Sustav jedinstvene autentikacije korisnika

Sustav jedinstvene autentikacije korisnika (engl. single Sign-On, SSO) je autentikacijski mehanizam koji omogućuje da se korisnik u sustav prijavi samo jednom i nakon toga pristupa svim aplikacijama koje koriste SSO servis bez potrebe za ponovnim unosom korisničke oznake i zaporke.

Uporaba Single sign-On servisa znatno poboljšava doživljaj korisnika prilikom prijavljivanja u veći broj aplikacija, za prijavu u sve aplikacije korisnik rabi isti elektronički identitet.

Za implementaciju SSO funkcionalnosti u sustavu AAI@EduHr mogu se koristiti protokoli kao što su Security Assertion Markup Language (SAML) 2.0, Central Authentication Service (CAS) ili OpenID Connect (OIDC). Više informacija o AAI@EduHr sustavu jedinstvene autentikacije korisnika možete pronaći u prezentaciji AAI@EduHr SSO rješenje za autentikaciju krajnjih korisnika(link is external).

Da bi aplikacija mogla koristiti AAI@EduHr SSO, potrebno je provesti registriraciju resursa u sustavu AAI@EduHr pomoću Registra resursa.

Otvaranje korisničkog računa u Registru resursa

Registracija novog resursa u sustavu AAI@EduHr, ažuriranje postavki resursa ili brisanje resursa obavlja se kroz web-aplikaciju Registar resursa.

Pristup Registru resursa dozvoljen je isključivo ovlaštenim predstavnicima davatelja usluga u sustavu AAI@EduHr. Davatelji usluga u sustavu AAI@EduHr mogu biti matične ustanove u sustavu AAI@EduHr ili partneri AAI@EduHr federacije.

Ako ste ovlašteni predstavnik davatelja usluge, trebate se registrirati (otvoriti korisnički račun) u Registru resursa nakon čega će administrator AAI@EduHr autorizirati vaš korisnički račun za puni pristup aplikaciji. Prvi korak je prijava u Registar resursa korištenjem AAI@EduHr elektroničkog identiteta ili neke od vjerodajnica kreiranih na društvenim mrežama (Facebook, Google, LinkedIn, Twitter). Gumb za prijavu nalazi se na desnom kraju navigacijske trake:

Na sljedećoj stranici potrebno je odabrati vjerodajnicu za prijavu:

Sljedeći korak registracije korisnika je popunjavanje postavki korisničkog profila. U polju Svrha registracije važno je navesti opravdan razlog potrebe korištenja Registra kako bi administrator sustava AAI@EduHr bio siguran da je korisnik dobro upoznat sa svrhom i namjenom Registra resursa te ga namjerava koristiti u smislene svrhe.

Po kliku na gumb "Spremi", vaš korisnički profil će biti zapamćen i postupak registracije dovršen, o čemu će biti obaviješteni administratori sustava AAI@EduHr. Na temelju informacija iz vašeg profila vašem će korisničkom računu naknadno biti omogućena (ili odbijena) autorizacija za puni pristup i korištenje Registra, o čemu ćete biti obaviješteni elektroničkom poštom.

Što je resurs?

Resurs je entitet u sustavu AAI@EduHr koji, osim što sadrži osnovne podatke o aplikaciji/usluzi koja koristi sustav AAI@EduHr, obuhvaća i aktivne konfiguracije svih autentikacijskih mehanizama kojima se navedena aplikacija/usluga služi u sustavu. Resurs se dakle sastoji od Općih podataka i autentikacijskih modula. U prvu skupinu spadaju općenite informacije poput naziva, opisa i vrste resursa skupa s nazivom ustanove s kojom je resurs povezan i pripadajućim kontaktima za podršku. Svaki resurs, da bi bio aktivan i funkcionalan, mora imati pridružen najmanje jedan od dostupnih autentikacijskih modula. Autentikacijski modul je segment koji sadrži skup konfiguracijskih parametara za CAS, SAML, OIDC, FWS ili RADIUS protokol. Svaki resurs može imati najviše po jedan aut. modul za pojedinačnu vrstu autentikacije putem jednog od navedenih protokola, no autentikacijski mehanizmi time nisu ograničeni svaki na samo jedan poslužitelj. U svakom modulu može se uključiti više autentikacijskih poslužitelja s kojima aplikacija/usluga komunicira koristeći iste konfiguracijske parametre koje taj modul definira.

Postavljanje zahtjeva za registraciju resursa

S autoriziranim pristupom u Registar resursa imate pravo kreirati zahtjeve za registraciju novih, te mijenjanje ili brisanje postojećih resursa čiji ste administrator. Na navigacijskoj traci nalazi se poveznica za pregled postojećih resursa (Resursi) te poveznica do forme zahtjeva za registraciju novog resursa (Registracija resursa). Ako još za nijedan resurs niste navedeni kao administrator, popis sa prve poveznice bit će prazan. Kliknite na poveznicu Registracija resursa i otvorit će se forma za unos općih podataka. Detaljniji opis te forme nalazi se u nastavku.

Opći podaci resursa

Na vrhu forme za unos općih podataka o novom resursu nalazi se kvadratić s naslovom "Kao administrator usluge potvrđujem da će usluga biti pružana sukladno odredbama Pravilnika o ustroju AAI@EduHr". U kvadratić trebate staviti kvačicu kako biste potvrdili da prihvaćate uvjete korištenja AAI@EduHr infrastrukture definirane Pravilnikom o ustroju autentikacijske i autorizacijske infrastrukture sustava znanosti i visokog obrazovanja u Republici Hrvatskoj.   

U sljedećem nizu polja potrebno je unijeti podatke koji će u najvećoj mjeri biti javno dostupni korisnicima na stranici Aplikacije koje koriste sustav AAI@EduHr te je stoga bitno da podaci budu što jasniji i informativniji.

Naziv resursa i opis resursa mogu biti proizvoljni, no bitno je da krajnji korisnici iz naziva i opisa mogu nedvojbeno shvatiti koja je točna namjena resursa.

Osim ako se ne radi o nekoj već isprobanoj aplikaciji, za svaki novi resurs u sustavu AAI@EduHr koji je u fazi razvoja i testiranja u polju Vrsta resursa treba postaviti vrijednost "Test". Autentikacija za resurse koji su u fazi razvoja vrši se putem testne AAI@EduHr SSO infrastrukture čiji parametri su dostupni na web stranici AAI@EduHr Lab.

U padajućem izborniku Matična ustanova s kojom je resurs povezan potrebno je odabrati odgovarajuću matičnu ustanovu, osim u slučaju kad je resurs vezan za Partnera federacije. Tada je umjesto prvog obavezan drugi padajući izbornik: Partner federacije s kojim je resurs povezan. Izbor Globalne usluge s kojom je resurs povezan nije obavezan.

U polje URL sjedišta usluge treba unijeti adresu početne stranice aplikacije na kojoj se nalazi gumb/poveznica za prijavu korisnika potem sustava AAI@EduHr.

Ako postoji URL na kojem je dostupan logotip usluge, u polje treba unijeti direktan URL do datoteke logotipa. Preostala dva polja je potrebno popuniti ako postoje traženi podaci. 

U odjeljku Kontakti trebate unijeti podatke najmanje po jednog kontakta za svaku od sljedeće tri kategorije:

• Podrška korisnicima
• Tehnička podrška
• Voditelj usluge

Podaci o voditelju proizvoda i tehničkoj podršci koriste se isključivo interno, tj. služe AAI@EduHr timu kao kontakt podaci u slučaju da se pojavi nekakav problem s aplikacijom.

Podaci o službi koja bi trebala pružati podršku krajnjim korisnicima dostupni su javno, tj. prikazuju se nakon što korisnik odabere odgovarajući resurs na popisu produkcijskih resursa dostupnom na web stranici Aplikacije koje koriste sustav AAI@EduHr.

Pri dnu forme za unos općih podataka nalazi se tablica s popisom svih osoba koje su evidentirane u bazi Registra resursa. Ako želite da još netko osim vas ima mogućnost ažuriranja podataka o resursu, označite te osobe dodavanjem polja i odabirom tih osoba s liste.

Klikom na gumb Zatraži registraciju na dnu forme poslat ćete zahtjev. Čim to učinite trebate nastaviti i odabrati odgovarajući autentikacijski modul novoga resursa. Upute za taj dio slijede u nastavku.

Odabir autentikacijskog modula

Svaki funkcionalan resurs mora imati najmanje jedan pridruženi autentikacijski modul. Ako se radi o novom resursu za kojega je netom kreiran zahtjev s općim podacima za registraciju, na stranici resursa će se, uz karticu "Opći podaci" nalaziti nova kartica Odabir autentikacijskog modula.

U slučaju da se radi o resursu s pridruženim nekim autentikacijskim modulom, a koji nema već pridružene sve vrste aut. modula, kartica Dodaj modul nalazit će se izdvojena uz desni rub stranice.

CAS konfiguracija

Ako odaberete modul za CAS autentikaciju, dobit ćete sljedeću formu:

Parametri CAS konfiguracije obuhvaćaju:

• Atribut koji će se isporučuje kao jedinstveni identifikator korisnika
• Izbor isporuke svih korisničkih atributa
• Popis URL-ova poslužitelja s kojeg stižu autentikacijski zahtjevi - moguće je dodavanje polja te višestruki unos URL-ova klikanjem na gumb '+'

SAML konfiguracija

Nakon odabira za unos SAML konfiguracije, korisnik dobiva formu koja se sastoji od:

• Općih postavki:
  • AuthService - Autentikacijski servis koji aplikacija koristi
  • AttributeMapping - Shema po kojoj se mapiraju atributi
  • ValidateAuthnRequest - Ovjeravanje autentikacijskog zahtjeva
  • ValidateLogoutRequest - Ovjeravanje odjavnog zahtjeva
  • NameIDAttribute - Atribut koji se koristi za generiranje parametra "nameID"
  • NameIDFormat - Format parametra "nameID"
  • NameIDEncryption - Kriptiranje parametra "nameID"
  • EncryptAssertion - Kriptiranje dijela autentikacijskog odgovora koji sadrži korisničke podatke
  • RedirectValidate - Ovjeravanje zahtjeva za preusmjeravanje
  • ForceAuthn - Zahtijevanje autentikacije prilikom svake prijave (ignoriranje SSO sjednice)
  • SignAssertion - Digitalno potpisivanje dijela autentikacijskog odgovora koji sadrži korisničke podatke
  • SignResponse - Digitalno potpisivanje autentikacijskog odgovora
  • SignLogout - Digitalno potpisivanje zahtjeva za odjavu
  • IdpCertFile - Datoteka koja sadrži certifikat davatelja identiteta
  • SpCert - Certifikat (javni ključ) davatelja usluge
     

• Postavki za SAML metapodatke:
  • EntityID - Jedinstveni identifikator resursa jednoznačno određuje vašu aplikaciju na razini AAI@EduHr federacije.
  • AssertionConsumerService URL - Adresa na koju sustav jedinstvene autentikacije preusmjerava korisnikov web preglednik nakon uspješne autentikacije.
  • SingleLogoutService URL - Adresa na koju sustav jedinstvene autentikacije preusmjerava korisnikov web preglednik nakon uspješne obrade zahtjeva za odjavu

• Popisa za odabir korisničkih atributa koje sustav po uspješnoj prijavi isporučuje aplikaciji koja koristi resurs (potrebno je željene atribute preseliti iz lijevog u desni popis klikom na svakog od njih)      

Pri svakom odabiru novog atributa, u nižem odjeljku naslovljenom "Namjena odabranih atributa" pojavljuje se odgovarajuće polje za opis njegove namjene. Ova polja su obavezna i u njima je potrebno kratko i precizno opisati na koji način web-aplikacija, odnosno ustanova namjerava koristiti svaki odabrani atribut. Popis atributa skupa s opisima njihove namjene naći će se na stranicama za informiranje o web-aplikacijama koje se nalaze u sustavu AAI@EduHr i bit će vidljiv svim korisnicima u sustavu AAI@EduHr.

Dozvoljeno je označiti isključivo one atribute koji su potrebni za funkcioniranje vaše aplikacije. Ako se naknadno pokaže da sustav AAI@EduHr vašoj aplikaciji treba isporučivati i još neke dodatne atribute, isporuku dodatnih atributa možete postaviti u zahtjevu za izmjenu SAML konfiguracije klikom na gumb Uredi u kartici "SAML konfiguracija" na stranici resursa.

Važno je napomenuti da su pojedini atributi u sustavu AAI@EduHr opcionalni. Ovisno o tome je li za neki atribut unesena vrijednost ili ne, sustav AAI@EduHr može ili ne mora isporučiti te atribute. Također, atributi u podskupini Lokalni atributi ustanove su specifični za domenu skole.hr i druge ustanove u sustavu AAI@EduHr ih ne koriste. Više informacija o standardnim atributima koje sustav AAI@EduHr može isporučiti vašoj aplikaciji možete pronaći na web stranici hrEdu imeničke sheme.

Ovisno o programskom jeziku u kojem je vaša aplikacija napisana, vrijednosti navedenih parametara za SAML metapodatke možete pronaći u odgovarajućoj konfiguracijskoj datoteci ili na određenoj web adresi:

• Ako je vaša aplikacija napisana u programskom jeziku PHP, tj. ako kao autentikacijski modul koristite simpleSAMLphp instaliran i iskonfiguriran prema uputama za implementaciju AAI@EduHr SSO mehanizma u PHP ailikacijama, vrijednosti parametara entityID, assertionConsumerService i singleLogoutService možete pronaći preko simpleSAMLphp administratorskog sučelja kao što je opisano u odjeljku Registracija novog resursa u sustavu AAI@EduHr;

• Ako vaša aplikacija kao autentikacijski modul koristi OIOSAML.NET instaliran i iskonfiguriran sukladno uputama za implementaciju AAI@EduHr SSO mehanizma u .NET ailikacijama, parametre entityID, AssertionConsumerService Location i SingleLogoutService Location možete pronaći u datoteci metadata.ashx koja se spominje u 13. koraku;
• Ako koristite Python/Django i SSO autentikaciju ste implementirali prema uputama na web stranici https://gist.github.com/darbula/5003f1d2e1528b089b30(link is external), vrijednosti parametara entityid, assertion_consumer_service, single_logout_service navedene su u datoteci settings.py;

Moguće je za resurs unijeti više skupina parametara za SAML metapodatke klikanjem na gumb '+'.

OIDC konfiguracija

Forma za unos OIDC konfiguracije podijeljena je na:

• Opće postavke:
  • Client ID
  • Secret - Tajni ključ klijenta
  • Client Type - Naznaka je li klijent povjerljiv (eng. confidential) ili javan (eng. public)
     
• Lokacije za preusmjeravanje (redirectURI) - popis lokacija u URI formatu (moguće je dodavanje polja te višestruki unos URI-jeva klikanjem na gumb '+')

• Popis za odabir opsega (eng. scopes), tj. skupova tvrdnji (eng. claims) koje u sustavu AAI@EduHr predstavljaju korisnički atributi. Atribute po uspješnoj prijavi korisnika sustav AAI@EduHr prosljeđuje aplikaciji koja koristi resurs. Željene opsege je potrebno kliknuti kako bi se preselili iz lijevog u desni popis odabranih.

Slično kao kod SAML konfiguracije, pri svakom odabiru novog opsega, u nižem se odjeljku naslovljenom "Namjena odabranih atributa" pojavljuju polja za upis namjene atributa. Svaki opseg obuhvaća jednu ili više tvrdnji od kojih se svaka u sustavu AAI@EduHr predstavlja odgovarajućim korisničkim atributom. Kao i kod SAML konfiguracije, polja za opis namjena atributa su obavezna. Potrebno je dakle kratko i precizno opisati na koji način web-aplikacija, odnosno ustanova namjerava koristiti svaki odabrani atribut. Ove definicije namjena moraju biti točne jer će se dati na javni uvid korisnicima da ih se informira o tome na koji način se koriste njihovi osobni podaci.

Podrobniji opisi svih parametara iz OIDC konfiguracije nalaze se u uputama za implementiranje OIDC autentikacije, u poglavlju "Registar resursa":

https://wiki.srce.hr/pages/viewpage.action?pageId=59867172#Autentikacijapomo%C4%87uprotokolaOpenIDConnect(OIDC)-Registarresursa(link is external)

Objašnjenje opsega i tvrdnji nalaze se na istoj stranici u poglavlju "Opsezi i tvrdnje":

https://wiki.srce.hr/pages/viewpage.action?pageId=59867172#Autentikacijapomo%C4%87uprotokolaOpenIDConnect(OIDC)-Opseziitvrdnje(eng.ScopesandClaims)(link is external)

RADIUS konfiguracija

Kod odabira konfiguracije za RADIUS modul dobivamo sljedeću formu za unos postavki RADIUS poslužitelja:

• Red - Red poslužitelja: primarni ili sekundarni
• serverIP - IP adresa RADIUS poslužitelja koji šalje upite
• serverPort - Port RADIUS poslužitelja (zadano: 1812)
• requestTimeout - Maksimalno vrijeme čekanja na odgovor (zadano: 5000)
• retries - Maksimalan broj ponavljanja upita (zadano: 0)
• sharedSecret - Javni ključ (ostavite neispunjeno)

Moguće je dodati više RADIUS poslužitelja za resurs klikanjem na gumb '+'. Na popisu se mora uvijek nalaziti jedan primarni poslužitelj, dok su svi ostali sekundarni.

Postupak odobravanja i obrade zahtjeva

U Registru resursa postoji nekoliko vrsta zahtjeva koji korisnik može postavljati nad pojedinim resursom. To su:

1. Zahtjev za registraciju resursa
2. Zahtjev za brisanje resursa
3. Zahtjev za izmjenu Općih podataka resursa
4. Zahtjev za dodavanje nekog od dostupnih autentikacijskih modula resursu
5. Zahtjev za izmjenu konfiguracije nekog od pripadajućih autentikacijskih modula
6. Zahtjev za brisanje nekog od pripadajućih autentikacijskih modula resursa

Prva dva tipa zahtjeva odnose se na resurs kao cjelinu skupa sa aut. modulima, ako postoje. Primjerice, zahtjev za brisanje resursa podrazumijeva automatsko brisanje i svih njegovih modula. Ostale vrste zahtjeva odnose se na dijelove resursa; konkretno na njegove Opće podatke ili autentikacijske module pojedinačno.

Kad autorizirani korisnik (odnosno administrator resursa) postavi neki od navedenih zahtjeva, o njegovom postavljanju obaviještavaju se odgovorne osobe ustanove za koju je resurs vezan (postavka "Matična ustanova s kojom je resurs povezan" u Općim podacima) i administratori sustava AAI@EduHr. Svaki se zahtjev, dakle, šalje na uvid odgovornoj osobi matične ustanove i na razmatranje administratoru AAI@EduHr. Da bi administrator AAI@EduHr prihvatio i proveo zahtjev nad resursom, zahtjev mora:

1. biti ispravan
2. imati odobrenje odgovorne osobe 

Opis postupka odobravanja i provedbe zahtjeva za registraciju resursa s pripadajućim aut. modulom koje ste kreirali u prethodnim koracima ovih uputa slijedi u nastavku. 

Napomena: U slučaju da je resurs povezan s partnerom federacije (umjesto s matičnom ustanovom sustava AAI@EduHr) ili da je autorizirani korisnik/administrator resursa ujedno i odgovorna osoba mat. ustanove, intervencija odgovorne osobe kao i slanje obavijesti u tu svrhu se ne izvode u postupku provedbe zahtjeva nad resursom.

Ako ste ispunili odgovarajuće forme za registraciju resursa i dodavanje aut. modula te poslali zahtjeve klikom na gumb Zatraži... na svakoj od njih, obavijesti o pojedinom zahtjevu poslane su putem elektroničke pošte na adrese odgovornih osoba i administratora AAI@EduHr. Na dnu stranice s prikazom resursa za administratora stoji obavijest "Zatražene radnje čekaju odobrenje odgovorne osobe matične ustanove."

Kad se odgovorna osoba prijavi u Registar resursa i otvori istu stranicu, na dnu će joj stajati prikazana kratka uputa i gumb Odobravam postupak.

Ako je pregledala sve zatražene radnje nad resursom te je sa svima njima suglasna, odgovorna osoba treba kliknuti na spomenuti gumb i time će odobriti sve zahtjeve. Nakon toga, na stranici se administratoru resursa prikazuje obavijest "Zatražene radnje su odobrene i čekaju obradu kod administratora AAI@EduHr."

Sad na red dolazi administrator AAI@EduHr koji još jednom provjerava unesene podatke. Ako je sve u redu, administrator AAI@EduHr će prihvatiti zahtjeve i provesti kompletan postupak (sve zatražene radnje) nad resursom. U slučaju da postoje neki nedostaci, administrator će ispravne zahtjeve provesti, a one s greškom odbiti uz obrazloženje koje će biti prikazano na stranici kako biste nedostatke mogli otkloniti. O uspješnom zaključenju postupka, odnosno o odbijenim zahtjevima bit ćete obaviješteni putem elektroničke pošte. 

Napomena: autentikacija s novounesenim postavkama proradit će u roku od najviše pet minuta od trenutka provedbe zatraženih zahtjeva.

Objašnjenje boja i indikatora statusa resursa

Aplikacija Registra resursa na više mjesta koristi kombinacije ikona, boja i specifičnih izraza kako bi korisniku prenijela bitne informacije kroz što jednostavnije sučelje. Stranica s prikazom resursa sastoji se od nekoliko cjelina koje svojim izgledom i sadržajem upućuju na određeno stanje u kojem se resurs nalazi. Na samom vrhu je glavni naslov s imenom resursa ispisanim velikim tekstom. Ispod njega je pozicija rezervirana za poruke koje se odnose na resurs u cjelini, dok je niže, u prostoru za sadržaj otvorene kartice pozicija na kojoj se pojavljuju upozorenja vezana uz segment koji prikazuje otvorena kartica (Opći podaci ili neki od autentikacijskih modula).

Pozadinska boja oko imena resursa upućuje na to je li resurs aktivan i postoji li neki otvoreni zahtjev nad njime ili ne. Ako je pozadina siva, resurs je neaktivan. U tom slučaju uobičajeno na stranici stoji i dodatna obavijest zašto je to tako te što treba napraviti da bi se problem riješio. Žuta pozadina upozorava da je nad resursom otvoren jedan ili više zahtjeva, tj. da se nad njime vodi neki postupak. Tamnoplava pak znači da je resurs aktivan te da nema otvorenih zahtjeva nad njime; to je dakle stanje u kojem nikakva akcija nije potrebna. Primjer prikaza aktivnog resursa bez otvorenih zahtjeva nalazi se na slici:

U slučaju da nad resursom postoje otvoreni zahtjevi, kartica segmenta na koji se pojedini zahtjev odnosi prikazuje poruku s opisom zatražene radnje. Također, uz naslov te kartice je i ikona vezana uz vrstu radnje:

1. zvjezdica ( ): registracija/dodavanje
2. ključ (  ): modifikacija
3. minus (  ): brisanje

Kad administrator AAI@EduHr zbog uočene pogreške odbije zahtjev, resurs zadržava žutu boju jer taj zahtjev i dalje postoji, tj. čeka da korisnik koji ga je kreirao ispravi grešku. Poruka na razini cijelog resursa upozorava da je odbijen jedan ili više zahtjeva. Da bismo ga lakše pronašli, njegova kartica ima ikonu uskličnika (  ) u naslovu. Kad je otvorimo, u njoj ćemo uočiti upozorenje narančaste boje koje uz radnju koja je odbijena navodi i obrazloženje (ako ga je administrator naveo prilikom odbijanja):

Napomena: upozorenja narančaste boje upućuju na pogrešku ili propust korisnika.

U popisu resursa izlistani su svi resursi kojima je korisnik administrator ili su vezani za matičnu ustanovu za koju je korisnik odgovorna osoba u sustavu AAI@EduHr. Popis resursa podijeljen je na dvije kartice od kojih jedna prikazuje aktivne, a druga neaktivne resurse. Resurs je aktivan ako je registriran te ima najmanje jedan pridružen autentikacijski mehanizam (modul) koji je u funkciji. 

U svakom od stupaca koji predstavljaju autentikacijske module trenutno dostupne u Registru resursa nalazi se ikona-indikator njihovog statusa. Postoje četiri vrste indikatora:

1. zelena kvačica (  ): označava da je modul aktivan
2. smeđa kvačica (  ): označava da je modul aktivan, no nad njim je otvoren zahtjev
3. sivi križić (  ): označava da nema aktivnog modula
4. smeđi križić (  ): označava da nema aktivnog modula, no otvoren je zahtjev za njegovo dodavanje

Klikanje bilo gdje u retku otvorit će stranicu s prikazom pojedinosti o resursu i pripadajućim modulima.

Kao što je već spomenuto, resurs je neaktivan ako još nije registriran ili ako nema pridružen funkcionalni autentikacijski modul. U stupcu Stanje u kartici s neaktivnim resursima evidentiramo tri tipa statusa u kojim resurs vodimo kao neaktivan: 

1.  nedostaje autentikacijski mehanizam - zatražena je registracija resursa, no uz nju još nije zatražen autentikacijski modul
2.  registracija resursa čeka odobrenje - zatražena je registracija resursa skupa s aut. modulom, no postupak još nije odobren i proveden
3.  autentikacijski modul čeka aktivaciju - resurs je registriran, no postojeći zahtjev za dodavanje aut. modula još nije odobren i proveden

Ako kliknemo na resurs koji čeka registraciju, ali mu nedostaje zahtjev za dodavanje aut. modula, otvorit će se prikaz sličan ovome:

Odmah ispod imena resursa stoji obavijest da je uz zahtjev za registraciju potrebno dodati još i zahtjev za autentikacijski modul.

SAML konfiguracija za višestupanjsku autentikaciju

U sustavu AAI@EduHr moguće je registrirati uslugu koja će za prijavu korisnika koristiti višestupanjsku autentikaciju, gdje prvi stupanj predstavlja korištenje AAI@EduHr korisničke oznake i zaporke, a drugi stupanj korištenje jednokratnih tokena.

Trenutno podržani sustavi koji generiraju jednokratne tokene su:

• OTP (One Time Password) via SMS (uz korištenje mobilnog telefona korisnika) - korisnik upisuje token kojeg dobiva putem SMS-a na registirani telefonski broj
• Yubico Yubikey (https://www.yubico.com(link is external)) uređaj (kojeg korisnik mora posjedovati) - korisnik prenosi token putem Yubikey uređaja
• TOTP (Time-based One Time Password) uz korištenje posebne aplikacije (npr. Google Authenticator, FreeOTP ili OpenOTP) koju korisnik mora instalirati na svoje računalo - korisnik upisuje token koji mu je izgenerirala aplikacija (temeljem registriranog tajnog ključa).

Napominjemo kako autentikaciju putem tokena poslanog SMS-om (OTP via SMS) smatramo namanje sigurnom (u odnosu na ostale raspoložive sustave odnosno metode). Osim toga, za potrebe produkcijskog rada, usluga treba osigurati odgovarajući SMS gateway odnosno podmiriti troškove njegovog rada.

U svrhu registracije usluge koja će za prijavu korisnika koristiti višestupanjsku autentikaciju potrebno je slijediti poveznice u nastavku:

1. Postavljanje zahtjeva za registracijom novog resursa (Aplikacija koja će za prijavu korisnika koristiti višestupanjsku autentikaciju treba biti registrirana u Registru resursa isključivo kao nova usluga u sustavu AAI@EduHr)
2. Opći podaci
3. Odabir autentikacijskog modula (SAML).

Kod odabira konfiguracije za SAML modul dobivamo sljedeću formu za odabir postavki za višestupanjsku autentikaciju pri čemu za AuthService iz padajućeg izbornika odabiremo Servis za multifaktorsku autentikaciju.

Nakon što smo za AuthService odabrali Servis za multifaktorsku autentikaciju, prikazuje nam se forma za odabir MFAType-a.

Sustav višestupanjske autentikacije putem atributa mfa_type vraća informaciju o vrsti drugog stupnja koji je korišten za autentikaciju.

Kao zadnji korak preostaje ispunjavanje SAML metapodataka prema uputama na poveznici SAML konfiguracija, odjeljak Metapodaci.