Poglavlja:
1. - podnošenje Zahtjeva za registracijom vjerodajnice drugog stupnja autentikacije
- brisanje podataka o registriranoj vjerodajnici
- zahtjev za registracijom SMS - OTP vjerodajnice i postupak autentikacije
- zahtjev za registracijom TOTP vjerodajnice i postupak autentikacije
- zahtjev za registracijom Yubikey sTOTP vjerodajnice i postupak autentikacije
- zahtjev za registracijom WebAuth FIDO2 vjerodajnice i postupak autentikacije
- vjerodajnice visokog stupnja sigurnosti - certifikata (npr. eOsobna iskaznica)
Sustav AAI@EduHr omogućava dvostupanjsku autentikaciju na način da se za prvi stupanj autentikacije koristi metoda autentikacije korisničkom oznakom i zaporkom u sustavu AAI@EduHr, a za drugi stupanj autentikacije koristi se jedna od podržanih metoda višestupanjske autentikacije u sustavu AAI@EduHr (TOTP sustav, YubiKey sTOTP sustav, WebAuthn FIDO2, vjerodajnice visokog stupnja sigurnosti - eOsobna iskaznica, MobileID osobna iskaznica, FINA RDC osobni certifikat).
Za korištenje drugog stupnja autentikacije potrebno je podnijeti „Zahtjev za registracijom vjerodajnica drugog stupnja autentikacije“ kroz web-sučelje MojAAI@EduHr.
Zahtjev za registracijom vjerodajnica drugog stupnja autentikacije odobrava ovlaštena osoba matične ustanove nakon osobne identifikacije korisnika. Jednom registrirana vjerodajnica drugog stupnja autentikacije u sustavu AAI@EduHr koristi se za sve usluge u sustavu AAI@EduHr koje tu vjerodajnicu koriste kod drugog stupnja autentikacije.
Odobrenje ovlaštene osobe matične ustanove za izdavanje vjerodajnica drugog stupnja autentikacije nije potrebno ukoliko korisnik posjeduje neku od vjerodajnica visokog stupnja sigurnosti - certifikata, kao npr. eOsobna iskaznica. U tom slučaju korisnik si sam može autorizirati zahtjev za registracijom vjerodajnica drugog stupnja autentikacije.
VAŽNO: Drugi stupanj autentikacije putem certifikata (eOsobna iskaznica) može se odmah koristiti i nije potrebno podnošenje zahtjeva za registracijom zahtjeva kroz aplikaciju MojAAI@EduHr.
1. Procedura podnošenja Zahtjeva za registracijom vjerodajnica drugog stupnja autentikacije
Zahtjev za registracijom vjerodajnica drugog stupnja autentikacije korisnik podnosi kroz sučelje MojAAI@EduHr, odabirom poveznice Moji podaci -> Višestupanjska autentikacija -> odabir kartice „Novi zahtjev“:
Klikom na karticu „Novi zahtjev“ prikazuje se lista vjerodajnica koje do sada korisnik nije registrirao. U odnosu na odabranu vjerodajnicu, klikom na karticu „Kreni“ bit će potrebno popuniti dodatne podatke:
Više informacija o ispunjavanju obrasca ovisno o odabranoj vjerodajnici dostupno je u odlomku Ispunjavanje obrasca Zahtjeva za registracijom vjerodajnica drugog stupnja.
Nakon odabira vjerodajnice iz padajućeg izbornika i Ispunjavanja obrasca Zahtjeva za registracijom vjerodajnica drugog stupnja, u sučelju je omogućen pregled postavljenog zahtjeva za registracijom vjerodajnica drugog stupnja autentikacije.
Npr. ako ste podnijeli zahtjev za registracijom TOTP faktora, u sučelju se prikazuje podneseni zahtjev i njegov status:
Autorizacija zahtjeva
Nakon podnošenja zahtjeva, sljedeći korak je autorizacija zahtjeva. Autorizacija zahtjeva može se napraviti na dva načina:
- Korisnici koji posjeduju vjerodajnice visokog stupnja sigurnosti (npr. eOI), mogu direktno autorizirati zahtjeve na način da u sučelju MojAAI@EduHr odaberu karticu "Prijava (eOI)", prijave se s vjerodajnicama visokog stupnja sigurnosti i potom kliknu na karticu "Autoriziraj".
- Korisnici koji ne posjeduju vjerodajnice visokog stupnja sigurnosti za autorizaciju zahtjeva trebaju se osobno javiti ovlašenoj osobi matične ustanove nakon što podnesu zahtjev za registracijom drugog stupnja autentikacije. Zahtjev za registracijom vjerodajnica drugog stupnja autentikacije ovlaštena osoba matične ustanove može autorizirati kroz sučelje na adresi https://administracija.aaiedu.hr , nakon osobne identifikacije podnositelja zahtjeva. (Procedura autorizacije zahtjeva za registracijom drugog stupnja za odgovorne osobe opisana je na web adresi: https://www.aaiedu.hr/za-maticne-ustanove/cesto-postavljana-pitanja/upute-za-koristenje-jedinstvenog-korisnickog-web#p11)
Konakt podaci ovlaštene osobe kojoj se korisnici mogu javiti vezano za odobravanje postavljenih zahtjeva dostupni su kroz sučelje MojAAI@EduHr (https://moj.aaiedu.hr/), na poveznici „Kontakti na ustanovi“ ili izravno na web adresi https://www.aaiedu.hr/statistika-i-stanje-sustava/maticne-ustanove/popis
Nakon autorizacije zahtjeva podaci o registriranoj vjerodajnici prikazat će se u sučelju MojAAI@EduHr u karticama one vjerodajnice za koju je tražena registracija (klikom na odgovarajuću karticu prikazuju se informacije o registrirajnoj vjerodajnici).
Npr. ako ste zatražili registraciju TOTP faktora i registracija je odobrena, prikazat će se kartica s TOTP faktorom kao na sljedećoj slici:
Za pregled pune vrijednosti registrirane vjerodajnice potrebno je prijaviti se s vjerodajnicom visokog stupnja sigurnosti (npr. eOI).
Jednom registrirana vjerodajnica vrijedi za sve usluge u sustavu AAI@EduHr koje za drugi stupanj autentikacije koristi onu vjerodajnicu koju ste registrirali. To znači ako ste jednom registrali npr. TOTP vjerodajnicu, ona će se koristiti kod prijave u sve usluge koje za drugi stupanj autentikacije koriste sustav TOTP.
Brisanje podataka o registriranoj vjerodajnici
Ako želite poništiti registraciju i izbrisati podatke o registriranoj vjerodajnici iz sustava AAI@EduHr, kliknite na karticu vjerodajnice koju želite obrisati, zatim na gumb "Zaboravi faktor":
Napomena:
Brisanjem registrirane vjerodajnice u sustavu AAI@EduHr, ona se istovremeno uklanja za sve usluge u sustavu AAI@EduHr koje tu vjerodajnicu koriste kod drugog stupnja autentikacije.
2. Ispunjavanje obrasca Zahtjeva za registracijom vjerodajnica drugog stupnja autentikacije
U nastavku je opisana procedura ispunjavanja zahtjeva ovisno o odabranoj vjerodajnici i postupak autentikacije registriranom vjerodajnicom.
Zahtjev za registracijom SMS - OTP vjerodajnice i postupak autentikacije
SMS - OTP (One Time Password) sustav - jednokratna lozinka dobivena putem SMS poruke.
Ako usluga kojoj pristupate za drugi stupanj autentikacije koristi SMS – OTP sustav potrebno je podnijeti zahtjev za registracijom vjerodajnice SMS - OTP.
Zahtjev se podnosi kroz sučelje MojAAI@EduHr, odabirom poveznice Moji podaci -> Višestupanjska autentikacija -> odabir kartice „Novi zahtjev“ -> SMS - OTP sustav. Otvaranjem Zahtjeva za registracijom SMS - OTP vjerodajnice korisnik upisuje broj mobilnog uređaja na koji će primati jednokratne tokene.
Nakon ispunjavanja traženog podatka, zahtjev se podnosi klikom na karticu "Podnesi".
Kada Vam se u sučelju MojAAI@EduHr prikaže kartica SMS, znači da je zahtjev za registracijom SMS mehanizma kao drugog stupnja autentikacije odobren.
Možete ga početi koristiti na način da za prvi stupanj autentikacije koristite metodu autentikacije korisničkom oznakom i zaporkom u sustavu AAI@EduHr, a za drugi stupanj autentikacije koristite jednokratni token dobiven kao SMS poruka na broj telefona koji ste registrirali kroz sučelje Moj AAI@EduHr.
Zahtjev za registracijom TOTP vjerodajnice i postupak autentikacije
TOTP (Time-based One Time Password ) sustav - uporaba jednokratnih tokena koje generira posebna aplikacija ( kao npr. Google Authenticator, FreeOTP ili OpenOTP) preuzeta na korisnikov uređaj.
Ako usluga kojoj pristupate za drugi stupanj autentikacije koristi TOTP sustav potrebno je podnijeti zahtjev za registracijom vjerodajnice TOTP.
Zahtjev se podnosi kroz sučelje MojAAI@EduHr, odabirom poveznice Moji podaci -> Višestupanjska autentikacija -> odabir kartice „Novi zahtjev“ -> TOTP sustav. Nakon toga se prikazuje sučelje za registraciju kao na sljedećoj slici:
Prije nego kliknete na karticu "Podnesi" potrebno je učiniti sljedeće:
- Na korisnikovo računalo ili mobilni uređaj preuzeti aplikaciju Google Authenticator (ili neku sličnu aplikaciju, npr. FreeOTP ili OpenOTP) .
- U odabranu preuzetu aplikaciju izravno unesite "Tajni kod" ili skenirajte QR kod prikazan u zahtjevu.
- Podnesite zahtjev kroz sučelje MojAAI@EduHr klikom na karticu „Podnesi“.
Nakon što ste podnijeli zahtjev za registracijom TOTP faktora, u sučelju se prikazuje podneseni zahtjev i njegov status:
Sljedeći korak je autorizacija zahtjeva. Autorizacija se može napraviti na dva načina:
-
Korisnici koji posjeduju vjerodajnice visokog stupnja sigurnosti (npr. eOI), mogu direktno autorizirati zahtjeve na način da u sučelju MojAAI@EduHr odaberu karticu "Prijava (eOI)", prijave se s vjerodajnicama visokog stupnja sigurnosti i potom kliknu na karticu "Autoriziraj".
-
Korisnici koji ne posjeduju vjerodajnice visokog stupnja sigurnosti za autorizaciju zahtjeva trebaju se osobno javiti ovlašenoj osobi matične ustanove nakon što podnesu zahtjev za registracijom drugog stupnja autentikacije.
Kada Vam se u sučelju MojAAI@EduHr prikaže kartica TOTP:
To znači da je zahtjev za registracijom TOTP vjerodajnice kao drugog stupnja autentikacije odobren i možete je početi koristiti na način da kod drugostupanjske autentikacije upisujete jednokratni token koji će generirati aplikacija koju ste preuzeli na računalo ili mobilni uređaj:
Slika u nastavku prikazuje drugostupanjsku autentikaciju gdje se AAI@EduHr korisnička oznaka i zaporka koristi kao prvi stupanj autentikacije, a za drugi stupanj koristi se autentikacija putem TOTP mehanizma:
Zahtjev za registracijom Yubikey sTOTP vjerodajnice i postupak autentikacije
Yubikey sTOTP (signed Time-based One Time Password) sustav - generiranje (engl. One Time Password) jednokratnih lozinki korištenjem Yubikey uređaj kojeg korisnik treba posjedovat.
Ako usluga kojoj pristupate za drugi stupanj autentikacije koristi Yubikey sTOTP sustav potrebno je podnijeti zahtjev za registracijom vjerodajnice YUBIKEY - SOTP (Yubikey sTOTP).
Zahtjev se podnosi kroz sučelje MojAAI@EduHr, odabirom poveznice Moji podaci -> Višestupanjska autentikacija -> odabir kartice „Novi zahtjev“ -> YUBIKEY - SOTP sustav. Nakon toga se prikazuje sučelje za registraciju kao na sljedećoj slici:
Prije nego kliknete na karticu "Podnesi" potrebno je priključiti Yubikey uređaj u računalo i dodirnuti gumb na uređaju (sticku) nakon čega će Yubikey ključ biti automatski aktiviran.
Sljedeći korak je autorizacija zahtjeva. Autorizacija se može napraviti na dva načina:
-
Korisnici koji posjeduju vjerodajnice visokog stupnja sigurnosti (npr. eOI), mogu direktno autorizirati zahtjeve na način da u sučelju MojAAI@EduHr odaberu karticu "Prijava (eOI)", prijave se s vjerodajnicama visokog stupnja sigurnosti i potom kliknu na karticu "Autoriziraj".
-
Korisnici koji ne posjeduju vjerodajnice visokog stupnja sigurnosti za autorizaciju zahtjeva trebaju se osobno javiti ovlašenoj osobi matične ustanove nakon što podnesu zahtjev za registracijom drugog stupnja autentikacije.
Kada Vam se u sučelju MojAAI@EduHr prikaže kartica YUBIKEY-SOTP:
To znači da je zahtjev za registracijom YUBIKEY mehanizma kao drugog stupnja autentikacije odobren i možete ga kod dvostupanjske autentikacije početi koristiti na isti način - dodirom gumba na Yubikey-u koji je spojen na računalo/mobilni uređaj.
Slika u nastavku prikazuje dvostupanjsku autentikaciju gdje se AAI@EduHr korisnička oznaka i zaporka koristi kao prvi stupanj autentikacije, a za drugi stupanj koristi se autentikacija putem Yubico SOTP:
Zahtjev za registracijom WebAuthn FIDO2 vjerodajnice i postupak autentikacije
WebAuthn (WebAuthentication) FIDO2 - je autentikacijski API modernih web preglednika koji omogućuje sigurnu autentikaciju korisnika putem sustava privatnog/javnog ključa pohranjenom na vanjskom mediju/tokenu.
Ako usluga kojoj pristupate za drugi stupanj autentikacije koristi WebAuthn potrebno je podnijeti zahtjev za registracijom vjerodajnice WebAuthn FIDO2.
Zahtjev se podnosi kroz sučelje MojAAI@EduHr, odabirom poveznice Moji podaci -> iz padajućeg izbornika odabere se poveznica Višestupanjska autentikacija -> odabir kartice „Novi zahtjev“ -> WebAuthn FIDO2. Nakon toga se prikazuje sučelje za registraciju kao na sljedećoj slici:
Napomena: Prije nego kliknete na karticu "Podnesi" potrebno je pripremiti vanjski medij i po potrebi priključiti na odgovarajuće sučelje.
Sljedeći korak je autorizacija zahtjeva. Autorizacija se može napraviti na dva načina:
-
Korisnici koji posjeduju vjerodajnice visokog stupnja sigurnosti (npr. eOI), mogu direktno autorizirati zahtjeve na način da u sučelju MojAAI@EduHr odaberu karticu "Prijava (eOI)", prijave se s vjerodajnicama visokog stupnja sigurnosti i potom kliknu na karticu "Autoriziraj".
-
Korisnici koji ne posjeduju vjerodajnice visokog stupnja sigurnosti za autorizaciju zahtjeva trebaju se osobno javiti ovlašenoj osobi matične ustanove nakon što podnesu zahtjev za registracijom drugog stupnja autentikacije.
Kada Vam se u sučelju MojAAI@EduHr prikaže kartica kartica WEBAUTHN:
Znači da je zahtjev za registracijom WEBAUTH mehanizma kao drugog stupnja autentikacije odobren, odnosno da je WebAuthn token/ključ registriran i možete ga početi koristiti kao drugi faktor autentikacije.
Za uspješan proces autentikacije potrebno je osigurati:
· odgovarajuću programsku podršku u obliku podržanog preglednika
· WebAuthn token treba biti priključen na računalo/mobilni uređaj
· Odabirom tipke Autentikacija pokreće se proces autentikacije
· Kada preglednik zatraži modalnim prozorom potvrdu, potrebno je pritisnuti tipku na tokenu/ključu.
Slika u nastavku prikazuje dvostupanjsku autentikaciju gdje se AAI@EduHr korisnička oznaka i zaporka koristi kao prvi stupanj autentikacije, a za drugi stupanj koristi se autentikacija putem WebAuthn tokena:
Vjerodajnice visokog stupnja sigurnosti - certifikata (npr. eOsobna iskaznica)
Vjerodajnice visokog stupnja sigurnosti - certifikata (npr. eOI, Certilia kartica s certifikatima) nije potrebno registrirati kroz sučelje MojAAI@EduHr i te vjerodajnice mogu se odmah koristiti kao drugi stupanj autentikacije.
Za uspješnu autentikaciju certifikatom kao drugim faktorom autentikacije potrebno je prethodno osigurati sljedeće:
- priključen aktivan uređaj s valjanim certifikatom (osigurati da je pametna kartica u uređaju ako je to potrebno)
- PIN autentikacijskog certifikata
- odgovarajuća programska podrška.
Nakon što su osigurane sve prethodne navedene stavke, u drugom koraku autentikacije potrebno je odabrati odgovarajući izvor certifikata klikom na ponuđene kartice:
Nakon što odaberete odgovarajući izvor certifikata, pojavit će se skočni prozor u kojem odaberete odgovarajući certifikat i kliknete na „Ok“. Time se završava drugi korak autentikacije korištenjem certifikata.