Vartotojų autentifikavimas ir autorizavimas eLABa talpyklose
-
Upload
jamal-taylor -
Category
Documents
-
view
35 -
download
2
description
Transcript of Vartotojų autentifikavimas ir autorizavimas eLABa talpyklose
EUROPOS SĄJUNGA
2023 metų balandžio mėnesio 20 diena, Kaunas
Vartotojų autentifikavimas ir Vartotojų autentifikavimas ir autorizavimas eLABa autorizavimas eLABa talpyklosetalpyklose
Arūnas Franckevičius
Ekspertas
Vartotojų autentifikavimas ir Vartotojų autentifikavimas ir autorizavimas eLABa talpykloseautorizavimas eLABa talpyklose EUROPOS SĄJUNGA
Kas yraKas yraAutentifikacija ir AutorizacijaAutentifikacija ir Autorizacija
Autentifikacija Reikalinga vartotojo tapatybei identifikuoti
Dažniausia naudojamas susietas vartotojo vardas ir slaptažodis
Autorizacija Nustato ar jau identifikuotas vartotojas turi teisę
naudotis paslauga
Autorizacijos metu tikrinama ar vartotojas priklauso tokį leidimą turinčiai grupei, ar yra tinkamas jo saugumo lygis
Lietuvos VDDB ir LVB sujungimas su Lietuvos mokslo ir studijų informacijos sistema
Vartotojų autentifikavimas ir Vartotojų autentifikavimas ir autorizavimas eLABa talpykloseautorizavimas eLABa talpyklose EUROPOS SĄJUNGA
AutentifikacijaAutentifikacija
Pagrindas – vartotojų ir jų atributų duomenų bazė LDAP, NIS, RDBVS, MS Active Directory
Vartotoją identifikuojantys duomenys Vartotojo vardas ir slaptažodis
Skaitmeniniai sertifikatai, identifikavimo kortelės, biometriniai duomenys
Lietuvos VDDB ir LVB sujungimas su Lietuvos mokslo ir studijų informacijos sistema
Vartotojų autentifikavimas ir Vartotojų autentifikavimas ir autorizavimas eLABa talpykloseautorizavimas eLABa talpyklose EUROPOS SĄJUNGA
AutorizacijaAutorizacija
Kiekviena sistema turi savo vidinį autorizacijos mechanizmą
Adresatas Subjektai, resursai, veiksmai
Taisyklės Ar autorizuoti vartotoją atlikti veiksmą, gauti
resursą ir pan.
eLABa talpyklos autorizacija aprašoma XACML taisyklėmis
Lietuvos VDDB ir LVB sujungimas su Lietuvos mokslo ir studijų informacijos sistema
Vartotojų autentifikavimas ir Vartotojų autentifikavimas ir autorizavimas eLABa talpykloseautorizavimas eLABa talpyklose EUROPOS SĄJUNGA
Objekte saugomų duomenų tipaiObjekte saugomų duomenų tipai
Visateksčiai dokumentai ETD, straipsniai, knygos ir t.t.
Metaduomenys MARCXML, DC, turinys ir t.t.
Administraciniai duomenys Autorizacijos informacija
Patalpinimo, saugojimo informacija, prieigos taisyklės (policy) ir t.t.
Lietuvos VDDB ir LVB sujungimas su Lietuvos mokslo ir studijų informacijos sistema
Vartotojų autentifikavimas ir Vartotojų autentifikavimas ir autorizavimas eLABa talpykloseautorizavimas eLABa talpyklose EUROPOS SĄJUNGA
Dokumentų priėjimo lygiaiDokumentų priėjimo lygiai
Laisvai prieinamas internete – dokumentas prieinamas internetu iš bet kurio pasaulio taško
Prieinamas tik institucijos intranete – dokumentas pasiekiamas tik iš kompiuterių, turinčių IP adresą priklausantį institucijos IP adresų aibei
Neprieinamas – dokumentas yra nepasiekiamas
Du paskutiniai prieigos lygiai turi laikinį apribojimą Kuriam pasibaigus dokumentui priskiriamas „laisvai
prieinamo internete“ lygis
Lietuvos VDDB ir LVB sujungimas su Lietuvos mokslo ir studijų informacijos sistema
Vartotojų autentifikavimas ir Vartotojų autentifikavimas ir autorizavimas eLABa talpykloseautorizavimas eLABa talpyklose EUROPOS SĄJUNGA
SutartysSutartys
Darbo autorius privalo pasirašyti licencinę sutartį, kurioje aprašoma: šalių pareigos bei atsakomybės dokumento saugojimo tvarka dokumento dalių prieigos ribojimo lygiai ribojimo terminai
Šiuo metu sutartis yra pasirašoma ir saugoma popieriniame formate ateityje numatoma ir elektroninė versija,
pasirašoma elektroninių parašu
Lietuvos VDDB ir LVB sujungimas su Lietuvos mokslo ir studijų informacijos sistema
Vartotojų autentifikavimas ir Vartotojų autentifikavimas ir autorizavimas eLABa talpykloseautorizavimas eLABa talpyklose EUROPOS SĄJUNGA
Autorizacijos realizacijaAutorizacijos realizacija
eLABa talpyklos PĮ Fedora autorizacija yra realizuota naudojant XACML polisus
XACML – tai OASIS (www.oasis-open.org/) organizacijos specifikuota priėjimo kontrolės kalba
XACML variklis – Sun XACML realizacija (sunxacml.sourceforge.net)
XACML prieigos taisyklių (policy) tipai Bendros talpyklos prieigos taisyklės Talpykloje saugomų objektų ir/ar jų sudedamųjų dalių
prieigos taisyklės
Lietuvos VDDB ir LVB sujungimas su Lietuvos mokslo ir studijų informacijos sistema
Vartotojų autentifikavimas ir Vartotojų autentifikavimas ir autorizavimas eLABa talpykloseautorizavimas eLABa talpyklose EUROPOS SĄJUNGA
XACML pavyzdysXACML pavyzdys<Rule Effect="Deny" RuleId="2"><!-- Prieinamas tik institucijos intranete nurodyta laikotarpi --> <Target> <Subjects> <AnySubject /> </Subjects> <Resources> <Resource> <ResourceMatch MatchId="urn:oasis:names:tc:xacml:1.0:function:string-equal"> <AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string">DS.005.0.01.ETD</
AttributeValue> <ResourceAttributeDesignator AttributeId="urn:fedora:names:fedora:2.1:resource:datastream:id“
DataType="http://www.w3.org/2001/XMLSchema#string" /> </ResourceMatch> </Resource> </Resources> <Actions> <Action> <ActionMatch MatchId="urn:oasis:names:tc:xacml:1.0:function:string-equal"> <AttributeValue
DataType="http://www.w3.org/2001/XMLSchema#string">urn:fedora:names:fedora:2.1:action:id-getDatastreamDissemination</AttributeValue>
<ActionAttributeDesignator DataType="http://www.w3.org/2001/XMLSchema#string" AttributeId="urn:fedora:names:fedora:2.1:action:id" />
</ActionMatch> </Action> </Actions></Target>
Lietuvos VDDB ir LVB sujungimas su Lietuvos mokslo ir studijų informacijos sistema
Vartotojų autentifikavimas ir Vartotojų autentifikavimas ir autorizavimas eLABa talpykloseautorizavimas eLABa talpyklose EUROPOS SĄJUNGA
XACML pavyzdys (2)XACML pavyzdys (2)<Condition FunctionId="urn:oasis:names:tc:xacml:1.0:function:and"> <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:not"> <!-- Leidziama su fedora rolemis --> <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:string-at-least-one-member-
of"> <SubjectAttributeDesignator AttributeId="fedoraRole"
DataType="http://www.w3.org/2001/XMLSchema#string" MustBePresent="false" /> <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:string-bag"> <AttributeValue
DataType="http://www.w3.org/2001/XMLSchema#string">KTU</AttributeValue> </Apply> </Apply> </Apply>
<!-- Datos apribojimas --> <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:date-less-than"> <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:date-one-and-only"> <EnvironmentAttributeDesignator DataType="http://www.w3.org/2001/XMLSchema#date"
AttributeId="urn:fedora:names:fedora:2.1:environment:currentDate" /> </Apply> <AttributeValue DataType="http://www.w3.org/2001/XMLSchema#date">
2010-04-01 </AttributeValue> </Apply></Condition></Rule>
Lietuvos VDDB ir LVB sujungimas su Lietuvos mokslo ir studijų informacijos sistema
Vartotojų autentifikavimas ir Vartotojų autentifikavimas ir autorizavimas eLABa talpykloseautorizavimas eLABa talpyklose EUROPOS SĄJUNGA
Papildomos priemonėsPapildomos priemonės
Prieigos prie objektų ribojimui institucijų intranete reikia Institucijų IP adresų
kinta laike dėl nuolatinės tinklo pertvarkymo ar plėtros Institucijas identifikuojančių atributų (roles)
IP adresų ir atributų susiejimo mechanizmo
Susiejimo mechanizmui realizuota papildoma PĮ integruota į Fedorą talpyklą Sukurta naudojant Java Servlet Filters technologija
IP adresų ir atributų susiejimo lentelės saugomos atskirame XML faile
Lietuvos VDDB ir LVB sujungimas su Lietuvos mokslo ir studijų informacijos sistema
Vartotojų autentifikavimas ir Vartotojų autentifikavimas ir autorizavimas eLABa talpykloseautorizavimas eLABa talpyklose EUROPOS SĄJUNGA
Ačiū už dėmesį
http://sf.library.lt
http://www.lvb.lt