OZ 2013/1-4

M T ORGANIZACIJA ZNANJA 2013, LETN. 18, ZV. 1 – 4 določi stopnjo upravičenosti dostopa svojih uporabnikov ter obseg njihovih pravic. Eden takih izjemno popularnih informacijskih portalov je Web of Science (WoS), ki omogoča dostop do multidisciplinarnih bibliografskih baz podatkov z indeksi citiranosti Science Citation Index Expanded® (SCI-EXPANDED), Social Sciences Citation Index® (SSCI) in Arts & Humanities Citation Index® (A&HCI). Uporabniki knjižnic, članic sistema COBISS.SI, ki imajo za uporabo WoS sklenjene ustrezne sporazume, lahko vzpostavijo dostop do teh servisov, aplikacij in podatkov tudi s pomočjo infrastrukture AAI. Tako na primer študentu iz slovenske univerze ni treba skrbeti za uporabniško ime ali račun, geslo in podobne akreditacije, prav tako pri svojem delu ni omejen izključno na svojo fizično prisotnost v lokalnem univerzitetnem omrežju. Pri svojem dostopu bo ob obisku spletne strani WoS preusmerjen v okolje svoje matične organizacije, kjer se bo prijavil na svoj običajni način (uporabniški račun, geslo, certifikat …). Postopek ugotavljanja pravilnosti prijave izvaja njegova domača organizacija, ki vzpostavi varen in šifriran tunel z WoS, ki ne dobi od matične organizacije nikakršnih občutljivih podatkov o uporabniku (na primer geslo …), ampak le potrditev, da ima uporabnik vse dogovorjene pravice za uporabo storitev WoS. Slika 4: Prijava na Web of Science in izbira ustrezne AAI Kot je razvidno iz slike 4, se je uporabnik na spletni strani WoS odločil za vstop preko infrastrukture AAI. Na voljo je dobil seznam različnih infrastruktur AAI, med katerimi bo izbral svojo. Potem se bo prijavil v svoje domače okolje, WoS pa bo to avtentikacijo priznal. V fazi avtorizacije mu bo potem WoS dovolil uporabo svojih določenih storitev, določenih pa morda tudi ne, glede na morebitna dodatna določila, ki jih ima uporabnik zapisana pri svoji matični organizaciji. Uporabniki v Sloveniji, ki omenjeno storitev WoS uporabljajo na podlagi sklenjenih konzorcijskih dogovorov mimo infrastrukture AAI, so pri svoji uporabi praviloma vezani na fizično prisotnost na določenem lokalnem omrežju ustanove, ki je članica konzorcija, saj jih ponudnik storitve WoS sam avtenticira in avtorizira preko vnaprej dogovorjenega obsega naslovov IP. Uporabnik iz prejšnjega odstavka teh omejitev nima, saj se sam ponudniku storitve WoS neposredno ne predstavlja; WoS kot ponudnik storitve popolnoma verjame in zaupa odločitvi uporabnikove matične organizacije. NOVE MOŽNOSTI Knjižnice v sistemu COBISS imajo v svojih podatkovnih bazah vse bistvene podatke o svojih uporabnikih, tako da so dani vsi pogoji, da prevzamejo vlogo IdP. Tisti uporabniki, ki uporabljajo storitev Moja knjižnica, imajo že dodeljena ustrezna uporabniška imena in gesla, tako da ni potrebe po nikakršnem podvajanju akreditacijskih sistemov za posamezne nove namene. Potrebna je le dosledna politika knjižnice pri izboru tehnologije in informacijskega okolja, načina upravljanja virov in pogajanja s ponudniki in podobno, na drugi strani pa zavest, da so vsi relevantni podatki že zbrani. Nadaljnje možnosti so praktično neomejene: odpiranje vstopa v posamezne prostore (na primer čitalnice), uporaba dodatnih naprav (na primer fotokopirni stroji, tiskalniki …), avtomati za prigrizke in napitke, dvig parkirnih zapornic … skratka vse, kjer je na neki način treba preveriti uporabnika in se na podlagi zbranih podatkov o njem odločiti, ali in v kolikšni meri je upravičen do konkretne storitve. Z dobro premišljenim sistemom AAI v lokalnem okolju odpadejo vsa ponavljajoča se dejanja v zvezi s "prepoznavanjem" uporabnika in "priznavanjem" njegovih karakteristik. Še več – z enotnim konceptom infrastrukture AAI v vseh knjižnicah, vključenih v nacionalne sisteme COBISS in v regionalno mrežo COBISS.Net, so ustvarjeni vsi pogoji za medsebojno priznavanje uporabnikovih identitet in lahko bomo govorili o še eni novi federaciji AAI. ZAKLJU^EK Na podlagi zapisanega o konceptu avtentikacijske in avtorizacijske infraskture lahko povzamemo: • odnosi so vzpostavljeni v trikotniku uporabnik – matična organizacija s svojim prijavnim sistemom za avtentikacijo (IdP) – ponudnik storitve (SP), • uporabnik ne potrebuje kopice uporabniških imen, gesel itd. za vsako storitev, do katere je upravičen kot pripadnik neke matične ustanove (organizacija, šola, knjižnica …), • preverjanje identitete, upravičenosti, statusa, pravic in podobno je porazdeljeno med IdP in SP ter izločeno iz neposrednega odnosa med SP in uporabnikom, • avtentikacijo za uporabo storitev, ki jih ponujajo zunanji dobavitelji, izvaja za svoje uporabnike matična organizacija (IdP), • uporabnik se ne prijavlja v prijavni sistem ponudnika storitve (SP), ampak v prijavni sistem matične organizacije (IdP), • pretok podatkov v fazi prijave je kriptiran in poteka po varnem zaščitenem tunelu, • avtorizacijo posameznih pravic izvede SP na podlagi podatkov, ki jih dobi od IdP. Boštjan Batič, Davor Šoštarič: KONCEPT AVTENTIKACIJSKE IN AVTORIZACIJSKE INFRASTRUKTURE ...