Даваоци идентитета

Давалац идентитета је корисник иАМРЕС услуге који обавља регистрацију и одржавање дигиталних идентитета својих корисника (менаџмент идентитета). Такође, Давалац идентитета одржава одговарајућу системску компоненту ради аутентификације својих корисника.

Менаџмент идентитета

Менаџмент идентитета обухвата све процесе који су укључени у регистрацију и одржавање дигиталних идентитета корисника. Од изузетне је важности да ови процеси буду такви да осигурају да сви запослени и студенти могу да имају свој дигитални идентитет у оквиру институције, као и да подаци у оквиру идентитета буду ажурни. Обзиром да се дигитални идентитети користе за приступ сервисима кроз иАМРЕС, али и за приступ eduroam и VPN услугама, ажурност идентитета је важна како би се осигурало да само корисници који имају право могу да користе ове услуге и тиме избегле ситуације злоупотребе сервиса. У општем случају, препорука је да се искористе процеси регистрације које обавља студентска служба или кадровска евиденција, а да се технички омогући консолидација ових података.

За имплементацију базе у оквиру које се чувају дигитални идентитети препоручује се LDAP (Lightweight Directory Access Protocol) директоријум који представља стандард за чување података о идентитетима корисника и њихову аутентификацију. Директоријуми су хијерархијске базе података и са становишта флексибилности и једноставности, за ову сврху имају бројне предности у односу на традиционалне релационе базе као нпр. оптимизација за велики број читања из базе. Такође велики број готових софтверских решења има уграђену подршку за аутентификацију и читање података о корисницима из LDAP директоријума. Као подршка АМРЕС корисницима, АМРЕС је израдио упутство за инсталацију и подешавање OpenLDAP базе која је LDAP имплементација отвореног кода. Осим LDAP базе, за складиштење дигиталних идентитета корисника се може користити и релациона база података.

Дигитални идентитет корисника садржи податке (атрибуте) о кориснику као што су: креденцијали, лични подаци, подаци о вези корисника са институцијом, подаци за јединствену идентификацију корисника, корисникове роле. Како би се омогућила интер-институционална аутентификација, неопходно је да постоји договорени стандард у именима и семантици атрибута који се размењују. За коришћење у иАМРЕС релизована је rsEdu шема која имплементира стандардне именичке шеме попут eduPerson и eduOrg. Даваoци идентета у иАМРЕС морају ослобађати одређене атрибуте по rsEdu шеми, али није обавезно да у својој бази имплеметнирају ову шему већ се мапирање може радити на аутентификационом серверу.

Сет атрибута који Давалац идентитета треба слати иАМРЕС порталу након аутентификације корисника је:

  • uid - корисничко име, на основу коги иАМРЕС портал генерише eduPersonPrincipleName атрибут (uid@domen_institucije). еPPN атрибут користе поједини сервиси као јединсвени идентификатор особе ради персонализације сервиса,
  • cn - име и презиме,
  • givenName - име,
  • sn - презиме,
  • displayName - име за приказивање корисника у оквиру сервиса,
  • mail - имејл,
  • o - званично име институције. Овај атрибут се не мора чувати у бази за сваког корисника, већ је могуће да изврши конфигурација аутентификационог сервера да аутоматски генерише овај атрибут за све кориснике,
  • rsEduPersonAffiliation - шифарнички атрибут улога особе на институцији нпр студент или запослени,
  • eduPersonEntitlement - права и привилегије корисника. Употреба овог атрибута код интер-институционалних сервиса се избегава.

! Напомена: за тачну семантику ових атрибута погледати rsEdu шему.

Аутентификација корисника

Давалац идентитета аутентификацију корисника обавља коришћењем RADIUS сервера који је већ инсталиран за потребе eduroam услуге. Потребно је извршити додатна подешавања RADIUS сервера и омогућити да се осим аутентификације корисника из базе дохватају и аутрибути који су неопходни у овиру иАМРЕС услуге. АМРЕС је израдио упутство и пружа подршку АМРЕС корисницима у овој реализацији. За подршку, АМРЕС корисник се обраћа на helpdesk@amres.ac.rs.