jedinstveni digitalni identitet korisnika – kada, zašto, kako ?

Jedinstveni digitalni identitet korisnika – kada,

zašto, kako ?

Security Workshop 22.Feb.2011.Marina Vermezović

Akademska mreža Srbijewww.amres.ac.rs

Sadržaj

Potreba za AAI i jedinstveni korisnički identitetKorisnička bazaUvod u LDAPPogled na rsEdu šemuSpecifikacija rsEdu šemeUpravljanje korisničkim idenitetima

Potreba za AAI i jedinstveni

korisnički identitet

Osnovni termini

Resursi za pristup mreži – eduroam, dial-up, VPNweb resursi – e-learning, e-biblioteka, studentski servisi …

- provera identiteta korisnika

– dodeljivanje prava i privilegija

korisniku - Infrastruktura za Autentifikaciju i

Autorizaciju olakšava pristup zaštićenim resursima


AAI

Autentifikacij

a Autorizacija


Potrebe savremnog akademskog okruženja

Studenti i zaposleni:žele siguran pristup mreži i web resursima neophodnim za rad i studiranjeresursi su locirani kako unutar matične institucije tako i u drugim institucijamažele jednostavan pristup resursimane sviđa im se da otvaraju i pamte nove naloge za svaki resurs pojedinačno

Administratori resursa: žele da pruže siguran pristup pristup samo korisnicima koji imaju pravo na taj resursšto manje dodatnog posla, što podrazimeva i otvaranje naloga za korisnike

Bez AAI


web -mail

Fakultet A

Davaoci Resursa

Biblioteka

Davaoci Resursa

Auth Autz

eduroamAuth Autz

e-sedniceAuth Autz

e-learningAuth Autz

e-časopisiAuth Autz

e-knjigeAuth Autz


Bez AAI

Bez AAI korisnik se registruje kod svakog

davaoca resursa.

Problemi su:Svaki korisnik mora da otvara i pamti veliki broj nalogaSvaki administrator resursa mora sam da registruje i održava podatke o korisnicima

izvor: http://www.switch.ch/aai/about/introduction/

Sa AAI


Fakultet A

Održavanje korisničkih identiteta

web -mail

Davalac identiteta

Davaoci Resursa

eduroam

e-sednice

e-Learning

Auth

Biblioteka

e-časopisi

Davaoci Resursa

e-knjige

AutzAutz

AutzAutz

AutzAutz

AutzAutz

AutzAutz

AutzAutz


Sa AAI

AAI uprošćava proces AA za sve učesnikeKorisnik se registruje samo jednom u svojoj matičnoj institucijiMatična institucija upravlja identitetima, odgovorna je za autentifikaciju svojih korisnika

Identitet se nalazi samo na jednom mestu što olakšava

održavanje podataka o korisnicima

Autentifikacija se obavlja na matičnoj institicuiji

Odluke o autorizaciji korisnika obavlja davalac servisa

izvor: http://www.switch.ch/aai/about/introduction/


Uloge u AAI

Uloge se razdvajaju na: Davalac identiteta (eng. Identity Provider IdP)

Institucije koje su članice AMRESaUpravaljaju identitetima svojih korisnikaVrše autentifikaciju korisnikaNakon autentifikacije davaocima resursa mogu da daju određene podatke o korisnicima

Davalac resursa (eng. Resource Provider RP)Institucije koje su članice AMRESa i partneri (potrebno definisati u politici)Servisi mogu biti:

Za pristup mreži – radius protokol za AAWeb – SAML protokol za AA

Korisnika preusmeravaju da se autentifikuje kod svog IdPOpciono od IdP traže podatke o korisniku na osnovi kojih mogu da donesu odluke o pristupu servisu

KorisnikIma jedne kredencijale samo kod svog IdPa


Šta omogućava AAI ?

Infrastruktura za autentifikaciju i autorizacijuOlakšava inter-institucionalnu autentifikaciju i autorizacijuOmogućava korisnicima da istim kredencijalima pristupaju mrežnim i web resursimaJasno deli uloge na one koji se bave samo upravljanjem identitetima i na one koji obezbeđuju određeni resurs


Dijagram AAI na visokom nivou

IdP

Radius

Baza Korisnik

a

SAML

mrеžni RP

Radius

NAS

web RP

SAML

Web resurs

eduroamdial-up

VPN

AMRES bpd wiki

od 11. marta u produkciji

Dođite na eduroam workshop

U razvoju

Osnova za razvoj svih servisa koji zahtevaju lokalnu i inter-instiucionalnu autentifikaciju i autorizaciju

Krug poverenja

Federacija

Korisnička baza


U kojoj bazi čuvati digitalne identitete korisnika

Mogu se čuvati u bilo kojoj bazi:

Relacione : MySQL, ORACLE, Postgre SQL

Hijerarhijske: LDAP, Active Directory

Preporuka je da se koriste hijerarhijske baze



Baza korisnika – zašto LDAP?

Odnos relacionih baza i LDAP direktorijuma

Šema

izvor: http://www.terena.org/activities/idm/moldova/intro2LDAP.pdf

Relacione baze

LDAP direktorijum

Ne postoji standardna šema za tabele

Internacionalni standardi za opis osoba i organizacija




ŠemaOrganizacija


Relacione baze

LDAP direktorijum

Jedan logički entitet smešten u nekoliko tabela

Jedan logički entitet Jedan objekat Jedan čvor = ulaz u DITu




ŠemaOrganizacija

Višestruke Vrednosti


Relacione baze

LDAP direktorijum

Potrebana nova tabela ili više polja

Svi su smešteni u istom atributu

Broj nije ograničen




ŠemaOrganizacija

Višestruke vrednostiFleksibilnost


Relacione baze

LDAP direktorijum

Promene u šemi zahtevaju velike napore. Utiče i na aplikativnu logiku.

Modifikacija šeme je granularna. Lako dodavanje atributa.




ŠemaOrganizacija


Pristup


Relacione baze

LDAP direktorijum

Pristup preko mreže nije standardizovan

Standardizovan protokol za pristup preko mreže: LDAP




ŠemaOrganizacija


PristupAutentifikacija


Relacione baze

LDAP direktorijum

Samo proprietary mehanizmi za autentifikaciju

Razni standardizovani mehanizmi za autentifikaciju




ŠemaOrganizacija


PristupAutentifikacijaOptimizacija


Relacione baze

LDAP direktorijumOptimizovan za veliki broj čitanja

Uvod u LDAP termine

Kako izgleda LDAP?



Kako izgleda LDAP šema ?

Šema se sastoji od klasa eng. objectClassKlasa sadrži proizvoljan broj atributaAtributi sadrže konkretne podatkeAtribut definisan u jednoj šemi može da se koristi u klasima definisanim u drugim šemamaschema

ClassX

attributeX

attributeX definition


Kako izgleda Klasa?

Ima ime i globalno jedinstven identifikator (OID)

Unutar klase definiše se koji joj atributi pripadaju i da li su obavezni (MUST) ili opcioni (MAY)


Kako izgleda Atribut?

Ima ime i globalno jedinstven identifikator

(OID)

Svaki atribut je uključen u jednu ili više klasa

Svaki atribut može biti definisan kao MULTI-

VALUE ili SINGLE-VALUE

Za svaki atribut mora da se definiše sintaksa

Za svaki atribut može da se definiše kako se

ponaša u nekim uslovima


Kako izgleda LDAP baza ?LDAP je hijerarhijska bazaIzgleda kao stablo, sa čvorovima u kojima se nalaze podaciStablo se zove Directory Information Tree DIT, koren stabla se zove root, a čvorovi se nazivaju entrySvaki entry ima jednog roditelja i proizvoljan broj deceSvaki entry ima jednoznačnu poziciju u stablu definisanu sa Distinguished Name – DN Svaki entry je definisan jednom ili više klasa, a klasa definiše atribute


Standardizovane LDAP šemeeduPerson (eduPerson200604)

Internet2 MACE groupDizajniran za direktorujume u kampusimaAtributi opisuju osobe u višem obrazovanju

eduOrg (eduOrg200210)Internet2 MACE groupDizajniran za direktorujume u kampusimaAtributi opisuju organizacije u višem obrazovanju

eduMember (eduMember200507) Internet2 MACE-Dir WG Rešava problem dodeljivanja prava i privilegija korisnicima kroz grupe

SCHACTERENA TF za Middleware, TF-EMC2Dopunjuje eduOrg i eduPerson atributima specifičnim za evropski sistem obrazovanja

Šema u AMRES AAI

Korišćenje određene šeme postavlja temelj za razvoj AAI u okruženju sa inter-institucionalnom autentifikacijom i autorizacijomInstitucije koje učestvuju u AMRES AAI moraju koristiti istu šemu zato što:

Unifikuje skup atributa, njihovu namenu i semantiku Omogućava jednostavnu razmenu i tumačenje atributa prilikom autentifikacije i autorizacijeDavaoci servisa mogu planirati razvoj svojih aplikacija saglasno definisanim atributima



rsEdu šema

Sve akademske mreže u svetu, za potrebe razvoja svoje AAI definisale su šemu koje koriste njihove članicePostoje 2 opcije:

Korišćenje već standardnih šemaDefinisanje nacionalnih šema, uz preuzimanje standardnih atributa

Za potrebe AMRES AAI, definisali smo nacionalnu rsEdu šemu

https://bpd.amres.ac.rs/doku.php?id=amres_aai_wiki:start


Na čemu se zasniva rsEdu šema ?

Obuhvata korisnike obrazovnih i naučno-istraživačkih institucija u SrbijiPri definisanju šeme oslanjali smo se na:

Obrazovni i sistem naučno-istraživačkih ustanova u Srbiji Aktuelne standarde za šemeIskustva i preporuke ostalih NREN-ova

Glavni princip je: koristiti što veći broj standardizovanih atributa, a samo za potrebe specifične za sistem u Srbiji definisati nove atribute


Kako izgleda LDAP?dc=inst, dc=ac, dc=rs

ou=People

class=rsEduPersonclass=eduMember

ou=Organizations

class=rsEduOrg

ou=SystemAccounts

class=rsEduSystemAccounts

- Hijerarhijska struktura- DIT – Data Information Tree- Svaki čvor nosi informacije o

sebi


Koliko košta promena šeme ?

Promene nad postojećim atributima su skupe i krajnje nepoželjnePodrazumevaju da se menjaju sadržaji svih bazaDodavanje atributa je dozvoljeno (dokle god nisu obavezni)Ukoliko se neki atribut menja, to se može izvesti uvođenjem novog atributa i postepenim zastarivanjem starog

Zato je jako bitno da pri definisanju šeme naše definicije budu što tačnije

Pogled na rsEdu šemu



rsEdu šema

Šema nisu samo podaci o korisnicimaKroz polja u šemi se rešavaju različiti problemi:

1. Kako realizovati registraciju korisnika2. Na osnovu kojih kredencijala će se obaviti

autentifikacija3. Na osnovu čega će se obaviti autorizacija4. Na osnovu kojih atributa identifikovati osobu5. Kako korisnik može da sačuva svoju privatnost6. Koji su ostali atributi


1. Kako realizovati registraciju korisnika

Registracija korisnika se može realizovati na dva načina:

ručno kreiranje digitalnih identiteta korisnikapreuzimanje podataka i sinhronizacija sa različitim izvorima podataka (eng. Source Systems)

Provera identiteta korisnika ?



Atribut:rsEduPersonUniqueNumber

Sintaksa: <tip-identifikatora>:<vrednost>

tip-identifikatora može imati jednu od sledećih vrednosti: JMBG, LBO, PASSPORT Preporuka je da se čuvaju i JMBG i LBO ako postojeZa osobe koje nemaju ni JMGB ni LBO, čuva se broj pasoša



Ko može da poseduje identif.

Sadržilične info.

validnost identifikatora

dostupnost

JMBG

sve osobe rođene u Srbiji

DAdodeljivane su

nevalidne vrednosti

već se nalazi u svim izvorima

podataka

LBOzdravstveni

osiguranici u Srbiji

NEuglavnom sve

dodeljene vrednosti su validne

ne nalazi se u svim izvorima

podataka

Broj Pasoša

osobe koje poseduju pasoš

ne nalazi se u svim izvorima

podataka

Legenda: prednost

mana


2. Na osnovu kojih kredencijala će se obaviti autentifikacija

Kredencijali mogu biti: Korisničko ime i lozinkaSertifikat

skupo, zahteva dodatnu administrativnu i tehnički infrastrukturu => neskalabilno

Korisnik ima jedno korisničko ime i lozinku koje koristi za lokalne servise i pri inter-institucionalnoj autentifikaciji


3.Na osnovu čega će se obaviti autorizacija

Prvo pokušati da se upotrebi neki od postojećih atributa koji opisuju osobu

Prednost je što ne mora ništa da se dodaje

Mana što se može desti da nije dovoljno granularno

Ako ne postoji, onda korisniku dodati neki atribut koji opisuje njegovu ulogu na sistemu

Prednost je što se privilegije mogu dodeliti na nivou pojedinačnog korisnika

Mana je što mora ručno da se dodaje

Students only

Admins

only


3.Na osnovu čega će se obaviti autorizacija

Postojeći atributi koji se najčešće koriste:

rsEduPersonAffiliation

rsEduPersonScopedAffiliation

Dodatni atributi koji se mogu koristiti:

eduPersonEntitlement – omogućava jedinstveno

imenovanje, inter-institucionalna authz!

grupe – dosta zastupljen način, ali prevashodno za

lokalne servise


4. Na osnovu kojih atributa identifikovati osobu

RP često imaju potrebu da znaju ko je određeni korisnik (npr. da bi sačuvali preference tog korisnika)IdP strogi - pri AA ne odaju lične informacije o korisniku Bilo je potrebno uvesti identifikator tako da se:

čuva anonimnost korisnikane odaje podatke o njemudavaoci resursa ne mogu dovoditi u međusobnu vezu korisnike


4. Na osnovu kojih atributa identifikovati osobu

eduPersonTrgetedId

Trajan identifikator korisnika koji razmenjuju davalac servisa i davalac identitetaNikada se ne dodeljuje ponovo i ne sadrži

nikakve podatke o korisniku Davalac identiteta koristi različite vrednosti

kada predstavlja istog korisnika različitim davaocima resursaMože da bude generisan kao heš funkcija

nekih podataka o korisniku i podataka o davaocu resursaIma definisan format – objašnjenje u tehničkim

detaljima


5. Kako korisnik može da sačuva svoju privatnost

Jedan od načina da se sačuva privatnost korisnika jeste da sam korisnik naznači koji podaci o njemu su privatni.

schacUserPrivateAttribute

Vrednosti su imena atributa koje korisnik smatra privatnimVrednosti atributa navedeni u ovom atributu ne treba da budu dostupni van

matične institucije.


6. Koji su ostali atributiPodaci o korisniku

Lični podaciPrivatne i poslovne kontakt informacijePovezanost sa ustanovom

Podaci o institucijiOpšti podaciKontakt informacije

Identifikatori i ključeviKoriste se za jedinstveni identifikaciju korisnika i institucijaKoriste se za povezivanje sa drugim izvorima podatka o korisnicima (Studentska služba, zdravstveni sistem)

Autorizacija i privilegijePostojeći atributiSpecijalni atributi koji izražavaju role i privilegije

Poverljivost podatakaKorisnik može da naznači koji podaci o njemu su poverljivi

AutentifikacijaKredencijali

Specifikacija rsEdu šeme


rsEdu klase

rsEduPerson Sadrži atribute koji opisuju osobuSadrži atribute koji se odnose na osobu u smislu njene povezanosti sa institucijom

rsEduOrgSadrži atribute koji opisuju instituciju


rsEdu atributiSvaki atribut ima:

kratak opisdetaljne napomene vezane za njegovu upotrebudefinisanu LDAP sintaksu – (poput tipa podataka u relacionim bazama)definisan skup dopuštene vrednosti

Za sve atribute koje imaju strogo definisan skup vrednosti napravili smo šifarnike

primer korišćenjaza atribute koji su preuzeti iz drugih šema, date su preporuke za korišćenje unutar AMRESa, ukoliko je bilo potrebno


rsEduPerson

Lični Podacicn (Ime i prezime) sn (Prezime)givename (Ime)schacDateOfBirth (Datum Rođenja Osobe)schacGender (Pol Osobe)rsEduPersonEduLevel (Školska Sprema)preferredLanguage (Preferirani jezik)jpegPhoto (Slika Osobe)


rsEduPerson

Privatne kontakt InformacijehomePhone (Kućni Telefonski Broj)

homePostalAddress (Kućna poštanska adresa)rsEduAccessPhoneNumber (Pristupni Telefon)


rsEduPerson

Povezanost sa institucijomo (Naziv Matične Institucije)ou (Organizaciona Jedinica)rsEduPersonAffiliation (Povezanost sa Institucijom) rsEduPersonPrimaryAffiliation (Primarna Pov. sa Inst.)rsEduPersonScopedAffiliation (Povezanost sa Inst. sa Dom.)rsEduPersonExpiryDate (Datum isteka primarne pov. sa inst.)

Identifikatori i ključevirsEduPersonLocalNumber (Lokalni identifikator osobe)


rsEduPerson

Povezanost sa ustanovom - zaposlenirsEduPersonDesignation (Zvanje)rsEduPersonPosition (Pozicija u ustanovi)rsEduPersonStaffCategory (Vrsta Zaposlenog)

Povezanost sa ustanovom - studentirsEduPersonStudyType (Vrsta Studija)rsEduPersonStudyStatus (Status studiranja)


rsEduPersonPoslovne kontakt informacije

mail (Elektronska adresa)schacUserPresenceID (Identifikator korisnika za mrežni protokol)postalAddress (Službena Poštanska adresa)rsEduAddressCode (Poštanski adresni kod)postalCode (Poštanski broj)I (Lokacija (Mesto))Street (Ulica i kućni broj)telephoneNumber (Telefonski broj )rsEduPersonExtensionNumber (Lokalni tel. br.)facsimileTelephoneNumber (Fax broj)mobile (Broj Mobilnog Telefona) labeledURI (URI Adresa)


rsEduPerson

Kredencijaliuid (Korisničko ime)userPassword (Korisnička lozinika)

userCertificate (Sertifikat)


rsEduPerson

Identifikatori i ključevi eduPersonTargetedId (Pseudonim korisnika)

Neprozirni trajan identifikator korisnika koji razmenjuju davalac servisa i davalac identiteta

rsEduPersonUniqueNumber (Jedinstveni brojni identifikator osobe )

JMBG, LBO ili broj pasošaNeophodan zato što omogućava jadnoznačnu i pouzdanu identifikaciju korisnika u slučajevima:

Sinhornizacija sa drugim izvorima podatakaGarancija za izdati identitet (LoA)

eduPersonPrincipalName (Jedinstveni identifikator osobe)


rsEduPerson

Poverljivost PodatakaschacUserPrivateAttribute (Privatni Atribut)

Autorizacija i privilegijeeduPersonEntitlement (Prava i privilegije korisnika na sistemu )

Vrednost atributa je URI ili URN koji jednoznačno određuje prava korisnika


rsEduOrg

Informacije o institucijirsEduOrgLegalName (Zvanični naziv institucije) o (Naziv instutucije)rsEduOrgUniqueNumber (Jedinstveni brojni identifikator institucije)rsEduOrgDomainFQN (Potpuno kvalifikovano ime domena institucije)rsEduOrgType (Tip institucije)rsEduOrgHomePageURI (URL adresa institucije)rsEduOrgIdentityAuthNPolicyURI (URI lokacija politike institucije)rsEduOrgWhitePagesURI (URL adresa belih strana institucije)


rsEduOrg

Kontakt InformacijersEduOrgMail (Elektronska adresa)rsEduOrgMobile (Broj mobilnog telefona)telephoneNumber (Telefonski broj)facsimileTelephoneNumber (Fax broj)postalAddress (Poštanska adresa)postalCode (Poštanski broj)rsEduOrgAddressCode (Poštanski adresni kod)I (Lokacija (Mesto))street (Ulica i kućni broj)


Izražavanje privilegije pomoću grupa

eduMember isMemberOfhasMember


Šifrarnici

Šifarnici su jako važni jer omogućavaju unifikaciju vrednosti atributa koje mogu biti zajedničke za različite entitete

Definisanje šifarnika je težak i mukotrpan posao

Pri pravljenju šifarnika neophodno je usaglasiti ih sa zakonima i pravilicima koji tretiraju različite vrste obrazovnih i istraživačko naučnih institucija

Treba pokriti sve moguće slučajeve i izbegavati šifarničku vrednost “ostalo”


Šifrarnici

U okviru projekta za pravljenje jedinstvene baze studenta i zaposlenih UoB napravljeni su šifarnici, koji su potom odobreni od strane UoB

U toku razvoja rsEdu šeme sarađivali smo sa osobama koje su definisale univerzitetske šifarnike

Pomogli su nam da razumemo šifarnike, a u saradnju sa njima upotpunili smo postojeće univerzitetske šifarnike

Otvoreni smo za komentare i za sugestije!Pomozite nam da bi naši šifarnici bili bolji


Šifrarnici

rsEduPersonStudyStatus regularan upisispisvojni roktrudnoćamirovanjekomisijskisa drugog fakulteta


ŠifrarnicirsEduPersonStudyType

osnovne akademske diplomske akademskespecijalističke akademskedoktorske akademskeosnovne strukovnespecijalističke strukovnepo starom zakonudiplomske (po zakonima do 2005)magistarske (po zakonima do 2005)specijalističke (po zakonima do 2005)doktorske (po zakonima do 2005)integrisane osnovne i diplomskesrednjoškolskeosnovnoškolske

Vrednosti usaglašene sa Zakonom o Visokom Obrazovanju


Šifrarnici

rsEduPersonEduLevel bez školenepotpuna osnovna škola (1-7 razreda)osnovna škola (8 razreda)srednja školaviša školavisoka školadiplomiranimagistardoktorspecijalista

Vrednosti usaglašene sa ŠV obrascem i relevantnim zakonima


Šifrarnici

rsEduPersonPositionpredsednikzamenik predsednikasekretarzamenik sekretaračlanrektorprorektordekanstudent prodekan

student prodekanprodekandirektorzamenik direktorašef katedrešef odsekageneralni sekretarvođa projektarukovodilac organizacione jedinicešef laboratorije


Šifrarnici

rsEduPersonStaffCategory nastavniksaradnikvannastavno osobljeistraživačadministrativno osobljetehničko osobljeIKT osobljeostalo tehničko osobljeosoblje biblioteke

Vrednosti usaglašene sa Zakonom o visokom obrazovanju, Zakonom o bibliotečkoj delatnosti i Zakonom o naučno-istraživačkoj delatnosti


ŠifrarnicirsEduPersonDesignation

asistentasistent pripravniksaradnikredovni profesorvanredni profesornastavnikdocentistraživač pripravnikistraživač saradniknaučni saradnikviši naučni saradniknaučni savetnikprofesor strukovnih studijanastavnik stranih jezika i veština

Vrednosti usaglašene sa Zakonom o visokom obrazovanju, Zakonom o bibliotečkoj delatnosti i Zakonom o naučno-istraživačkoj delatnosti

predavačgostujući profesorprofesor emeritusdrugo nastavničko zvanjelektorviši lektorsaradnik u nastavidrugo saradničko zvanjeviši predavačbibliotekarviši bibliotekarbibliotekar savetnikknjižničar


Šifrarnici

rsEduOrgType univerzitetfakultetumetnička akademijaakademija strukovnih studijavisoka školavisoka škola strukovnih studijainstitutcentar

Vrednosti usaglašene sa Zakonom o visokom obrazovanju

bibliotekazdravstvena ustanovasrednja školaosnovna školapredškolska ustanovamuzejzavodresorno ministarstvoostalo

Upravljanje korisničkim idenitetima


Identity Management - IdM

IdM – održavanje/upravljanje digitalnim

identitetima

Set procedura i pravila koji definišu:1. Ko ima pravo na digitalni identitet2. Kako se kreira digitalni identitet3. Kako se održava digitalni identitet4. Kako se upotrebljava digitalni identitet5. Kako se terminira digitalni identitet

Preporuka je da svaka insitucija ima pisani dokument koji definiše IdM procedureProcedure moraju biti u skladu sa zakonima Republike Srbije

1. Ko ima pravo na digitalni identitet

Učenici

Studenti

Nastavno Osoblje

Ostali zaposleni

Ostale osobe koje su povezane sa

institucijom - gosti, korisnici usluge ?


2. Kako se kreira digitalni identitet

Kada osoba treba da bude

registrovana?

Koje informacije treba uneti ?

Odakle dolaze informacije ?

Koji je kvalitet informacija?


Student - kada se prijavi za prijemni - pri upisu na fakultet/školu

- prvi dan studiranja- kada mu zatreba

Zaposleni

- prvi radni dan- kada mu zatreba Na unete informacije se oslanjaju

drugi sistemi, te stoga one trebaju biti što tačnije

• obavezan ili opcion• jednostruk ili višestruk• sintaksa• šifarnici• pravila za korisnička imena i

lozinke

• Automatski iz drugog izvora• Ručno iz popunjenog formulara• Ručno usmenim putem

• više izvora – problem sinhronizacije

Kako i kada se vrši provera identiteta !

3. Kako se održava digitalni identitet

Podaci u digitalnom identitetu trebaju biti ažurni i tačniKo je odgovoran za prijavu o promeni informacija, i kojih?Kako se unose promene ? Kada se vrši promena informacija ?


Krajnji korisnik • lične podatke

Administrativna služba • podatke vezane za

studiranje/zaposlenje

Krajnji korisnik • putem self-service portala

Administrativna služba • Ručno na osnovu popunjenog

formulara• Ručno usmenim putem• Automatski iz drugih izvora

Što je moguće ranije kada do promene dođe

4. Kako se upotrebljava digitalni identitet

Koji sistemi mogu da čitaju informacije?

Koje podatke mogu čitati?

Kako su regulisana prava i privilegije

korisnika?


Oni koji kontrolišu pristup, pri čemu čitaju:• Direktno• Posredno putem autentifikacionog

servera : Radius, SAML based..

• Postojeći atributi korisnika• Dodatni atribut koji oslikava pripadnost

nekoj grupi odnosno prava i privilegije

Potrebno je ograničiti na one podatke za koje postoji potreba, npr:

mail

JMBG

5. Kako se terminira digitalni identitet

Kada se terminira identitet ?

Ko prijavljuje da treba da se terminira

id. ?

Kako se terminira identitet ?

Da li se identitet trajno briše ?


Kada osoba više nije povezana sa institucijom

• student - kada završi studuje• zaposleni – kada prestane da radi• gost - ?

Treba osigurati da od trenutka kada osoba više nije povezana sa institucijom do brisanja prođe najkraće vreme

• Korisnik • Studentska služba• Služba za zaposlene• Za goste ?Administrativna služba•Ručno na osnovu popunjenog formulara•Ručno usmenim putem•Automatski iz drugih izvoraUkoliko se osoba vrati, da li joj treba omogućiti da ima isti identitet i koliko dugo?

Da li treba ponovo dodeljivati jednom korišćena korisnička imena ?

jedinstveni digitalni identitet korisnika – kada, zašto, kako ?

Documents