vartotojų autentifikavimas ir autorizavimas elaba talpyklose

EUROPOS SĄJUNGA

2023 metų balandžio mėnesio 20 diena, Kaunas

Vartotojų autentifikavimas ir Vartotojų autentifikavimas ir autorizavimas eLABa autorizavimas eLABa talpyklosetalpyklose

Arūnas Franckevičius

Ekspertas

Vartotojų autentifikavimas ir Vartotojų autentifikavimas ir autorizavimas eLABa talpykloseautorizavimas eLABa talpyklose EUROPOS SĄJUNGA

Kas yraKas yraAutentifikacija ir AutorizacijaAutentifikacija ir Autorizacija

Autentifikacija Reikalinga vartotojo tapatybei identifikuoti

Dažniausia naudojamas susietas vartotojo vardas ir slaptažodis

Autorizacija Nustato ar jau identifikuotas vartotojas turi teisę

naudotis paslauga

Autorizacijos metu tikrinama ar vartotojas priklauso tokį leidimą turinčiai grupei, ar yra tinkamas jo saugumo lygis

Lietuvos VDDB ir LVB sujungimas su Lietuvos mokslo ir studijų informacijos sistema


AutentifikacijaAutentifikacija

Pagrindas – vartotojų ir jų atributų duomenų bazė LDAP, NIS, RDBVS, MS Active Directory

Vartotoją identifikuojantys duomenys Vartotojo vardas ir slaptažodis

Skaitmeniniai sertifikatai, identifikavimo kortelės, biometriniai duomenys



AutorizacijaAutorizacija

Kiekviena sistema turi savo vidinį autorizacijos mechanizmą

Adresatas Subjektai, resursai, veiksmai

Taisyklės Ar autorizuoti vartotoją atlikti veiksmą, gauti

resursą ir pan.

eLABa talpyklos autorizacija aprašoma XACML taisyklėmis



Objekte saugomų duomenų tipaiObjekte saugomų duomenų tipai

Visateksčiai dokumentai ETD, straipsniai, knygos ir t.t.

Metaduomenys MARCXML, DC, turinys ir t.t.

Administraciniai duomenys Autorizacijos informacija

Patalpinimo, saugojimo informacija, prieigos taisyklės (policy) ir t.t.



Dokumentų priėjimo lygiaiDokumentų priėjimo lygiai

Laisvai prieinamas internete – dokumentas prieinamas internetu iš bet kurio pasaulio taško

Prieinamas tik institucijos intranete – dokumentas pasiekiamas tik iš kompiuterių, turinčių IP adresą priklausantį institucijos IP adresų aibei

Neprieinamas – dokumentas yra nepasiekiamas

Du paskutiniai prieigos lygiai turi laikinį apribojimą Kuriam pasibaigus dokumentui priskiriamas „laisvai

prieinamo internete“ lygis



SutartysSutartys

Darbo autorius privalo pasirašyti licencinę sutartį, kurioje aprašoma: šalių pareigos bei atsakomybės dokumento saugojimo tvarka dokumento dalių prieigos ribojimo lygiai ribojimo terminai

Šiuo metu sutartis yra pasirašoma ir saugoma popieriniame formate ateityje numatoma ir elektroninė versija,

pasirašoma elektroninių parašu



Autorizacijos realizacijaAutorizacijos realizacija

eLABa talpyklos PĮ Fedora autorizacija yra realizuota naudojant XACML polisus

XACML – tai OASIS (www.oasis-open.org/) organizacijos specifikuota priėjimo kontrolės kalba

XACML variklis – Sun XACML realizacija (sunxacml.sourceforge.net)

XACML prieigos taisyklių (policy) tipai Bendros talpyklos prieigos taisyklės Talpykloje saugomų objektų ir/ar jų sudedamųjų dalių

prieigos taisyklės


XACML pavyzdysXACML pavyzdys<Rule Effect="Deny" RuleId="2"> <Target> <Subjects> <AnySubject /> </Subjects> <Resources> <Resource> <ResourceMatch MatchId="urn:oasis:names:tc:xacml:1.0:function:string-equal"> <AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string">DS.005.0.01.ETD</

AttributeValue> <ResourceAttributeDesignator AttributeId="urn:fedora:names:fedora:2.1:resource:datastream:id“

DataType="http://www.w3.org/2001/XMLSchema#string" /> </ResourceMatch> </Resource> </Resources> <Actions> <Action> <ActionMatch MatchId="urn:oasis:names:tc:xacml:1.0:function:string-equal"> <AttributeValue

DataType="http://www.w3.org/2001/XMLSchema#string">urn:fedora:names:fedora:2.1:action:id-getDatastreamDissemination</AttributeValue>

<ActionAttributeDesignator DataType="http://www.w3.org/2001/XMLSchema#string" AttributeId="urn:fedora:names:fedora:2.1:action:id" />

</ActionMatch> </Action> </Actions></Target>

XACML pavyzdys (2)XACML pavyzdys (2)<Condition FunctionId="urn:oasis:names:tc:xacml:1.0:function:and"> <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:not">  <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:string-at-least-one-member-

of"> <SubjectAttributeDesignator AttributeId="fedoraRole"

DataType="http://www.w3.org/2001/XMLSchema#string" MustBePresent="false" /> <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:string-bag"> <AttributeValue

DataType="http://www.w3.org/2001/XMLSchema#string">KTU</AttributeValue> </Apply> </Apply> </Apply>

 <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:date-less-than"> <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:date-one-and-only"> <EnvironmentAttributeDesignator DataType="http://www.w3.org/2001/XMLSchema#date"

AttributeId="urn:fedora:names:fedora:2.1:environment:currentDate" /> </Apply> <AttributeValue DataType="http://www.w3.org/2001/XMLSchema#date">

2010-04-01 </AttributeValue> </Apply></Condition></Rule>


Papildomos priemonėsPapildomos priemonės

Prieigos prie objektų ribojimui institucijų intranete reikia Institucijų IP adresų

kinta laike dėl nuolatinės tinklo pertvarkymo ar plėtros Institucijas identifikuojančių atributų (roles)

IP adresų ir atributų susiejimo mechanizmo

Susiejimo mechanizmui realizuota papildoma PĮ integruota į Fedorą talpyklą Sukurta naudojant Java Servlet Filters technologija

IP adresų ir atributų susiejimo lentelės saugomos atskirame XML faile



Ačiū už dėmesį

[email protected]

http://sf.library.lt

http://www.lvb.lt

vartotojų autentifikavimas ir autorizavimas elaba talpyklose

Documents