Vartotojų autentifikavimas ir autorizavimas eLABa talpyklose

Download Report

Transcript Vartotojų autentifikavimas ir autorizavimas eLABa talpyklose 

EUROPOS SĄJUNGA
Vartotojų autentifikavimas
ir autorizavimas eLABa
talpyklose
Arūnas Franckevičius
Ekspertas
2007-05-29, Kaunas
Vartotojų autentifikavimas ir
autorizavimas eLABa talpyklose
EUROPOS SĄJUNGA
Kas yra
Autentifikacija ir Autorizacija


Autentifikacija

Reikalinga vartotojo tapatybei identifikuoti

Dažniausia naudojamas susietas vartotojo vardas ir
slaptažodis
Autorizacija

Nustato ar jau identifikuotas vartotojas turi teisę
naudotis paslauga

Autorizacijos metu tikrinama ar vartotojas priklauso
tokį leidimą turinčiai grupei, ar yra tinkamas jo
saugumo lygis
Lietuvos VDDB ir LVB sujungimas su Lietuvos mokslo ir studijų informacijos sistema
Vartotojų autentifikavimas ir
autorizavimas eLABa talpyklose
EUROPOS SĄJUNGA
Autentifikacija

Pagrindas – vartotojų ir jų atributų
duomenų bazė
 LDAP,

NIS, RDBVS, MS Active Directory
Vartotoją identifikuojantys
duomenys
 Vartotojo
vardas ir slaptažodis
 Skaitmeniniai
sertifikatai, identifikavimo
kortelės, biometriniai duomenys
Lietuvos VDDB ir LVB sujungimas su Lietuvos mokslo ir studijų informacijos sistema
Vartotojų autentifikavimas ir
autorizavimas eLABa talpyklose
Autorizacija

Kiekviena sistema turi savo vidinį
autorizacijos mechanizmą

Adresatas


Taisyklės


Subjektai, resursai, veiksmai
Ar autorizuoti vartotoją atlikti veiksmą, gauti
resursą ir pan.
eLABa talpyklos autorizacija aprašoma
XACML taisyklėmis
Lietuvos VDDB ir LVB sujungimas su Lietuvos mokslo ir studijų informacijos sistema
EUROPOS SĄJUNGA
Vartotojų autentifikavimas ir
autorizavimas eLABa talpyklose
EUROPOS SĄJUNGA
Objekte saugomų duomenų tipai

Visateksčiai dokumentai
 ETD,

straipsniai, knygos ir t. t.
Metaduomenys
 MARCXML,

DC, turinys ir t. t.
Administraciniai duomenys
 Autorizacijos
informacija
 Patalpinimo,
saugojimo informacija,
prieigos taisyklės (policy) ir t. t.
Lietuvos VDDB ir LVB sujungimas su Lietuvos mokslo ir studijų informacijos sistema
Vartotojų autentifikavimas ir
autorizavimas eLABa talpyklose
Dokumentų priėjimo lygiai




Laisvai prieinamas internete –
dokumentas prieinamas internetu iš bet
kurio pasaulio taško
Prieinamas tik institucijos intranete –
dokumentas pasiekiamas tik iš
kompiuterių, turinčių IP adresą,
priklausantį institucijos IP adresų aibei
Neprieinamas – dokumentas yra
nepasiekiamas
Du paskutiniai prieigos lygiai turi laikinį
apribojimą

Kuriam pasibaigus dokumentui priskiriamas „laisvai
prieinamo internete“ lygis
Lietuvos VDDB ir LVB sujungimas su Lietuvos mokslo ir studijų informacijos sistema
EUROPOS SĄJUNGA
Vartotojų autentifikavimas ir
autorizavimas eLABa talpyklose
Sutartys

Darbo autorius privalo pasirašyti
licencinę sutartį, kurioje aprašoma:





šalių pareigos bei atsakomybės
dokumento saugojimo tvarka
dokumento dalių prieigos ribojimo lygiai
ribojimo terminai
Šiuo metu sutartis yra pasirašoma ir
saugoma popieriniame formate

ateityje numatoma ir elektroninė versija,
pasirašoma elektroninių parašu
Lietuvos VDDB ir LVB sujungimas su Lietuvos mokslo ir studijų informacijos sistema
EUROPOS SĄJUNGA
Vartotojų autentifikavimas ir
autorizavimas eLABa talpyklose
EUROPOS SĄJUNGA
Autorizacijos realizacija




eLABa talpyklos PĮ Fedora autorizacija
yra realizuota naudojant XACML polisus
XACML – tai OASIS
(http://www.oasis-open.org) organizacijos
specifikuota priėjimo kontrolės kalba
XACML variklis – Sun XACML realizacija
(http://sunxacml.sourceforge.net)
XACML prieigos taisyklių (policy) tipai


Bendros talpyklos prieigos taisyklės
Talpykloje saugomų objektų ir/ar jų sudedamųjų dalių
prieigos taisyklės
Lietuvos VDDB ir LVB sujungimas su Lietuvos mokslo ir studijų informacijos sistema
Vartotojų autentifikavimas ir
autorizavimas eLABa talpyklose
EUROPOS SĄJUNGA
XACML pavyzdys
<Rule Effect="Deny" RuleId="2">
<!-- Prieinamas tik institucijos intranete nurodyta laikotarpi
-->
<Target>
<Subjects> <AnySubject /> </Subjects>
<Resources>
<Resource>
<ResourceMatch MatchId="urn:oasis:names:tc:xacml:1.0:function:string-equal">
<AttributeValue
DataType="http://www.w3.org/2001/XMLSchema#string">DS.005.0.01.ETD</AttributeValue>
<ResourceAttributeDesignator
AttributeId="urn:fedora:names:fedora:2.1:resource:datastream:id“
DataType="http://www.w3.org/2001/XMLSchema#string" />
</ResourceMatch>
</Resource>
</Resources>
<Actions>
<Action>
<ActionMatch MatchId="urn:oasis:names:tc:xacml:1.0:function:string-equal">
<AttributeValue
DataType="http://www.w3.org/2001/XMLSchema#string">urn:fedora:names:fedora:2.1:actio
n:id-getDatastreamDissemination</AttributeValue>
<ActionAttributeDesignator DataType="http://www.w3.org/2001/XMLSchema#string"
AttributeId="urn:fedora:names:fedora:2.1:action:id" />
</ActionMatch>
</Action>
</Actions>
</Target>
Lietuvos VDDB ir LVB sujungimas su Lietuvos mokslo ir studijų informacijos sistema
Vartotojų autentifikavimas ir
autorizavimas eLABa talpyklose
XACML pavyzdys (2)
<Condition FunctionId="urn:oasis:names:tc:xacml:1.0:function:and">
<Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:not">
<!-- Leidziama su fedora rolemis
-->
<Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:string-at-least-one-memberof">
<SubjectAttributeDesignator AttributeId="fedoraRole"
DataType="http://www.w3.org/2001/XMLSchema#string" MustBePresent="false" />
<Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:string-bag">
<AttributeValue
DataType="http://www.w3.org/2001/XMLSchema#string">KTU</AttributeValue>
</Apply>
</Apply>
</Apply>
<!-- Datos apribojimas
-->
<Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:date-less-than">
<Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:date-one-and-only">
<EnvironmentAttributeDesignator DataType="http://www.w3.org/2001/XMLSchema#date"
AttributeId="urn:fedora:names:fedora:2.1:environment:currentDate" />
</Apply>
<AttributeValue DataType="http://www.w3.org/2001/XMLSchema#date">
2010-04-01
</AttributeValue>
</Apply>
</Condition>
</Rule>
Lietuvos VDDB ir LVB sujungimas su Lietuvos mokslo ir studijų informacijos sistema
EUROPOS SĄJUNGA
Vartotojų autentifikavimas ir
autorizavimas eLABa talpyklose
EUROPOS SĄJUNGA
Papildomos priemonės

Prieigos prie objektų ribojimui institucijų
intranete reikia

Institucijų IP adresų
kinta laike dėl nuolatinės tinklo pertvarkymo ar plėtros
 Institucijas identifikuojančių atributų (roles)



IP adresų ir atributų susiejimo mechanizmo
Susiejimo mechanizmui realizuota papildoma PĮ
integruota į Fedora talpyklą

Sukurta naudojant Java Servlet Filters technologija

IP adresų ir atributų susiejimo lentelės saugomos atskirame
XML faile
Lietuvos VDDB ir LVB sujungimas su Lietuvos mokslo ir studijų informacijos sistema
Vartotojų autentifikavimas ir
autorizavimas eLABa talpyklose
Ačiū už dėmesį
[email protected]
http://sf.library.lt
http://www.lvb.lt
EUROPOS SĄJUNGA