Systém pro řízení přístupu ke službám
description
Transcript of Systém pro řízení přístupu ke službám
![Page 1: Systém pro řízení přístupu ke službám](https://reader031.fdocument.pub/reader031/viewer/2022020122/5570305cd8b42a611e8b4722/html5/thumbnails/1.jpg)
24.10.2013 Služby e-infrastruktury CESNET
Systém pro řízení přístupu ke službám
Michal Procházka
![Page 2: Systém pro řízení přístupu ke službám](https://reader031.fdocument.pub/reader031/viewer/2022020122/5570305cd8b42a611e8b4722/html5/thumbnails/2.jpg)
O čem to celé bude?
• O systému pro správu uživatelů, skupin a řízení přístupu na služby
• O jeho využití jako služby pro Vaše potřeby
24.10.2013 Služby e-infrastruktury CESNET
![Page 3: Systém pro řízení přístupu ke službám](https://reader031.fdocument.pub/reader031/viewer/2022020122/5570305cd8b42a611e8b4722/html5/thumbnails/3.jpg)
Motivace
• V rámci e-Infrastruktury CESNET je mnoho služeb určených pro koncové uživatele
• Služby vyžadují prokázání identity uživatele (autentizaci)
• Uživatel chce přistupovat ke službám komfortně
– Analogie Google účtu
24.10.2013 Služby e-infrastruktury CESNET
![Page 4: Systém pro řízení přístupu ke službám](https://reader031.fdocument.pub/reader031/viewer/2022020122/5570305cd8b42a611e8b4722/html5/thumbnails/4.jpg)
Co k tomu potřebujeme?
• Jednotnou identitu uživatele
• Správa uživatelských údajů na jednom místě
• Rozhraní pro konfiguraci kdo kam může
• Evidenci služeb
24.10.2013 Služby e-infrastruktury CESNET
![Page 5: Systém pro řízení přístupu ke službám](https://reader031.fdocument.pub/reader031/viewer/2022020122/5570305cd8b42a611e8b4722/html5/thumbnails/5.jpg)
Jak to dělá CESNET?
• Přístup k MetaCentru a CESNET DÚ je řízen centrálně
– Vytváření uživatelských účtů
– Řízení mailing listů
– Přístup k licencím software
– Řízení kvót na uložištích
• Jednotný účet uživatele v e-Infrastruktuře s definovaným životním cyklem
24.10.2013 Služby e-infrastruktury CESNET
![Page 6: Systém pro řízení přístupu ke službám](https://reader031.fdocument.pub/reader031/viewer/2022020122/5570305cd8b42a611e8b4722/html5/thumbnails/6.jpg)
24.10.2013 Služby e-infrastruktury CESNET
Služby e-Infrastruktury
Datová uložiště
CERTS Anti-SPAM
SIP
IP Tel.
![Page 7: Systém pro řízení přístupu ke službám](https://reader031.fdocument.pub/reader031/viewer/2022020122/5570305cd8b42a611e8b4722/html5/thumbnails/7.jpg)
• Systém pro správu uživatelů a skupin – Organizování uživatelů do nezávislých celků
• Virtuální organizace = skupina uživatelů se správci a definovanými pravidly pro členství
– Delegování správy skupin na odpovědné osoby
• Systém pro řízení přístupu ke službám – Evidence služeb
– Řízení která skupina může na kterou službu a za jakých podmínek
24.10.2013 Služby e-infrastruktury CESNET
![Page 8: Systém pro řízení přístupu ke službám](https://reader031.fdocument.pub/reader031/viewer/2022020122/5570305cd8b42a611e8b4722/html5/thumbnails/8.jpg)
Delegování odpovědnosti
• Správci služeb definují kterým VO bude služba dostupná a za jakých podmínek
• Správce VO řídí členství ve VO
• Správce VO určuje, kdo z členů VO může danou službu využívat a nebo toto právo deleguje
24.10.2013 Služby e-infrastruktury CESNET
![Page 9: Systém pro řízení přístupu ke službám](https://reader031.fdocument.pub/reader031/viewer/2022020122/5570305cd8b42a611e8b4722/html5/thumbnails/9.jpg)
Konfigurace přístupu na služby
• Exportuje seznam povolených členů na službu
– Přímo konfiguruje služby
– Vystavuje v požadovaném formátu
• Správce služby má plnou kontrolu nad procesem konfigurace
24.10.2013 Služby e-infrastruktury CESNET
![Page 10: Systém pro řízení přístupu ke službám](https://reader031.fdocument.pub/reader031/viewer/2022020122/5570305cd8b42a611e8b4722/html5/thumbnails/10.jpg)
A co s tím?
• Oddělení správy služeb od správy uživatelů služeb
• Odstranění administrativních a technických překážek při registraci uživatele k službě
• SaaS – minimalizace nákladů na správu
24.10.2013 Služby e-infrastruktury CESNET
![Page 11: Systém pro řízení přístupu ke službám](https://reader031.fdocument.pub/reader031/viewer/2022020122/5570305cd8b42a611e8b4722/html5/thumbnails/11.jpg)
Příklad z praxe
• Chceme pro členy projektu přístup na wiki, interní webové stránky projektu a mailing list
• Členové projektu jsou z různých organizací (akademických i komerčních)
• Předpokládá se fluktuace členů
• Nechceme dedikovat administrátora na řešení tohoto problému
24.10.2013 Služby e-infrastruktury CESNET
![Page 12: Systém pro řízení přístupu ke službám](https://reader031.fdocument.pub/reader031/viewer/2022020122/5570305cd8b42a611e8b4722/html5/thumbnails/12.jpg)
Příklad z praxe
• Přístup členů přes eduID.cz/Hostel
• Členství a přístup na služby spravuje manažer projektu (nikoliv administrátor služeb)
• Podpora delegace pravomocí manažerem na členy projektu
• Vývojový tým Peruna je řízen tímto způsobem
24.10.2013 Služby e-infrastruktury CESNET
![Page 13: Systém pro řízení přístupu ke službám](https://reader031.fdocument.pub/reader031/viewer/2022020122/5570305cd8b42a611e8b4722/html5/thumbnails/13.jpg)
Závěrem
• Pro zájemce uspořádáme detailní prezentaci
• Pomůžeme s testováním využití Peruna na Vaši instituci
• V současné době systém Perun spravuje cca 2500 uživatelů a 1600 strojů
24.10.2013 Služby e-infrastruktury CESNET
![Page 14: Systém pro řízení přístupu ke službám](https://reader031.fdocument.pub/reader031/viewer/2022020122/5570305cd8b42a611e8b4722/html5/thumbnails/14.jpg)
http://perun.cesnet.cz
Michal Procházka
24.10.2013 Služby e-infrastruktury CESNET