Presentation is loading. Please wait.

Presentation is loading. Please wait.

Marina Vermezović, AMRES Campus Best Practice, Banja Luka,

Published byMilan Valenta Modified over 6 years ago

Similar presentations

Presentation on theme: "Marina Vermezović, AMRES Campus Best Practice, Banja Luka,"— Presentation transcript:

1 Marina Vermezović, AMRES Campus Best Practice, Banja Luka, 1.11.2012.
ID menadžment Marina Vermezović, AMRES Campus Best Practice, Banja Luka,

2 Ko sam ja marina@amres.ac.rs Akademska Mreža Srbije
Sektor za razvoj korisničkih servisa Razvoj federacije za eduroam i jedinstvenu prijavu na sistem za web aplikacije – WebSSO

3 Digitalni Identitet Digitalni identitet je apstrakcija osobe u informacionim sistemima Digitalni identitet se sastoji od atributa - karakteristike pridružene osobi For instance, IT services unit of Tampere University of Technology (TUT) ensures that the address mikael.linden belongs at most to one individual at a time. However, in a namespace other than TUT, the identifier mikael.linden may be assigned to another person Identifiers, such as addresses, usernames and employee numbers, have organisation-oriented namespaces. Typically, it is necessary for an organisation to assign several identifiers to an individual. Information systems need to uniquely identify all user accounts, and if an existing identifier cannot cover the user base of the system, a new locally administered identifier needs to be introduced. External identifiers, such as the national identification numbers that governments assign to citizens, cause difficulties for the same reason; a foreign user does not have one, not necessarily even in his home country, because some countries do not use them. Hierarchies can be used for making the local identifiers globally unique. Parts of a hierarchical namespace can be delegated to subordinate naming authorities. For instance, the Domain Name System (DNS) [RFC1035] of the Internet ensures that the identifier is globally unique in the SMTP based Internet system. Respectively, the X.500 directory specification [ITUT05] uses country codes [ISO 3166] for constructing the globally unique identifier (called the Distinguished Name) of an object.

4 Podaci u digitalnom identitetu
Lični podaci Podaci o vezi korisnika sa institucijom Kredencijali Podaci za jedinstvenu identifikaciju korisnika Korisnikove role Ime, prezime Datum rođenja Nacionalni identifikacioni broj Mail, adresa, telefon Ime institucije Veza sa institucijom(student, zaposleni, gost) Zvanje (za zaposlene) Tip studija (za studente) Mail, adresa, telefon Korisničko ime/lozinka OTP Sertifikat Otkrivaju identitet: Ne otkrivaju identitet

5 ID menadžment Menadžment identiteta uključuje sve procese i sisteme koji omogućavaju kreiranje, dohvatanje, ažuriranje, proveru i uništavanje identiteta Institucije održavaju identitete osoba koje su u vezi sa njom – studenti, zaposleni itd. Centralizovanje Menadžmenta identiteta ima višestruke prednosti

6 Decentralizovani Menadžment Identiteta
Fakultet A Davaoci Resursa Auth web -mail Autz Auth Studentski servisi Autz Auth wireless Autz Auth e-learning Autz Biblioteka Davaoci Resursa Auth wireless Autz Auth e-knjige Autz

7 Centralizovani Menadžment Identiteta
Fakultet A eng: Identity Provider IdP Service Provider SP Davaoci Servisa Autz web -mail Autz Studentski servisi Davalac Identiteta Auth Održavanje korisničkih identiteta Autz wireless Autz e-Learning Biblioteka Davaoci Servisa Autz wireless Autz e-knjige

8 Federacija i Interfederacija
mtel.ba Interfederacija Inst. A IdP SP SP A1 IdP A Inst. C SP A2 SP C Inst. B Servis Protokol Interfederacija WiFi RADIUS eduroam.org WebSSO SAML edugain.org kalmar2.org NonWebSSO IdP B Krug poverenja Federacija Kada ste u federaciji, IdM nije više samo interna stvar

9 IdM Implementacija U institucijama je često slučaj da postoji više od jednog sistema u kojima se nalaze podaci o korisnicima. Bazični registar (base registry) – registar u kome se novi identiteti ulaze u organizaciju Autoratitivni izvori (Authoritative sources) – registri koji poseduju pojedine podatke o identitetu Podaci se moraju centralizovati: Enterprise Directory – centralni direktorijum u koji se presipaju podaci iz bazičnog registra i autoratitivnih izvora Virtual Directory - ne kopira podatke vec obezbeđuje jedinstven interfejs kao direktotrijum, a u pozadini na zahtev dohvata podatke iz bazičnih registara i autoratitivnih izvora For example, the human resources (HR) system carries the personal details of employees and their employment, telephone exchange their phone numbers, Windows Active Directory their user accounts in the Microsoft environment and so on In order to rationalise identity management in an organisation, some person registries are elevated to base registries, which are the registries where new identities enter the organisation. Once a new identity has been created in a base registry, it is available to other connected registries as well. New persons cannot be entered to connected registries without entering them to a base registry. On the other hand, if an identity is removed from a base registry, it is de-provisioned or deactivated in the connected registries as well. Authoritative sources complete the picture; they are person registries which own a certain attribute of an identity object. Changes to the attribute are propagated from authoritative sources to other connected systems. Prominent authoritative sources are, for example, server for address, telephone exchange for An enterprise directory is a core middleware architecture that may provide common authentication, authorisation and attribute services to electronic services offered by an institution [BELL02]. The processes used for feeding the enterprise directory with data from the base registries and other authoritative registries are vcalled a metadirectory [BELL02]. A metadirectory can be implemented as a home-grown set of scripting, database views etc. However, during recent years, several commercial metadirectory products have entered the market [PERK07]. An alternative way to implement an enterprise directory is a virtual directory, which, unlike a metadirectory, does not make copies of identity data from authoritative sources to an enterprise directory. Instead, a virtual directory provides aview of a single directory, but when a connected system makes use of the directory, personal data is actually fetched from base registries and authoritative sources on-the-fly. [WIND05:87]

10 IdM Procedure Potrebno je definisati set procedura i pravila:
Ko ima pravo na digitalni identitet Kako se kreira digitalni identitet Kako se održava digitalni identitet Kako se upotrebljava digitalni identitet Kako se terminira digitalni identitet Preporuka je da svaka insitucija ima pisani dokument koji definiše IdM procedure Procedure moraju biti u skladu sa relevantnim Nacionalnim zakonima o zaštiti podataka o ličnosti Naročito su osetljivi podaci koji mogu da otkriju identitet korisnika li~ni podaci zna~e bilo koju informaciju koja se odnosi na fizi~ko lice na osnovu koje je utvr|en ili se mo`e utvrditi identitet lica;

11 1. Ko ima pravo na digitalni identitet
Učenici Studenti Nastavno Osoblje Ostali zaposleni Ostale osobe koje su povezane sa institucijom - gosti, korisnici usluge ?

12 2. Kako se kreira digitalni identitet
Kada osoba treba da bude registrovana? Koje informacije treba uneti ? Odakle dolaze informacije i kako se vrši identifikacija osobe? Koji je kvalitet informacija? Student - kada se prijavi za prijemni - pri upisu na fakultet/školu - prvi dan studiranja - kada mu zatreba  Zaposleni - prvi radni dan obavezan ili opcion jednostruk ili višestruk sintaksa šifarnici pravila za korisnička imena i lozinke Automatski iz drugog izvora Ručno iz popunjenog formulara Ručno usmenim putem više izvora – problem sinhronizacije Kako i kada se vrši provera identiteta ! Na unete informacije se oslanjaju drugi sistemi, te stoga one trebaju biti što tačnije

13 3. Kako se održava digitalni identitet
Podaci u digitalnom identitetu trebaju biti ažurni i tačni Ko je odgovoran za prijavu o promeni informacija, i kojih? Kako se unose promene ? Kada se vrši promena informacija ? Krajnji korisnik lične podatke Administrativna služba podatke vezane za studiranje/zaposlenje Krajnji korisnik putem self-service portala Administrativna služba Ručno na osnovu popunjenog formulara Ručno usmenim putem Automatski iz drugih izvora Što je moguće ranije kada do promene dođe

14 4. Kako se upotrebljava digitalni identitet
Koji sistemi mogu da čitaju informacije? Koje podatke mogu čitati? Kako su regulisana prava i privilegije korisnika? Oni koji kontrolišu pristup, pri čemu čitaju: Direktno Posredno putem autentifikacionog servera : Radius, SAML .. Potrebno je ograničiti na one podatke za koje postoji potreba, npr: mail JMBG Postojeći atributi korisnika Dodatni atribut koji oslikava pripadnost nekoj grupi odnosno prava i privilegije

15 5. Kako se terminira digitalni identitet
Kada se terminira identitet ? Ko prijavljuje da treba da se terminira id. ? Kako se terminira identitet ? Da li se identitet trajno briše ? Kada osoba više nije u vezi sa institucijom student - kada završi studije zaposleni – kada prestane da radi gost - ? Treba osigurati da od trenutka kada osoba više nije u vezi sa institucijom do brisanja prođe najkraće vreme Korisnik  Studentska služba Služba za zaposlene Za goste ? Administrativna služba Ručno na osnovu popunjenog formulara Ručno usmenim putem Automatski iz drugih izvora Ukoliko se osoba vrati, da li joj treba omogućiti da ima isti identitet i koliko dugo? Da li treba ponovo dodeljivati jednom korišćena korisnička imena ?

16 U kojoj bazi čuvati digitalne identitete korisnika
Mogu se čuvati u bilo kojoj bazi: Relacione : MySQL, ORACLE, Postgre SQL Hijerarhijske: LDAP, Active Directory Preporuka je da se koriste hijerarhijske baze

17 Baza korisnika – zašto LDAP?
Odnos relacionih baza i LDAP direktorijuma Šema Relacione baze LDAP direktorijum Ne postoji standardna šema za tabele Internacionalni standardi za opis osoba i organizacija Akademska mreža Srbije izvor:

18 Baza korisnika – zašto LDAP?
Odnos relacionih baza i LDAP direktorijuma Šema Organizacija Relacione baze LDAP direktorijum Jedan logički entitet smešten u nekoliko tabela Jedan logički entitet Jedan objekat Jedan čvor = ulaz u DITu

19 Baza korisnika – zašto LDAP?
Odnos relacionih baza i LDAP direktorijuma Šema Organizacija Višestruke Vrednosti Relacione baze LDAP direktorijum Potrebana nova tabela ili više polja Svi su smešteni u istom atributu Broj nije ograničen

20 Baza korisnika – zašto LDAP?
Odnos relacionih baza i LDAP direktorijuma Šema Organizacija Višestruke vrednosti Fleksibilnost Relacione baze LDAP direktorijum Promene u šemi zahtevaju velike napore. Utiče i na aplikativnu logiku. Modifikacija šeme je granularna Lako dodavanje atributa.

21 Baza korisnika – zašto LDAP?
Odnos relacionih baza i LDAP direktorijuma Šema Organizacija Višestruke vrednosti Fleksibilnost Pristup Relacione baze LDAP direktorijum Pristup preko mreže nije standardizovan Standardizovan protokol za pristup preko mreže: LDAP

22 Baza korisnika – zašto LDAP?
Odnos relacionih baza i LDAP direktorijuma Šema Organizacija Višestruke vrednosti Fleksibilnost Pristup Defakto standard Relacione baze LDAP direktorijum Aplikacije većinom imaju podršku za LDAP autentifikaciju

23 Baza korisnika – zašto LDAP?
Odnos relacionih baza i LDAP direktorijuma Šema Organizacija Višestruke vrednosti Fleksibilnost Pristup Defakto sandard Optimizacija Relacione baze LDAP direktorijum Optimizovan za veliki broj čitanja

24 Kako izgleda LDAP šema ? Šema se sastoji od klasa eng. objectClass
Klasa sadrži proizvoljan broj atributa Atributi sadrže konkretne podatke Atribut definisan u jednoj šemi može da se koristi u klasima definisanim u drugim šemama schema ClassX attributeX attributeX definition

25 Standardizovane LDAP šeme
eduPerson (eduPerson200604) Internet2 MACE group Dizajniran za direktorujume u kampusima Atributi opisuju osobe u višem obrazovanju eduOrg (eduOrg200210) Atributi opisuju organizacije u višem obrazovanju eduMember (eduMember200507) Internet2 MACE-Dir WG Rešava problem dodeljivanja prava i privilegija korisnicima kroz grupe SCHAC TERENA TF za Middleware, TF-EMC2 Dopunjuje eduOrg i eduPerson atributima specifičnim za evropski sistem obrazovanja

26 Šema u federaciji/interfederaciji
Korišćenje određene šeme postavlja temelj za razvoj AAI u okruženju sa inter-institucionalnom autentifikacijom i autorizacijom Institucije koje učestvuju u federaciji i interfederaciji moraju koristiti istu šemu zato što: Unifikuje skup atributa, njihovu namenu i semantiku Omogućava jednostavnu razmenu i tumačenje atributa prilikom autentifikacije i autorizacije Davaoci servisa mogu planirati razvoj svojih aplikacija saglasno definisanim atributima

27 Nacionalna šema Sve akademske mreže u svetu, za potrebe razvoja svoje AAI definisale su šemu koje koriste njihove članice Postoje 2 opcije: Korišćenje već standardnih šema Definisanje nacionalnih šema, uz preuzimanje standardnih atributa AMRES je definisao nacionalnu rsEdu šemu

28 Literatura Organisational and Cross-Organisational Identity Management, Mikael Linden Identity Management Toolkit, JISC Norveska federacija, FEIDE

29

Download ppt "Marina Vermezović, AMRES Campus Best Practice, Banja Luka,"

Similar presentations

LDAP user database Marina Vermezović Academic Network of Serbia Skopje 15.09.2011.

LDAP user database Marina Vermezović Academic Network of Serbia Skopje
AAI with simpleSAMLphp

AAI with simpleSAMLphp
1 Predlozi tema za master radove – 2010/11. Cvetana Krstev.

1 Predlozi tema za master radove – 2010/11. Cvetana Krstev.
Microsoft Forefront Identity Manager 2010 R2 Edin Smlatić s IT Solutions HR d.o.o. Rijeka, 11. prosinac 2013.

Microsoft Forefront Identity Manager 2010 R2 Edin Smlatić s IT Solutions HR d.o.o. Rijeka, 11. prosinac 2013.
Tempus IV – 4th Call for Proposals BUDŽET ZA SRBIJU 6.300.000 € KOFINANSIRANJE 10% od ukupne vrednosti projekta – “at least 10% of the total eligible costs.

Tempus IV – 4th Call for Proposals BUDŽET ZA SRBIJU € KOFINANSIRANJE 10% od ukupne vrednosti projekta – “at least 10% of the total eligible costs.
Rješenje za izradu obiteljskog stabla

Rješenje za izradu obiteljskog stabla
Prof: doc.dr. Samir Lemeš student: Samir Hrnjić. System restore je komponenta Microsoftovih operativnih sistema Windows Serveri ne podržavaju opciju System.

Prof: doc.dr. Samir Lemeš student: Samir Hrnjić. System restore je komponenta Microsoftovih operativnih sistema Windows Serveri ne podržavaju opciju System.
Obrazac JOPPD - uvod www.regos.hr www.porezna-uprava.hr MINISTARSTVO RADA I MIROVINSKOGA SUSTAVA.

Obrazac JOPPD - uvod MINISTARSTVO RADA I MIROVINSKOGA SUSTAVA.
Right to good administration

Right to good administration
The Charter of Fundamental Rights of the EU

The Charter of Fundamental Rights of the EU
Baze podataka Osnovni pojmovi 16.9.2018 Osnovni pojmovi.

Baze podataka Osnovni pojmovi Osnovni pojmovi.
Predavanje br. 7 Formiranje GIS-a II Relacione klase.

Predavanje br. 7 Formiranje GIS-a II Relacione klase.
Jeste li spremni za prijam digitalnog signala

Jeste li spremni za prijam digitalnog signala
Autor: Irena Čučković, II-2

Autor: Irena Čučković, II-2
Marina Vermezović, AMRES Campus Best Practice, Žabljak,

Marina Vermezović, AMRES Campus Best Practice, Žabljak,
Provisioning Windowsa 10 na IoT, mobilnim i desktop uređajima

Provisioning Windowsa 10 na IoT, mobilnim i desktop uređajima
Programi zasnovani na prozorima

Programi zasnovani na prozorima
UML Dijagrami Nemanja Zdravković broj Indeksa: 12824

UML Dijagrami Nemanja Zdravković broj Indeksa: 12824
Petlje WHILE – WEND.

Petlje WHILE – WEND.
4.1 Vizualni (grafički) HTML uređivači

4.1 Vizualni (grafički) HTML uređivači

Similar presentations

Ads by Google