OZ 2013/1-4

ORGANIZACIJA ZNANJA 2013, LETN. 18, ZV. 1 – 4 PREDSTAVITEV AAI Infrastruktura za avtentikacijo in avtorizacijo (AAI) omogoča enotno prijavo (angl. SSO – Single Sign On ) v spletne aplikacije in servise. To pomeni predvsem lažje dostopanje do različnih virov in storitev z enim samim korakom pri prijavi (na primer z uporabniškim imenom in geslom), ki je za uporabnika enoten in neodvisen od prijavnega sistema ponudnika storitve ali aplikacije, ki stoji za njo. Nabor podatkov, ki jih aplikacija sme vedeti o uporabniku, je omejen in pred vsakim vstopom v aplikacijo uporabniku znan. Sama prijava v posamezno spletno aplikacijo ali storitev sestoji iz dveh delov – avtentikacije in avtorizacije. Za avtentikacijo uporabnika je zadolžen prijavni sistem za avtentikacijo, ki je praviloma urejen v organizaciji (angl. IdP – identity provider ), kjer je uporabnik zaposlen ali se izobražuje oziroma je v kakršnem koli drugem odnosu z njo. Preverjanje avtorizacijskih podatkov pa opravlja dodatna neodvisna komponenta spletnega strežnika na strani ponudnika aplikacije (angl. SP – service provider ). Kombinacije IdP-jev in SP-jev so lahko samostojne znotraj posameznih organizacij ali pa se povežejo v večja med seboj priznavajoča se okolja – federacije AAI. Slika 1: Posamezni IdP-ji in SP-ji v federaciji AAI (objavljeno z dovoljenjem Arnesa) Tipični potek prijave uporabnika v neko spletno aplikacijo po infrastrukturi AAI poteka po naslednjih korakih (gl. tudi sliko 2): 1. Uporabnik v svoj spletni brskalnik vnese spletni naslov aplikacije. 2. Na prikazani spletni strani ponudnika aplikacije (SP) uporabnik izbere prijavo preko sistema AAI (in običajno ima ponujeno možnost izbire ustrezne federacije AAI, lastne organizacije ali nekega povezovalnega sistema). 3. SP preusmeri uporabnika na prijavni sistem za avtentikacijo (IdP) v domači organizaciji. 4. Uporabnik se pri domačem IdP-ju identificira na način, ki mu je določen (uporabniško ime in geslo, certifikat X.509, posebno geslo za enkratno uporabo …). 5. Po uspešno izvedeni prijavi usmeri IdP uporabnika nazaj na spletno aplikacijo. 6. SP ponovno prestreže zahtevek s sporočilom IdP-ja in uporabniku dovoli dostop do aplikacije. Ključni avtentikacijski podatki iz četrte točke se ne posredujejo spletni aplikaciji, ampak ostanejo na strani prijavnega sistema – torej pod popolno kontrolo domače organizacije (IdP), ki jih je uporabniku dodelila. Slika 2: Način povezovanja v spletno aplikacijo preko AAI Bistveno je, da matične organizacije svojim članom same dodeljujejo dostop do aplikacij tretjih ponudnikov v skladu s svojimi pravili oziroma sklenjenimi dogovori, pogodbami in sporazumi s ponudniki spletnih servisov, zato se le- tem ni treba ukvarjati z dodeljevanjem uporabniških imen, zbiranjem podatkov in preverjanjem statusov o uporabnikih, njihovi upravičenosti do ponujene storitve in podobno. Tipično gre za situacijo, ko neki konkretni SP dodeli pravico do uporabe njegove storitve članom neke organizacije (vsem ali določenemu krogu – npr. študentom, zaposlenim, raziskovalcem …), pri tem pa se ne spušča v to, katera konkretna oseba ima to pravico, saj ta pravica pri posamezniku ni stvar SP-ja, ampak matične organizacije (IdP), ki ji uporabnik "pripada". Rezultat uporabe koncepta infrastrukture AAI je takó olajšano upravljanje z uporabniškimi identitetami: • zmanjšanje dela s podatki uporabnikov, saj ni potrebe po dodatnem registriranju in administriranju, • če organizacija ponuja storitve uporabnikom iz drugih organizacij, ni treba voditi dodatnih evidenc gostujočih uporabnikov, • uporabniki imajo dostop do številnih domačih in tujih virov, ne da bi jim bilo pri tem treba vzpostavljati, upravljati in vzdrževati različne načine prijavnih sistemov, • uporabniki niso več vezani na določeno fizično Boštjan Batič, Davor Šoštarič: KONCEPT AVTENTIKACIJSKE IN AVTORIZACIJSKE INFRASTRUKTURE ...