OZ 2013/1-4

M T ORGANIZACIJA ZNANJA 2013, LETN. 18, ZV. 1 – 4 lokacijo, ampak je dostop določen glede na njihove pravice, kar je v prisojnosti uporabnikove matične organizacije. Vzpostavljena infrastruktura AAI služi številnim lastnim ter zunanjim aplikacijam in storitvam, kjer se zahteva enostavna, a zanesljiva avtentifikacija in avtorizacija posameznega uporabnika. Zato so zahtevani strožji pogoji, kot smo jih vajeni pri preprostejših okoljih. Predvsem gre za enostavnost in varnost tako s stališča uporabnika kot s stališča upravljavca omrežja. Zahtevana je maksimalna uporabnost na čim več različnih platformah, razširljivost in možnost vpeljevanja novih tehnologij. Administriranja mora biti čim manj. Pri varnosti gre za dve ravni – uporabnikovo in upravljavčevo. Uporabnik mora dobiti jamstvo, da njegov pretok podatkov ne bo prestrežen oziroma se mu ne prisluškuje (kriptografska zaščita prometa), hkrati se mu ne sme onemogočati uporabe dodatnih varnostnih mehanizmov (na primer IPSec, VPN …). Upravljavcu omrežja morajo biti na voljo mehanizmi za preprečevanje neavtorizirane uporabe ne glede na stopnjo fizičnega varovanja. Zagotovljeno mora biti beleženje dogodkov in s tem omogočeno sledenje morebitnim zlorabam. Uporabljeni morajo biti uveljavljeni standardi, da se ohrani neodvisnost od konkretnih tržnih produktov oziroma proizvajalcev. Povsem naravno je pričakovati, da bodo uporabniki želeli uporabljati svoje prenosne naprave (prenosne računalnike, dlančnike, tablice, pametne telefone …) doma, na poti, v drugem kraju – skratka povsod po svetu in ne le na svojem delovnem ali učnem mestu v matični organizaciji. Zaradi vpetosti v slovenski in evropski izobraževalno-raziskovalni prostor mora biti rešitev kompatibilna z rešitvami, ki se uveljavljajo v tem prostoru, kajti le tako bodo uporabnikom tovrstne storitve na voljo brez dodatne opreme tudi drugod. Od prijavnega sistema za avtentikacijo (IdP) se zahteva strežniška postavitev (praviloma na odprtokodni osnovi). V splošnem gre za spletni element, ki overi digitalno identiteto uporabnika, ko le-ta dostopa do spletnih storitev, omogočenih preko infrastrukture AAI. Ne glede na lokacijo spletne storitve se avtentikacija vedno opravi v domači organizaciji uporabnika, kjer se nahaja IdP. S tem dosežemo, da se občutljivi avtentikacijski podatki (na primer geslo) ne posredujejo ponudnikom spletnih storitev. Na drugi strani se od ponudnika aplikacije ali storitve (SP) pričakuje, da poleg morebitnih lastnih postopkov za prijavo zgradi ustrezen avtorizacijski sistem, ki bo uporabniku najprej omogočil izbiro in uporabo njegovega IdP-ja (torej prijavo v matični organizaciji), v naslednjem koraku pa spoštoval rezultat preverjanja uporabnikovega IdP-ja oziroma sporočilo o uspešnosti prijave. Še več, poleg preprostega odgovora DA/NE o uspešnosti prijave bo ob uporabnikovem soglasju od IdP-ja pridobil še določene dodatne podatke o uporabniku. Na videz kritični trenutek je uporabnikova prijava, saj mora takrat vpisati svoje uporabniško ime in geslo (ali ekvivalentne zaščitene podatke). V resnici poteka ta postopek preko hierarhičnega sistema strežnikov popolnoma varno. Med uporabnikom in njegovo domačo institucijo se vzpostavi zaščiten tunel in uporabnik se sicer res prijavi v sistem lastne matične organizacije po fizično neznanih kanalih, vendar je pretok podatkov po zaščitenem tunelu varen, saj so povezave kriptirane z najsodobnejšimi šifrirnimi postopki. Osebni podatki v nobenem primeru niso dostopni nikomur izven uporabnikove matične ustanove. Ves postopek preverjanja istovetnosti in upravičenosti do končne uporabe vedno poteka preko posebnih šifrirnih mehanizmov neposredno med uporabnikovo napravo in njegovo matično institucijo. Na ta način ni nevarnosti za prisluškovanje ali prestrezanje prometa med prijavnim postopkom, prav tako ni strahu pred lažnim predstavljanjem; strežnik se namreč predstavi s certifikatom, geslo in uporabniško ime (oziroma elementi za prijavo) pa sta poslana v šifrirani obliki samo strežniku matične organizacije. Infrastruktura AAI dobi pravo vrednost pri povezovanju več posameznih otočkov SP-jev in IdP-jev na osnovi dogovorjenih enotnih tehnoloških rešitev. Posplošeno lahko federacijo AAI opišemo kot dogovor med člani, da bodo spoštovali ista pravila in tehnološke rešitve, ki bodo omogočile oddaljeno uporabo različnih storitev in virov z zelo poenostavljenim postopkom prijave. Federacija AAI predstavlja okvir zaupanja za vse uporabnike, organizacije in ponudnike ter nastopa kot neodvisno telo, ki skrbi za uveljavljanje dogovorjenih pravil in tehničnih rešitev med člani (ponudniki identitet – IdP) in partnerji (ponudniki storitev – SP). Potrebe po federacijski infrastrukturi so se v Sloveniji najprej začele pojavljati v izobraževalnem okolju, v knjižnicah in raziskovalnih ustanovah. Prve analize pokazale, da si uporabniki želijo: • dostop do spletnih učnih okolij, • vzpostavitev učnih okolij na tehnologiji Moodle, • dostop do videokonferenčne tehnologije, • dostop do varovanih vsebin na posameznih fakultetah, • dostop do konzorcijskih tujih virov literature (Elsevier, Science Direct in Ebscohost). Boštjan Batič, Davor Šoštarič: KONCEPT AVTENTIKACIJSKE IN AVTORIZACIJSKE INFRASTRUKTURE ...