Jedinstveni digitalni identitet korisnika – kada, zašto, kako ? Security Workshop 22.Feb.2011. Marina Vermezović
Jan 09, 2016
Jedinstveni digitalni identitet korisnika – kada,
zašto, kako ?
Security Workshop 22.Feb.2011.Marina Vermezović
Akademska mreža Srbijewww.amres.ac.rs
Sadržaj
Potreba za AAI i jedinstveni korisnički identitetKorisnička bazaUvod u LDAPPogled na rsEdu šemuSpecifikacija rsEdu šemeUpravljanje korisničkim idenitetima
Potreba za AAI i jedinstveni
korisnički identitet
Osnovni termini
Resursi za pristup mreži – eduroam, dial-up, VPNweb resursi – e-learning, e-biblioteka, studentski servisi …
- provera identiteta korisnika
– dodeljivanje prava i privilegija
korisniku - Infrastruktura za Autentifikaciju i
Autorizaciju olakšava pristup zaštićenim resursima
Akademska mreža Srbijewww.amres.ac.rs
AAI
Autentifikacij
a Autorizacija
Akademska mreža Srbijewww.amres.ac.rs
Potrebe savremnog akademskog okruženja
Studenti i zaposleni:žele siguran pristup mreži i web resursima neophodnim za rad i studiranjeresursi su locirani kako unutar matične institucije tako i u drugim institucijamažele jednostavan pristup resursimane sviđa im se da otvaraju i pamte nove naloge za svaki resurs pojedinačno
Administratori resursa: žele da pruže siguran pristup pristup samo korisnicima koji imaju pravo na taj resursšto manje dodatnog posla, što podrazimeva i otvaranje naloga za korisnike
Bez AAI
Akademska mreža Srbijewww.amres.ac.rs
web -mail
Fakultet A
Davaoci Resursa
Biblioteka
Davaoci Resursa
Auth Autz
eduroamAuth Autz
e-sedniceAuth Autz
e-learningAuth Autz
e-časopisiAuth Autz
e-knjigeAuth Autz
Akademska mreža Srbijewww.amres.ac.rs
Bez AAI
Bez AAI korisnik se registruje kod svakog
davaoca resursa.
Problemi su:Svaki korisnik mora da otvara i pamti veliki broj nalogaSvaki administrator resursa mora sam da registruje i održava podatke o korisnicima
izvor: http://www.switch.ch/aai/about/introduction/
Sa AAI
Akademska mreža Srbijewww.amres.ac.rs
Fakultet A
Održavanje korisničkih identiteta
web -mail
Davalac identiteta
Davaoci Resursa
eduroam
e-sednice
e-Learning
Auth
Biblioteka
e-časopisi
Davaoci Resursa
e-knjige
AutzAutz
AutzAutz
AutzAutz
AutzAutz
AutzAutz
AutzAutz
Akademska mreža Srbijewww.amres.ac.rs
Sa AAI
AAI uprošćava proces AA za sve učesnikeKorisnik se registruje samo jednom u svojoj matičnoj institucijiMatična institucija upravlja identitetima, odgovorna je za autentifikaciju svojih korisnika
Identitet se nalazi samo na jednom mestu što olakšava
održavanje podataka o korisnicima
Autentifikacija se obavlja na matičnoj institicuiji
Odluke o autorizaciji korisnika obavlja davalac servisa
izvor: http://www.switch.ch/aai/about/introduction/
Akademska mreža Srbijewww.amres.ac.rs
Uloge u AAI
Uloge se razdvajaju na: Davalac identiteta (eng. Identity Provider IdP)
Institucije koje su članice AMRESaUpravaljaju identitetima svojih korisnikaVrše autentifikaciju korisnikaNakon autentifikacije davaocima resursa mogu da daju određene podatke o korisnicima
Davalac resursa (eng. Resource Provider RP)Institucije koje su članice AMRESa i partneri (potrebno definisati u politici)Servisi mogu biti:
Za pristup mreži – radius protokol za AAWeb – SAML protokol za AA
Korisnika preusmeravaju da se autentifikuje kod svog IdPOpciono od IdP traže podatke o korisniku na osnovi kojih mogu da donesu odluke o pristupu servisu
KorisnikIma jedne kredencijale samo kod svog IdPa
Akademska mreža Srbijewww.amres.ac.rs
Šta omogućava AAI ?
Infrastruktura za autentifikaciju i autorizacijuOlakšava inter-institucionalnu autentifikaciju i autorizacijuOmogućava korisnicima da istim kredencijalima pristupaju mrežnim i web resursimaJasno deli uloge na one koji se bave samo upravljanjem identitetima i na one koji obezbeđuju određeni resurs
Akademska mreža Srbijewww.amres.ac.rs
Dijagram AAI na visokom nivou
IdP
Radius
Baza Korisnik
a
SAML
mrеžni RP
Radius
NAS
web RP
SAML
Web resurs
eduroamdial-up
VPN
AMRES bpd wiki
od 11. marta u produkciji
Dođite na eduroam workshop
U razvoju
Osnova za razvoj svih servisa koji zahtevaju lokalnu i inter-instiucionalnu autentifikaciju i autorizaciju
Krug poverenja
Federacija
Korisnička baza
Akademska mreža Srbijewww.amres.ac.rs
U kojoj bazi čuvati digitalne identitete korisnika
Mogu se čuvati u bilo kojoj bazi:
Relacione : MySQL, ORACLE, Postgre SQL
Hijerarhijske: LDAP, Active Directory
Preporuka je da se koriste hijerarhijske baze
Akademska mreža Srbijewww.amres.ac.rs
Akademska mreža Srbijewww.amres.ac.rs
Baza korisnika – zašto LDAP?
Odnos relacionih baza i LDAP direktorijuma
Šema
izvor: http://www.terena.org/activities/idm/moldova/intro2LDAP.pdf
Relacione baze
LDAP direktorijum
Ne postoji standardna šema za tabele
Internacionalni standardi za opis osoba i organizacija
Akademska mreža Srbijewww.amres.ac.rs
Baza korisnika – zašto LDAP?
Odnos relacionih baza i LDAP direktorijuma
ŠemaOrganizacija
izvor: http://www.terena.org/activities/idm/moldova/intro2LDAP.pdf
Relacione baze
LDAP direktorijum
Jedan logički entitet smešten u nekoliko tabela
Jedan logički entitet Jedan objekat Jedan čvor = ulaz u DITu
Akademska mreža Srbijewww.amres.ac.rs
Baza korisnika – zašto LDAP?
Odnos relacionih baza i LDAP direktorijuma
ŠemaOrganizacija
Višestruke Vrednosti
izvor: http://www.terena.org/activities/idm/moldova/intro2LDAP.pdf
Relacione baze
LDAP direktorijum
Potrebana nova tabela ili više polja
Svi su smešteni u istom atributu
Broj nije ograničen
Akademska mreža Srbijewww.amres.ac.rs
Baza korisnika – zašto LDAP?
Odnos relacionih baza i LDAP direktorijuma
ŠemaOrganizacija
Višestruke vrednostiFleksibilnost
izvor: http://www.terena.org/activities/idm/moldova/intro2LDAP.pdf
Relacione baze
LDAP direktorijum
Promene u šemi zahtevaju velike napore. Utiče i na aplikativnu logiku.
Modifikacija šeme je granularna. Lako dodavanje atributa.
Akademska mreža Srbijewww.amres.ac.rs
Baza korisnika – zašto LDAP?
Odnos relacionih baza i LDAP direktorijuma
ŠemaOrganizacija
Višestruke vrednostiFleksibilnost
Pristup
izvor: http://www.terena.org/activities/idm/moldova/intro2LDAP.pdf
Relacione baze
LDAP direktorijum
Pristup preko mreže nije standardizovan
Standardizovan protokol za pristup preko mreže: LDAP
Akademska mreža Srbijewww.amres.ac.rs
Baza korisnika – zašto LDAP?
Odnos relacionih baza i LDAP direktorijuma
ŠemaOrganizacija
Višestruke vrednostiFleksibilnost
PristupAutentifikacija
izvor: http://www.terena.org/activities/idm/moldova/intro2LDAP.pdf
Relacione baze
LDAP direktorijum
Samo proprietary mehanizmi za autentifikaciju
Razni standardizovani mehanizmi za autentifikaciju
Akademska mreža Srbijewww.amres.ac.rs
Baza korisnika – zašto LDAP?
Odnos relacionih baza i LDAP direktorijuma
ŠemaOrganizacija
Višestruke vrednostiFleksibilnost
PristupAutentifikacijaOptimizacija
izvor: http://www.terena.org/activities/idm/moldova/intro2LDAP.pdf
Relacione baze
LDAP direktorijumOptimizovan za veliki broj čitanja
Uvod u LDAP termine
Kako izgleda LDAP?
Akademska mreža Srbijewww.amres.ac.rs
Akademska mreža Srbijewww.amres.ac.rs
Kako izgleda LDAP šema ?
Šema se sastoji od klasa eng. objectClassKlasa sadrži proizvoljan broj atributaAtributi sadrže konkretne podatkeAtribut definisan u jednoj šemi može da se koristi u klasima definisanim u drugim šemamaschema
ClassX
attributeX
attributeX definition
Akademska mreža Srbijewww.amres.ac.rs
Kako izgleda Klasa?
Ima ime i globalno jedinstven identifikator (OID)
Unutar klase definiše se koji joj atributi pripadaju i da li su obavezni (MUST) ili opcioni (MAY)
Akademska mreža Srbijewww.amres.ac.rs
Kako izgleda Atribut?
Ima ime i globalno jedinstven identifikator
(OID)
Svaki atribut je uključen u jednu ili više klasa
Svaki atribut može biti definisan kao MULTI-
VALUE ili SINGLE-VALUE
Za svaki atribut mora da se definiše sintaksa
Za svaki atribut može da se definiše kako se
ponaša u nekim uslovima
Akademska mreža Srbijewww.amres.ac.rs
Kako izgleda LDAP baza ?LDAP je hijerarhijska bazaIzgleda kao stablo, sa čvorovima u kojima se nalaze podaciStablo se zove Directory Information Tree DIT, koren stabla se zove root, a čvorovi se nazivaju entrySvaki entry ima jednog roditelja i proizvoljan broj deceSvaki entry ima jednoznačnu poziciju u stablu definisanu sa Distinguished Name – DN Svaki entry je definisan jednom ili više klasa, a klasa definiše atribute
Akademska mreža Srbijewww.amres.ac.rs
Standardizovane LDAP šemeeduPerson (eduPerson200604)
Internet2 MACE groupDizajniran za direktorujume u kampusimaAtributi opisuju osobe u višem obrazovanju
eduOrg (eduOrg200210)Internet2 MACE groupDizajniran za direktorujume u kampusimaAtributi opisuju organizacije u višem obrazovanju
eduMember (eduMember200507) Internet2 MACE-Dir WG Rešava problem dodeljivanja prava i privilegija korisnicima kroz grupe
SCHACTERENA TF za Middleware, TF-EMC2Dopunjuje eduOrg i eduPerson atributima specifičnim za evropski sistem obrazovanja
Šema u AMRES AAI
Korišćenje određene šeme postavlja temelj za razvoj AAI u okruženju sa inter-institucionalnom autentifikacijom i autorizacijomInstitucije koje učestvuju u AMRES AAI moraju koristiti istu šemu zato što:
Unifikuje skup atributa, njihovu namenu i semantiku Omogućava jednostavnu razmenu i tumačenje atributa prilikom autentifikacije i autorizacijeDavaoci servisa mogu planirati razvoj svojih aplikacija saglasno definisanim atributima
Akademska mreža Srbijewww.amres.ac.rs
Akademska mreža Srbijewww.amres.ac.rs
rsEdu šema
Sve akademske mreže u svetu, za potrebe razvoja svoje AAI definisale su šemu koje koriste njihove članicePostoje 2 opcije:
Korišćenje već standardnih šemaDefinisanje nacionalnih šema, uz preuzimanje standardnih atributa
Za potrebe AMRES AAI, definisali smo nacionalnu rsEdu šemu
https://bpd.amres.ac.rs/doku.php?id=amres_aai_wiki:start
Akademska mreža Srbijewww.amres.ac.rs
Na čemu se zasniva rsEdu šema ?
Obuhvata korisnike obrazovnih i naučno-istraživačkih institucija u SrbijiPri definisanju šeme oslanjali smo se na:
Obrazovni i sistem naučno-istraživačkih ustanova u Srbiji Aktuelne standarde za šemeIskustva i preporuke ostalih NREN-ova
Glavni princip je: koristiti što veći broj standardizovanih atributa, a samo za potrebe specifične za sistem u Srbiji definisati nove atribute
Akademska mreža Srbijewww.amres.ac.rs
Kako izgleda LDAP?dc=inst, dc=ac, dc=rs
ou=People
class=rsEduPersonclass=eduMember
ou=Organizations
class=rsEduOrg
ou=SystemAccounts
class=rsEduSystemAccounts
- Hijerarhijska struktura- DIT – Data Information Tree- Svaki čvor nosi informacije o
sebi
Akademska mreža Srbijewww.amres.ac.rs
Koliko košta promena šeme ?
Promene nad postojećim atributima su skupe i krajnje nepoželjnePodrazumevaju da se menjaju sadržaji svih bazaDodavanje atributa je dozvoljeno (dokle god nisu obavezni)Ukoliko se neki atribut menja, to se može izvesti uvođenjem novog atributa i postepenim zastarivanjem starog
Zato je jako bitno da pri definisanju šeme naše definicije budu što tačnije
Pogled na rsEdu šemu
Akademska mreža Srbijewww.amres.ac.rs
Akademska mreža Srbijewww.amres.ac.rs
rsEdu šema
Šema nisu samo podaci o korisnicimaKroz polja u šemi se rešavaju različiti problemi:
1. Kako realizovati registraciju korisnika2. Na osnovu kojih kredencijala će se obaviti
autentifikacija3. Na osnovu čega će se obaviti autorizacija4. Na osnovu kojih atributa identifikovati osobu5. Kako korisnik može da sačuva svoju privatnost6. Koji su ostali atributi
Akademska mreža Srbijewww.amres.ac.rs
1. Kako realizovati registraciju korisnika
Registracija korisnika se može realizovati na dva načina:
ručno kreiranje digitalnih identiteta korisnikapreuzimanje podataka i sinhronizacija sa različitim izvorima podataka (eng. Source Systems)
Provera identiteta korisnika ?
Akademska mreža Srbijewww.amres.ac.rs
1. Kako realizovati registraciju korisnika
Atribut:rsEduPersonUniqueNumber
Sintaksa: <tip-identifikatora>:<vrednost>
tip-identifikatora može imati jednu od sledećih vrednosti: JMBG, LBO, PASSPORT Preporuka je da se čuvaju i JMBG i LBO ako postojeZa osobe koje nemaju ni JMGB ni LBO, čuva se broj pasoša
Akademska mreža Srbijewww.amres.ac.rs
1. Kako realizovati registraciju korisnika
Ko može da poseduje identif.
Sadržilične info.
validnost identifikatora
dostupnost
JMBG
sve osobe rođene u Srbiji
DAdodeljivane su
nevalidne vrednosti
već se nalazi u svim izvorima
podataka
LBOzdravstveni
osiguranici u Srbiji
NEuglavnom sve
dodeljene vrednosti su validne
ne nalazi se u svim izvorima
podataka
Broj Pasoša
osobe koje poseduju pasoš
ne nalazi se u svim izvorima
podataka
Legenda: prednost
mana
Akademska mreža Srbijewww.amres.ac.rs
2. Na osnovu kojih kredencijala će se obaviti autentifikacija
Kredencijali mogu biti: Korisničko ime i lozinkaSertifikat
skupo, zahteva dodatnu administrativnu i tehnički infrastrukturu => neskalabilno
Korisnik ima jedno korisničko ime i lozinku koje koristi za lokalne servise i pri inter-institucionalnoj autentifikaciji
Akademska mreža Srbijewww.amres.ac.rs
3.Na osnovu čega će se obaviti autorizacija
Prvo pokušati da se upotrebi neki od postojećih atributa koji opisuju osobu
Prednost je što ne mora ništa da se dodaje
Mana što se može desti da nije dovoljno granularno
Ako ne postoji, onda korisniku dodati neki atribut koji opisuje njegovu ulogu na sistemu
Prednost je što se privilegije mogu dodeliti na nivou pojedinačnog korisnika
Mana je što mora ručno da se dodaje
Students only
Admins
only
Akademska mreža Srbijewww.amres.ac.rs
3.Na osnovu čega će se obaviti autorizacija
Postojeći atributi koji se najčešće koriste:
rsEduPersonAffiliation
rsEduPersonScopedAffiliation
Dodatni atributi koji se mogu koristiti:
eduPersonEntitlement – omogućava jedinstveno
imenovanje, inter-institucionalna authz!
grupe – dosta zastupljen način, ali prevashodno za
lokalne servise
Akademska mreža Srbijewww.amres.ac.rs
4. Na osnovu kojih atributa identifikovati osobu
RP često imaju potrebu da znaju ko je određeni korisnik (npr. da bi sačuvali preference tog korisnika)IdP strogi - pri AA ne odaju lične informacije o korisniku Bilo je potrebno uvesti identifikator tako da se:
čuva anonimnost korisnikane odaje podatke o njemudavaoci resursa ne mogu dovoditi u međusobnu vezu korisnike
Akademska mreža Srbijewww.amres.ac.rs
4. Na osnovu kojih atributa identifikovati osobu
eduPersonTrgetedId
Trajan identifikator korisnika koji razmenjuju davalac servisa i davalac identitetaNikada se ne dodeljuje ponovo i ne sadrži
nikakve podatke o korisniku Davalac identiteta koristi različite vrednosti
kada predstavlja istog korisnika različitim davaocima resursaMože da bude generisan kao heš funkcija
nekih podataka o korisniku i podataka o davaocu resursaIma definisan format – objašnjenje u tehničkim
detaljima
Akademska mreža Srbijewww.amres.ac.rs
5. Kako korisnik može da sačuva svoju privatnost
Jedan od načina da se sačuva privatnost korisnika jeste da sam korisnik naznači koji podaci o njemu su privatni.
schacUserPrivateAttribute
Vrednosti su imena atributa koje korisnik smatra privatnimVrednosti atributa navedeni u ovom atributu ne treba da budu dostupni van
matične institucije.
Akademska mreža Srbijewww.amres.ac.rs
6. Koji su ostali atributiPodaci o korisniku
Lični podaciPrivatne i poslovne kontakt informacijePovezanost sa ustanovom
Podaci o institucijiOpšti podaciKontakt informacije
Identifikatori i ključeviKoriste se za jedinstveni identifikaciju korisnika i institucijaKoriste se za povezivanje sa drugim izvorima podatka o korisnicima (Studentska služba, zdravstveni sistem)
Autorizacija i privilegijePostojeći atributiSpecijalni atributi koji izražavaju role i privilegije
Poverljivost podatakaKorisnik može da naznači koji podaci o njemu su poverljivi
AutentifikacijaKredencijali
Specifikacija rsEdu šeme
Akademska mreža Srbijewww.amres.ac.rs
rsEdu klase
rsEduPerson Sadrži atribute koji opisuju osobuSadrži atribute koji se odnose na osobu u smislu njene povezanosti sa institucijom
rsEduOrgSadrži atribute koji opisuju instituciju
Akademska mreža Srbijewww.amres.ac.rs
rsEdu atributiSvaki atribut ima:
kratak opisdetaljne napomene vezane za njegovu upotrebudefinisanu LDAP sintaksu – (poput tipa podataka u relacionim bazama)definisan skup dopuštene vrednosti
Za sve atribute koje imaju strogo definisan skup vrednosti napravili smo šifarnike
primer korišćenjaza atribute koji su preuzeti iz drugih šema, date su preporuke za korišćenje unutar AMRESa, ukoliko je bilo potrebno
Akademska mreža Srbijewww.amres.ac.rs
rsEduPerson
Lični Podacicn (Ime i prezime) sn (Prezime)givename (Ime)schacDateOfBirth (Datum Rođenja Osobe)schacGender (Pol Osobe)rsEduPersonEduLevel (Školska Sprema)preferredLanguage (Preferirani jezik)jpegPhoto (Slika Osobe)
Akademska mreža Srbijewww.amres.ac.rs
rsEduPerson
Privatne kontakt InformacijehomePhone (Kućni Telefonski Broj)
homePostalAddress (Kućna poštanska adresa)rsEduAccessPhoneNumber (Pristupni Telefon)
Akademska mreža Srbijewww.amres.ac.rs
rsEduPerson
Povezanost sa institucijomo (Naziv Matične Institucije)ou (Organizaciona Jedinica)rsEduPersonAffiliation (Povezanost sa Institucijom) rsEduPersonPrimaryAffiliation (Primarna Pov. sa Inst.)rsEduPersonScopedAffiliation (Povezanost sa Inst. sa Dom.)rsEduPersonExpiryDate (Datum isteka primarne pov. sa inst.)
Identifikatori i ključevirsEduPersonLocalNumber (Lokalni identifikator osobe)
Akademska mreža Srbijewww.amres.ac.rs
rsEduPerson
Povezanost sa ustanovom - zaposlenirsEduPersonDesignation (Zvanje)rsEduPersonPosition (Pozicija u ustanovi)rsEduPersonStaffCategory (Vrsta Zaposlenog)
Povezanost sa ustanovom - studentirsEduPersonStudyType (Vrsta Studija)rsEduPersonStudyStatus (Status studiranja)
Akademska mreža Srbijewww.amres.ac.rs
rsEduPersonPoslovne kontakt informacije
mail (Elektronska adresa)schacUserPresenceID (Identifikator korisnika za mrežni protokol)postalAddress (Službena Poštanska adresa)rsEduAddressCode (Poštanski adresni kod)postalCode (Poštanski broj)I (Lokacija (Mesto))Street (Ulica i kućni broj)telephoneNumber (Telefonski broj )rsEduPersonExtensionNumber (Lokalni tel. br.)facsimileTelephoneNumber (Fax broj)mobile (Broj Mobilnog Telefona) labeledURI (URI Adresa)
Akademska mreža Srbijewww.amres.ac.rs
rsEduPerson
Kredencijaliuid (Korisničko ime)userPassword (Korisnička lozinika)
userCertificate (Sertifikat)
Akademska mreža Srbijewww.amres.ac.rs
rsEduPerson
Identifikatori i ključevi eduPersonTargetedId (Pseudonim korisnika)
Neprozirni trajan identifikator korisnika koji razmenjuju davalac servisa i davalac identiteta
rsEduPersonUniqueNumber (Jedinstveni brojni identifikator osobe )
JMBG, LBO ili broj pasošaNeophodan zato što omogućava jadnoznačnu i pouzdanu identifikaciju korisnika u slučajevima:
Sinhornizacija sa drugim izvorima podatakaGarancija za izdati identitet (LoA)
eduPersonPrincipalName (Jedinstveni identifikator osobe)
Akademska mreža Srbijewww.amres.ac.rs
rsEduPerson
Poverljivost PodatakaschacUserPrivateAttribute (Privatni Atribut)
Autorizacija i privilegijeeduPersonEntitlement (Prava i privilegije korisnika na sistemu )
Vrednost atributa je URI ili URN koji jednoznačno određuje prava korisnika
Akademska mreža Srbijewww.amres.ac.rs
rsEduOrg
Informacije o institucijirsEduOrgLegalName (Zvanični naziv institucije) o (Naziv instutucije)rsEduOrgUniqueNumber (Jedinstveni brojni identifikator institucije)rsEduOrgDomainFQN (Potpuno kvalifikovano ime domena institucije)rsEduOrgType (Tip institucije)rsEduOrgHomePageURI (URL adresa institucije)rsEduOrgIdentityAuthNPolicyURI (URI lokacija politike institucije)rsEduOrgWhitePagesURI (URL adresa belih strana institucije)
Akademska mreža Srbijewww.amres.ac.rs
rsEduOrg
Kontakt InformacijersEduOrgMail (Elektronska adresa)rsEduOrgMobile (Broj mobilnog telefona)telephoneNumber (Telefonski broj)facsimileTelephoneNumber (Fax broj)postalAddress (Poštanska adresa)postalCode (Poštanski broj)rsEduOrgAddressCode (Poštanski adresni kod)I (Lokacija (Mesto))street (Ulica i kućni broj)
Akademska mreža Srbijewww.amres.ac.rs
Izražavanje privilegije pomoću grupa
eduMember isMemberOfhasMember
Akademska mreža Srbijewww.amres.ac.rs
Šifrarnici
Šifarnici su jako važni jer omogućavaju unifikaciju vrednosti atributa koje mogu biti zajedničke za različite entitete
Definisanje šifarnika je težak i mukotrpan posao
Pri pravljenju šifarnika neophodno je usaglasiti ih sa zakonima i pravilicima koji tretiraju različite vrste obrazovnih i istraživačko naučnih institucija
Treba pokriti sve moguće slučajeve i izbegavati šifarničku vrednost “ostalo”
Akademska mreža Srbijewww.amres.ac.rs
Šifrarnici
U okviru projekta za pravljenje jedinstvene baze studenta i zaposlenih UoB napravljeni su šifarnici, koji su potom odobreni od strane UoB
U toku razvoja rsEdu šeme sarađivali smo sa osobama koje su definisale univerzitetske šifarnike
Pomogli su nam da razumemo šifarnike, a u saradnju sa njima upotpunili smo postojeće univerzitetske šifarnike
Otvoreni smo za komentare i za sugestije!Pomozite nam da bi naši šifarnici bili bolji
Akademska mreža Srbijewww.amres.ac.rs
Šifrarnici
rsEduPersonStudyStatus regularan upisispisvojni roktrudnoćamirovanjekomisijskisa drugog fakulteta
Akademska mreža Srbijewww.amres.ac.rs
ŠifrarnicirsEduPersonStudyType
osnovne akademske diplomske akademskespecijalističke akademskedoktorske akademskeosnovne strukovnespecijalističke strukovnepo starom zakonudiplomske (po zakonima do 2005)magistarske (po zakonima do 2005)specijalističke (po zakonima do 2005)doktorske (po zakonima do 2005)integrisane osnovne i diplomskesrednjoškolskeosnovnoškolske
Vrednosti usaglašene sa Zakonom o Visokom Obrazovanju
Akademska mreža Srbijewww.amres.ac.rs
Šifrarnici
rsEduPersonEduLevel bez školenepotpuna osnovna škola (1-7 razreda)osnovna škola (8 razreda)srednja školaviša školavisoka školadiplomiranimagistardoktorspecijalista
Vrednosti usaglašene sa ŠV obrascem i relevantnim zakonima
Akademska mreža Srbijewww.amres.ac.rs
Šifrarnici
rsEduPersonPositionpredsednikzamenik predsednikasekretarzamenik sekretaračlanrektorprorektordekanstudent prodekan
student prodekanprodekandirektorzamenik direktorašef katedrešef odsekageneralni sekretarvođa projektarukovodilac organizacione jedinicešef laboratorije
Akademska mreža Srbijewww.amres.ac.rs
Šifrarnici
rsEduPersonStaffCategory nastavniksaradnikvannastavno osobljeistraživačadministrativno osobljetehničko osobljeIKT osobljeostalo tehničko osobljeosoblje biblioteke
Vrednosti usaglašene sa Zakonom o visokom obrazovanju, Zakonom o bibliotečkoj delatnosti i Zakonom o naučno-istraživačkoj delatnosti
Akademska mreža Srbijewww.amres.ac.rs
ŠifrarnicirsEduPersonDesignation
asistentasistent pripravniksaradnikredovni profesorvanredni profesornastavnikdocentistraživač pripravnikistraživač saradniknaučni saradnikviši naučni saradniknaučni savetnikprofesor strukovnih studijanastavnik stranih jezika i veština
Vrednosti usaglašene sa Zakonom o visokom obrazovanju, Zakonom o bibliotečkoj delatnosti i Zakonom o naučno-istraživačkoj delatnosti
predavačgostujući profesorprofesor emeritusdrugo nastavničko zvanjelektorviši lektorsaradnik u nastavidrugo saradničko zvanjeviši predavačbibliotekarviši bibliotekarbibliotekar savetnikknjižničar
Akademska mreža Srbijewww.amres.ac.rs
Šifrarnici
rsEduOrgType univerzitetfakultetumetnička akademijaakademija strukovnih studijavisoka školavisoka škola strukovnih studijainstitutcentar
Vrednosti usaglašene sa Zakonom o visokom obrazovanju
bibliotekazdravstvena ustanovasrednja školaosnovna školapredškolska ustanovamuzejzavodresorno ministarstvoostalo
Upravljanje korisničkim idenitetima
Akademska mreža Srbijewww.amres.ac.rs
Identity Management - IdM
IdM – održavanje/upravljanje digitalnim
identitetima
Set procedura i pravila koji definišu:1. Ko ima pravo na digitalni identitet2. Kako se kreira digitalni identitet3. Kako se održava digitalni identitet4. Kako se upotrebljava digitalni identitet5. Kako se terminira digitalni identitet
Preporuka je da svaka insitucija ima pisani dokument koji definiše IdM procedureProcedure moraju biti u skladu sa zakonima Republike Srbije
1. Ko ima pravo na digitalni identitet
Učenici
Studenti
Nastavno Osoblje
Ostali zaposleni
Ostale osobe koje su povezane sa
institucijom - gosti, korisnici usluge ?
Akademska mreža Srbijewww.amres.ac.rs
2. Kako se kreira digitalni identitet
Kada osoba treba da bude
registrovana?
Koje informacije treba uneti ?
Odakle dolaze informacije ?
Koji je kvalitet informacija?
Akademska mreža Srbijewww.amres.ac.rs
Student - kada se prijavi za prijemni - pri upisu na fakultet/školu
- prvi dan studiranja- kada mu zatreba
Zaposleni
- prvi radni dan- kada mu zatreba Na unete informacije se oslanjaju
drugi sistemi, te stoga one trebaju biti što tačnije
• obavezan ili opcion• jednostruk ili višestruk• sintaksa• šifarnici• pravila za korisnička imena i
lozinke
• Automatski iz drugog izvora• Ručno iz popunjenog formulara• Ručno usmenim putem
• više izvora – problem sinhronizacije
Kako i kada se vrši provera identiteta !
3. Kako se održava digitalni identitet
Podaci u digitalnom identitetu trebaju biti ažurni i tačniKo je odgovoran za prijavu o promeni informacija, i kojih?Kako se unose promene ? Kada se vrši promena informacija ?
Akademska mreža Srbijewww.amres.ac.rs
Krajnji korisnik • lične podatke
Administrativna služba • podatke vezane za
studiranje/zaposlenje
Krajnji korisnik • putem self-service portala
Administrativna služba • Ručno na osnovu popunjenog
formulara• Ručno usmenim putem• Automatski iz drugih izvora
Što je moguće ranije kada do promene dođe
4. Kako se upotrebljava digitalni identitet
Koji sistemi mogu da čitaju informacije?
Koje podatke mogu čitati?
Kako su regulisana prava i privilegije
korisnika?
Akademska mreža Srbijewww.amres.ac.rs
Oni koji kontrolišu pristup, pri čemu čitaju:• Direktno• Posredno putem autentifikacionog
servera : Radius, SAML based..
• Postojeći atributi korisnika• Dodatni atribut koji oslikava pripadnost
nekoj grupi odnosno prava i privilegije
Potrebno je ograničiti na one podatke za koje postoji potreba, npr:
JMBG
5. Kako se terminira digitalni identitet
Kada se terminira identitet ?
Ko prijavljuje da treba da se terminira
id. ?
Kako se terminira identitet ?
Da li se identitet trajno briše ?
Akademska mreža Srbijewww.amres.ac.rs
Kada osoba više nije povezana sa institucijom
• student - kada završi studuje• zaposleni – kada prestane da radi• gost - ?
Treba osigurati da od trenutka kada osoba više nije povezana sa institucijom do brisanja prođe najkraće vreme
• Korisnik • Studentska služba• Služba za zaposlene• Za goste ?Administrativna služba•Ručno na osnovu popunjenog formulara•Ručno usmenim putem•Automatski iz drugih izvoraUkoliko se osoba vrati, da li joj treba omogućiti da ima isti identitet i koliko dugo?
Da li treba ponovo dodeljivati jednom korišćena korisnička imena ?