OZ 2013/1-4

M ORGANIZACIJA ZNANJA 2013, LETN. 18, ZV. 1 – 4 doi:10.3359/oz1314001 1.04: STROKOVNI ČLANEK Boštjan Batiè Davor Šoštariè Institut informacijskih znanosti Maribor Kontaktni naslov: bostjan.batic @ izum.si davor.sostaric @ izum.si UVOD Večina zapletenejših storitev na spletu zahteva od uporabnika prijavo, na podlagi katere se ob preverjanju upravičenosti dostopa in uporabe dodelijo še kakšni dodatni atributi, parametri, pravice in podobno. Pri tem vsaka storitev praviloma gradi lastni interni sistem uporabnikovih identifikacij s potrebnimi podatki, kar že pri malo večjem spektru uporabniških želja pripelje uporabnika do precej nelagodnega občutka zaradi obilice uporabniških imen, gesel in podobnih akreditacijskih podatkov. Pri posamičnih izoliranih spletnih storitvah je to še razumljivo. Kadar pa ima uporabnik pravico uporabljati določeno storitev ali aplikacijo na spletu zaradi nespornega dejstva, da mu "to pripada zaradi njegovega statusa v nekem konkretnem okolju", je smiselno, da se del preverjanja pravic prepusti temu okolju. Tipični primer: organizacija, kjer je posameznik KONCEPT AVTENTIKACIJSKE IN AVTORIZACIJSKE INFRASTRUKTURE V SISTEMU COBISS Izvle~ek Koncept infrastrukture avtentikacije in avtorizacije predstavlja odmik od ustaljenih načinov "omnia mea mecum porto", kjer vsaka informacijska storitev ali aplikacija (spletna ali namizna) vzdržuje lastni sistem podatkov o uporabnikih. Sistem, zgrajen na podlagi medsebojnega zaupanja, loči avtentikacijski del od avtorizacijskega. Avtentikacija se izvaja v uporabnikovem osnovnem okolju (delovno mesto, izobraževalni proces), avtorizacijski del pa se izvede na podlagi (iz uporabniko- vega sveta) pridobljenih in ne interno shranjenih informacij. V sistemu COBISS smo ta koncept že začeli uveljavljati in prikazana sta dva zgleda. Klju~ne besede AAI, avtentikacija, avtorizacija, COBISS, Wi-Fi, brezžično omrežje, Libroam, enotna prijava, SSO, prijavni sistem, ponudnik identitete, IdP, ponudnik storitve, SP, lokalno omrežje Abstract The concept of authentication and authorisation infrastructure represents a shift from the standard ways of "omnia mea mecum porto",  where every information service or application (both web and desktop) maintains its own system of user data. A system built on mutual trust separates the authentication part from the authorisation part. Authentication is carried out in the user’s basic environment (workplace, educational process), while the authorisation part is then carried out on the basis of acquired (from the user’s world) and not internally saved information. In the COBISS system, this concept is already being introduced and two examples are shown. Keywords AAI, authentication, authorisation, COBISS, Wi-FI, wireless network, Libroam, single sign-on, SSO, login system, identity provider, IdP, service provider, SP, local area network zaposlen ali kjer se izobražuje, ima sklenjen formalni dogovor s ponudnikom storitve za možnost uporabe ali dostopa za vse svoje pripadnike z neko skupno lastnostjo (študenti od tretjega letnika dalje, zaposleni na določenem delovnem mestu, gibalno omejeni …). V takem primeru ni stvar ponudnika storitve, da za posameznega uporabnika preverja upravičenost do dostopa, ampak to lahko kvalitetneje, zanesljiveje in predvsem enostavneje ugotovi njegova matična organizacija, ki končno odločitev samo posreduje ponudniku storitve. Eden možnih odgovorov na ta izziv je uporaba infrastrukture za avtentikacijo in avtorizacijo (AAI) in v nadaljevanju se bomo malo pobliže seznanili z osnovno idejo.