Autentikacijska i autorizacijska infrastruktura sustava znanosti i visokog obrazovanja u Republici Hrvatskoj
  • Hrvatski
  • English

Virtualne organizacije

1. Koncept virtualnih organizacija

Klasični model autentikacijsko-autorizacijske infrastrukture (AAI) u kojem postoje matična ustanova (davatelj elektroničkih identiteta) i davatelj usluge ne može u potpunosti odgovoriti na sve potrebe davatelja usluga vezane uz podatke (atribute) koji se koriste u procesu autorizacije prilikom pristupanja nekom mrežnom resursu ili aplikaciji. Model AAI proširuje se stoga dodatnim izvorima informacija, odnosno repozitorijima atributa, koji su provjereni i pouzdani izvor dodatnih podataka o nekoj fizičkoj osobi.

Koncept virtualnih organizacija zamišljen je i realiziran kao vanjski repozitorij atributa koji služe kao nadopuna podacima pohranjenim u LDAP imenicima matičnih ustanova. Tim se konceptom nastoji davatelju usluge osigurati sve potrebne atribute za proces autorizacije, kao i potpunu ili barem djelomičnu kontrolu nad autorizacijskim atributima. Više informacija o konceptu virtualnih organizacija možete pronaći u dokumentu Analiza koncepta višestrukih repozitorija atributa.

U sustavu AAI@EduHr virtualne organizacije su implementirane kao dodatni modul unutar sustava jedinstvene autentikacije korisnika (Single Sign-On sustava). Način implementacije virtualnih organizacija prikazan je na slici 1.

 

Slika 1. Implementacija virtualnih organizacija u sustavu AAI@EduHr

 

Za isporuku atributa definiranih unutar virtualnih organizacija koristi se SAML 2.0 protokol koji se koristi i za isporuku atributa pohranjenih u LDAP imenicima matičnih ustanova. Prednost ovakvog pristupa je u tome da niti jednu aplikaciju koja koristi Single Sign-on sustav nije potrebno posebno prilagođavati za dohvat atributa iz repozitorija virtualnih organizacija. Određeni nedostatak predstavlja činjenica da virtualne organizacije trenutno mogu koristiti samo resursi koji za autentikaciju i dohvat korisničkih podataka koriste AAI@EduHr Single Sign-On sustav.

Da bi se omogućilo kreiranje virtualnih organizacija te efikasno upravljanje podacima o članstvu, nužno je postojanje odgovarajućeg web sučelja koje administratorima virtualnih organizacija olakšava i ubrzava rad. U nastavku je opisana aplikacija za administraciju virtualnih organizacija u sustavu AAI@EduHr.

 

2. Kreiranje virtualne organizacije

Zahtjev za kreiranjem nove virtualne organizacije može se postaviti putem web sučelja za administraciju virtualnih organizacija.

Prilikom kreiranja virtualne organizacije potrebno je unijeti

  • Naziv virtualne organizacije - može sadržavati najviše 128 znakova. Za naziv je dozvoljeno koristiti slova (bez dijakritičkih znakova), brojke te znakove '.', '-' i '_'. Poželjno je da naziv bude što kraći i da barem djelomično odgovara nazivu aplikacije kojoj će virtualna organizacija isporučivati atribute;
     
  • Opis virtualne organizacije - može sadržavati do 255 znakova;

U pravilu bi za jedan proizvod, projekt ili grupu korisnika trebala biti dovoljna jedna virtualna organizacija. Naravno, za različite proizvode ili projekte jedna osoba može zatražiti kreiranje više različitih virtualnih organizacija.

Važno je napomenuti da virtualna organizacija neće biti kreirana odmah nakon postavljanja zahtjeva, već zahtjev treba odobriti netko od administratora sustava AAI@EduHr.

 

3. Administracija virtualnih organizacija

Administracija atributa i članova virtualnih organizacija vrši se putem web sučelja za administraciju virtualnih organizacija.

Administratorskom sučelju mogu pristupiti samo korisnici koji imaju elektronički identitet u sustavu AAI@EduHr i kojima su dodijeljene administratorske ovlasti nad barem jednom virtualnom organizacijom. Nakon prijavljivanja u aplikaciju, administratoru će se prikazati sučelje kao što je prikazano na slici 2.

 

Slika 2. Početno sučelje za administraciju virtualnih organizacija

 

Ako vam se nakon prijavljivanja ispiše poruka "Nemate ovlasti koristiti ovu aplikaciju!", to najvjerojatnine znači da vam nisu dodijeljene administratorske ovlasti niti nad jednom virtualnom organizacijom.

Sučelje za administraciju sastoji se od tri dijela. Na lijevoj strani nalazi se popis virtualnih organizacija koje korisnik može administrirati. Na desnoj strani nalazi se prozor s opcijama za ažuriranje podataka u odabranoj virtualnoj organizaciji. Administratoru su na raspolaganju sljedeće opcije:

  • Resursi
  • Članovi virtualne organizacije
  • Administratori virtualne organizacije
  • Atributi
  • Postavljanje vrijednosti atributa
  • Pozivnica

Prozor s opcijama je inicijalno prazan, a popunit će se informacijama nakon što u izborniku s lijeve strane odaberete virtualnu organizaciju koju želite administrirati.

Pri dnu sučelja nalazi se prozor u kojem se ispisuju poruke o uspješno obavljenim izmjenama u odabranoj virtualnoj organizaciji ili poruke o eventualnim greškama prilikom ažuriranja podataka. U nastavku su detaljnije objašnjena svaka od pojedinih administratorskih opcija.
 

3.1. Resursi

Odabirom ove opcije adminsitrator dobiva popis resursa koji koriste sustav jedinstvene autentikacije i kojima je moguće isporučivati atribute kreirane unutar virtualnih organizacija.

Slika 3. Sučelje za odabir resursa kojima će virtualna organizacija isporučivati atribute

 

Postavljanjem kvačice ispred resursa odabirete resurse za koje želite da im vaša virtualna organizacija isporučuje korisničke atribute. Nakon što označite resurse kojima želite isporučivati atribute morate kliknuti na opciju Pohrani odabrane podatke kako bi se podaci ažurirali u bazi virtualnih organizacija.
 

3.2. Članovi virtualne organizacije

U ovom prozoru prikazani su svi postojeći članovi odabrane virtualne organizacije. Da biste u virtualnu organizaciju mogli dodati nove članove, morate znati njihove korisničke oznake u sustavu AAI@EduHr. Alternativno, ako ne znate korisničke oznake potencijalnih članova virtualne organizacije, a znate njihove e-mail adrese, možete im elektroničkom poštom poslati "pozivnicu" za učlanjenje. Dodavanje novih članova slanjem pozivnice opisano je u cjelini 3.6.

 

Slika 4. Sučelje za administraciju članova odabrane virtualne organizacije

 

Pri dnu sučelja za administraciju članova nalaze se dvije opcije: Obriši odabrane članove i Dodaj nove članove. Zbog načina na koji aplikacija za administraciju virtualnih organizacija funkcionira, nakon kreiranja nove virtualne organizacije jedan od članova virtualne organizacije bit će član AAI@EduHr tima koji je kreirao virtualnu organizaciju. Tog člana je potrebno obrisati na način da ga se označi kvačicom i odabere se opcija Obriši odabrane članove. Klikom na opciju Dodaj nove članove otvorit će se prozor s tekstualnim poljem u koje možete unijeti korisničke oznake osoba koje želite dodati u odabranu virtualnu organizaciju. Prilikom dodavanja novih članova aplikacija sama dohvaća ime i prezime svakog člana. Ako se nakon dodavanja za nekog korisnika u tablici ne ispisuje njegovo ime i prezime, provjerite jeste li za tog člana unijeli ispravnu korisničku oznaku.

Također ja važno naglasiti da članovi virtualne organizacije ne moraju pripadati matičnoj ustanovi kojoj pripada administrator. Bilo koja osoba koja posjeduje elektronički identitet u sustavu AAI@EduHr može biti član bilo koje virtualne organizacije.

 

3.3. Administratori virtualne organizacije

Administratorske ovlasti mogu se dodijeliti isključivo postojećim članovima virtualne organizacije. Klikom na opciju Administratori virtualne organizacije dobit ćete tablicu s prikazom svih članova virtualne organizacije.

 

Slika 5. Sučelje za dodjeljivanje administratorskih ovlasti

 

Članovi koji imaju administratorske ovlasti u tablici su označeni kvačicom. Da biste nekom članu dodijelili ili ukinuli administratorske ovlasti stavite ili uklonite kvačicu uz njegovu korisničku oznaku i kliknite na gumb Postavi administratorske ovlasti odabranim članovima kako bi se podaci ažurirali u bazi virtualnih organizacija.

Da bi se osiguralo da u svakoj virtualnoj organizaciji u bilo kojem trenutnu postoji barem jedan član s administratorskim ovlastima, administrator ne može sam sebi ukinuti administratorske ovlasti.

 

3.4. Atributi

Odabirom Opcije Atributi prikazat će se tablica s popisom svih atributa definiranih unutar pojedine virtualne organizacije.

 

Slika 6. Sučelje za dodavanje i brisanje atributa

 

Sustav AAI@EduHr atribute definirane unutar virtualnih organizacija isporučuje u slijedećem obliku:

naziv_virtualne_organizacije:naziv_atributa = vrijednost_atributa

Isporuka atributa u takvom obliku omogućuje da unutar različitih virtualnih organizacija budu definirani atributi istog naziva.

Atributi se dodaju i brišu na isti način kao i članovi virtualne organizacije. Važno je napomenuti da je atribut voMember unaprijed definiran za svakog člana bilo koje virtualne organizacije. Taj atribut označava da je osoba član neke virtualne organizacije i njegova vrijednost je uvijek true.

 

3.5. Postavljanje vrijednosti atributa

Kroz ovo sučelje administrator može za svakog člana virtualne organizacije postavljati vrijednosti atributa definiranih unutar te virtualne organizacije.

 

Slika 7. Sučelje za postavljanje vrijednosti atributa

 

Sučelje se sastoji od dviju tablica. U gornjoj tablici nalazi se popis svih članova odabrane virtualne organizacije. Klikom na nekog od članova u toj tablici u doljnjoj tablici ispisat će se popis svih atributa definiranih unutar odabrane virtualne organizacije, kao i vrijednosti svakog od atributa za odabranog korisnika. Aktualna verzija aplikacije za administraciju virtualnih organizacija za svakog korisnika dozvoljava unos samo jedne vrijednosti za svaki atribut. Za atribute koji nemaju definiranu vrijednost u tablici je kao vrijednost navedeno prazno polje i ti atributi se ne isporučuju aplikacijama.

Napomena: Ako za nekog korisnika želite poništiti vrijednost pojedinog atributa, kliknite na naziv atributa i u prozoru koji će vam se otvoriti nemojte upisati ništa nego samo kliknite na gumb OK.

 

3.6. Pozivnica

Ako ne znate korisničku oznaku jedne ili više osoba koje želite dodati u virtualnu organizaciju, a znate njihove e-mail adrese, odabirom opcije Pozivnica prikazat će vam se poveznica (URL) preko koje možete te osobe pozvati da se "učlane" u vašu virtualnu organizaciju.

Slika 8. Pozivnica za članstvo u virtualnoj organizaciji

 

Svaka poveznica, odnosno URL jednoznačno određuje virtualnu organizaciju kojoj pripada. Elektroničkom poštom pošaljite taj URL svim osobama koje želite dodati u virtualnu organizaciju, a svatko od njih će morati kliknuti na tu poveznicu i prijaviti se uporabom svog AAI@EduHr elektroničkog identiteta u sučelje za učlanjivanje u virtualnu organizaciju.

 

4. Primjer primjene virtualnih organizacija

Radi lakšeg razumijevanja koncepta virtualnih organizacija, u nastavku je opisana jedna od mogućih primjena virtualnih organizacija.
Pretpostavimo da određenoj aplikaciji, npr. Internim web stranicama nekog sveučilišta, smiju pristupiti samo ovlaštene osobe s pojedinih fakulteta. U standardno iskonfiguriranim LDAP imenicima matičnih ustanova ne postoji atribut koji bi označavao da netko treba imati pristup internom webu Sveučilišta.
Osim toga, čak i kad bi takav atribut postojao, obzirom da osobe koje pristupaju internim web stranicama sveučilišta dolaze s velikog broja različitih fakulteta, nije jednostavno osigurati da u LDAP imenicima svih fakulteta atributi koji se odnose na navedenu aplikaciju budu ažurni.
Da bi se eliminirali prethodno navedeni nedostaci, za kontrolu pristupa internom webu moglo bi se definirati virtualnu organizaciju "interni_web_sveucilista" i u nju dodati sve osobe koje trebaju imati pristup internom webu. Prilikom prijavljivanja u aplikaciju, AAI@EduHr sustav će za svakog takvog korisnika aplikaciji isporučiti atribut:

interni_web_sveucilista:voMember=true

na temelju kojega će korisniku biti omogućen pristup aplikaciji. Ovo je najjednostavniji primjer primjene virtualnih organizacija jer je za potrebe autorizacije dovoljno kreirati virtualnu organizaciju i u nju dodati korisnike koji trebaju imati pristup aplikaciji.
U nešto kompliciranijem slučaju možemo pretpostaviti da svi korisnici koji imaju pristup internom webu smiju dohvaćati sve sadržaje s tog weba, ali samo određeni korisnici (administratori) smiju stavljati nove sadržaje na web. Za takvu, finiju, kontrolu pristupa potrebno je unutar virtualne organizacije definirati novi atribut, npr. status, koji će imati dvije vrijednosti:

interni_web_sveucilista:status=korisnik

ili:

interni_web_sveucilista:status=administrator

i na temelju kojega će aplikacija odlučivati smije li korisnik stavljati nove sadržaje na web ili ima samo ovlasti dohvaćanti postojeće sadržaje s internog weba sveučilišta.

 

5. Dodatne inormacije i odgovori na pitanja

Za sve dodatne informacije i odgovore na eventualna pitanja kontaktirajte nas elektroničkom poštom na aai@srce.hr