Janina Mincer-Daszkiewicz

Podobne dokumenty
Zarządzanie tożsamością w uczelni wyższej

Janina Mincer-Daszkiewicz

Integracja platformy e-learningowej z systemem do obsługi spraw studiów

Instrukcja dla studentów i doktorantów

USOSWeb (WNE) UW podstawowe informacje dla nowych studentów. Mateusz Kopyt Pełnomocnik Dziekana WNE UW ds USOS

System do obsługi toku studiów w chmurze

Znaczenie współpracy uczelni w tworzeniu społeczeństwa informacyjnego

Serwery LDAP w środowisku produktów w Oracle

Problemy optymalizacji, rozbudowy i integracji systemu Edu wspomagającego e-nauczanie i e-uczenie się w PJWSTK

MIĘDZYUNIWERSYTECKIE CENTRUM INFORMATYZACJI (MUCI)

Mobilni studenci. czyli o wsparciu informatycznym dla krajowej i międzynarodowej wymiany studentów. Janina Mincer-Daszkiewicz

Uczelnie polskie w Europie. czyli o wsparciu informatycznym dla programów współpracy i wymiany międzynarodowej

Elektroniczna obiegówka w USOSweb

I. E-learning PROPONOWANE DZIAŁANIA POZIOM CENTRALNY CEL POZIOM JEDNOSTEK

USOS i OSA. czyli o integracji systemów. Janina Mincer-Daszkiewicz Uniwersytet Warszawski, MUCI. Warszawa, jmd@mimuw.edu.pl ...

Pierwszy rok na WIL PW? Gratulujemy

11. Autoryzacja użytkowników

E-administracja. Korzystanie z Elektronicznej Platformy Usług Administracji Publicznej

Plan. Wprowadzenie. Co to jest APEX? Wprowadzenie. Administracja obszarem roboczym

Projekt biurokarier.edu.pl. Maja Górecka-Wolniewicz Uczelniane Centrum Informatyczne Uniwersytet Mikołaja Kopernika w Toruniu

PROGRAM MICROSOFT DEVELOPER NETWORK ACADEMIC ALLIANCE MSDN AA

Warsztaty ASP.NET. Wprowadzenie do identyfikacji i autoryzacji użytkowników. Tomasz Janczyszyn WE, Informatyka, Rok III

Potwierdzanie tożsamości w cyfrowym świecie VII Konferencja i Narodowy Test Interoperacyjności Podpisu Elektronicznego CommonSign 2017

Tworzenie i obsługa wirtualnego laboratorium komputerowego

Federacja zarządzania tożsamością PIONIER.Id

PROCEDURA OCENY JAKOŚCI KSTAŁCENIA NA

Architektura systemu e-schola

Z roku na rok wzrasta liczba systemów informatycznych, co skutkuje coraz większym uzależnieniem od nich działalności biznesowej przedsiębiorstw.

Instrukcja logowania do systemu Rejestru Unii dla nowych użytkowników

Wprowadzenie do sieciowych systemów operacyjnych. Moduł 1

APD Instrukcja użytkownika

Uniwersytet Warszawski Prowadzenie Albumu Studentów

<Insert Picture Here> Bezpieczeństwo danych w usługowym modelu funkcjonowania państwa

Wprowadzenie do Active Directory. Udostępnianie katalogów

EXSO-CORE - specyfikacja

Instrukcja logowania do systemu Rejestru Unii dla nowych użytkowników

Krótka instrukcja instalacji

Zarządzanie tożsamością i uprawnieniami

Instrukcja rejestrowania pracy dyplomowej w APD Archiwum Prac Dyplomowych przez studenta

Oracle Application Express -

Integracja APD z Ogólnopolskim Repozytorium Prac Dyplomowych

Integracja uczelnianego archiwum prac dyplomowych z Centralnym Repozytorium Prac Dyplomowych

Internetowe Konto Biblioteczne Instrukcja

Rejestracja elektroniczna na zajęcia

Ustalanie dostępu do plików - Windows XP Home/Professional

Aplikacja Mobilny USOS Moduły: O uczelni, Aktualności. Biuro Prasowe UW

Systemy informatyczne uczelni do obsługi toku studiów

Internetowe Konto Biblioteczne Instrukcja. Internetowe Konto Biblioteczne Aleph

Jak USOS współpracuje z CUS czyli o autoryzacji użytkowników w serwisach internetowych UW

Wersja dokumentu: Data: 28 kwietnia 2015r.

Regulamin Uczelnianej Platformy Edukacyjnej. eportal.ue.wroc.pl

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Aplikacje internetowe - opis przedmiotu

Bazy danych 2. Wykład 1

UNIWERSYTETU WARSZAWSKIEGO

Zdalny dostęp do źródeł elektronicznych BUR dla pracowników i studentów Uniwersytetu Rzeszowskiego

Warsztaty KPRM-MF-MG-MPiPS MRR-MSWiA-MSZ 28 kwietnia 2011 r.

Oracle COREid Federation Przegląd

Stan wdrożenia systemu USOS

JPK_VAT założenie profilu zaufanego. Profil zaufany

Informatyzacja uczelni wyższych w świetle nowej Ustawy Prawo o szkolnictwie wyższym. Janina Mincer-Daszkiewicz

Rejestracja elektroniczna na zajęcia

Firma Informatyczna ASDER. Prezentacja. Serwer danych lokalnych. Przemysław Kroczak ASDER

odpowiednia prezentacja na stronie domowej Biblioteki promocja w postaci drukowanych materiałów informacyjnych (ulotki, foldery)

Opracowanie dodatkowego rodzaju pytań dla systemu Moodle

Wersja dokumentu: Data: 17 listopada 2016 r.

UNIWERSYTET KARDYNAŁA STEFANA WYSZYŃSKIEGO w WARSZAWIE REKTOR

Jednolite zarządzanie użytkownikami systemów Windows i Linux

Akademia Wychowania Fizycznego we Wrocławiu al. I.J. Paderewskiego Wrocław Szkolenie biblioteczne

(Pluggable Authentication Modules). Wyjaśnienie technologii.

Silne uwierzytelnianie dla klienta indywidualnego

Dotyczy Szkolenia BHP dla studentów rozpoczynających naukę Zasady obowiązujące w roku akademickim 2016/2017

Instrukcja pracy w systemie USOSweb dla wykładowców PWSZ w Koninie - wpisywanie ocen -

KARTA PRZEDMIOTU. 2. Kod przedmiotu: BSI

Identity Management w Red Hat Enterprise Portal Platform. Bolesław Dawidowicz

Bezpieczne strony WWW dla edukacji, organizacji non-profit i uŝytkowników indywidualnych.

Instrukcja rejestracji w systemie System Wspierający Prowadzenie Prac Badawczo-Naukowych oraz Współdzielenie i Publikację Wyników Prac

Archiwum Prac Dyplomowych

1. Ogólne informacje o platformie edukacyjnej

Spis treści. Uniwersytet Śląski, Dział Informatycznej Obsługi Toku Studiów

Sprawdzenie i ocena pracy z wykorzystaniem Archiwum Prac Dyplomowych

MODUŁ NAUCZYCIEL - INSTRUKCJA OBSŁUGI

Internet w akademikach na Ligocie

Instrukcja rejestrowania pracy dyplomowej w APD - Archiwum Prac Dyplomowych przez studenta

APD ARCHIWUM PRAC DYPLOMOWYCH DLA PROMOTORA

Instrukcja instalacji Control Expert 3.0

Zarządzenie Nr 33/2014/2015 Rektora Akademii Wychowania Fizycznego Józefa Piłsudskiego w Warszawie z dnia 19 stycznia 2015 r.

Zmiana sposobu logowania do systemu Bazy Wiedzy PW edycja danych

Wsparcie dydaktyki przez uczelniany system komputerowy.

Wyższa Szkoła Bankowa we Wrocławiu

elektroniczna Platforma Usług Administracji Publicznej

Rejestracja elektroniczna na zajęcia

Cardmobile.pl. Cardmobile.pl jest nowoczesnym systemem płatności mobilnych oraz internetowych.

Poz. 13 ZARZĄDZENIE NR 8 REKTORA UNIWERSYTETU WARSZAWSKIEGO. z dnia 18 stycznia 2017 r.

Instrukcja procedowania pracy dyplomowej w systemie APD dla Recenzenta.

1. Logowanie do systemu

Organizacja pracy w dziekanatach. W poszukiwaniu dobrych praktyk. Szkoła Główna Handlowa w Warszawie, 8 czerwca 2018 r.

Instrukcja dla osoby potwierdzającej profil zaufany

INSTRUKCJA WEWNĘTRZNA UNIWERSYTETU WARSZAWSKIEGO BADANIA PRAC DYPLPMOWYCH JEDNOLITYM SYSTEMEM ANTYPLAGIATOWYM

Transkrypt:

Janina Mincer-Daszkiewicz Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski jmd@mimuw.edu.pl http://www.mimuw.edu.pl/~jmd

Zarządzanie tożsamością w systemach internetowych uczelni wyższej Koniec z chaosem?

Plan prezentacji Pojęcia Cele, metody Studium przypadku Uniwersytet Warszawski Podsumowanie 2008-10-07 CPI, Warszawa 3

Zarządzanie tożsamością (ang. Identity Management) (według Wikipedii) to zarządzanie prawami dostępu do zasobów informacyjnych, czyli: o procedury określające kto może mieć dostęp do zasobów informacyjnych oraz co może z tymi zasobami zrobić oraz o systemy nadzorujące realizację tych ustaleń. Zakres dostępu powinien być minimalny, ale zarazem wystarczający do pełnienia wyznaczonych obowiązków 2008-10-07 CPI, Warszawa 4

Kluczowe pojęcia autentykacja (ang. authentication) proces uwierzytelniania (weryfikowania tożsamości) osoby ubiegającej się o dostęp do zasobów autoryzacja (ang. authorization) proces określania rodzaju dostępu przyznawanego użytkownikowi atrybuty informacje o użytkowniku, takie jak przynależność do określonej grupy czy rola w społeczności uczelni zaufanie porozumienie między różnymi instytucjami lub systemami dotyczące współdzielenia danych na temat tożsamości 2008-10-07 CPI, Warszawa 5

Kluczowe pojęcia - cd zarządzanie dostępem procesy i technologie służące do sterowania i monitorowania dostępem do chronionych zasobów; obejmuje autentykację, autoryzację, zaufanie i audyt bezpieczeństwa federacja specjalny rodzaj relacji zaufania między różnymi instytucjami, które godzą się na współużytkowanie danych na temat tożsamości ponad granicami wewnętrznych sieci 2008-10-07 CPI, Warszawa 6

Schemat nadawania uprawnień określenie zadań pracownika (roli w organizacji) - wykonuje przełożony określenie systemów informacyjnych jakie będą mu potrzebne do wykonywania tych zadań - wykonuje właściciel systemu określenie zakresu dostępu do danych w tych systemach - wykonuje właściciel systemu weryfikacja uprawnień - wykonuje komórka bezpieczeństwa nadanie uprawnień - wykonują administratorzy 2008-10-07 CPI, Warszawa 7

Problem... Jak minimalizować koszt i wysiłek zarządzania tożsamością w dużych instytucjach, złożonych z wielu mniejszych jednostek, często rozproszonych geograficznie na dużych obszarach (jak uczelnia wyższa z filiami w innych miastach), udostępniających użytkownikom wiele usług informatycznych, często niezintegrowanych i pochodzących od różnych dostawców? 2008-10-07 CPI, Warszawa 8

Rozwiązanie problemu od strony technicznej... jest relatywnie proste, bo istnieje dużo narzędzi zarówno darmowych, jak i komercyjnych 2008-10-07 CPI, Warszawa 9

Systemy zarządzania tożsamością Listy dostępu (ang. Access Control Lists), np. systemy uniksowe, NTFS Active Directory (systemy Windowsowe) Central Authentication Service (CAS) Microsoft Passport Network edirectory dawniej znane jako Novell Directory Services (NDS) Novell Identity Manager Open LDAP (Lightweight Directory Access Protocol) Oracle Identity Manager Pluggable Authentication Modules (PAM) Single sign-on 2008-10-07 CPI, Warszawa 10

Rozwiązanie problemu od strony organizacyjnej... to prawdziwe wyzwanie i wymaga dobrze przemyślanego projektu 2008-10-07 CPI, Warszawa 11

Studium przypadku Uniwersytet Warszawski system obsługi studentów USOS 2008-10-07 CPI, Warszawa 12

Systemy uczelniane wymagające uwierzytelniania i autoryzacji USOSweb system informacyjny dla studentów i nauczycieli akademickich (może być kilka instalacji) UL system rejestracji na zajęcia oferowane centralnie (lektoraty, WF, egzaminy z języków obcych) APD Archiwum Prac Dyplomowych SRS System Rezerwacji Sal Ankieter Platforma zdalnego nauczania (oparta na Moodle) Centralne serwery pocztowe (studenci, nauczyciele akademiccy, administracja) 2008-10-07 CPI, Warszawa 13

Systemy uczelniane wymagające uwierzytelniania i autoryzacji - cd Systemy biblioteczne (wypożyczalnia książek, czasopisma on-line) Sieć radiowa Portal centralny, portale wydziałów, instytutów, grup badawczych Inne systemy informacyjne (np. USOSownia, fora dyskusyjne) Systemy komputerowe (laboratoria) 2008-10-07 CPI, Warszawa 14

Architektura z lotu ptaka http://usos.edu.pl/usos-architektura2.pdf 2008-10-07 CPI, Warszawa 15

Modele zarządzania tożsamością 1 Dane o kontach i profilach są trzymane w bazie centralnej USOS, skąd są migrowane automatycznie do lokalnych baz aplikacji; aplikacje autoryzując użytkowników sięgają do danych dostępnych lokalnie, ale zmiana tych danych (np. hasła) w lokalnej bazie aplikacji nie propaguje się wcale lub wolno do innych serwisów, profile określają uprawnienia do aplikacji Zalety: Działa Hasło wprowadza student w IRK, skąd trafia ono do USOS (odpada problem dystrybucji haseł) 2008-10-07 CPI, Warszawa 16

Modele zarządzania tożsamością 2 Jak w punkcie (1), ale dochodzi autoryzacja poprzez lokalne bazy NIS, wykorzystywane w laboratoriach komputerowych jednostek Zalety: W lokalnej instalacji USOSweb obowiązuje ten sam identyfikator i hasło co w lokalnym serwerze pocztowym i laboratorium komputerowym Zakładanie, aktualizowanie, usuwanie kont w NIS można zautomatyzować 2008-10-07 CPI, Warszawa 17

Modele zarządzania tożsamością 3 Powstaje CUS centralna baza danych o użytkownikach (wykonana przez DS ICM, udostępniana na licencji GPL). Dane do bazy CUS są przekazywane na bieżąco z bazy USOS, aplikacje internetowe podczas autoryzacji odpytują bezpośrednio CUS Zalety: Zmienione dane konta są od razu dostępne dla wszystkich serwisów 2008-10-07 CPI, Warszawa 18

Modele zarządzania tożsamością 4 Powstaje CAS Centralny Serwer Uwierzytelniania zapewniający usługę pojedynczego logowania Zalety: Wygoda jednokrotne wprowadzenie danych konta daje dostęp do wszystkich serwisów Bezpieczeństwo dane umożliwiające zalogowanie są przekazywane do jednego miejsca i tam są weryfikowane, logowanie do wszystkich serwisów odbywa się na tej samej stronie, w ten sam sposób Prostota prosto rozszerza się tę usługę na inne serwisy 2008-10-07 CPI, Warszawa 19

Modele zarządzania tożsamością 5 Powstają role tworzone automatycznie przez widoki założone na bazie centralnej USOS. Role są migrowane raz dziennie do bazy CUS przez demon systemowy. Docelowo role w całości zastąpią profile. Przykładowe role: Pracownik etatowy Pracownik nieetatowy Absolwent Doktorant Student studiów stacjonarnych, niestacjonarnych wieczorowych, niestacjonarnych zaocznych 2008-10-07 CPI, Warszawa 20

Modele zarządzania tożsamością 5 cd Widok to zbiór trójek (osoba, role, jednostka) Zalety: Polityka dostępu realizowana na poziomie aplikacji, a nie USOS Profile trzeba było obsługiwać ręcznie, role są obsługiwane automatycznie (rozwiązuje problem aktualizacji danych) Zbiór ról można łatwo rozszerzać 2008-10-07 CPI, Warszawa 21

Modele zarządzania tożsamością 5 cd Inne przykładowe role użyteczne przy definiowaniu uprawnień do serwisów uczelnianych: członek senatu członek Rady Wydziału, Instytutu członek komisji rektorskiej, wydziałowej członek koła naukowego członek samorządu studenckiego studenci uczestniczący w wymianie zagranicznej 2008-10-07 CPI, Warszawa 22

Bezpieczny mechanizm przypominania hasła Użytkownik otwiera ekran logowania CAS Wybiera opcję Zmiana hasła Wpisuje nowe hasło (z potwierdzeniem) System wyświetla krótki, czytelny kod aktywacyjny Użytkownik odwiedza najbliższy dziekanat Pracownik dziekanatu sprawdza jego tożsamość Wprowadza do USOS przekazany przez użytkownika kod aktywacyjny USOS przesyła kod do CAS CAS aktywuje konto 2008-10-07 CPI, Warszawa 23

Bezpieczny mechanizm przypominania hasła Pomysłodawca: DS ICM Zalety: Nikt poza użytkownikiem nie widzi nowego hasła Kod aktywacyjny jest jednorazowy i ma ograniczony termin ważności Użytkownik jest uwierzytelniany przez żywą osobę 2008-10-07 CPI, Warszawa 24

Inne metody przypominania hasła Hasło jest wysyłane mailem możliwość podsłuchania Hasło jest wysyłane SMS-em kosztowne i złożone organizacyjnie Pracownik dziekanatu generuje użytkownikowi nowe losowe hasło, które trzeba zmienić przy pierwszym logowaniu Konieczność ręcznego przepisania hasła na kartkę (możliwość pomyłki) Hasło widzi osoba postronna Użytkownicy miewają problemy z wymuszoną operacją natychmiastowej zmiany hasła 2008-10-07 CPI, Warszawa 25

Centralny Serwer Uwierzytelniania UW okno logowania 2008-10-07 CPI, Warszawa 26

CAS strona informacyjna 2008-10-07 CPI, Warszawa 27

Oficjalne serwisy UW dostępne poprzez CAS 2008-10-07 CPI, Warszawa 28

USOSweb Wydziału MIM 2008-10-07 CPI, Warszawa 29

USOSweb Wydziału MIM 2008-10-07 CPI, Warszawa 30

Portal Wydziału MIM 2008-10-07 CPI, Warszawa 31

USOSweb innego wydziału 2008-10-07 CPI, Warszawa 32

Zarządzanie tożsamością w federacjach (ang. Federated Identity Management) Studium przypadku eduroam (ang. education roaming) Cel: Student wyjeżdżający na inną uczelnię w ramach wymiany międzynarodowej czy pracownik uczestniczący w konferencji naukowej na innej uczelni od razu jest uwierzytelniany przez jej serwisy. Konta są wprowadzane przez lokalnych administratorów w lokalnych bazach. Przyznawane role zależą od uzgodnień między uczelniami http://www.eduroam.org http://www.eduram.pl 2008-10-07 CPI, Warszawa 33

eduroam w Polsce 2008-10-07 CPI, Warszawa 34

Podsumowanie Podstawowe cechy wygodnego mechanizmu uwierzytelniania i autoryzacji: użytkownik ma jedno konto dostępowe do wszystkich serwisów, loguje się jeden raz, żeby uzyskać dostęp do wszystkich dane o kontach i rolach są wprowadzane w jednym miejscu i dystrybuowane wszędzie tam, gdzie są potrzebne aktualizacja kont i ról odbywa się automatycznie w razie problemów można użytkownika obsłużyć osobiście blisko jego miejsca pobytu 2008-10-07 CPI, Warszawa 35

Podsumowanie - cd Projektując system zarządzania tożsamością należy wziąć pod uwagę: koszt zarządzania danymi koszt aktualizowania danych koszt dystrybuowania danych Są dostępne darmowe narzędzia Problem zarządzania tożsamością jest w centrum uwagi wielu uczelni europejskich (por. EUNIS 2008, osobna sesja, 10 referatów) 2008-10-07 CPI, Warszawa 36

czyli... sprawny mechanizm zarządzania tożsamością jest sposobem na... uniknięcie chaosu ;) 2008-10-07 CPI, Warszawa 37

Adresy USOS http://usos.edu.pl CAS na UW http://logowanie.uw.edu.pl Pasek logowania CAS http://usosweb.mimuw.edu.pl EUNIS 2008, zarządzanie tożsamością na uczelniach wyższych w Europie http://eunis.dk/papers/ 2008-10-07 CPI, Warszawa 38

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres