mr.sc. Miroslav Milinović Sveučilišni računski centar Sveučilišta u Zagrebu (Srce) <miro@srce.hr> Dan e-infrastrukture 28. studeni 2012.
AAI: osnovni model WAYF (MDS) Autorizira Usluga (resurs) 1 3 2 Autenticira Davatelj identiteta login 2/14
Federacijski model Autenticira korisnika Vjeruje podacima o korisniku koje dobiva od davatelja identiteta Davatelj identiteta povjerenje Davatelj usluge 2 3 1 Korisnik pristupa usluzi 3/14
Autentikacijska i autorizacijska infrastruktura znanosti i (visokog) obrazovanja u RH u produkciji od 1. ožujka 2006. hub-and-spoke arhitektura u studenom 2012. godine: 222 matične ustanove (imenika) > 650.000 elektroničkih identiteta > 230 usluga (resursa) povezana u globalne sustave eduroam i edugain web: http://www.aaiedu.hr e-mail: team@aaiedu.hr Davatelj usluge 1 Pravilnik o ustroju, ver.1.3.1. (http://www.aaiedu.hr/docs/-pravilnik-ver1.3.1.pdf)... Davatelj usluge n Matična ustanova 1... Matična ustanova m 4/14
nudi... korisnicima, pojedincima: jednostavno, sigurno i pouzdano korištenje svih resursa u sustavu uz pomoć jedinstvenog elektroničkog identiteta kojeg izdaje matična ustanova matičnim ustanovama (davateljima elektroničkih identiteta): sigurno, pouzdano i efikasno upravljanje elektroničkim identitetima svojih djelatnika, suradnika i studenata kojima je bitno olakšano korištenje različitih mrežnih i mrežom dostupnih resursa, uz minimalnu administraciju davateljima usluga (vlasnicima resursa): veću dostupnost i vidljivost usluge uz pojednostavljenu administraciju i standardiziran proces autentikacije i autorizacije korisnika 5/14
Organizacija 6/14
Hub-and-spoke federacija Usluga - 1 (resurs) Davatelj identiteta - A Usluga - 2 (resurs) Hub (WAYF) login Davatelj identiteta - B 7/14
... RADIUS HTTPS / SAML RADIUS eduroam HTTPS / SAML edugain RADIUS HTTPS / SOAP Središnji servisi (RADIUS proxy, FWS, MDS, login/sso) RADIUS HTTPS / SAML AOSI-WS & RADIUS poslužitelj komponenta LDAP imenik korisnik uid@realm.hr Ulazna točka Matična ustanova Davatelj usluge 8/14
Međunarodna povezanost - edugain www.edugain.org je jedna od 15 federacija koje su punopravne članice sustava edugain 9/14
Međunarodna povezanost - eduroam www.eduroam.org Hrvatska (Srce) je bila među 6 (europskih) zemalja (ustanova) koje su sudjelovale u pilot projektu 2004. godine i od tada aktivno sudjeluje u izgradnji globalne usluge 10/14
u brojkama (promet na središnjim RADIUS poslužiteljima) 35000000 30000000 25000000 20000000 15000000 10000000 5000000 0 pro-06 ožu-07 lip-07 ruj-07 pro-07 ožu-08 lip-08 ruj-08 pro-08 ožu-09 lip-09 ruj-09 pro-09 ožu-10 lip.10 ruj.10 pro-10 ožu-11 lip-11 ruj-11 pro.11 ožu.12 lip.12 ruj.12 19.148.339 obrađenih zahtjeva u listopadu 2012. godine 11/14
500000 450000 400000 350000 300000 250000 200000 150000 100000 50000 0 u brojkama (promet na središnjim SSO/login poslužiteljima) 455.210 obrađenih zahtjeva u listopadu 2012. godine 12/14 sij-09 ožu-09 svi-09 srp-09 ruj-09 stu-09 sij-10 ožu-10 svi.10 srp.10 ruj.10 stu-10 sij.11 ožu.11 svi.11 srp.11 ruj.11 stu.11 sij.12 ožu.12 svi.12 srp.12 ruj.12
Izazovi i pravci razvoja organizacijski i informacijski ustroj i registri (matičnih ustanova i usluga) sigurnost i zaštita privatnosti (consent) provjera usklađenosti (certificiranje) matičnih ustanova i usluga obrazovanje i tehnička potpora tehnički/tehnološki domestifikacija aplikacija generička rješenja / podrška za različite platforme sigurnost i pouzdanost novi/alternativni mehanizmi autentikacije dodatni repozitoriji atributa / virtualne organizacije (VO) SSO za usluge koje ne koriste HTTP(s) / web preglednik usso (RADIUS + SAML) projekt Moonshot povezivanje sa sličnim sustavima u zemlji i svijetu! 13/14
http://www.aaiedu.hr/ http://developer.aaiedu.hr/ team@aaiedu.hr 14/14
Rezervni slajdovi
: IdM matična ustanova RADIUS AOSI - WS LDAP AOSI - Web 16/14
Središnji servisi login HTTPS / SAML 2.0 AOSI-WS AA komponenta LDAP imenik korisnik uid@realm.hr Ulazna točka Matična ustanova Davatelj usluge 17/14
Mash federacija WAYF (MDS) Usluga - 1 (resurs) login Davatelj identiteta - A Usluga - 2 (resurs) login Davatelj identiteta - B 18/14
eduroam 19/14