- Cp
- Еn
Даваоци идентитета
Давалац идентитета је корисник иАМРЕС услуге који обавља регистрацију и одржавање дигиталних идентитета својих корисника (менаџмент идентитета). Такође, Давалац идентитета одржава одговарајућу системску компоненту ради аутентификације својих корисника.
Менаџмент идентитета
Менаџмент идентитета обухвата све процесе који су укључени у регистрацију и одржавање дигиталних идентитета корисника. Од изузетне је важности да ови процеси буду такви да осигурају да сви запослени и студенти могу да имају свој дигитални идентитет у оквиру институције, као и да подаци у оквиру идентитета буду ажурни. Обзиром да се дигитални идентитети користе за приступ сервисима кроз иАМРЕС, али и за приступ eduroam и VPN услугама, ажурност идентитета је важна како би се осигурало да само корисници који имају право могу да користе ове услуге и тиме избегле ситуације злоупотребе сервиса. У општем случају, препорука је да се искористе процеси регистрације које обавља студентска служба или кадровска евиденција, а да се технички омогући консолидација ових података.
За имплементацију базе у оквиру које се чувају дигитални идентитети препоручује се LDAP (Lightweight Directory Access Protocol) директоријум који представља стандард за чување података о идентитетима корисника и њихову аутентификацију. Директоријуми су хијерархијске базе података и са становишта флексибилности и једноставности, за ову сврху имају бројне предности у односу на традиционалне релационе базе као нпр. оптимизација за велики број читања из базе. Такође велики број готових софтверских решења има уграђену подршку за аутентификацију и читање података о корисницима из LDAP директоријума. Као подршка АМРЕС корисницима, АМРЕС је израдио упутство за инсталацију и подешавање OpenLDAP базе која је LDAP имплементација отвореног кода. Осим LDAP базе, за складиштење дигиталних идентитета корисника се може користити и релациона база података.
Дигитални идентитет корисника садржи податке (атрибуте) о кориснику као што су: креденцијали, лични подаци, подаци о вези корисника са институцијом, подаци за јединствену идентификацију корисника, корисникове роле. Како би се омогућила интер-институционална аутентификација, неопходно је да постоји договорени стандард у именима и семантици атрибута који се размењују. За коришћење у иАМРЕС релизована је rsEdu шема која имплементира стандардне именичке шеме попут eduPerson и eduOrg. Даваoци идентета у иАМРЕС морају ослобађати одређене атрибуте по rsEdu шеми, али није обавезно да у својој бази имплеметнирају ову шему већ се мапирање може радити на аутентификационом серверу.
Сет атрибута који Давалац идентитета треба да шаље у оквиру иАМРЕС Федерације Идентитета дат је на страници https://docs.amres.ac.rs/uputstva/shibboleth/shibboleth/ .
! Напомена: за тачну семантику ових атрибута погледати rsEdu шему.
Аутентификација корисника
Давалац идентитета аутентификацију корисника обавља путем алата који подржавају SAML протокол. АМРЕС је израдио техничка упутства за имплементацију Даваовца идентитета, доступна на https://docs.amres.ac.rs/uputstva/shibboleth/shibboleth/ и пружа подршку АМРЕС корисницима у процесу придруживања иАМРЕС услузи. За подршку, АМРЕС корисник нам се може обратити на helpdesk@amres.ac.rs.