Autentikacijska i autorizacijska infrastruktura sustava znanosti i visokog obrazovanja u Republici Hrvatskoj
  • Hrvatski
  • English

Registracija korisnika za višestupanjsku autentikaciju

Sustav AAI@EduHr omogućuje dvostupanjsku autentikaciju korisnika za usluge koje tu mogućnost žele implementirati radi povećane razine sigurnosti.  Korištenje dvostupanjske autentikacije korisnika nije obavezno.

Dvostupanjska autentikacija izvodi se na način da se kao prvi stupanj koristi metoda autentikacije korisničkom oznakom i lozinkom (iz AAI@EduHr sustava), a kao drugi stupanj neki od sustava koji generira jednokratne lozinke (tokene).

Trenutno podržani sustavi koji generiraju jednokratne tokene su:

  • OTP (One Time Password) via SMS (uz korištenje mobilnog telefona korisnika) - korisnik upisuje token kojeg dobiva putem SMS-a na registirani telefonski broj
  • Yubico Yubikey (https://www.yubico.com) uređaj (kojeg korisnik mora posjedovati) - korisnik prenosi token putem Yubikey uređaja
  • TOTP (Time-based One Time Password) uz korištenje posebne aplikacije (npr. Google Authenticator, FreeOTP ili OpenOTP) koju korisnik mora instalirati na svoje računalo - korisnik upisuje token koji mu je izgenerirala aplikacija (temeljem registriranog tajnog ključa).

Prije prve dvostupanjske autentikacije korisnik mora registirati metodu (metode) koju će koristiti.  Ova registracija obavlja se automatski pri prvom pokušaju autentikacije, a podaci se čuvaju u središnjem sustavu AAI@EduHr te vrijede za sve usluge koje prihvaćaju odabranu metodu. Registraciju za korisnika može obaviti i matična ustanova ili administrator sustava koji generira jednokratne tokene.

VAŽNO!

  • Kada korisnik registrira metodu autentikacije za drugi stupanj primit će na elektroničku adresu zapisanu u njegovom elektroničkom identitetu poveznicu/link putem koje/kojeg mora potvrditi registraciju metode (autentikacijskog mehanizma). 
  • Za promjenu registriranih podataka vezanih uz neku metodu korisnik se mora obratiti mailom na adresu aai@srce.hr.

Napomena: Registraciju za korisnika može obaviti i matična ustanova ili administrator sustava koji generira jednokratne tokene.

Elektroničku adresu zapisanu u vašem elektroničkom identitetu, na koju će biti proslijeđena poveznica putem koje je potrebno potvrditi registraciju autentikacijskog mehanizma možete provjeriti na web-sjedištu MojAAI@EduHr (https://moj.aaiedu.hr).

 

Dodatne upute (ovisno o autentikacijskom mehanizmu)

 

OTP via SMS

Ako usluga kojoj pristupate za drugi stupanj autentikacije koristi SMS OTP mehanizam prikazuje se sučelje za registraciju kao na sljedećoj slici. Pri tome korisnik upisuje broj mobitela na koji će primati jednokratne tokene za drugi korak autentikacije. 

 

 

TOTP - (Time - Based One - Time Password Algorithm)

Ako usluga kojoj pristupate za drugi stupanj autentikacije koristi TOTP mehanizam, prikazuje se sučelje za registraciju kao na sljedećoj slici. Korisniku se ispisuje "Tajni kod" sa QR kodom. Za ovu metodu potrebno je na korisnikovo računalo ili mobilni uređaj preuzeti aplikaciju Google Authenticator  (ili neku sličnu aplikaciju, npr. FreeOTP ili OpenOTP) koja će generirati i ispisati jednokranu lozinku nakon izravnog unošenja "Tajnog koda" ili skeniranja QR koda. Kod je potrebno čuvati jer u slučaju promjene aplikacije koju koristite (npr. umjesto aplikacije Google Authenticator odlučili ste koristiti FreeTOTP) možete koristiti isti kod.

 

Yubico Yubikey

Ako usluga kojoj pristupate za drugi stupanj autentikacije traži korištenje Yubico Yubikey uređaja prikazuje se sučelje za registraciju Yubikey uređaja. Pri tome je potrebno priključiti Yubikey uređaj u računalo i dodirnuti gumb na uređaju (sticku) nakon čega će Yubikey ključ biti automatski aktiviran.  Nakon uspješne registracije, autentikacija se obavlja na isti način dodirom gumba na Yubikey uređaju.