Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Sdílení uživatelských identit Petr Žabička, Moravská zemská knihovna v Brně.

ZveřejnilJosef Prokop

Podobné prezentace

Prezentace na téma: "Sdílení uživatelských identit Petr Žabička, Moravská zemská knihovna v Brně."— Transkript prezentace:

1 Sdílení uživatelských identit Petr Žabička, Moravská zemská knihovna v Brně

2 Obsah 1.Proč sdílet identity? 2.Federace identit 3.Současný stav 4.Koncepce rozvoje knihoven 5.Implementace 6.Závěr

3 Proč sdílet identity? ⁄V rámci knihovny: knihovny poskytují řadu online aplikací a služeb ⁄Katalog / discovery systém ⁄Digitální knihovna ⁄Web (prémiový obsah/služby pro registrované) ⁄Vzdálený přístup do placených databází ⁄Přístup na Internet, wifi ⁄Tisk / kopírování a systém jejich správy ⁄Platební systém ⁄a další... ⁄...ale dávat uživatelům přístupová práva do každého systému samostatně je drahé a nepraktické

4 Proč sdílet identity? ⁄Uživatel by se měl do všech aplikací hlásit stejným jménem a heslem ⁄Úspora času uživatele i personálu ⁄Identita (přístupové údaje) by měla být spravována na jednom místě ⁄Zajištění konzistence údajů ⁄Zvýšení bezpečnosti ⁄Využití LDAP ⁄Uživatel by se měl přihlásit jen jednou – přihlášení společné pro více aplikací ⁄Bezešvý přechod mezi aplikacemi ⁄Využití Shibboleth

5 Proč sdílet identity? ⁄Mezi knihovnami: ⁄Jediná knihovna nemusí splnit všechny požadavky uživatele ⁄Řadu online databází má zakoupenu jen jedna nebo několik knihoven, jejichž registrovaní uživatelé k nim však mohou přistupovat vzdáleně ⁄Knihovny mohou poskytovat služby s přidanou hodnotou širšímu spektru uživatelů ⁄Identita uživatele se ověřuje jen jednou – u důvěryhodné instituce ⁄Další se pak mohou rozhodnout, zda dané instituci věří ⁄Přínosy pro uživatele ⁄Není nutné jezdit se do vzdálené knihovny registrovat ⁄Je šikovné když se osobní údaje nemusejí pokaždé znovu zadávat ⁄Bylo by úžasné, kdyby uživatel vystačil s jednou identitou a nemusel si pamatovat pro každou knihovnu samostatné jméno a heslo

6 Federace identit ⁄Skupina navzájem si důvěřujících organizací ⁄Členské instituce důvěřují, že uživatelé z jiných zapojených institucí jsou opravdu těmi za koho se vydávají ⁄Mohou ale nemusejí uživatelům z jiných institucí poskytovat své služby ⁄Usnadnění přístupu ke službám třetích stran – společná konfigurace pro celou federaci ⁄Každá instituce vymáhá u svých členů dodržování pravidel platných v rámci federace ⁄Pro čistě online služby není nutno předávat osobní údaje – ty drží registrující instituce ⁄Pro služby s přidanou hodnotou ale pouhý identifikátor osoby nestačí (zaslání mailu, SMS, zásilky poštou apod.) ⁄V rámci téže federace dostanu různé služby, pokud se hlásím svými identitami od různých členů federace!

7 Federace identit ⁄Základní pojmy ⁄Autentizace = ověření identity ⁄Autorizace = oprávnění využívat služby ⁄Identity provider (IdP) = správa identit ⁄Atributová autorita (AA) = správa informací o oprávněních ⁄Service provider = poskytovatel služeb na základě informací od IdP a AA

8 Federace identit u nás ⁄eduroameduroam ⁄Umožňuje členům připojených organizací zabezpečené wifi připojení v libovolné členské organizaci bez nutnosti registrace v těchto institucích ⁄Protokol RADIUS ⁄eduID.czeduID.cz ⁄Propojuje převážně vysoké školy ⁄Umožňuje sdílení online služeb mezi vzájemně si důvěřujícími institucemi ⁄Technologie Shibboleth/SAML

9 Současný stav v MZK ⁄Nasazen LDAP ⁄vlastní řešení nad databází Alephu s využitím OpenLDAP ⁄volně dostupné na http://code.google.com/p/ldap-aleph/http://code.google.com/p/ldap-aleph/ ⁄Tam kde je to možné zprovozněn Shibboleth ⁄Aleph, web (Drupal), Ezproxy, wifi,... ⁄Tam kde to možné není, zůstává LDAP ⁄eduroam, SafeQ, internet (PC, iMac, SunRay),... ⁄Člen eduroam a eduID ⁄Testování služby mojeID

10 Koncepce rozvoje knihoven ⁄Ideální stav: ⁄Uživatel má jedinou identitu, tu uznávají všechny knihovny ⁄Realita: ⁄Nutná podmínka: důvěra v registrující instituci ⁄Nutno řešit smluvně ⁄Neoprávněné používání téže identity více lidmi ⁄Různá práva/služby v různých institucích ⁄Cena některých produktů a služeb se stanovuje na základě počtu registrovaných uživatelů

11 Koncepce rozvoje knihoven ⁄Možnosti: ⁄1) Centrální registrace/centrální identity provider ⁄Stát...? OP jako průkazka? ⁄Nyní nerealizovatelné, ale Velký bratr nespí... ⁄2) Registruje se jen jedenkrát v rámci skupiny/federace ⁄Registruje každá knihovna ⁄Knihovny si navzájem věří a samy neregistrují ⁄Nejmenší obtěžování uživatele ⁄Jak řešit komunikaci s uživatelem (pošta, e-mail, SMS,...)? ⁄Co registrační poplatky? ⁄Jak řešit přestupky uživatelů spáchané u jiné než registrující instituce? ⁄Lze postihovat uživatele za přestupky spáchané v jiné knihovně? ⁄Vede k požadavku na společný průkaz a společnou databázi uživatelů ⁄Lze takto sdílet osobní údaje?

12 Koncepce rozvoje knihoven ⁄Možnosti: ⁄3) Registruje se v každé knihovně samostatně, identita se ověřuje jen jedenkrát ⁄Při prvotní registraci se musí spolehlivě ověřit identita uživatele ⁄Uživatel sám iniciuje předání svých osobních dat, a dává k němu tedy implicitně, resp. explicitně souhlas. ⁄Nejsnadněji realizovatelné i z právního hlediska ⁄Zaplacení registračního poplatku druhé instituce lze řešit online ⁄Uživatel je ve stavu předregistrace, ale s ověřenými údaji ⁄Můžeme ho nechat jen odkliknout že souhlsí s knihovním řádem? ⁄Případně podepsat registrační formulář druhé instituce ⁄Důležité zejména pro absenční výpůjčky ⁄Lze řešit při první fyzické návštěvě knihovny ⁄Přenáší se „oveření“ identity, neznamená to, že uživatel bude mít nutně stejné jméno a heslo ⁄Lze řešit automatické aktualizace osobních údajů (viz. mojeID)?

13 Implementace ⁄Realizována varianta 3 ⁄Testováno přebírání identity prostřednictvím protokolu Shibboleth v rámci eduID a ze služby mojeID - https://registrace.mzk.cz/.https://registrace.mzk.cz/. ⁄Realizováno v Alephu MZK, spolupráce s KNAV ⁄Registrace čtenáře je technického hlediska sama „službou“ ⁄mojeID ⁄MZK uzavírá smlouvu s nic.cz „užívání služby mojeID pro poskytovatele s plným přístupem“ ⁄Registrovaný uživatel mojeID může své údaje v mojeID použít pro (před) registraci v MZK ⁄Shibboleth ⁄MZK je technicky schopna poskytnout jinému členu eduID osobní údaje uživatele, tento přenos musí iniciovat sám uživatel ⁄MZK je technicky schopna převzít od jiného člena eduID osobní údaje uživatele, který tento přenos při registraci sám iniciuje

14 Implementace Cizí knihovnaUživatelUživatelův IdP Chci se zaregistrovat Zná vás někdo, komu věříme? Tak ať vás autentizuje Posílám heslo Chci se autentizovat Registrace se zdařila Přeposílám info o uživateli Autentizace úspěšná, posílám info o uživateli Zvolte si heslo

15 Implementace ⁄Implementace mojeID ⁄OpenID s možností předávat ověřené osobní údaje ⁄Pro poskytovatele služeb MojeID.cz poskytuje dva přístupy: ⁄Plný přístup - poskytovatel služby dostane příznak o validaci. Je placený - 1200,- Kč / rok. ⁄Omezený přístup - příznak validace není předáván. Lze ho tedy okamžitě používat. ⁄Využití protokolu Shibboleth ⁄Uživatelský LDAP jsme rozšířili o atribut obsahující datum narození a trvalé bydliště ⁄Na straně shibbolethu lze nastavit mapování těchto atributů a jejich předávání vybraným poskytovatelům služeb - registrátorům. ⁄SimpleSAMLPHP umí před přesměrováním uživatele na cílovou službu si vyžádat souhlas uživatele s předáním osobních údajů ⁄Bezpečnost ⁄Proti podvrhnutí údajů ve formuláři používáme algoritmus HMACalgoritmus HMAC

16 Závěr ⁄Po technické stránce vše funguje ⁄Zbývá vyřešit otázky organizační... ⁄Mohlo ba se mojeID stát základním nástrojem pro vzdálenou registraci v knihovnách? ⁄Bude možné registrovat jen jednou v rámci skupiny? ⁄a jak nahradíme výpadek příjmu z registračních poplatků? ⁄Můžeme si dovolit společnou centrální registraci? ⁄... a právní ⁄Smíme uživateli dovolit, abychom na jeho žádost jeho osobní údaje poskytli jiné knihovně? ⁄Bude pro tohle možné využít infrastrukturu eduID? ⁄Jsou smlouvy držící dohromady zjevně funkční federace jako eduID nebo eduroam dostatečné pro potřeby knihoven? ⁄Pokud ne, dalo by se z nich vyjít? ⁄Můžeme si dovolit sdílet osobní údaje v rámci skupiny knihoven?

17 Moravská zemská knihovna v Brně www.mzk.cz Děkuji za pozornost!

Stáhnout ppt "Sdílení uživatelských identit Petr Žabička, Moravská zemská knihovna v Brně."

Podobné prezentace

Využití cloudových služeb ve školství

Využití cloudových služeb ve školství
Nadpis Portál pro komunikaci s občany 1 Portál pro komunikaci s veřejností Portál pro komunikaci s veřejností DATRON, a.s. ing. Jaromír Látal projektový.

Nadpis Portál pro komunikaci s občany 1 Portál pro komunikaci s veřejností Portál pro komunikaci s veřejností DATRON, a.s. ing. Jaromír Látal projektový.
Regionální knihovní systém Clavius REKS

Regionální knihovní systém Clavius REKS
eGovernment – aplikace principů v ISKN

eGovernment – aplikace principů v ISKN
Přednáška č. 5 Proces návrhu databáze

Přednáška č. 5 Proces návrhu databáze
Přínosy a druhy počítačových sítí. Jednou z nejvýznamnějších technologií používaných v oblasti výpočetních systémů jsou již řadu let počítačové sítě.

Přínosy a druhy počítačových sítí. Jednou z nejvýznamnějších technologií používaných v oblasti výpočetních systémů jsou již řadu let počítačové sítě.
Název a adresa školy Střední škola zemědělská a přírodovědná Rožnov pod Radhoštěm nábřeží Dukelských Hrdinů 570 756 61 Rožnov pod Radhoštěm Název operačního.

Název a adresa školy Střední škola zemědělská a přírodovědná Rožnov pod Radhoštěm nábřeží Dukelských Hrdinů Rožnov pod Radhoštěm Název operačního.
Základní registry veřejné správy

Základní registry veřejné správy
Informační systém základních registrů. Obsah Úvod Komunikace se základními registry Autentizace a autorizace Práce s údaji Funkcionalita v rámci Portálu.

Informační systém základních registrů. Obsah Úvod Komunikace se základními registry Autentizace a autorizace Práce s údaji Funkcionalita v rámci Portálu.
Představujeme službu Samepage

Představujeme službu Samepage
Adresářová služba Active directory

Adresářová služba Active directory
Zlín - květen 2006 Regionální knihovní systém Clavius REKS firma LANius s.r.o.

Zlín - květen 2006 Regionální knihovní systém Clavius REKS firma LANius s.r.o.
M-Cloud.cz Groupwarové řešení pro malé a střední podniky.

M-Cloud.cz Groupwarové řešení pro malé a střední podniky.
Statistický modul EZproxy a další aktuální vývoj MULTIDATA Praha Mgr. Petr Novák Bibliotheca academica 2009, 3.listopadu 2009, UTB Zlín.

Statistický modul EZproxy a další aktuální vývoj MULTIDATA Praha Mgr. Petr Novák Bibliotheca academica 2009, 3.listopadu 2009, UTB Zlín.
Projekt ELIŠKA Centrální registr řidičů

Projekt ELIŠKA Centrální registr řidičů
1  Ex Libris Ltd., 2012 - Internal and Confidential NISPEZ IV. konference 13. listopadu 2012 Martin Vojnar

1  Ex Libris Ltd., Internal and Confidential NISPEZ IV. konference 13. listopadu 2012 Martin Vojnar
Tutoriál Vlastní složka My EBSCOhost

Tutoriál Vlastní složka My EBSCOhost
Univerzální přípojka koncepce a realita Miroslav 30.březen 2004.

Univerzální přípojka koncepce a realita Miroslav 30.březen 2004.
VUFind aneb jak mít webový OPAC méně ošklivý Pavla Švástová Moravská zemská knihovna 14.9.2011 Konference knihovny současnosti 2011.

VUFind aneb jak mít webový OPAC méně ošklivý Pavla Švástová Moravská zemská knihovna Konference knihovny současnosti 2011.
JIP a KAAS Co umí. A co nabízí ve vztahu k základním registrům.

JIP a KAAS Co umí. A co nabízí ve vztahu k základním registrům.

Podobné prezentace

Reklamy Google