Autentikacijska i autorizacijska infrastruktura sustava znanosti i visokog obrazovanja u Republici Hrvatskoj
  • Hrvatski
  • English

Tehnički opis sustava

Od problema autentikacije i autorizacije korisnika do modela autentikacijsko-autorizacijske infrastrukture

Pristup korisnika nekom resursu u osnovi se sastoji od 5 koraka prikazanih sljedećom slikom:

 

Pristup korisnika resursu u sustavu AAI@EduHr

 

Koraci u procesu autentikacije/autorizacije su:

  1. Korisnik se najprije registrira kod vlasnika resursa koji mu dodjeljuje elektronički identitet u okviru kojeg korisnik dobiva svoj identifikator (npr. korisnička oznaka) i podatke kojima će dokazivati svoj identitet (npr. lozinka, ključ, PIN). Vlasnik resursa pohranjuje informacije o korisniku koje će kasnije rabiti u procesu autentikacije.

  2. Kada korisnik želi rabiti resurs, pristupa resursu pozivajući se na svoj elektronički identitet i pri tome rabi dobiveni identifikator (npr. korisničku oznaku).

  3. Resurs zahtijeva od korisnika da se autenticira odnosno dostavi podatke kojima će dokazati svoj elektronički identitet (npr. lozinku).

  4. Nakon što provjeri dobivene podatke od korisnika, resurs rabi pohranjene podatke o korisniku i na kraju...

  5. ...donosi konačnu odluku o dozvoli pristupa.

Ovaj model, dakako, nije skalabilan pa kad korisnik želi pristup velikom broju resursa, donosi niz problema. Prije svega:

  • Korisnik se mora pojedinačno registrirati za uporabu svakog od resursa;

  • Resursi ne moraju nužno rabiti iste metode autentikacije (pomoću lozinke, certifikata, "pametne" kartice...) kojima se korisnik mora znati služiti;

  • Korisnik mora imati više elektroničkih identiteta, odnosno mora pamtiti pamtiti/rabiti više različitih identifikatora;

Dakako, na razini jedne ustanove moguće je izgraditi autentikacijsko-autorizacijski sustav tako da se centralizira proces registracije korisnika, a autorizacijski podaci čuvaju se u središnjoj bazi podataka. Autentikacijsko-autorizacijski procesi tada se odvijaju između korisnika, resursa i središnjeg autentikacijsko-autorizacijskog sustava ustanove. Ostaje, međutim, otvoren problem autentikacije i autorizacije među različitim ustanovama. Naime, postoji:

  • Potreba korisnika iz jedne ustanove da rabe resurse koji pripadaju drugoj ustanovi;

  • Želja ustanove da dopusti uporabu svojih resursa korisnicima iz druge ustanove;

Rješenje problema inter-institucionalne autentikacije i autorizacije u implementaciji je AAI. Temelj AAI čine tri osnovne akcije koje se odvijaju između korisnika, njegove matične ustanove i resursa. AA proces čine:

  1. Autentikacija korisnika koju obavlja njegova matična ustanova.

  2. Prijenos korisnikovih autorizacijskih atributa od matične ustanove do vlasnika resursa; skup atributa koji se prenose mora biti konfigurabilan kako bi se ispunili zahtjevi vlasnika resursa, ali i štitila privatnost korisnika.

  3. Odluka o pristupu resursu koju donosi vlasnik resursa (autorizacija).

Uočimo da u ovom modelu nije spomenuto praćenje rada korisnika odnosno uporabe resursa. Vlasnik resursa može uspostaviti odgovarajući sustav praćenja rada odnosno utroška resursa (auditing, accounting). Neovisno o tome, sustav logiranja autentikacijskih zahtjeva može se uspostaviti i u matičnoj ustanovi.

Autentikacijski sustav matične ustanove, odnosno baza podataka o korisnicima, danas se u pravilu temelji na LDAP imeniku s odgovarajućom standardiziranom shemom, odnosno atributima koji obuhvaćaju skup autorizacijskih atributa. Pri definiranju te sheme nužna je suradnja matičnih ustanova i vlasnika resursa. Vlasnik resursa u procesu autorizacije može rabiti i neke dodatne autorizacijske atribute koje sprema i održava lokalno, u okviru svog pristupnog mehanizma.

Postoje različite arhitekture odnosno načini na koje je AAI implementirana. Valja uočiti kako konkretne implementacije nužno ovise o tipu resursa kojima se pristupa, kao i o izabranoj metodi autentikacije i autorizacije.

Dakako, najjednostavnija metoda autentikacije je uporaba lozinke koja mrežom može putovati kriptirana ili putem osiguranog komunikacijskog kanala. Svakako je sigurnija uporaba javnih ključeva i certifikata po PKI načelu, no ona je zahtjevnija za implemetaciju i uporabu, te o njoj treba razmišljati kao o nadgradnji, odnosno drugoj fazi implementacije AAI.
 

Model autentikacijske i autorizacijske infrastrukture

Opći model autentikacijske i autorizacijske infrastrukture (AAI) prikazan je na sljedećoj slici:

 

Opći model AAI@EduHr infrastrukture

Mogućnost primjene AAI vrlo je velika. AAI konceptom rješava se pristup:

  • mreži za individualne korisnike (modem, wireless, wired...)

  • računalnim resursima (grid, mrežni diskovi...)

  • osnovnim mrežnim uslugama (ssh/telnet, e-mail, ftp...)

  • Web resursima

  • mrežnim aplikacijama (on-line baze, udaljeno učenje...)

 

Osnova svake AAI jest sustav upravljanja elektroničkim identitetima. AAI@EduHr svoje polazište koncepcijski ima u distribuiranom sustavu imenika utemeljenih na LDAP standardu. Konkretna implementacija LDAP imenika u AAI@EduHr temelji se na hrEduPerson i hrEduOrg imeničkim shemama kojima se opisuju osobe odnosno matične ustanove u sustavu. Nadležnost nad imeničkim podacima o fizičkim i pravnim osobama, te informacijskim i drugim resursima imaju njihove matične ustanove. Te ustanove, kao jedine mjerodavne, trebaju kroz provođenje definiranih pravila i procedura osigurati informacijsku potpunost, konzistentnost i vjerodostojnost sadržaja imenika. Konkretna prava pristupa i/ili uporabe određuju vlasnici pojedinih resursa kroz pristupne mehanizme, kompatibilne, u smislu definiranih standarda i protokola s AAI@EduHr.

Arhitektura AAI@EduHr pojednostavljeno je prikazana na slijedećoj slici:

 

Pojednostavljeni prikaz arhitekture sustava AAI@EduHr

AAI komponentu na matičnoj ustanovi čine LDAP i RADIUS poslužitelji te AOSI web servis. Po izboru ustanove za održavanje sadržaja imenika može se rabiti AOSI klijent (web sučelje za administraciju imenika) ili se sadržaj imenika može administrirati kroz ISVU.

Izgrađena hijerarhija RADIUS poslužitelja vezanih uz LDAP imenike na ustanovama, uz odgovarajuće središnje tzv. proxy RADIUS poslužitelje, standardno se koristi kao temelj autenticiranog i autoriziranog pristupa mreži. Usporedno s RADIUS infrastrukturom, sustav jedinstvene autentikacije korisnika temeljen na SAML 2.0 standardu koristi se za autentikaciju i autorizaciju korisnika prilikom pristupanja web aplikacijama.

Višestupanjska autentikacija

Višestupanjska autentikacija (MFA, Multi-Factor Authentication) je vrsta autentikacije u kojoj je korisnik autenticiran nakon što se uspješno autenticira kombinacijom dvije ili više metoda autentikacije. Kombinira se autentikacija onim što korisnik zna (npr. korisnička oznaka i lozinka) , s autentikacijom putem onog što korisnik ima (npr. neki uređaj, pametna kartica) i/ili s autentikacijom putem korisnikovih biometrijskih podataka (npr. otisak prsta).

Dvostupanjska autentikacije (2FA) je višestupanjska autentikacija u 2 stupnja, u kojoj se koriste dvije metode autentikacije.

Sustav AAI@EduHr omogućava dvostupanjsku autentikaciju  na način da se kao prvi stupanj koristi metoda autentikacije korisničkom oznakom i lozinkom, a kao drugi stupanj neki od sustava koji generira jednokratne lozinke (tokene).

Korištenje dvostupanjske autentikacije u sustavu AAI@EduHr nije obavezno već ovisi o potrebama pojedine usluge.

Dvostupanjska autentikacija u AAI@EduHr prikazana je slijedećim dijagramom:
 

Dijagram prikaza dvostupanjske autentikacije

 

Postupak autentikacije obavlja se tako da se korisnik prvo autenticira korisničkom oznakom i lozinkom iz sustava AAI@EduHr koju je izdala njegova matična ustanova (autentikacija s onim sto korisnik zna) te se nakon toga obavlja autentikacija putem tokena nekog od sustava koji generiraju jednokratne tokene za autentikaciju (autentikacija onim što korisnik posjeduje).

Trenutno podržani sustavi koji generiraju jednokratne tokene su:

  • OTP (One Time Password) via SMS (uz korištenje mobilnog telefona korisnika) - korisnik upisuje token kojeg dobiva putem SMS-a na registirani telefonski broj
  • Yubico Yubikey (https://www.yubico.com) uređaj (kojeg korisnik mora posjedovati) - korisnik prenosi token putem Yubikey uređaja
  • TOTP (Time-based One Time Password) uz korištenje posebne aplikacije (npr. Google Authenticator, FreeOTP ili OpenOTP) koju korisnik mora instalirati na svoje računalo - korisnik upisuje token koji mu je izgenerirala aplikacija (temeljem registriranog tajnog ključa).

Prije prve dvostupanjske autentikacije korisnik mora registirati metodu (metode) koju će koristiti.  Ova registracija obavlja se automatski pri prvom pokušaju autentikacije, a podaci se čuvaju u središnjem sustavu AAI@EduHr te vrijede za sve usluge koje prihvaćaju odabranu metodu. Registraciju za korisnika može obaviti i matična ustanova ili administrator sustava koji generira jednokratne tokene.

Detaljne upute za krajnje korisnike.

Sustav AAI@EduHr zahtjeva od davatelja usluge da putem registra resursa zatraži dvostupanjsku autentikaciju s odabranim drugim stupnjem. Detaljne upute za davatelje usluga.

 

Središnji servisi

 

Uloga je središnjih servisa AAI@EduHr osigurati jednostavno, pouzdano i sigurno provođenje procesa autentikacije i autorizacije korisnika. Proces inicira korisnik prilikom pristupa nekom resursu koji je usklađen s AAI@EduHr standardom. AA komponenta resursa posredstvom središnjih servisa kontaktira AA komponentu na matičnoj ustanovi. Provodi se proces autentikacije odnosno provjere identiteta, a zatim i autorizacije na temelju podataka vezanih uz elektronički identitet korisnika.

Središnji servisi u sustavu AAI@EduHr su:

  • Središnji RADIUS proxy poslužitelji: primarno namjenjeni autentikaciji uz korištenje RADIUS protokola te stoga posebno primjenjivi u AA procesu kod pristupa mreži; koriste se i kao poveznica prema sustavu eduroam;
     
  • Središnji login servis sa Single Sign-On funkcionalnošću: omogućuje jedinstvenu autentikaciju korisnika uz uporabu HTTPS/SAML protokola te je primjenjiv u AA procesu mrežnim aplikacijama koje rabe HTTP(S) protokol. Koristi se i kao veza prema sustavu eduGAIN te kao sučelje prema sustavima sukladnim Shibboleth standardu;
     
  • Središnja baza metapodataka (MDS): sadrži podatke o svim elementima sustava te je nužna za rad ostalih središnjih servisa.

 

AAI@EduHr komponenta matične ustanove

AAI@EduHr komponentu sustava na matičnoj ustanovi čine:

  • LDAP imenik u kojem su pohranjeni podaci o elektroničkim identitetima;
     
  • RADIUS poslužitelj - primarno namjenjen autentikaciji prilikom spajanja na Internet;
     
  • AOSI - aplikacija za održavanje sadržaja imenika, web servis za održavanje LDAP imenika i dohvat podataka prilikom pristupanja web aplikacijama;


Shema AAI@EduHr komponente na matičnoj ustanovi prikazana je na sljedećoj slici:

 

AAI@EduHr komponenta sustava na matičnoj ustanovi

 

LDAP imeniku matične ustanove pristupa se putem odgovarajućeg RADIUS poslužitelja ili AOSI web servisa. Sustav AOSI je zamišljen i razvijen po modelu klijent-poslužitelj, kao otvoren, modularan i lako nadogradiv odnosno uskladiv s novim AAI tehnologijama i standardima. Oslanja se na tehnologiju Web servisa. Klijentskom komponentom sustava AOSI omogućeno je pouzdano, sigurno i efikasno upravljanje elektroničkim identitetima.