Tehnički opis sustava

 

AAI@EduHr svoje polazište koncepcijski ima u distribuiranom sustavu imenika utemeljenih na LDAP standardu. Konkretna implementacija LDAP imenika u AAI@EduHr temelji se na hrEduPerson i HrEduOrg imeničkim shemama kojima se opisuju osobe odnosno matične ustanove u sustavu.

Nadležnost nad imeničkim podacima o fizičkim i pravnim osobama, te informacijskim i drugim resursima imaju njihove matične ustanove. Te ustanove, kao jedine mjerodavne, trebaju kroz provođenje definiranih pravila i procedura osigurati informacijsku potpunost, konzistentnost i vjerodostojnost sadržaja imenika.

Konkretna prava pristupa i/ili uporabe određuju vlasnici pojedinih resursa kroz pristupne mehanizme, kompatibilne, u smislu definiranih standarda i protokola s AAI@EduHr.

AAI@EduHr komponenta matične ustanove

AAI@EduHr komponentu sustava (vidjeti sliku 1.) na matičnoj ustanovi čine:

  • LDAP imenik u kojem su pohranjeni podaci o elektroničkim identitetima,
  • RADIUS poslužitelj (primarno namjenjen autentikaciji),
  • AOSI (aplikacija za održavanje sadržaja imenika) web servis za dohvat podataka i održavanje LDAP imenika.


Slika 1. – AAI@EduHr komponenta sustava na matičnoj ustanovi


LDAP imeniku matične ustanove pristupa se putem odgovarajućeg RADIUS poslužitelja ili AOSI web servisa.

Sustav AOSI je zamišljen i razvijen po modelu klijent-poslužitelj, kao otvoren, modularan i lako nadogradiv odnosno uskladiv s novim AAI tehnologijama i standardima. Oslanja se na tehnologiju Web servisa.

Klijentskom komponentom sustava AOSI omogućeno je pouzdano, sigurno i efikasno upravljanje elektroničkim identitetima.

Središnji servisi

Uloga je središnjih servisa AAI@EduHr osigurati jednostavno, pouzdano i sigurno provođenje procesa autentikacije i autorizacije korisnika. Proces inicira korisnik prilikom pristupa nekom resursu koji je usklađen s AAI@EduHr standardom. AA komponenta resursa posredstvom središnjih servisa kontaktira AA komponentu na matičnoj ustanovi. Provodi se proces autentikacije odnosno provjere identiteta, a zatim i autorizacije na temelju podataka vezanih uz elektronički identitet korisnika.

Središnji servisi u sustavu AAI@EduHr su:

  • središnji RADIUS proxy poslužitelj: primarno namjenjen autentikaciji uz korištenje RADIUS protokola te stoga posebno primjenjiv u AA procesu kod pristupa mreži; koristi se i kao poveznica prema sustavu eduroam
  • federacijski web servis (FWS): pruža mogućnost autentikacije i autorizacije korisnika uz uporabu HTTPS/SOAP protokola; posebno primjenjiv u AA procesu mrežnim aplikacijama koje rabe HTTP(S) protokol.
  • središnji login servis sa SSO funkcionalnošću (login/SSO): omogućuje jedinstvenu autentikaciju korisnika uz uporabu HTTPS/SAML protokola; naslanja na FWS servis te je primjenjiv u AA procesu mrežnim aplikacijama koje rabe HTTP(S) protokol. Koristi se i kao veza (bridging element) prema sustavu eduGAIN te kao sučelje prema sustavima sukladnim Shibboleth standardu.
  • središnja baza metapodataka (MDS): sadrži podatke o svim elementima sustava te je nužna za rad ostalih središnjih servisa.

Arhitektura sustava

Arhitektura sustava AAI@EduHr prikazana je na slici 2.


Slika 2. – Arhitektura sustava AAI@EduHr