Versions Compared

Old Version 3

changes.mady.by.user Dubravka Orešković

Saved on

compared with

New Version 4

changes.mady.by.user Dubravka Orešković

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Izgrađena hijerarhija RADIUS poslužitelja vezanih uz LDAP imenike na ustanovama, uz odgovarajuće središnje tzv. proxy RADIUS poslužitelje, standardno se koristi kao temelj autenticiranog i autoriziranog pristupa mreži. Usporedno s RADIUS infrastrukturom, sustav jedinstvene autentikacije korisnika temeljen na SAML 2.0 standardu koristi se za autentikaciju i autorizaciju korisnika prilikom pristupanja web aplikacijama.

Višestupanjska autentikacija

Višestupanjska autentikacija (MFA, Multi-Factor Authentication) je vrsta autentikacije u kojoj je korisnik autenticiran nakon što se uspješno autenticira kombinacijom dvije ili više metoda autentikacije. Kombinira se autentikacija onim što korisnik zna (npr. korisnička oznaka i lozinka) , s autentikacijom putem onog što korisnik ima (npr. neki uređaj, pametna kartica) i/ili s autentikacijom putem korisnikovih biometrijskih podataka (npr. otisak prsta).

Dvostupanjska autentikacije (2FA) je višestupanjska autentikacija u 2 stupnja, u kojoj se koriste dvije metode autentikacije.

Sustav AAI@EduHr omogućava dvostupanjsku autentikaciju  na način da se kao prvi stupanj koristi metoda autentikacije korisničkom oznakom i lozinkom, a kao drugi stupanj neki od sustava koji generira jednokratne lozinke (tokene).

Korištenje dvostupanjske autentikacije u sustavu AAI@EduHr nije obavezno već ovisi o potrebama pojedine usluge.

Dvostupanjska autentikacija u AAI@EduHr prikazana je slijedećim dijagramom:
 

Image Removed

Postupak autentikacije obavlja se tako da se korisnik prvo autenticira korisničkom oznakom i lozinkom iz sustava AAI@EduHr koju je izdala njegova matična ustanova (autentikacija s onim sto korisnik zna) te se nakon toga obavlja autentikacija putem tokena nekog od sustava koji generiraju jednokratne tokene za autentikaciju (autentikacija onim što korisnik posjeduje).

Trenutno podržane metode višestupanjske autentikacije u sustavu AAI@EduHr su:

  • Yubico Yubikey (https://www.yubico.com) uređaj (kojeg korisnik mora posjedovati) - korisnik prenosi token putem Yubikey uređaja
  • TOTP (Time-based One Time Password) uz korištenje posebne aplikacije (npr. Google Authenticator, FreeOTP ili OpenOTP) koju korisnik mora instalirati na svoje računalo - korisnik upisuje token koji mu je izgenerirala aplikacija (temeljem registriranog tajnog ključa).
  • WebAuthn FIDO2
  • vjerodajnice visokog stupnja sigurnosti - eOsobna iskaznica, MobileID osobna iskaznica, FINA RDC osobni certifikat).

Prije prve dvostupanjske autentikacije korisnik mora registirati metodu (metode) koju će koristiti.  

Detaljne upute za krajnje korisnike.

Sustav AAI@EduHr zahtjeva od davatelja usluge da putem registra resursa zatraži dvostupanjsku autentikaciju s odabranim drugim stupnjem. Detaljne upute za davatelje usluga.

Središnji servisi


Uloga je središnjih servisa AAI@EduHr osigurati jednostavno, pouzdano i sigurno provođenje procesa autentikacije i autorizacije korisnika. Proces inicira korisnik prilikom pristupa nekom resursu koji je usklađen s AAI@EduHr standardom. AA komponenta resursa posredstvom središnjih servisa kontaktira AA komponentu na matičnoj ustanovi. Provodi se proces autentikacije odnosno provjere identiteta, a zatim i autorizacije na temelju podataka vezanih uz elektronički identitet korisnika.

...