Zpráva ze semináře Shibboleth v praxi

Zpráva ze semináře Shibboleth v praxi, který se věnoval konkrétním příkladům řešení shibbolethového přístupu k různým zdrojům.

Seminář Shibboleth v praxi 

Seminář s názvem Shibboleth v praxi se konal v Národní technické knihovně dne 20. 10. 2010 v rámci akcí pro odbornou knihovnickou veřejnost. Jak již název sám napovídá, byla tato akce zaměřena na Shibboleth, což je nástroj, který umožňuje pouze jedno přihlášení pro přístup do různých aplikací či databází. Záměrem je, aby uživatelé tohoto nástroje mohli využívat pouze jedny přihlašovací údaje a nemuseli je vyplňovat opakovaně.

Počítačová studovna č. 3

Seminář byl rozdělen do pěti bloků, ale dal by se rozdělit v podstatě na dvě nestejně velké části. První, úvodní, část semináře byla pojata jako jakýsi úvod pro méně odborné publikum, především pro účastnící se knihovníky, v druhé, mnohem rozsáhlejší, části se již přednášející odborníci zabývali konkrétním využitím Shibbolethu.

Celý seminář byl zaměřen na praxi, byl naplněn konkrétními ukázkami řešení určitých situací, včetně prezentací toho, jak probírané nástroje přímo fungují v běžném užívání. Jako neodbornému divákovi mi tento seminář mnoho informací nepředal, ale věřím, že ostatní účastníci, kteří se rekrutovali především z řad IT zaměstnanců knihoven, si odnesli velké množství praktických informací a návodů na to, jak nástroj Shibboleth implementovat i ve své organizaci. Prezentace ze semináře jsou ke stažení na následující webové adrese: http://www.slideshare.net/event/shibboleth-v-praxi.

Aktivace přístupu pomocí Shibboleth u e-zdrojů

Ing. Jiří Pavlík (UK/CESNET)

Jako první se se svou přednáškou představil Ing. Jiří Pavlík. Vzhledem k tomu, že tato prezentace byla zaměřena především na účastníky semináře z řad knihovníků, zpočátku se přednášející zabýval hlavně stručným představením Shibbolethu jako takového. Nejprve vyjmenoval všechny výhody, které implementace tohoto nástroje do systému přináší. Patří sem uživatelský komfort (prostředí Single-Sign-On = SSO, které umožňuje právě jedno přihlášení pro přístup do více databází či aplikací; sjednocení odkazů pro přímý i vzdálený přístup a vysoká kompatibilita aplikace Shibboleth s různými hardwarovými zařízeními, operačními systémy i webovými prohlížeči), vysoká IT bezpečnost (Identity Provider - IdP - komunikuje přímo s počítačem uživatele, čímž se snižuje možnost napadení nebo prozrazení přihlašovacích údajů; snižuje se možnost phishingových útoků; nad databází uživatelů v protokolu LDAP je Shibbolethem vytvořena ochranná vrstva, která zajistí, že poskytovatelům služeb jsou předávány pouze nezbytné údaje o uživatelích; snižuje se možnost vyzrazení uživatelských údajů nesprávnou manipulací - např. lepením lístečků na okraj monitoru atd.), používané standardy (všechny technologie jsou freewarové a mají otevřený zdrojový kód; Shibboleth je verze implementace protokolu SAML určeného pro autentizaci v prostředí internetu) a podpora (Shibboleth je podporován velkým množstvím poskytovatelů elektronických zdrojů, knihovních, e-learningových a videokonferenčních - např. Adobe Connect - systémů; služby získané po registraci do eduID.cz = osobní certifikáty - šifrování dat, digitální podpisy; přístup do aplikací Microsoft Dreamspark, Mefanet a MUNI Atlases).

Po tomto úvodu následovala názorná ukázka toho, jak se uživatel Univerzity Karlovy může přihlásit do různých databází (nativně např. do EBSCOhost, Science Direct, OvidSP, WOK a ebrary, prostřednictvím EZproxy do dalších) s pomocí jednotného přihlášení Shibboleth. Také byl při této příležitosti demonstrován rozdíl mezi dvěma možnými přístupy k elektronickým zdrojům. Tzv. WAYF přístup je postupná autentizace uživatele prostřednictvím odkazů, kde si uživatel volí z jakého je regionu, k jaké akademické instituci patří atd., zatímco WAYFless přístup tento postup obchází přímým linkem.

Poskytovatelé elektronických zdrojů, které podporují Shibboleth (jsou to např. British Medical Journal, Cambridge University Press, ebrary, EBSCOhost a další), nejprve spouští autentizaci ve Velké Británii nebo v USA a na základě projeveného zájmu z jiných zemí poskytují přístupy jim. Jsou upřednostňovány organizace, které jsou připojeny k určité federaci, jež se na komunikaci s poskytovateli specializuje. Pro Českou republiku je tímto zástupcem organizace eduID pod správou CESNETu. Hlavní aktivitou této skupiny je poskytování poradenství v oblasti shibbolethizovaných přístupů k elektronickým zdrojům, ale zabývají se také například jednáním s dalšími, dosud nezapojenými, poskytovateli.

Na webových stránkách tohoto sdružení (http://www.eduid.cz/) jsou dostupné podrobné návody pro implementaci Shibbolethu, informace o všech poskytovatelích elektronických zdrojů a řada dalších užitečných věcí. Základní postup pro aktivaci shibbolethového přístupu byl přiblížen i v rámci přednášky. Kromě platných licencí pro zdroj je nutné, aby měla žádající instituce spuštěný IdP a ten, aby byl připojen k eduID.cz. Potom je nutné vyplnit žádost o Shibboleth přístup podle vzoru z webu eduID.cz a poté, co je tato žádost zpracována a aktivace potvrzena, probíhá testování. Na závěr existuje možnost požádat o uživatelsky příjemnější WAYFless linky.

K tomu, aby byla aktivace úspěšná, jsou potřeba údaje o uživatelích, tzv. atributy. Patří sem např. eduPersonScopedAffiliation (primární rozdělení, jestli je uživatel členem dané organizace nebo ne), eduPersonEntitlement (podrobnější informace a přiřazení rolí - zaměstnanec, student, absolvent apod.), následují atributy umožňující jednoznačnou identifikaci uživatele - eduPersonTargetedID a eduPersonPrincipalName.

Přednáška se také dotkla současné licenční politiky. Licence jsou přidělovány většinou oborově, institucím, jejichž zaměření odpovídá obsahu databáze.

Na závěr byly zmíněny některé problémy, které s přihlašováním prostřednictvím Shibbolethu souvisí. Asi největším nedostatkem je nutnost vždy po ukončení práce s databází zavřít celý prohlížeč. Dalším záporem je malé množství databází, které ihned po přihlášení přesměrují uživatele přímo do jejich personalizovaného prostředí.

Implementace SP pro DSpace

Mgr. Vlastimil Krejčíř (MU) 

Přednáška týkající se implementace Shibbolethu do systému DSpace (http://dspace.cz/) byla zaměřena více odborně. Propojení Shibbolethu s DSpace přináší možnosti nastavení pořadí autentizačních metod, autoregistrace a definování rolí podle přiřazených vlastností. Systém DSpace je zde v roli Service Providera (SP), Shibboleth jako SSO pro autentizovanou část systému. V určitých vývojových verzích systému DSpace není možné, aby roli SP zastával systém sám prostřednictvím Javy, ale je nutné, aby tuto roli převzal Apache server. Přednášející doufá v budoucí nativní podporu Shibbolethu.

Dále se přednášející zabýval už konkrétními parametry pro aktivaci nástroje Shibboleth. Sem patří nutnost instalace webového serveru Apache, instalace softwaru pro Shibboleth a nastavení atributů, které DSpace pro autentizaci potřebuje. Je to především e-mailová adresa, jméno a příjmení. V dalších krocích prezentace byl popsán přesný postup aktivace přístupu v programátorském prostředí.

Protože základem této přednášky bylo testování spolupráce dvou výše zmíněných systémů, narazil při této činnosti přednášející na dva problémy. Jedná se o problém s kódováním znaků u atributů jméno a příjmení a také o potíže s přiřazováním rolí. Řešení potíží s kódování přednášející sám odhalil, ale během přípravy prezentace, která, jak se přiznává, probíhala ve velmi krátkém čase před začátkem semináře, se mu nepodařilo odstranit problém s přiřazováním rolí a vyzývá zúčastněné kolegy k tomu, aby se do řešení tohoto problému zapojili.

Implementace SP pro produkty ExLibris

Ing. Jiří Pavlík (UK/CESNET)

S touto přednáškou opět předstoupil Ing. Pavlík. V úvodu se zabýval výhodami využití systému Shibboleth přímo u konkrétních nástrojů (SFX, MetaLib, Primo, Aleph, DigiTool). Využití Shibbolethu přináší zejména zlepšení dostupnosti poskytovaných služeb.

Následovala názorná ukázka funkce Shibbolethu ve spolupráci s SFX u seznamu elektronických časopisů SFX JIB pro Univerzitu Karlovu. Od poskytovatele není ještě připravena autentizace pomocí Shibbolethu, je tedy nutné provést některé úpravy, jejichž rozsah se mění s počtem skupin uživatelů, kteří mají touto cestou ke zdroji přístup.

Dokumentace potřebná k aktivaci přístupů je dostupná buď v dokumentu Patron Directory Services Guide od ExLibris anebo opět na stránkách eduID.cz.

Instalace IdP k LDAP (aneb Shibboleth SSO v rámci IDM NTK)

Ing. Václav Jansa (Národní technická knihovna)

V tomto příspěvku bylo přiblíženo konkrétní použití Shibbolethu jako systému SSO v Národní technické knihovně, kde slouží k přihlášení hned do několika systémů (platební, rezervační, tiskový systém, knihovní systém Aleph). Ke správné funkci Shibbolethu jako SSO je potřeba mít správně definované identity s dostatkem jedinečných atributů. Tyto identity se v systému NTK shromažďují v Centrální databázi identit (CDB), do které se dostávají prostřednictvím Aplikace registrace. Základními druhy identit jsou zaměstnanci, zákazníci, návštěvníci a „neznámý student". Pod poslední skupinu spadají studenti a zaměstnanci ČVUT a VŠCHT, kteří mají přístup do budovy knihovny defaultně nastavený na svých studentských nebo zaměstnaneckých čipových průkazech, ale jejich práva v budově knihovny jsou omezená. Kromě běžné registrace vstupují informace o identitách do CDB ještě přeregistrací (vyplnění registračního formuláře přímo uživatelem na webu) a importy anonymních karet z ČVUT a VŠCHT (týká se právě skupiny „neznámý student"). V praxi systém funguje tak, že po přihlášení do jednoho ze systémů se uživatelské údaje přenáší do dalších systémů, které chce zákazník využít. Odhlášení probíhá zavřením prohlížeče.

Konfigurace EZproxy pro prostředí Shibboleth

Mgr. Petr Novák (Univerzita Karlova)

Přednáška Petra Nováka se věnovala praktické otázce nastavení aplikace EZproxy pro využití nástroje Shibboleth, který je do této aplikace velice dobře integrovatelný. Shibboleth v EZproxy řeší otázku autentizace a autorizace, tedy otevření přístupu ke zdrojům. Před implementací nástroje je třeba získat certifikáty pro podepisování a šifrování komunikace s IdP a správně nakonfigurovat samotné EZproxy. Dále se Mgr. Novák věnoval generování metadat (některé identity je třeba ručně doplnit), jejich případné registraci u eduID.cz, práci s přijatými afiliacemi a bezpečnému odhlášení.

Závěrečná část byla věnována řešení konkrétních problémů zájemců z řad účastníků semináře.

Fotogalerie

Líbil se vám článek?
Stáhnout článek v PDF

0 komentářů

Přidat komentář

(If you're a human, don't change the following field)
Your first name.
(If you're a human, don't change the following field)
Your first name.

Přečtěte si také

Přihlášení Registrace
RSS Facebook Twitter YouTube
Zobrazit standardní verzi webu

Taky děláme

Feedback