Υποδομή AAI

Στόχος της Υποδομής AAI (Πιστοποίησης και Εξουσιοδότησης) είναι η απλοποίηση της πρόσβασης των χρηστών των ιδρυμάτων σε δικτυακούς πόρους με τον ιδρυματικό τους λογαριασμό. Με αυτό τον τρόπο μπορούν να έχουν πρόσβαση στις συνδρομές του HEAL-Link από οπουδήποτε. Η Υποδομή AAI κάνει χρήση μιας έννοιας που ονομάζεται ομόσπονδη διαχείριση ταυτότητας.

Οι ανάγκες πρόσβασης σε ποικίλες ηλεκτρονικές πηγές και οι διάφορες δυσκολίες που δημιουργούνται στις περιπτώσεις χρήσης ξεχωριστών διακριτικών πιστοποίησης οδηήγησαν στη δημιουργία μιας Υποδομής για ενοποιημένη πρόσβαση. Σύμφωνα με αυτή ένας χρήστης, από τη στιγμή που πιστοποιείται η ταυτότητα του στο ίδρυμα που ανήκει, το ίδιο το ίδρυμα δίνει την εξουσιοδότηση στον χρήστη, ότι είναι μέλος του και έχει δικαίωμα πρόσβασης στις αντίστοιχες υπηρεσίες. Έως και σήμερα η πρόσβαση βασιζόταν σε ξεχωριστά διακριτικά για κάθε υπηρεσία/πηγή και στην αναγνώριση IP διευθύνσεων.

Παρακάτω αναφέρονται τα προβλήματα που αντιμετωπίζουν οι χρήστες όταν δεν υπάρχει υποδομή ΑΑΙ:

  • Χρονοβόρες διαδικασίες εγγραφής και διαχείρισης χρηστών για κάθε ηλεκτρονική πηγή.
  • Οι χρήστες επιβαρύνονται με τη διαχείριση πολλών κωδικών πρόσβασης.
  • Με τις ενδεχομένως ήδη υπάρχουσες πιστοποιήσεις αγνοούνται τα ζητήματα εξουσιοδότησης.
  • Η μεγάλη προσπάθεια που απαιτείται για την ενσωμάτωση χρηστών άλλων πανεπιστημίων λόγω έλλειψης της τυποποιημένης εξουσιοδότησης.
  • Η εξουσιοδότηση δεν ανεξαρτητοποιείται από την τοποθεσία (Αναγνώριση IP διευθύνσεων).

Μέσω της υποδομής ΑΑΙ, οι χρήστες έχουν τα παρακάτω πλεονεκτήματα:

  • Λόγω της ψηφιακής ταυτότητας, οι ηλεκτρονικές πηγές δεν χρειάζεται να προσφέρουν υπηρεσίες εγγραφής και διαχείρισης χρηστών.
  • Ένας τυποποιημένος μηχανισμός πιστοποίησης επιτρέπει στους χρήστες να έχουν πρόσβαση σε διάφορες ηλεκτρονικές πηγές.
  • Οι χρήστες έχουν πρόσβαση ανεξαρτήτως τόπου.
  • Ελέγχονται οι απαιτήσεις προστασίας των δεδομένων.

Η Ομοσπονδία είναι ένα σύνολο οργανισμών που συμφωνούν να αλληλεπιδρούν κάτω από ένα συγκεκριμένο σύνολο κανόνων. Οι Ομοσπονδίες συνήθως καθορίζουν την εμπιστοσύνη μεταξύ των συμβαλλόμενων μελών, τις αρχές και τα ιδιοχαρακτηριστικά, σε συνδυασμό με τη διανομή των μεταδεδομένων που αντιπροσωπεύουν τις πληροφορίες αυτές. Σε γενικές γραμμές ο κάθε οργανισμός που συμμετέχει σε μια ομοσπονδία διαθέτει και λειτουργεί έναν Πάροχο Ταυτότητας για τους χρήστες του και οποιονδήποτε αριθμό Παρόχων Υπηρεσιών.

Οι Ομοσπονδίες δεν είναι απαραίτητες για τη χρήση του Shibboleth, αλλά μπορούν να διευκολύνουν την ανταλλαγή πληροφορίας σε μεγάλο βαθμό. Επίσης, με το συγκεκριμένο σύνολο κανόνων που προσφέρουν, διαδραματίζουν βασικό ρόλο στην απρόσκοπτη λειτουργία του shibboleth. Στη περίπτωση του HEAL-Link η ύπαρξη της Ομοσπονδίας είναι πολύ σημαντική διότι ο HEAL-Link ως υπεύθυνος για τις συμφωνίες με τους εκδοτικούς οίκους πρέπει να καθορίζει και τις πολιτικές πρόσβασης των μελών του.

Σχηματική περιγραφή της Ομοσπονδίας και των μελών της.

    • AAI
      Υποδομή Πιστοποίησης και Εξουσιοδότησης.

    • Δικαίωμα (Entitlement)
      Τα δικαιώματα αποτελούν μια εξειδικευμένη, σημαντική κατηγορία ιδιοχαρακτηριστικών εξουσιοδότησης. Μπορούν να χρησιμοποιηθούν για να προσδιορίσουν την επιλεξημότητα ενός χρήστη στην απόκτηση πρόσβασης σε μια προστατευμένο πόρο, όπως π.χ. ένα ηλεκτρονικό περιοδικό. Η Ομοσπονδία HEAL-Link χρησιμοποιεί αυτό το ιδιοχαρακτηριστικό για την εξουσιοδότηση των πιστοποιημένων χρηστών.

    • Εικονικός Οργανισμός Προέλευσης (VHO)
      Ο Εικονικός Οργανισμός Προέλευσης είναι ένα Πάροχος ταυτότητας για τους χρήστες, που δεν ανήκουν σε έναν Συμμετέχων Οργανισμό ή ο Συμμετέχων Οργανισμός τους δεν λειτουργεί έναν Πάροχο Ταυτότητας.

    • Εικονικός Οργανισμός Προέλευσης, Διαχειριστής
      Ο Διαχειριστής του Εικονικού Οργανισμού Προέλευσης είναι ένας Ιδιοκτήτης Πόρων, ο οποίος είναι υπεύθυνος για την ομάδα ή τις ομάδες του Εικονικού Οργανισμού Προέλευσης και τους αντίστοιχους τελικούς χρήστες του Εικονικού Οργανισμού Προέλευσης. Συντηρεί τα στοιχεία του λογαριασμού και παρέχει υποστήριξη στους τελικούς χρήστες του Εικονικού Οργανισμού Προέλευσης.

    • Εικονικός Οργανισμός Προέλευσης, Ομάδα
      Μια ομάδα του Εικονικού Οργανισμού Προέλευσης είναι ένα στοιχείο εντός του του Εικονικού Οργανισμού Προέλευσης. Περιέχει τελικούς χρήστες του Εικονικού Οργανισμού Προέλευσης και/ή υποομάδες, οι οποίες επίσης μπορούν να περιέχουν τελικούς χρήστες του Εικονικού Οργανισμού Προέλευσης. Μια ομάδα του Εικονικού Οργανισμού Προέλευσης διαχειρίζεται από έναν ή περισσότερους διαχειριστές του Εικονικού Οργανισμού Προέλευσης.

    • Εικονικός Οργανισμός Προέλευσης, Τελικός Χρήστης
      Ένας τελικός χρήστης του Εικονικού Οργανισμού Προέλευσης είναι ένας έγκυρος χρήστης, ο οποίος ανήκει στον Εικονικό Οργανισμό Προέλευσης.

    • Εξουσιοδότηση
      Διαδικασία που καθορίζει την χορήγηση ή άρνηση πρόσβασης στους προστατευμένους πόρους.

    • Εννιαία Υπογραφή (Single Sign On, SSO)
      Ένας χρήστης χρησιμοποιώντας την εννιαία υπογραφή αποκτά πρόσβαση σε πολλαπλούς πόρους ακολουθώντας μόνο μια διαδικασία πιστοποίησης στον Οργανισμό του.

    • Ιδιοχαρακτηριστικά (Εξουσιοδότησης)
      Δεδομένα των χρηστών (όπως όνομα, ασφάλισης, κλάδος σπουδών, κλπ.) που απαιτούνται για τη λήψη αποφάσεων ελέγχου πρόσβασης.

    • Ισχυρισμός (Assertion)
      Μια ψηφιακή δήλωση που εκδόθηκε από τον Πάροχο Ταυτότητας, η οποία προέρχεται από την Ψηφιακή Ταυτότητα του Τελικού Χρήστη. Συνήθως ένας ισχυρισμός είναι υπογεγραμμένος ψηφιακά και κρυπτογραφημένος προαιρετικά.

    • Λειτουργός Ομοσπονδίας
      Ο Οργανισμός που διαχειρίζεται την Ομοσπονδία, θέτει σε λειτουργία τις τα κεντρικά στοιχεία και ενεργεί ως κέντρο αρμοδιοτήτων. Ο HEAL-Link είναι ο Λειτουργός της Ομοσπονδίας HEAL-Link.

    • Λειτουργός IDP
      Ο οργανισμός που λειτουργεί έναν Πάροχο Ταυτότητας. Ο Λειτουργός IDP αναφέρεται στη νομική οντότητα η οποία υπογράφει τις συμβάσεις, είναι μέλος του HEAL-Link και συμμετέχων στη Ομοσπονδία HEAL-Link και είναι υπεύθυνος για το σύνολο των διαδικασιών που υποστηρίζουν τον IDP.

    • Λειτουργός SP
      Ο οργανισμός που λειτουργεί έναν SP. Ο Λειτουργός SP αναφέρεται στη νομική οντότητα η οποία υπογράφει τις συμβάσεις, είναι ένας Συμμετέχων στην Ομοσπονδία HEAL-Link και είναι υπεύθυνος για το σύνολο των διαδικασιών που υποστηρίζουν τον Πάροχο Υπηρεσιών.

    • Μεταδεδομένα
      Τα μεταδεδομένα περιέχουν τεχνικές λεπτομέρειες και περιγραφικές πληροφορίες σχετικά με τους Παρόχους Ταυτότητας και του Παρόχους Υπηρεσιών της Ομπσπονδίας HEAL-Link. Για τη διαλειτουργικότητα σε ένα ειδικό πλαίσιο, ο καθορισμός της μορφοποίησης των μεταδεδομένων είναι μέρος του τεχνολογικού προφίλ της Ομοσπονδίας HEAL-Link.

    • Μετατροπέας Ιδιοχαρακτηριστικών
      Ένα συστατικό του Παρόχου Ταυτότητας. Ανακτά ιδιοχαρακτηριστικά από διάφορες πηγές δεδομένων (LDAP, Active Directory, …), κατόπιν της πιστοποίησης, και εκτελεί τις απαραίτητες μετατροπές για να μπορέσουν αυτά να αποσταλλούν με το πλαίσιο SAML. Τα ιδιοχαρακτηριστικά που χρησιμοποιούνται από την Ομοσπονδία HEAL-Link ορίζονται στο έγγραφο Τεχνικές προδιαγραφές & Προδιαγραφές Ιδιοχαρακτηριστικών.

    • Ομόσπονδη Διαχείριση Ταυτότητας
      Η διαχείριση και η χρήση των πληροφοριών ταυτότητας σε διάφορους τομείς ασφάλειας, π.χ. μεταξύ των επιμέρους πανεπιστημίων. Ασχολείται με θέματα όπως η διαλειτουργικότητα, η ευθύνη, η ασφάλεια, η προστασία της ιδιωτικότητας και η εμπιστοσύνη.

    • Ομόσπονδη Πιστοποίηση
      Ένας τελικός χρήστης χρησιμοποιεί την Ψηφιακή του Ταυτότητα για να πιστοποιηθεί και να αποκτήσει πρόσβαση σε υπηρεσίες που προσφέρονται από τους φορείς Παρόχων Ταυτότητας μέσα στο ίδιο ή διαφορετικό οργανισμό.

    • Ομοσπονδία
      Η Ομοσπονδία είναι ένα σύνολο οργανισμών που συμφωνούν να αλληλεπιδρούν κάτω από ένα συγκεκριμένο σύνολο κανόνων.

    • Ομοσπονδία HEAL-Link
      Η Ομοσπονδία HEAL-Link αποτελείται από τους αντίστοιχους Συμμετέχοντες που συνεργάζονται στον τομέα της Ομόσπονδης Πιστοποίησης και εξουσιοδότησης και, για το σκοπό αυτό, λειτουργεί μια κοινή ομοσπονδία. Ο HEAL-Link είναι ο λειτουργός της Ομοσπονδίας HEAL-Link.

    • Οργανισμός Προέλευσης
      Ένας οργανισμός, μέλος του HEAL-Link, που συμμετέχει στην Ομοσπονδία HEAL-Link και αντιπροσωπεύει μια κοινότητα χρηστών. Ο Οργανισμός Προέλευσης καταγράφει χρήστες και αποθηκεύει σχετική πληροφορία με τους χρήστες. Επιπλέον, είναι σε θέση να πιστοποιεί τους χρήστες του και να λειτουργεί έναν Πάροχος Ταυτότητας.

    • Πάροχος Ταυτότητας (IDP)
      Το στοιχείο του συστήματος που εκδίδει ισχυρισμούς εκ μέρους των τελικών χρηστών οι οποίοι τους χρησιμοποιούν για να έχουν πρόσβαση στις υπηρεσίες Παρόχων Υπηρεσιών, αφού έχουν ήδη πιστοποιηθεί από το τον οργανισμού τους.

    • Πάροχος υπηρεσιών (SP)
      Το στοιχείο του συστήματος που αξιολογεί τον ισχυρισμό από έναν Πάροχο Ταυτότητας και χρησιμοποιεί αυτή την πληροφορία για να ελέγχει την πρόσβαση σε προστατευμένες υπηρεσίες. Συνώνυμο ενός πόρου με ενργοποιημένη την υποδομή AAI, απλά αποτελεί και χρησιμοποιείται ως μια πιο τεχνική έννοια.

    • Πιστοποίηση
      Διαδικασία επιβεβαίωσης της ταυτότητας ενός υπάρχοντος εγγεγραμμένου χρήστη.

    • Πολιτική απελευθέρωσης ιδιοχαρακτηριστικών (ARP)
      Καθορίζει ποια ιδιοχαρακτηριστικά πρόκειται να απλευθερωθούν σε κάποιον συγκεκριμένο πόρο (φίλτρο ιδιοχαρακτηριστικών). Είναι ένας μηχανισμός για την εφαρμογή της ιδιωτικότητας και της προστασίας των προσωπικών δεδομένων.

    • Πόρος
      Μπορεί να είναι μια εφαρμογή διαδικτύου, μια ιστοσελίδα, ένα σύστημα πληροφοριών κ.α. Ένας Πόρος με ενργοποιημένη την υποδομή AAI αιτείται ιδιοχαρακτηριστικά των χρηστών από τον Πάροχο Ταυτότητας και λαμβάνει αποφάσεις για της εξουσιοδότηση πρόσβασης, με βάση αυτά τα ιδιοχαρακτηριστικά.

    • Συμβαλλόμενος μέρος
      Σε γενικές γραμμές, ένα ή περισσότεροι Πάροχοι Υπηρεσιών ή Πάροχοι Ταυτότητας που είναι αποστολέις ή παραλήπτες ενός ισχυρισμού. Ένας τρίτος συμβαλλόμενος θα μπορούσε να είναι ένας μοναδικός Πάροχος Υπηρεσιών ή μια ομάδα Παρόχων Υπηρεσιών. Οι Πάροχοι Υπηρεσιών και οι Πάροχοι Ταυτότητας μπορούν να ομαδοποιηθούν σε ένα συμβαλλόμενο μέρος στηρίζεται εάν συμπεριληφθούνς σε ένα στοιχείο “EntitiesDescriptor” στα μεταδεδομένα. Αυτή η ομάδα των Παρόχων Υπηρεσιών μπορεί στη συνέχεια για παράδειγμα να χρησιμοποιηθεί για να ενημερώσει έναν Πάροχο Ταυτότητας να χρησιμοποιήσει ένα συγκεκριμένο τρόπο μετάδοσης των ιδιοχαρακτηριστικών στο συγκεκριμένο Συμβαλλόμενο μέρος.

    • Συμμετέχων στην Ομοσπονδία HEAL-Link
      Ένας οργανισμός, μέλος του HEAL-Link, ο οποίος συμμετέχει στην Ομοσπονδία HEAL-Link, ή ένας Συνεργάτης της Ομοσπονδίας.

    • Συνεργάτης Ομοσπονδίας
      Ένας οργανισμός που δεν είναι μέλος του HEAL-Link, αλλά θέλει να συμμετέχει στην Ομοσπονδία HEAL-Link και έχει υπογράψει τo συμφωνητικό της Ομοσπονδίας HEAL-Link για τους Συνεργάτες.

    • Υπηρεσία εξεύρεσης/αναζήτησης
      Τεχνικός όρος / συνώνυμος της υπηρεσίας WAYF.

    • Υπηρεσία WAYF (Where Are You From)
      Η υπηρεσία WAYF, που ονομάζεται επίσης Υπηρεσία εξεύρεσης/αναζήτησης, επιτρέπει στο χρήστη να επιλέξει τον Οργανισμό Προέλευσής του από μια λίστα και, στη συνέχεια ανακατευθύνει το χρήστη στην αντίστοιχη σελίδα πιστοποίησης.

    • Ψηφιακή Ταυτότητα
      Ένα σύνολο πληροφοριών που μπορούν να αποδοθούν σε έναν τελικό χρήστη. Ένας φορέας IDP εκδίδει και διαχειρίζεται την ψηφιακή ταυτότητα με βάση την πιστοποίηση του Τελικού Χρήστη.

    • EntityID
      Είναι ένα μοναδικό αναγνωριστικό, που προσδιορίζει κάθε Πάροχο Υπηρεσιών και κάθε Πάροχο Ταυτότητας.

    • SAML
      Το SAML (Security Assertion Markup Language) είναι ένα πλαίσιο XML για την ανταλλαγή πληροφοριών πιστοποίησης και εξουσιοδότησης. Το SAML είναι ένα πρότυπο της OASIS. Το Shibboleth βασίζεται σε SAML.

    • Shibboleth
      Λογισμικό ανοιχτού κώδικα που αναπτύχθηκε από την Κοινοπραξία Shibboleth. Το Shibboleth βασίζεται στο SAML και επιτρέπει την εφαρμογή μιας υποδομής AAI. Η Ομοσπονδία HEAL-Link χρησιμοποιεί το Shibboleth.

Οι οργανισμοί προέλευσης που συμμετέχουν στην Ομοσπονδία του HEAL-Link είναι όλα τα μέλη του HEAL-Link.

Επί του παρόντος, οι ακόλουθοι οργανισμοί είναι Συνεργάτες της Ομοσπονδίας.

Όλα τα μέλη του HEAL-Link, ως συμμετέχοντες στην Ομοσπονδία και για τη σωστή λειτουργία των υπηρεσιών AAI, θα πρέπει να υπογράψουν το αντίστοιχο Συμφωνητικό Μελών της Ομοσπονδίας HEAL-Link με τα αντίστοιχα συνημμένα έγγραφα.

Περισσότερες πληροφορίες: Υποστήριξη/Λήψεις –>Έγγραφα

Ένας οργανισμός μπορεί να γίνει συνεργάτης της Ομοσπονδίας HEAL-Link, αν προσφέρει συνδρομητικό ψηφιακό περιεχόμενο στον HEAL-Link ή σε ένα ή περισσότερα μέλη του HEAL-Link.

Συνήθως, ένας Συνεργάτης Ομοσπονδίας λειτουργεί δικτυακούς πόρους που υποστηρίζουν την AAI πρόσβαση (Service Providers) και τους καθιστά διαθέσιμους στους χρήστες που διαθέτουν λογαριασμό σε κάποιον από τους συμμετέχοντες Οργανισμούς Προέλευσης που λειτουργούν έναν Πάροχο Ταυτότητας (Identity Provider) ή στους χρήστες που διαθέτουν λογαριασμό στον Εικονικό Οργανισμό Προέλευσης της Ομοσπονδίας HEAL-Link.

Οι συγκεκριμένοι δικτυακοί πόροι μπορεί να είναι πλατφόρμες e-learning, ηλεκτρονικά περιοδικά, βάσεις δεδομένων, κ.λπ., τα οποία κάνουν χρήση της ομόσπονδης πιστοποίησης και επιτρέπουν την πρόσβαση σε εφαρμογές τους που βασίζονται στην πληροφορία που παίρνουν μέσω AAI από τον Πάροχο Ταυτότητας του Οργανισμού Προέλευσης των χρηστών.

Προϋποθέσεις Ένταξης

Οι ακόλουθες οντότητες και οργανισμοί πληρούν τις προϋποθέσεις για να γίνουν Συνεργάτες Ομοσπονδίας:

  • Ιδρύματα Ανώτατης Εκπαίδευσης και Ερευνητικοί Οργανισμοί (εγχώριοι και διεθνείς), που επιθυμούν να προσφέρουν πόρους, που υποστηρίζουν την AAI πρόσβαση, σε ένα ή περισσότερα μέλη της Ομοσπονδίας HEAL-Link.
  • Κάθε πάροχος ψηφιακού περιεχομένου που έχει υπογράψει συμφωνητικό με τον HEAL-Link ή με ένα ή περισσότερα μέλη του HEAL-Link και επιθυμεί να προσφέρει πόρους που υποστηρίζουν την AAI πρόσβαση σε ένα ή περισσότερα μέλη του HEAL-Link.

Για οποιοδήποτε πρόβλημα μπορείτε να επικοινωνήσετε με το αντίστοιχο γραφείο υποστήριξης του Οργανισμού Προέλευσής σας επιλέγοντάς το από την παρακάτω λίστα:

Λίστα Οργανισμών Προέλευσης με τα αντίστοιχα γραφεία υποστήριξης τους.

Στην περίπτωση που δεν μπορέσετε να βρείτε τον Οργανισμό Προέλευσής σας, σας παρακαλούμε επικοινωνήστε μαζί μας.

Συμφωνητικά Ομοσπονδίας HEAL-Link

Συνεργάτες Ομοσπονδίας
Ένας Οργανισμός που θέλει να γίνει συνεργάτης της Ομοσπονδίας HEAL-Link θα πρέπει να υπογράψει αυτό το συμφωνητικό με τον HEAL-Link.


Οργανισμοί Προέλευσης
Κάθε μέλος του HEAL-Link είναι αυτόματα και Οργανισμός Προέλευσης για την Ομοσπονδία του HEAL-Link, από τη στιγμή που διαθέτει τις τεχνικές υποδομές, με δικαίωμα πρόσβασης στην Υποδομή ΑΑΙ. Παρόλα αυτά είναι υποχρεωτική η υπογραφή του συμφωνητικού για την ομαλή λειτουργία των Υπηρεσιών ΑΑΙ.


Registration practice statement


Ακολουθητέες Πολιτικές


Ακολουθητέα Πολιτική Ομοσπονδίας HEAL-Link – Παράρτημα 1


Έγγραφα Προδιαγραφών


Τεχνικές Προδιαγραφές & Προδιαγραφές Ιδιοχαρακτηριστικών – Παράρτημα 2

Υπηρεσίες ΑΑΙ (Βασικό Πακέτο) και εξαρτήσεις – Παράρτημα 3
Το βασικό πακέτο AAI καλύπτει κεντρικές υπηρεσίες που είναι αναγκαίες για τη λειτουργία της Υποδομής AAI.

Ο στόχος της υπηρεσίας WAYF (Where Are You From) είναι να στέλνει έναν χρήστη στον Πάροχο Ταυτότητας του Οργανισμού Προέλευσής του. Η υπηρεσία WAYF επίσης αναφέρεται και ως Υπηρεσία Ανεύρεσης, που επίσης είναι και το όνομα μιας SAML προδιαγραφής που εφαρμόζεται στο πρωτόκολλο της Υπηρεσίας Ανεύρεσης. Η υπηρεσία WAYF και η Υπηρεσία Ανεύρεσης είναι ελαφρώς διαφορετικές.

Αυτό που έχουν να πραγματοποιήσουν οι δυο πανομοιότυπες υπηρεσίες, είναι να παρουσιάσουν στο χρήστη μια λίστα Οργανισμών Προέλευσης και να ανακατευθύνουν το πρόγραμμα περιήγησης του χρήστη στον επιλεγμένο Πάροχος Ταυτότητας (υπηρεσία WAYF) ή πίσω στον Πάροχο Υπηρεσιών (Discovery Service).