Autentikacijska i autorizacijska infrastruktura sustava znanosti i visokog obrazovanja u Republici Hrvatskoj
  • Hrvatski
  • English

Sustav jedinstvene autentikacije korisnika

O sustavu jedinstvene autentikacije

Otvaranje korisničkog računa u Registru resursa

Što je resurs?

Postavljanje zahtjeva za registraciju resursa

Opći podaci resursa

Odabir autentikacijskog modula

CAS konfiguracija

SAML konfiguracija

RADIUS konfiguracija

Postupak odobravanja i obrade zahtjeva

Objašnjenje boja i indikatora statusa resursa


 


O sustavu jedinstvene autentikacije

Sustav jedinstvene autentikacije korisnika (engl. single Sign-On, SSO) je autentikacijski mehanizam koji omogućuje da se korisnik u sustav prijavi samo jednom i nakon toga pristupa svim aplikacijama koje koriste SSO servis bez potrebe za ponovnim unosom korisničke oznake i zaporke.

Uporaba Single sign-On servisa znatno poboljšava doživljaj korisnika prilikom prijavljivanja u veći broj aplikacija, za prijavu u sve aplikacije korisnik rabi isti elektronički identitet.

Za implementaciju SSO funkcionalnosti u sustavu AAI@EduHr koristi se Security Assertion Markup Language (SAML) 2.0 standard i to je jedini podržani način autentikacije za web aplikacije koje žele koristiti sustav AAI@EduHr za autentikaciju korisnika. Više informacija o AAI@EduHr sustavu jedinstvene autentikacije korisnika možete pronaći u prezentaciji.

Da bi aplikacija mogla koristiti AAI@EduHr SSO, potrebno je provesti registriraciju resursa u sustavu AAI@EduHr pomoću Registra resursa.

 


Otvaranje korisničkog računa u Registru resursa

Registracija novog resursa u sustavu AAI@EduHr, ažuriranje postavki resursa ili brisanje resursa obavlja se kroz web-aplikaciju Registar resursa.

Pristup Registru resursa dozvoljen je isključivo ovlaštenim predstavnicima davatelja usluga u sustavu AAI@EduHr. Davatelji usluga u sustavu AAI@EduHr mogu biti matične ustanove u sustavu AAI@EduHr ili partneri AAI@EduHr federacije.

Ako ste ovlašteni predstavnik davatelja usluge, trebate se registrirati (otvoriti korisnički račun) u Registru resursa nakon čega će administrator AAI@EduHr autorizirati vaš korisnički račun za puni pristup aplikaciji. Prvi korak je prijava u Registar resursa korištenjem AAI@EduHr elektroničkog identiteta ili neke od vjerodajnica kreiranih na društvenim mrežama (Facebook, Google, LinkedIn, Twitter). Gumb za prijavu nalazi se na desnom kraju navigacijske trake:

 

Na sljedećoj stranici potrebno je odabrati vjerodajnicu za prijavu:

 

 

Sljedeći korak registracije korisnika je popunjavanje postavki korisničkog profila. U polju Svrha registracije važno je navesti opravdan razlog potrebe korištenja Registra kako bi administrator sustava AAI@EduHr bio siguran da je korisnik dobro upoznat sa svrhom i namjenom Registra resursa te ga namjerava koristiti u smislene svrhe.

 

 

Po kliku na gumb "Spremi", vaš korisnički profil će biti zapamćen i postupak registracije dovršen, o čemu će biti obaviješteni administratori sustava AAI@EduHr. Na temelju informacija iz vašeg profila vašem će korisničkom računu naknadno biti omogućena (ili odbijena) autorizacija za puni pristup i korištenje Registra, o čemu ćete biti obaviješteni elektroničkom poštom.

 


Što je resurs?

Resurs je entitet u sustavu AAI@EduHr koji, osim što sadrži osnovne podatke o aplikaciji/usluzi koja koristi sustav AAI@EduHr, obuhvaća i aktivne konfiguracije svih autentikacijskih mehanizama kojima se navedena aplikacija/usluga služi u sustavu. Resurs se dakle sastoji od Općih podataka i autentikacijskih modula. U prvu skupinu spadaju općenite informacije poput naziva, opisa i vrste resursa skupa s nazivom ustanove s kojom je resurs povezan i pripadajućim kontaktima za podršku. Svaki resurs, da bi bio aktivan i funkcionalan, mora imati pridružen najmanje jedan od dostupnih autentikacijskih modula. Autentikacijski modul je segment koji sadrži skup konfiguracijskih parametara za CAS, SAML, FWS ili RADIUS protokol. Svaki resurs može imati najviše po jedan aut. modul za pojedinačnu vrstu autentikacije putem jednog od navedenih protokola, no autentikacijski mehanizmi time nisu ograničeni svaki na samo jedan poslužitelj. U svakom modulu može se uključiti više autentikacijskih poslužitelja s kojima aplikacija/usluga komunicira koristeći iste konfiguracijske parametre koje taj modul definira.

 


Postavljanje zahtjeva za registraciju resursa

S autoriziranim pristupom u Registar resursa imate pravo kreirati zahtjeve za registraciju novih, te mijenjanje ili brisanje postojećih resursa čiji ste administrator. Na navigacijskoj traci nalazi se poveznica za pregled postojećih resursa (Resursi) te poveznica do forme zahtjeva za registraciju novog resursa (Registracija resursa). Ako još za nijedan resurs niste navedeni kao administrator, popis sa prve poveznice bit će prazan. Kliknite na poveznicu Registracija resursa i otvorit će se forma za unos općih podataka. Detaljniji opis te forme nalazi se u nastavku.

 


Opći podaci resursa

Na vrhu forme za unos općih podataka o novom resursu nalazi se kvadratić s naslovom "Kao administrator usluge potvrđujem da će usluga biti pružana sukladno odredbama Pravilnika o ustroju AAI@EduHr". U kvadratić trebate staviti kvačicu kako biste potvrdili da prihvaćate uvjete korištenja AAI@EduHr infrastrukture definirane Pravilnikom o ustroju autentikacijske i autorizacijske infrastrukture sustava znanosti i visokog obrazovanja u Republici Hrvatskoj.   

 

 

U sljedećem nizu polja potrebno je unijeti podatke koji će u najvećoj mjeri biti javno dostupni korisnicima na stranici Aplikacije koje koriste sustav AAI@EduHr te je stoga bitno da podaci budu što jasniji i informativniji.

 

 

Naziv resursa i opis resursa mogu biti proizvoljni, no bitno je da krajnji korisnici iz naziva i opisa mogu nedvojbeno shvatiti koja je točna namjena resursa.

Osim ako se ne radi o nekoj već isprobanoj aplikaciji, za svaki novi resurs u sustavu AAI@EduHr koji je u fazi razvoja i testiranja u polju Vrsta resursa treba postaviti vrijednost "Test". Autentikacija za resurse koji su u fazi razvoja vrši se putem testne AAI@EduHr SSO infrastrukture čiji parametri su dostupni na web stranici AAI@EduHr Lab.

U padajućem izborniku Matična ustanova s kojom je resurs povezan potrebno je odabrati odgovarajuću matičnu ustanovu, osim u slučaju kad je resurs vezan za Partnera federacije. Tada je umjesto prvog obavezan drugi padajući izbornik: Partner federacije s kojim je resurs povezan. Izbor Globalne usluge s kojom je resurs povezan nije obavezan.

U polje URL sjedišta usluge treba unijeti adresu početne stranice aplikacije na kojoj se nalazi gumb/poveznica za prijavu korisnika potem sustava AAI@EduHr.

Ako postoji URL na kojem je dostupan logotip usluge, u polje treba unijeti direktan URL do datoteke logotipa. Preostala dva polja je potrebno popuniti ako postoje traženi podaci. 

U odjeljku Kontakti trebate unijeti podatke najmanje po jednog kontakta za svaku od sljedeće tri kategorije:

  • Podrška korisnicima
  • Tehnička podrška
  • Voditelj usluge

Podaci o voditelju proizvoda i tehničkoj podršci koriste se isključivo interno, tj. služe AAI@EduHr timu kao kontakt podaci u slučaju da se pojavi nekakav problem s aplikacijom.

Podaci o službi koja bi trebala pružati podršku krajnjim korisnicima dostupni su javno, tj. prikazuju se nakon što korisnik odabere odgovarajući resurs na popisu produkcijskih resursa dostupnom na web stranici Aplikacije koje koriste sustav AAI@EduHr.

 

 

Pri dnu forme za unos općih podataka nalazi se tablica s popisom svih osoba koje su evidentirane u bazi Registra resursa. Ako želite da još netko osim vas ima mogućnost ažuriranja podataka o resursu, označite te osobe dodavanjem polja i odabirom tih osoba s liste.

 

 

Klikom na gumb Zatraži registraciju na dnu forme poslat ćete zahtjev. Čim to učinite trebate nastaviti i odabrati odgovarajući autentikacijski modul novoga resursa. Upute za taj dio slijede u nastavku.

 


Odabir autentikacijskog modula

Svaki funkcionalan resurs mora imati najmanje jedan pridruženi autentikacijski modul. Ako se radi o novom resursu za kojega je netom kreiran zahtjev s općim podacima za registraciju, na stranici resursa će se, uz karticu "Opći podaci" nalaziti nova kartica Odabir autentikacijskog modula.

 

 

U slučaju da se radi o resursu s pridruženim nekim autentikacijskim modulom, a koji nema već pridružene sve vrste aut. modula, kartica Dodaj modul nalazit će se izdvojena uz desni rub stranice.

 

 


CAS konfiguracija

Ako odaberete modul za CAS autentikaciju, dobit ćete sljedeću formu:

 

 

Parametri CAS konfiguracije obuhvaćaju:

  • Atribut koji će se isporučuje kao jedinstveni identifikator korisnika
  • Izbor isporuke svih korisničkih atributa
  • Popis URL-ova poslužitelja s kojeg stižu autentikacijski zahtjevi - moguće je dodavanje polja te višestruki unos URL-ova klikanjem na gumb '+'

 


SAML konfiguracija

Nakon odabira za unos SAML konfiguracije, korisnik dobiva formu koja se sastoji od:

  • Općih postavki:
    • AuthModule - Autentikacijski modul koji aplikacija koristi
    • AttributeMapping - Shema po kojoj se mapiraju atributi
    • ValidateAuthnRequest - Ovjeravanje autentikacijskog zahtjeva
    • ValidateLogoutRequest - Ovjeravanje odjavnog zahtjeva
    • NameIDAttribute - Atribut koji se koristi za generiranje parametra "nameID"
    • NameIDFormat - Format parametra "nameID"
    • NameIDEncryption - Kriptiranje parametra "nameID"
    • EncryptAssertion - Kriptiranje dijela autentikacijskog odgovora koji sadrži korisničke podatke
    • RedirectValidate - Ovjeravanje zahtjeva za preusmjeravanje
    • ForceAuthn - Zahtijevanje autentikacije prilikom svake prijave (ignoriranje SSO sjednice)
    • SignAssertion - Digitalno potpisivanje dijela autentikacijskog odgovora koji sadrži korisničke podatke
    • SignResponse - Digitalno potpisivanje autentikacijskog odgovora
    • SignLogout - Digitalno potpisivanje zahtjeva za odjavu
    • IdpCertFile - Datoteka koja sadrži certifikat davatelja identiteta
    • SpCert - Certifikat (javni ključ) davatelja usluge
       
  • Postavki za SAML metapodatke:
    • EntityID - Jedinstveni identifikator resursa jednoznačno određuje vašu aplikaciju na razini AAI@EduHr federacije.
    • AssertionConsumerService URL - Adresa na koju sustav jedinstvene autentikacije preusmjerava korisnikov web preglednik nakon uspješne autentikacije.
    • SingleLogoutService URL - Adresa na koju sustav jedinstvene autentikacije preusmjerava korisnikov web preglednik nakon uspješne obrade zahtjeva za odjavu

  • Popisa za odabir atributa koje sustav isporučuje resursu (potrebno je željene atribute preseliti iz lijevog u desni popis klikom na svakog od njih)      

 

Dozvoljeno je označiti isključivo one atribute koji su potrebni za funkcioniranje vaše aplikacije. Ako se naknadno pokaže da sustav AAI@EduHr vašoj aplikaciji treba isporučivati i još neke dodatne atribute, isporuku dodatnih atributa možete postaviti u zahtjevu za izmjenu SAML konfiguracije klikom na gumb Uredi u kartici "SAML konfiguracija" na stranici resursa.

Važno je napomenuti da su pojedini atributi u sustavu AAI@EduHr opcionalni. Ovisno o tome je li za neki atribut unesena vrijednost ili ne, sustav AAI@EduHr može ili ne mora isporučiti te atribute. Također, atributi u podskupini Lokalni atributi ustanove su specifični za domenu skole.hr i druge ustanove u sustavu AAI@EduHr ih ne koriste. Više informacija o standardnim atributima koje sustav AAI@EduHr može isporučiti vašoj aplikaciji možete pronaći na web stranici hrEdu imeničke sheme.

Ovisno o programskom jeziku u kojem je vaša aplikacija napisana, vrijednosti navedenih parametara za SAML metapodatke možete pronaći u odgovarajućoj konfiguracijskoj datoteci ili na određenoj web adresi:

Moguće je za resurs unijeti više skupina parametara za SAML metapodatke klikanjem na gumb '+'.

 


RADIUS konfiguracija

Kod odabira konfiguracije za RADIUS modul dobivamo sljedeću formu za unos postavki RADIUS poslužitelja:

 

 

  • serverIP - IP adresa RADIUS poslužitelja koji šalje upite
  • serverPort - Port RADIUS poslužitelja
  • requestTimeout - Maksimalno vrijeme čekanja na odgovor
  • retries - Maksimalan broj ponavljanja upita
  • aaiAuthz
  • operatorName - Ime operatora
  • sharedSecret - Javni ključ

Moguće je dodati više RADIUS poslužitelja za resurs klikanjem na gumb '+'.

 


    Postupak odobravanja i obrade zahtjeva

    U Registru resursa postoji nekoliko vrsta zahtjeva koji korisnik može postavljati nad pojedinim resursom. To su:

    1. Zahtjev za registraciju resursa
    2. Zahtjev za brisanje resursa
    3. Zahtjev za izmjenu Općih podataka resursa
    4. Zahtjev za dodavanje nekog od dostupnih autentikacijskih modula resursu
    5. Zahtjev za izmjenu konfiguracije nekog od pripadajućih autentikacijskih modula
    6. Zahtjev za brisanje nekog od pripadajućih autentikacijskih modula resursa

    Prva dva tipa zahtjeva odnose se na resurs kao cjelinu skupa sa aut. modulima, ako postoje. Primjerice, zahtjev za brisanje resursa podrazumijeva automatsko brisanje i svih njegovih modula. Ostale vrste zahtjeva odnose se na dijelove resursa; konkretno na njegove Opće podatke ili autentikacijske module pojedinačno.

    Kad autorizirani korisnik (odnosno administrator resursa) postavi neki od navedenih zahtjeva, o njegovom postavljanju obaviještavaju se odgovorne osobe ustanove za koju je resurs vezan (postavka "Matična ustanova s kojom je resurs povezan" u Općim podacima) i administratori sustava AAI@EduHr. Svaki se zahtjev, dakle, šalje na uvid odgovornoj osobi matične ustanove i na razmatranje administratoru AAI@EduHr. Da bi administrator AAI@EduHr prihvatio i proveo zahtjev nad resursom, zahtjev mora:

    1. biti ispravan
    2. imati odobrenje odgovorne osobe 

    Opis postupka odobravanja i provedbe zahtjeva za registraciju resursa s pripadajućim aut. modulom koje ste kreirali u prethodnim koracima ovih uputa slijedi u nastavku. 

    Napomena: U slučaju da je resurs povezan s partnerom federacije (umjesto s matičnom ustanovom sustava AAI@EduHr) ili da je autorizirani korisnik/administrator resursa ujedno i odgovorna osoba mat. ustanove, intervencija odgovorne osobe kao i slanje obavijesti u tu svrhu se ne izvode u postupku provedbe zahtjeva nad resursom.

    Ako ste ispunili odgovarajuće forme za registraciju resursa i dodavanje aut. modula te poslali zahtjeve klikom na gumb Zatraži... na svakoj od njih, obavijesti o pojedinom zahtjevu poslane su putem elektroničke pošte na adrese odgovornih osoba i administratora AAI@EduHr. Na dnu stranice s prikazom resursa za administratora stoji obavijest "Zatražene radnje čekaju odobrenje odgovorne osobe matične ustanove."

     

     

    Kad se odgovorna osoba prijavi u Registar resursa i otvori istu stranicu, na dnu će joj stajati prikazana kratka uputa i gumb Odobravam postupak.

     

     

    Ako je pregledala sve zatražene radnje nad resursom te je sa svima njima suglasna, odgovorna osoba treba kliknuti na spomenuti gumb i time će odobriti sve zahtjeve. Nakon toga, na stranici se administratoru resursa prikazuje obavijest "Zatražene radnje su odobrene i čekaju obradu kod administratora AAI@EduHr."

     

     

    Sad na red dolazi administrator AAI@EduHr koji još jednom provjerava unesene podatke. Ako je sve u redu, administrator AAI@EduHr će prihvatiti zahtjeve i provesti kompletan postupak (sve zatražene radnje) nad resursom. U slučaju da postoje neki nedostaci, administrator će ispravne zahtjeve provesti, a one s greškom odbiti uz obrazloženje koje će biti prikazano na stranici kako biste nedostatke mogli otkloniti. O uspješnom zaključenju postupka, odnosno o odbijenim zahtjevima bit ćete obaviješteni putem elektroničke pošte. 

    Napomena: autentikacija s novounesenim postavkama proradit će u roku od najviše pet minuta od trenutka provedbe zatraženih zahtjeva.

     


    Objašnjenje boja i indikatora statusa resursa

    Aplikacija Registra resursa na više mjesta koristi kombinacije ikona, boja i specifičnih izraza kako bi korisniku prenijela bitne informacije kroz što jednostavnije sučelje. Stranica s prikazom resursa sastoji se od nekoliko cjelina koje svojim izgledom i sadržajem upućuju na određeno stanje u kojem se resurs nalazi. Na samom vrhu je glavni naslov s imenom resursa ispisanim velikim tekstom. Ispod njega je pozicija rezervirana za poruke koje se odnose na resurs u cjelini, dok je niže, u prostoru za sadržaj otvorene kartice pozicija na kojoj se pojavljuju upozorenja vezana uz segment koji prikazuje otvorena kartica (Opći podaci ili neki od autentikacijskih modula).

     

     

    Pozadinska boja oko imena resursa upućuje na to je li resurs aktivan i postoji li neki otvoreni zahtjev nad njime ili ne. Ako je pozadina siva, resurs je neaktivan. U tom slučaju uobičajeno na stranici stoji i dodatna obavijest zašto je to tako te što treba napraviti da bi se problem riješio. Žuta pozadina upozorava da je nad resursom otvoren jedan ili više zahtjeva, tj. da se nad njime vodi neki postupak. Tamnoplava pak znači da je resurs aktivan te da nema otvorenih zahtjeva nad njime; to je dakle stanje u kojem nikakva akcija nije potrebna. Primjer prikaza aktivnog resursa bez otvorenih zahtjeva nalazi se na slici:

     

     

    U slučaju da nad resursom postoje otvoreni zahtjevi, kartica segmenta na koji se pojedini zahtjev odnosi prikazuje poruku s opisom zatražene radnje. Također, uz naslov te kartice je i ikona vezana uz vrstu radnje:

    1. zvjezdica (  ): registracija/dodavanje
    2. ključ (  ): modifikacija
    3. minus (  ): brisanje

     

     

    Kad administrator AAI@EduHr zbog uočene pogreške odbije zahtjev, resurs zadržava žutu boju jer taj zahtjev i dalje postoji, tj. čeka da korisnik koji ga je kreirao ispravi grešku. Poruka na razini cijelog resursa upozorava da je odbijen jedan ili više zahtjeva. Da bismo ga lakše pronašli, njegova kartica ima ikonu uskličnika (  ) u naslovu. Kad je otvorimo, u njoj ćemo uočiti upozorenje narančaste boje koje uz radnju koja je odbijena navodi i obrazloženje (ako ga je administrator naveo prilikom odbijanja):

     

     

    Napomena: upozorenja narančaste boje upućuju na pogrešku ili propust korisnika.

    U popisu resursa izlistani su svi resursi kojima je korisnik administrator ili su vezani za matičnu ustanovu za koju je korisnik odgovorna osoba u sustavu AAI@EduHr. Popis resursa podijeljen je na dvije kartice od kojih jedna prikazuje aktivne, a druga neaktivne resurse. Resurs je aktivan ako je registriran te ima najmanje jedan pridružen autentikacijski mehanizam (modul) koji je u funkciji. 

     

     

    U svakom od stupaca koji predstavljaju autentikacijske module trenutno dostupne u Registru resursa nalazi se ikona-indikator njihovog statusa. Postoje četiri vrste indikatora:

    1. zelena kvačica (  ): označava da je modul aktivan
    2. smeđa kvačica (  ): označava da je modul aktivan, no nad njim je otvoren zahtjev
    3. sivi križić (  ): označava da nema aktivnog modula
    4. smeđi križić (  ): označava da nema aktivnog modula, no otvoren je zahtjev za njegovo dodavanje

    Klikanje bilo gdje u retku otvorit će stranicu s prikazom pojedinosti o resursu i pripadajućim modulima.

    Kao što je već spomenuto, resurs je neaktivan ako još nije registriran ili ako nema pridružen funkcionalni autentikacijski modul. U stupcu Stanje u kartici s neaktivnim resursima evidentiramo tri tipa statusa u kojim resurs vodimo kao neaktivan: 

    1.  nedostaje autentikacijski mehanizam - zatražena je registracija resursa, no uz nju još nije zatražen autentikacijski modul
    2.  registracija resursa čeka odobrenje - zatražena je registracija resursa skupa s aut. modulom, no postupak još nije odobren i proveden
    3.  autentikacijski modul čeka aktivaciju - resurs je registriran, no postojeći zahtjev za dodavanje aut. modula još nije odobren i proveden

     

     

    Ako kliknemo na resurs koji čeka registraciju, ali mu nedostaje zahtjev za dodavanje aut. modula, otvorit će se prikaz sličan ovome:

     

     

    Odmah ispod imena resursa stoji obavijest da je uz zahtjev za registraciju potrebno dodati još i zahtjev za autentikacijski modul.