Od problema autentikacije i autorizacije korisnika do modela autentikacijsko-autorizacijske infrastrukture

Pristup korisnika nekom resursu u osnovi se sastoji od 5 koraka prikazanih sljedećom slikom:

 



Koraci u procesu autentikacije/autorizacije su:

  1. Korisnik se najprije registrira kod vlasnika resursa koji mu dodjeljuje elektronički identitet u okviru kojeg korisnik dobiva svoj identifikator (npr. korisnička oznaka) i podatke kojima će dokazivati svoj identitet (npr. lozinka, ključ, PIN). Vlasnik resursa pohranjuje informacije o korisniku koje će kasnije rabiti u procesu autentikacije.

  2. Kada korisnik želi rabiti resurs, pristupa resursu pozivajući se na svoj elektronički identitet i pri tome rabi dobiveni identifikator (npr. korisničku oznaku).

  3. Resurs zahtjeva od korisnika da se autenticira odnosno dostavi podatke kojima će dokazati svoj elektronički identitet (npr. lozinku).

  4. Nakon što provjeri dobivene podatke od korisnika, resurs rabi pohranjene podatke o korisniku i na kraju...

  5. ...donosi konačnu odluku o dozvoli pristupa.

Ovaj model, dakako, nije skalabilan pa kad korisnik želi pristup velikom broju resursa, donosi niz problema. Prije svega:

  • korisnik se mora pojedinačno registrirati za uporabu svakog od resursa;

  • resursi ne moraju nužno rabiti iste metode autentikacije (pomoću lozinke, certifikata, "pametne" kartice...) kojima se korisnik mora znati služiti;

  • korisnik mora imati više elektroničkih identiteta, odnosno mora pamtiti pamtiti/rabiti više različitih identifikatora;

Dakako, na razini jedne ustanove moguće je izgraditi autentikacijsko-autorizacijski sustav tako da se centralizira proces registracije korisnika, a autorizacijski podaci čuvaju se u središnjoj bazi podataka. Autentikacijsko-autorizacijski procesi tada se odvijaju između korisnika, resursa i središnjeg autentikacijsko-autorizacijskog sustava ustanove. Ostaje, međutim, otvoren problem autentikacije i autorizacije među različitim ustanovama. Naime, postoji:

  • potreba korisnika iz jedne ustanove da rabe resurse koji pripadaju drugoj ustanovi;

  • želja ustanove da dopusti uporabu svojih resursa korisnicima iz druge ustanove;

Rješenje problema inter-institucionalne autentikacije i autorizacije u implementaciji je AAI. Temelj AAI čine tri osnovne akcije koje se odvijaju između korisnika, njegove matične ustanove i resursa. AA proces čine:

  1. Autentikacija korisnika koju obavlja njegova matična ustanova.

  2. Prijenos korisnikovih autorizacijskih atributa od matične ustanove do vlasnika resursa; skup atributa koji se prenose mora biti konfigurabilan kako bi se ispunili zahtjevi vlasnika resursa, ali i štitila privatnost korisnika.

  3. Odluka o pristupu resursu koju donosi vlasnik resursa (autorizacija).

Uočimo da u ovom modelu nije spomenuto praćenje rada korisnika odnosno uporabe resursa. Vlasnik resursa može uspostaviti odgovarajući sustav praćenja rada odnosno utroška resursa (auditing, accounting). Neovisno o tome, sustav logiranja autentikacijskih zahtjeva može se uspostaviti i u matičnoj ustanovi.

Autentikacijski sustav matične ustanove, odnosno baza podataka o korisnicima, danas se u pravilu temelji na LDAP imeniku s odgovarajućom standardiziranom shemom, odnosno atributima koji obuhvaćaju skup autorizacijskih atributa. Pri definiranju te sheme nužna je suradnja matičnih ustanova i vlasnika resursa. Vlasnik resursa u procesu autorizacije može rabiti i neke dodatne autorizacijske atribute koje sprema i održava lokalno, u okviru svog pristupnog mehanizma.

Postoje različite arhitekture odnosno načini na koje je AAI implementirana. Valja uočiti kako konkretne implementacije nužno ovise o tipu resursa kojima se pristupa, kao i o izabranoj metodi autentikacije i autorizacije.

Dakako, najjednostavnija metoda autentikacije je uporaba lozinke koja mrežom može putovati kriptirana ili putem osiguranog komunikacijskog kanala. Svakako je sigurnija uporaba javnih ključeva i certifikata po PKI načelu, no ona je zahtjevnija za implementaciju i uporabu, te o njoj treba razmišljati kao o nadgradnji, odnosno drugoj fazi implementacije AAI.
 

Model autentikacijske i autorizacijske infrastrukture

Opći model autentikacijske i autorizacijske infrastrukture (AAI) prikazan je na sljedećoj slici:



Mogućnost primjene AAI vrlo je velika. AAI konceptom rješava se pristup:

  • mreži za individualne korisnike (modem, wireless, wired...)

  • računalnim resursima (grid, mrežni diskovi...)

  • osnovnim mrežnim uslugama (ssh/telnet, e-mail, ftp...)

  • Web resursima

  • mrežnim aplikacijama (on-line baze, udaljeno učenje...)


Osnova svake AAI jest sustav upravljanja elektroničkim identitetima. AAI@EduHr svoje polazište koncepcijski ima u distribuiranom sustavu imenika utemeljenih na LDAP standardu. Konkretna implementacija LDAP imenika u AAI@EduHr temelji se na hrEduPerson i hrEduOrg imeničkim shemama kojima se opisuju osobe odnosno matične ustanove u sustavu. Nadležnost nad imeničkim podacima o fizičkim i pravnim osobama, te informacijskim i drugim resursima imaju njihove matične ustanove. Te ustanove, kao jedine mjerodavne, trebaju kroz provođenje definiranih pravila i procedura osigurati informacijsku potpunost, konzistentnost i vjerodostojnost sadržaja imenika. Konkretna prava pristupa i/ili uporabe određuju vlasnici pojedinih resursa kroz pristupne mehanizme, kompatibilne, u smislu definiranih standarda i protokola s AAI@EduHr.

Arhitektura AAI@EduHr pojednostavljeno je prikazana na sljedećoj slici:



AAI komponentu na matičnoj ustanovi čine LDAP i RADIUS poslužitelji te AOSI web servis. Po izboru ustanove za održavanje sadržaja imenika može se rabiti AOSI klijent (web sučelje za administraciju imenika) ili se sadržaj imenika može administrirati kroz ISVU.

Izgrađena hijerarhija RADIUS poslužitelja vezanih uz LDAP imenike na ustanovama, uz odgovarajuće središnje tzv. proxy RADIUS poslužitelje, standardno se koristi kao temelj autenticiranog i autoriziranog pristupa mreži. Usporedno s RADIUS infrastrukturom, sustav jedinstvene autentikacije korisnika temeljen na SAML 2.0 standardu koristi se za autentikaciju i autorizaciju korisnika prilikom pristupanja web aplikacijama.

Središnji servisi

Uloga je središnjih servisa AAI@EduHr osigurati jednostavno, pouzdano i sigurno provođenje procesa autentikacije i autorizacije korisnika. Proces inicira korisnik prilikom pristupa nekom resursu koji je usklađen s AAI@EduHr standardom. AA komponenta resursa posredstvom središnjih servisa kontaktira AA komponentu na matičnoj ustanovi. Provodi se proces autentikacije odnosno provjere identiteta, a zatim i autorizacije na temelju podataka vezanih uz elektronički identitet korisnika.

Središnji servisi u sustavu AAI@EduHr su:

  • Središnji RADIUS proxy poslužitelji: primarno namjenjeni autentikaciji uz korištenje RADIUS protokola te stoga posebno primjenjivi u AA procesu kod pristupa mreži; koriste se i kao poveznica prema sustavu eduroam;
     
  • Središnji login servis sa Single Sign-On funkcionalnošću: omogućuje jedinstvenu autentikaciju korisnika uz uporabu HTTPS/SAML protokola te je primjenjiv u AA procesu mrežnim aplikacijama koje rabe HTTP(S) protokol. Koristi se i kao veza prema sustavu eduGAIN te kao sučelje prema sustavima sukladnim Shibboleth standardu;
     
  • Središnja baza metapodataka (MDS): sadrži podatke o svim elementima sustava te je nužna za rad ostalih središnjih servisa.


Autentikacija putem sustava AAI@EduHr

Autentikacija RADIUS protokolom

RADIUS protokol se načelno koristi za autentikaciju pristupa mreži. Preduvjet za postupak autentikacije je da korisnik na uređaju kojeg koristi za pristup mreži ima instaliranu i podešenu programsku podršku koja omogućuje autentikaciju putem RADIUS protokola. Upute za preuzimanje i podešavanje programske podrške su dostupne na adresi https://installer.eduroam.hr/

Tijek autentikacije: kad korisnik pokušava pristupiti resusrsu koji zahtijeva autentikaciju RADIUS protokolom, njegov klijent dobije zahtjev da se predstavi korisničkom oznakom i zaporkom korisnika. Da bi se izbjegla mogućnost kompromitacije korisničke oznake i zaporke (npr. man in the middle vrstom napada), vrlo je bitno da korisnik provjeri autentičnost pošiljatelja zahtjeva za autentikacijom. Uporabom programske podrške preuzete s adrese https://installer.eduroam.hr/ programska podrška zadužena za autentikaciju na korisnikovom uređaju će provjeriti ispravnost certifikata kojim je potpisan zahtjev za autentikaciju i na taj će način svoju korisničku oznaku i zaporku zaštititi od eventualnog pokušaja kompromitacije.

Nakon što korisnik unese svoju korisničku oznaku i zaporku, programska podrška na korisnikovom uređaju RADIUS protokolom pošalje korisničku oznaku i zaporku (kriptiranim kanalom) RADIUS poslužitelju koji je zatražio autentikaciju. RADIUS poslužitelj primljene autentikacijske podatke proslijedi središnjim RADIUS poslužiteljima sustava AAI@EduHr koji (ovisno o domeni iz korisničke oznake) autentikacijski zahtjev proslijeđuju RADIUS poslužitelju ustanove koja je izdala korisnikov e-identitet. RADIUS poslužitelj ustanove u LDAP imeniku ustanove provjeri jesu li upisana korisnička oznaka i zaporka ispravni i ako jesu pošalje nazad potvrdan odgovor koji se istim putem vraća do RADIUS poslužitelja koji je tražio autentikaciju i koji korisniku onda omogućuje pristup usluzi na koju se pokušao autenticirati.

Autentikacija uporabom SSO servisa sustava AAI@EduHr

Kad se korisnik pokušava autenticirati na neku od usluga dostupnu putem sustava AAI@EduHr, nakon što je pokušao pristupiti usluzi njegov se web preglednik preusmjerava na SSO servis sustava AAI@EduHr čija adresa počinje sa https://login.aaiedu.hr gdje se korisniku prikazuje sučelje za unos korisničke oznake i zaporke. Nakon što korisnik unese svoju korisničku oznaku i zaporku, SSO servis ovisno o domeni iz korisničke oznake zahtjev za autentikacijom upućuje AOSI web servisu matične ustanove koja je izdala korisnikov e-identitet. AOSI web servis primi zahtjev, u LDAP imeniku ustanove provjeri jesu li upisana korisnička oznaka i zaporka ispravne i ako jesu odgovori SSO servisu sustava AAI@EduHr. SSO servis nakon pozitivnog autentikacijskog odgovora AOSI web servisa ustanove otvara korisniku SSO sjednicu i preusmjerava korisnikov web preglednik nazad na uslugu koja je tražila autentikaciju zajedno s informacijom o tome da je korisnik autenticiran, te korisničkim atributima koje je usluga tražila.


AAI@EduHr komponenta matične ustanove

AAI@EduHr komponentu sustava na matičnoj ustanovi čine:

  • LDAP imenik u kojem su pohranjeni podaci o elektroničkim identitetima;
     
  • RADIUS poslužitelj - primarno namijenjen autentikaciji prilikom spajanja na Internet;
     
  • AOSI - aplikacija za održavanje sadržaja imenika, web servis za održavanje LDAP imenika i dohvat podataka prilikom pristupanja web aplikacijama;


Shema AAI@EduHr komponente na matičnoj ustanovi prikazana je na sljedećoj slici:



LDAP imeniku matične ustanove pristupa se putem odgovarajućeg RADIUS poslužitelja ili AOSI web servisa. Sustav AOSI je zamišljen i razvijen po modelu klijent-poslužitelj, kao otvoren, modularan i lako nadogradiv odnosno uskladiv s novim AAI tehnologijama i standardima. Oslanja se na tehnologiju Web servisa. Klijentskom komponentom sustava AOSI omogućeno je pouzdano, sigurno i efikasno upravljanje elektroničkim identitetima.
 

  • No labels