ελληνικός φυλλομετρητής

Στη συνέχεια επιλέγετε (πατάτε) Σύνδεση (Login) όπως στην επόμενη εικόνα οπότε μεταβαίνετε στην εφαρμογή που θέλετε να εργαστείτε και είχατε επιλέξει να συνδεθείτε.

Με τη σωστή εισαγωγή του εξαψήφιου κωδικού θα εισέλθετε στην υπηρεσία που έχετε επιλέξει.

 

Συχνά ερωτήματα, αντιμετώπιση προβλημάτων

1. "Βάζω επανειλημμένα τον κωδικό που διαβάζω στον Google Authenticator του κινητού μου αλλά ο υπολογιστής μου δίνει μήνυμα λάθους"

  • Θα πρέπει να εισάγετε τον κωδικό που διαβάζετε στην εφαρμογή του κινητού σας Google Authenticator εντός του χρονικού ορίου αυτόματης αλλαγής του TOTP. Δηλαδή εντός 30 δευτερολέπτων από τη στιγμή που θα τον δείτε να αλλάζει στο κινητό σας.

image13

  • Επιβεβαιώστε ότι έχει γίνει συγχρονισμός της ώρας στον υπολογιστή σας, πρέπει να είναι σωστή ή ώρα και η ημερομηνία του υπολογιστή και του κινητού σας.

Εάν για παράδειγμα καλείτε από Βερολίνο θα πρέπει να ελέγξετε στις ρυθμίσεις της ώρας αν και είναι σωστή η ώρα είναι ορθά προεπιλεγμένη η ζώνη δηλ. UTC +01:00 Amsterdam Berlin Bern, κ.λ.π.

image14

2. "Εγκατέστησα τον Google Authenticator και πραγματοποίησα εγγραφή  αλλά έχασα/μου χάλασε/μου κλέψανε τη συσκευή μου" ή "Διέγραψα κατά λάθος τον λογαριασμό/την εφαρμογή από τη συσκευή μου"

Για την επαναφορά του λογαριασμό σας ώστε να μπορεί να ενεργοποιήσει ξανά νέα εφαρμογή παραγωγής κωδικών μιας χρήσης (πχ Google Authenticator) θα πρέπει να αποστείλετε αίτημα σας στην υπηρεσίας υποστήριξης χρηστών. Το αίτημα θα αποσταλεί με  e-mail που θα  συνοδεύεται από κάποιο έγγραφο (μπορεί να είναι και χειρόγραφο) με προσυπογραφή και σφραγίδα από το σχολείο σας  ή ψηφιακή υπογραφή ή   δικό σας αίτημα με φωτογραφία της ταυτότητάς σας.

Στοιχεία επικοινωνίας  της υπηρεσίας υποστήριξης χρηστών θα βρείτε στη σελίδα  https://www.sch.gr/helpdesk/.

 

3.  "Δε διαθέτω κινητή συσκευή και δεν έχω τη δυνατότητα να χρησιμοποιήσω τον Google Αuthenticator

Μπορείτε να χρησιμοποιήσετε τoν Windows TOTP authenticator https://www.microsoft.com/en-us/p/2fast-two-factor-authenticator-supporting-totp/9p9d81glh89q. Θα χρειαστείτε το secret key που βρίσκεται ακριβώς κάτω από το QR code στην οθόνη εγγραφής.

image15

 

4. "Αντιμετωπίζω κάποιο πρόβλημα με την κεντρική υπηρεσίας πιστοποίησης (sso) του ΠΣΔ και δεν μπορώ να εισέλθω σε κάποια εφαρμογή που την χρησιμοποιεί ως μέθοδο πιστοποίησης."

 Μπορείτε να αναφέρετε το πρόβλημα σας στην υπηρεσία υποστήριξης χρηστών του ΠΣΔ. Τα στοιχεία  της υπηρεσίας είναι στη σελίδα https://www.sch.gr/helpdesk/

 5."Αντιμετωπίζω πρόβλημα με την πιστοποίηση πολλών παραγόντων του ΠΣΔ (sso/MFA) και δεν βρήκα λύση στα πιο πάνω ερωτήματα και απαντήσεις."

Μπορείτε να αναφέρετε το πρόβλημα σας στην υπηρεσία υποστήριξης χρηστών του ΠΣΔ. Τα στοιχεία  της υπηρεσίας είναι στη σελίδα https://www.sch.gr/helpdesk/