Vartotojų autentifikavimas ir autorizavimas eLABa talpyklose
Download
Report
Transcript Vartotojų autentifikavimas ir autorizavimas eLABa talpyklose
EUROPOS SĄJUNGA
Vartotojų autentifikavimas
ir autorizavimas eLABa
talpyklose
Arūnas Franckevičius
Ekspertas
2007-05-29, Kaunas
Vartotojų autentifikavimas ir
autorizavimas eLABa talpyklose
EUROPOS SĄJUNGA
Kas yra
Autentifikacija ir Autorizacija
Autentifikacija
Reikalinga vartotojo tapatybei identifikuoti
Dažniausia naudojamas susietas vartotojo vardas ir
slaptažodis
Autorizacija
Nustato ar jau identifikuotas vartotojas turi teisę
naudotis paslauga
Autorizacijos metu tikrinama ar vartotojas priklauso
tokį leidimą turinčiai grupei, ar yra tinkamas jo
saugumo lygis
Lietuvos VDDB ir LVB sujungimas su Lietuvos mokslo ir studijų informacijos sistema
Vartotojų autentifikavimas ir
autorizavimas eLABa talpyklose
EUROPOS SĄJUNGA
Autentifikacija
Pagrindas – vartotojų ir jų atributų
duomenų bazė
LDAP,
NIS, RDBVS, MS Active Directory
Vartotoją identifikuojantys
duomenys
Vartotojo
vardas ir slaptažodis
Skaitmeniniai
sertifikatai, identifikavimo
kortelės, biometriniai duomenys
Lietuvos VDDB ir LVB sujungimas su Lietuvos mokslo ir studijų informacijos sistema
Vartotojų autentifikavimas ir
autorizavimas eLABa talpyklose
Autorizacija
Kiekviena sistema turi savo vidinį
autorizacijos mechanizmą
Adresatas
Taisyklės
Subjektai, resursai, veiksmai
Ar autorizuoti vartotoją atlikti veiksmą, gauti
resursą ir pan.
eLABa talpyklos autorizacija aprašoma
XACML taisyklėmis
Lietuvos VDDB ir LVB sujungimas su Lietuvos mokslo ir studijų informacijos sistema
EUROPOS SĄJUNGA
Vartotojų autentifikavimas ir
autorizavimas eLABa talpyklose
EUROPOS SĄJUNGA
Objekte saugomų duomenų tipai
Visateksčiai dokumentai
ETD,
straipsniai, knygos ir t. t.
Metaduomenys
MARCXML,
DC, turinys ir t. t.
Administraciniai duomenys
Autorizacijos
informacija
Patalpinimo,
saugojimo informacija,
prieigos taisyklės (policy) ir t. t.
Lietuvos VDDB ir LVB sujungimas su Lietuvos mokslo ir studijų informacijos sistema
Vartotojų autentifikavimas ir
autorizavimas eLABa talpyklose
Dokumentų priėjimo lygiai
Laisvai prieinamas internete –
dokumentas prieinamas internetu iš bet
kurio pasaulio taško
Prieinamas tik institucijos intranete –
dokumentas pasiekiamas tik iš
kompiuterių, turinčių IP adresą,
priklausantį institucijos IP adresų aibei
Neprieinamas – dokumentas yra
nepasiekiamas
Du paskutiniai prieigos lygiai turi laikinį
apribojimą
Kuriam pasibaigus dokumentui priskiriamas „laisvai
prieinamo internete“ lygis
Lietuvos VDDB ir LVB sujungimas su Lietuvos mokslo ir studijų informacijos sistema
EUROPOS SĄJUNGA
Vartotojų autentifikavimas ir
autorizavimas eLABa talpyklose
Sutartys
Darbo autorius privalo pasirašyti
licencinę sutartį, kurioje aprašoma:
šalių pareigos bei atsakomybės
dokumento saugojimo tvarka
dokumento dalių prieigos ribojimo lygiai
ribojimo terminai
Šiuo metu sutartis yra pasirašoma ir
saugoma popieriniame formate
ateityje numatoma ir elektroninė versija,
pasirašoma elektroninių parašu
Lietuvos VDDB ir LVB sujungimas su Lietuvos mokslo ir studijų informacijos sistema
EUROPOS SĄJUNGA
Vartotojų autentifikavimas ir
autorizavimas eLABa talpyklose
EUROPOS SĄJUNGA
Autorizacijos realizacija
eLABa talpyklos PĮ Fedora autorizacija
yra realizuota naudojant XACML polisus
XACML – tai OASIS
(http://www.oasis-open.org) organizacijos
specifikuota priėjimo kontrolės kalba
XACML variklis – Sun XACML realizacija
(http://sunxacml.sourceforge.net)
XACML prieigos taisyklių (policy) tipai
Bendros talpyklos prieigos taisyklės
Talpykloje saugomų objektų ir/ar jų sudedamųjų dalių
prieigos taisyklės
Lietuvos VDDB ir LVB sujungimas su Lietuvos mokslo ir studijų informacijos sistema
Vartotojų autentifikavimas ir
autorizavimas eLABa talpyklose
EUROPOS SĄJUNGA
XACML pavyzdys
<Rule Effect="Deny" RuleId="2">
<!-- Prieinamas tik institucijos intranete nurodyta laikotarpi
-->
<Target>
<Subjects> <AnySubject /> </Subjects>
<Resources>
<Resource>
<ResourceMatch MatchId="urn:oasis:names:tc:xacml:1.0:function:string-equal">
<AttributeValue
DataType="http://www.w3.org/2001/XMLSchema#string">DS.005.0.01.ETD</AttributeValue>
<ResourceAttributeDesignator
AttributeId="urn:fedora:names:fedora:2.1:resource:datastream:id“
DataType="http://www.w3.org/2001/XMLSchema#string" />
</ResourceMatch>
</Resource>
</Resources>
<Actions>
<Action>
<ActionMatch MatchId="urn:oasis:names:tc:xacml:1.0:function:string-equal">
<AttributeValue
DataType="http://www.w3.org/2001/XMLSchema#string">urn:fedora:names:fedora:2.1:actio
n:id-getDatastreamDissemination</AttributeValue>
<ActionAttributeDesignator DataType="http://www.w3.org/2001/XMLSchema#string"
AttributeId="urn:fedora:names:fedora:2.1:action:id" />
</ActionMatch>
</Action>
</Actions>
</Target>
Lietuvos VDDB ir LVB sujungimas su Lietuvos mokslo ir studijų informacijos sistema
Vartotojų autentifikavimas ir
autorizavimas eLABa talpyklose
XACML pavyzdys (2)
<Condition FunctionId="urn:oasis:names:tc:xacml:1.0:function:and">
<Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:not">
<!-- Leidziama su fedora rolemis
-->
<Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:string-at-least-one-memberof">
<SubjectAttributeDesignator AttributeId="fedoraRole"
DataType="http://www.w3.org/2001/XMLSchema#string" MustBePresent="false" />
<Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:string-bag">
<AttributeValue
DataType="http://www.w3.org/2001/XMLSchema#string">KTU</AttributeValue>
</Apply>
</Apply>
</Apply>
<!-- Datos apribojimas
-->
<Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:date-less-than">
<Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:date-one-and-only">
<EnvironmentAttributeDesignator DataType="http://www.w3.org/2001/XMLSchema#date"
AttributeId="urn:fedora:names:fedora:2.1:environment:currentDate" />
</Apply>
<AttributeValue DataType="http://www.w3.org/2001/XMLSchema#date">
2010-04-01
</AttributeValue>
</Apply>
</Condition>
</Rule>
Lietuvos VDDB ir LVB sujungimas su Lietuvos mokslo ir studijų informacijos sistema
EUROPOS SĄJUNGA
Vartotojų autentifikavimas ir
autorizavimas eLABa talpyklose
EUROPOS SĄJUNGA
Papildomos priemonės
Prieigos prie objektų ribojimui institucijų
intranete reikia
Institucijų IP adresų
kinta laike dėl nuolatinės tinklo pertvarkymo ar plėtros
Institucijas identifikuojančių atributų (roles)
IP adresų ir atributų susiejimo mechanizmo
Susiejimo mechanizmui realizuota papildoma PĮ
integruota į Fedora talpyklą
Sukurta naudojant Java Servlet Filters technologija
IP adresų ir atributų susiejimo lentelės saugomos atskirame
XML faile
Lietuvos VDDB ir LVB sujungimas su Lietuvos mokslo ir studijų informacijos sistema
Vartotojų autentifikavimas ir
autorizavimas eLABa talpyklose
Ačiū už dėmesį
[email protected]
http://sf.library.lt
http://www.lvb.lt
EUROPOS SĄJUNGA