Odgovorna osoba matične ustanove
Člankom 27. Pravilnika o ustroju AAI@EduHr (izravno dostupan na poveznici https://www.aaiedu.hr/sites/default/files/content_files/docs/AAI%40EduHr-pravilnik-ver1.3.1.pdf.) definirana je uloga definirane su sljedeće obaveze odgovorne osobe matične ustanove u sustavu AAI@EduHr:
"Matična ustanova dužna je imenovati osobe odgovorne za tehničku ispravnost i informacijsku pouzdanost svoga LDAP imenika i prateće programske podrške iz članka 7. Odgovorne osobe iz stavka 1. ovoga članka dužne su održavati podatke o matičnoj ustanovi u registru matičnih ustanova kojeg održava Koordinator".
Osim definirane uloge odgovorne osobe u Čl. 27. Pravilnikagore navedenih obaveza, odgovorna osoba u sustavu AAI@EduHr zadužena je i za komunikaciju s timom sustava AAI@EduHr.
Ukratko o sustavu AAI@EduHr
Sustav AAI@EduHr je autentikacijska i autorizacijska infrastruktura sustava znanosti i visokog obrazovanja u Republici Hrvatskoj. Svaka ustanova iz sustava Ministarstva znanosti i obrazovanja koja je uključena u sustav AAI@EduHr ima vlastitu bazu (tzv. LDAP imenik) u kojoj su pohranjeni elektronički identiteti korisnika iz te ustanove.
...
Arhitektura AAI@EduHr sustava pojednostavljeno je prikazana na slici ispod, dok više informacija vezanih uz tehnički opis sustava možete pročitati na internetskoj stranici https://www.aaiedu.hr/o-sustavu/sto-je-aaieduhr/tehnicki-opis-sustava
E-identiteti u sustavu AAI@EduHr
Elektronički identitet (engl. electronic identity, digital identity, skraćeno e-identitet) u sustavu AAI@EduHr je skup podataka o pojedincu koji se koristi za potrebe provjere identiteta (autentikacija) i prava pristupa (autorizacija). Pamti se u posebnoj bazi podataka koju zovemo (LDAP) imenik.
...
Više informacija o tome što je e-identitet, čemu služi, kako ga sigurno koristiti možete potražiti na interneskoj stranici https://www.aaiedu.hr/o-sustavu/sto-je-aaieduhr/sto-je-elektronicki-identitet-u-sustavu-aaieduhr
...
Dodjeljivanje i ažuriranje AAI@EduHr elektroničkih identiteta
Člankom 29. Pravilnika o ustroju AAI@EduHr definirano je tko dodjeljuju i održava elektronički identitete.
...
Kako postaviti vrijednost atributa hrEduPersonRole (uloga u ustanovi) opisano je na https://www.aaiedu.hr/za-maticne-ustanove/administracija-ldap-imenika/kako-postaviti-vrijednost-atributa-hredupersonroleWiki stranici Kako postaviti vrijednost atributa hrEduPersonRole (uloga u ustanovi)?
Više informacija o tome tko ima pravo administrirati imenik kroz AOSI web sučelje možete pročitati na https://www.aaiedu.hr/za-maticne-ustanove/administracija-ldap-imenika/tko-ima-pravo-administrirati-imenik-kroz-aosi-webWiki stranici Tko ima pravo administrirati imenik kroz AOSI web sučelje?
Više informacija o administraciji imenika nalazi se na https://www.aaiedu.hr/za-maticne-ustanove/administracija-ldap-imenikaWiki stranici Administracija LDAP idmenika.
*Sve o AOSI web sučelju možete pročitati na https://www.aaiedu.hr/za-maticne-ustanove/programska-podrska/aplikacija-za-odrzavanje-sadrzaja-imenika-aosiWiki stranici Aplikacija za održavanje sadržaja imenika (AOSI)
*AOSI web sučelje za održavanje sadržaja imenika za ustanove koje koriste uslugu ugošćavanja AAI@EduHr servisa nalazi se na https://hosting.aaiedu.hr
Pravila i preporuke vezane za upravljanje elektroničkim identitetima
Obaveza ustanove je da podaci u LDAP imeniku budu točni i ažurni pri čemu je potrebno slijediti pravila i preporuke za upravljanje elektroničkim identitetima definirana Čl. 29. Pravilnika o ustroju AAI@EduHr. Više informacija o pravilima i preporukama, osim u Pravilniku, možete pročitati i na interneskoj stranici https://www.aaiedu.hr/za-maticne-ustanove/administracija-ldap-imenika/preporuke-za-upravljanje-elektronickim-identitetimaWiki stranici Preporuke za upravljanje elektroničkim identitetima u sustavu AAI@EduHr
...
Obavijest o privatnosti - za matične ustanove
Obaveza svake matične ustanove - davatelja elektroničkih identiteta u sustavu AAI@EduHr je informirati korisnike o obradi njihovih osobnih podataka. Da bismo ustanovama olakšali informiranje korisnika, priredili smo predložak obavijesti o privatnosti.
Za ustanove koje koriste uslugu udomljavanja primarnih AAI@EduHr servisa ustanove na poslužitelju u Srcu mi smo prilagodili obrazac koji se ispisuje i uručuje korisnicima prilikom otvaranja e-identiteta tako da sadrži obavijest.
Više informacija o tome kako objaviti obavijest o privatnosti možete pročitati na https://www.aaiedu.hr/za-maticne-ustanove/cesto-postavljana-pitanja/obavijest-o-na Wiki stranici Obavijest o privatnosti - za -maticne-matične ustanove.
Politika obavezne promjene zaporke
U svrhu povećanja sigurnosti elektroničkih identiteta u sustavu AAI@EduHr, u svim AAI paketima implementirana je podrška za politiku obavezne promjene zaporke. Koje su značajke politike obavezne promjene zaporke, je li za matične ustanove obavezna implementacija politike obavezne promjene zaporke, kako pronaći i otključati zaključane korisnike možete pročitati na https://www.aaiedu.hr/za-maticne-ustanove/programska-podrska/politika-obavezne-promjene-zaporke-u-sustavu-aaieduhrna Wiki stranici Politika obavezne promjene zaporke u sustavu AAI@EduHr.
AAI@EduHr administracija - web aplikacija za odgovorne osobe
Odgovorne osobe u sustavu AAI@Eduhr dužne su održavati podatke o matičnoj ustanovi u registru matičnih ustanova. Shodno tome dostupna je web aplikacija koja omogućava pregled (i promjenu) podataka iz sustava AAI@EduHr vezanih uz ustanovu.
Neke od značajki koje je moguće koristiti su:
...
Web aplikacija je dostupna na https://administracija.aaiedu.hr
...
Odobravanje zahtjeva za registracijom vjerodajnica drugog stupnja autentikacije u sustavu AAI@EduHr
Sustav AAI@EduHr omogućava dvostupanjsku autentikaciju na način da se za prvi stupanj autentikacije koristi metoda autentikacije korisničkom oznakom i zaporkom u sustavu AAI@EduHr, a za drugi stupanj autentikacije koristi se jedna od podržanih metoda višestupanjske autentikacije u sustavu AAI@EduHr (SMS OTP sustav, TOTP sustav, YubiKey sTOTP sustav, WebAuthn FIDO2, vjerodajnice visokog stupnja sigurnosti - eOsobna iskaznica, MobileID osobna iskaznica, FINA RDC osobni certifikat...).
...
Upute za postupak odobravanja zahtjeva za registracijom drugog stupnja nalaze se na internetskoj stranici https://www.aaiedu.hr/za-maticne-ustanove/cesto-postavljana-pitanja/upute-za-koristenje-jedinstvenog-korisnickog-web#p11Wiki stranici Upute za korištenje web aplikacije za odgovorne osobe matičnih ustanova i partnera u sustavu AAI@EduHr - AAI@EduHr administracija
Registar resusa
Matična ustanova može biti i davatelj usluge u sustavu AAI@EduHr ako želi ponuditi uslugu za koju se korisnici trebaju autenticirati putem sustava AAI@EduHr. Takve usluge predstavnici matične ustanove registriraju/ažuriraju kroz sučelje Registra resursa. Svaki postavljeni zahtjev za registracijom/ažiriranjem resursa treba biti odobren od strane odgovorne osobe u sustavu AAI@EduHr.
To znači da je jedna od obaveza odgovorne osobe odobravanje postavljenih zahtjeva za registracijom novog resursa ili ažuriranjem postavki registriranog resursa kroz sučelje Registra resusa koje se nalazi na https://registar.aaiedu.hr Sve o postupku odobravanja takvih zahtjeva možete saznati na https://www.aaiedu.hr/za-davatelje-usluga/za-web-aplikacije/sustav-jedinstvene-autentikacije-korisnika#p10Više o Registru resursa nalazi se na https://www.aaiedu.hr/za-davatelje-uslugaWiki stranici Registar resursa u odjeljku Postupak odobravanja i obrade zahtjeva
Povezivanje sustava AAI@EduHr i Office 365 na način da se u sustav Office 365 prijavljuje e-identitetom iz sustava AAI@EduHr
Ako vaša ustanova ima pravo korištenja usluge Office 365, sustav AAI@EduHr omogućava prijavu u uslugu O365 uporabom e-identiteta.
Uputa za taj postupak nalazi se na https://www.aaiedu.hr/za-davatelje-usluga/prilagodene-aplikacije-i-servisi/microsoft-office-Wiki stranici Microsoft Office 365
Ustanove koje koriste uslugu ugošćavanja AAI@EduHr servisa trebaju proći korake navedene u poglavlju „Je li moguće uspostaviti vezu sustava AAI@EduHr i Office 365 ako koristim uslugu ugošćavanja AAI servisa na računalu hosting.aaiedu.hr?“
Više informacija imate li pravo na (besplatno) korištenje usluge O365 pročitajte na https://www.srce.unizg.hr/office365
Je li moguće sadržaj LDAP imenika održavati kroz ISVU
Ako se vaša ustanovu odluči da želi ažurirati elektroničke identitete u LDAP imeniku kroz ISVU, potrebno je provesti usklađivanje sadržaja LDAP imenika ustanove i ISVU baze.
Sve informacije nalaze se na https://www.aaiedu.hr/za-maticne-ustanove/cesto-postavljana-pitanja/je-li-moguce-sadrzaj-ldap-imenika-odrzavati-kroz-isvuna Wiki stranici Je li moguće održavati sadržaj LDAP imenika kroz ISVU.
Ugošćavanje primarnih i sekundarnih AAI@EduHr servisa u Srcu
Matične ustanove koje iz opravdanih razloga (nedostatak vlastitog poslužitelja, nedostatak stalne i pouzdane veze na Internet, nedostatak stručnog osoblja itd.) ne mogu instalirati i održavati LDAP imenik i ostale servise potrebne za rad AAI@EduHr sustava na lokalnom poslužitelju svoje ustanove mogu zatražiti ugošćavanje osnovnih AAI@EduHr servisa u Srcu.
Sve važne informacije o ugošćavanju primarnih i sekundarnih AAI@EduHr servisa nalazi se na https://www.aaiedu.hr/za-maticne-ustanove/udomljavanjeWiki stranicama Procedura udomljavanja primarnih AAI@EduHr servisa na poslužitelju u Srcu i Procedura udomljavanja sekundarnih AAI@EduHr servisa na poslužitelju u Srcu
Certificiranje matičnih ustanova u sustavu AAI@EduHr
Jednom godišnje provodi se provjera usklađenosti, odnosno certificiranje matičnih ustanova u sustavu AAI@EduHr s normama sustava AAI@EduHr. Sve matične ustanove u sustavu AAI@EduHr obuhvaćene su tom provjerom. Provjera usklađenosti je provjera koliko ustanove poštuju pravila sustava AAI@EduHr te obaveze koje su ulaskom u AAI@EduHr sustav pristale ispunjavati. Korisnicima s ustanova čija usklađenost tijekom certificiranja bude ocjenjena nedovoljnom ograničava se ili potpuno ukida pristup nekim resursima dostupnim unutar AAI@EduHr sustava te im neće biti moguće pristupiti sustavu e-Građani uporabom AAI@EduHr elektroničkog identiteta.
Sve o certificiranju matičnih ustanova u sustavu AAI@EduHr nalazi se na https://www.aaiedu.hr/za-maticne-ustanove/certificiranje-maticnih-ustanova-u-sustavu-aaieduhrWiki stranici Certificiranje matičnih ustanova.
Status osnovnih AAI@EduHr servisa ((LDAP, RADIUS, AOSI) na matičnim ustanovama
*Ispravnost AAI@EduHr servisa možete provjeriti putem stranice https://www.aaiedu.hr/statistika-i-stanje-sustava/maticne-ustanove/statusi-servisa
...
- na lokalnom poslužitelju matične ustanove moraju biti instalirani i pokrenuti AAI@EduHr servisi (LDAP, RADIUS, AOSI)
https://www.aaiedu.hr/za-maticne-ustanove/programska-podrska/nuzni-servisi-na-lokalnom-posluziteljuKoji sve servisi moraju biti instalirani na lokalnom poslužitelju matične ustanove?
- na lokalnom poslužitelju matične ustanove moraju biti instalirani i pokrenuti AAI@EduHr servisi (LDAP, RADIUS, AOSI)
- AAI@EduHr programska podrška na lokalnom poslužitelju matične ustanove mora biti instalirana iz najnovijih verzija instalacijskih paketa
https://www.aaiedu.hr/za-maticne-ustanove/programska-podrska/aktualne-verzije-aaieduhr-instalacijskih-Aktualne verzije AAI@EduHr instalacijskih paketa
- AAI@EduHr programska podrška na lokalnom poslužitelju matične ustanove mora biti instalirana iz najnovijih verzija instalacijskih paketa
- na poslužitelju ustanove moraju biti postavljene odgovarajuće dozvole pristupa sa središnjih poslužitelja AAI@EduHr
https://www.aaiedu.hr/dozvole-pristupa-na-posluzitelju-Dozvole pristupa na poslužitelju ustanove
- na poslužitelju ustanove moraju biti postavljene odgovarajuće dozvole pristupa sa središnjih poslužitelja AAI@EduHr
- certifikat AOSI web servisa treba biti ispravan
https://www.aaiedu.hr/za-maticne-ustanove/programska-podrska/kako-provjeriti-ispravnost-certifikata-aosi-web-servisa
https://www.aaiedu.hr/za-maticne-ustanove/programska-podrska/kako-postaviti-tcs-certifikat-aosi-web-servisuKako provjeriti ispravnost certifikata AOSI web servisa?
Kako postaviti TCS certifikat AOSI web servisu?
- certifikat AOSI web servisa treba biti ispravan
- povećati pouzdanost rada AAI@EduHr servisa na matičnoj ustanovi
https://www.aaiedu.hr/za-maticne-ustanove/programska-podrska/kako-povecati-pouzdanost-rada-aaieduhr-servisa-na-maticnojKako povećati pouzdanost rada AAI@EduHr servisa na matičnoj ustanovi?
- povećati pouzdanost rada AAI@EduHr servisa na matičnoj ustanovi
- pokrenuti sekundarni, redundantni skup AAI@EduHr komponenti na matičnoj ustanovi u slučaju nedostupnosti ili preopterećenosti primarnih servisa
https://www.aaiedu.hr/za-maticne-ustanove/programska-podrska/kako-pokrenuti-sekundarni-redundantni-skup-aaieduhrKako pokrenuti sekundarni, redundantni skup AAI@EduHr komponenti na matičnoj ustanovi?
- pokrenuti sekundarni, redundantni skup AAI@EduHr komponenti na matičnoj ustanovi u slučaju nedostupnosti ili preopterećenosti primarnih servisa
- u WSDL datoteci (.wsdl) koja opisuje AOSI servis ustanove treba biti upisana ispravna web adresa/lokacija (URL) AOSI WS (standardno https://dns_naziv_posluzitelja:1443/AOSI)
- osigurati ispravan sustav certifikata RADIUS poslužitelja
o https://www.aaiedu.hr/za-davatelje-usluga/za-usluge-spajanja-na-mrezu/generiranje-sustava-freeradius-certifikata-root-ca
o https://www.aaiedu.hr/za-davatelje-usluga/za-usluge-spajanja-na-mrezu/kako-koristiti-certifikat-u-radu-radius-posluzitelja
o https://www.aaiedu.hr/za-davatelje-usluga/za-usluge-spajanja-na-mrezu/upute-za-upravljanje-certifikatom-freeradiusGeneriranje sustava freeRADIUS certifikata (root + RADIUS certifikat)
o Kako koristiti certifikat u radu RADIUS poslužitelja
o Upute za upravljanje certifikatom (FreeRADIUS)
- osigurati ispravan sustav certifikata RADIUS poslužitelja
...
Poslužitelj je promijenio IP adresu ili DNS naziv, što je potrebno učiniti?
Kada poslužitelj promijeni IP adresu ili DNS naziv potrebno je sljedeće:
- evidentirati promjenu IP adrese ili DNS naziva kroz aplikaciju AAI@EduHr administracija koja se nalazi na adresi https://administracija.aaiedu.hr
Kod podnošenja zahtjeva za promjenom moguće je navesti željeni datum (i vrijeme) od kada se želi da promjene budu aktivne. - ako ustanova koristi uslugu udomljavanja seksundarnih servisa, instalirati plugin :
https://www.aaiedu.hr/za-maticne-ustanove/udomljavanje-ldap-imenika/udomljavanje-sekundarnih-servisa-na-posluzitelju-u-srcuprema uputama na wiki stranici
Procedura udomljavanja sekundarnih AAI@EduHr servisa na poslužitelju u Srcu - provjeriti certifikate AOSI WS i RADIUS-a.
za RADIUS, ako ste generirali novi sustav certifikata , tada treba u eduroam installer postaviti novi root CA certifikat (sučelje za administratore nalazi se na web adresi https://installer.eduroam.hr/index_adm.php)
(upute: https://www.aaiedu.hr/node/44 Kako korisnicima omogućiti spajanje na eduroam?) i obavijestiti korisnike koji koriste eduroam da rekonfiguriraju uređaje za pristup usluzi novim installerom
(https://installer.eduroam.hr) - ako je vaša ustanova pružatelj eduroam usluge u tom slučaju je kroz Registar resursa potrebno provjeriti postavke registriranog resursa i prema potrebi ih ažurirati.
- evidentirati promjenu IP adrese ili DNS naziva kroz aplikaciju AAI@EduHr administracija koja se nalazi na adresi https://administracija.aaiedu.hr