Jedinstveni digitalni identitet korisnika kada zato kako Security

Jedinstveni digitalni identitet korisnika – kada, zašto, kako ? Security Workshop 22. Feb. 2011. Marina Vermezović

Sadržaj Potreba za AAI i jedinstveni korisnički identitet Korisnička baza Uvod u LDAP Pogled na rs. Edu šemu Specifikacija rs. Edu šeme Upravljanje korisničkim idenitetima Akademska mreža Srbije www. amres. ac. rs

Potreba za AAI i jedinstveni korisnički identitet

Osnovni termini Resursi za pristup mreži – eduroam, dial-up, VPN web resursi – e-learning, e-biblioteka, studentski servisi … Autentifikacija - provera identiteta korisnika Autorizacija – dodeljivanje prava i privilegija korisniku AAI - Infrastruktura za Autentifikaciju i Autorizaciju olakšava pristup zaštićenim resursima Akademska mreža Srbije www. amres. ac. rs

Potrebe savremnog akademskog okruženja Studenti i zaposleni: žele siguran pristup mreži i web resursima neophodnim za rad i studiranje resursi su locirani kako unutar matične institucije tako i u drugim institucijama žele jednostavan pristup resursima ne sviđa im se da otvaraju i pamte nove naloge za svaki resurs pojedinačno Administratori resursa: žele da pruže siguran pristup samo korisnicima koji imaju pravo na taj resurs što manje dodatnog posla, što podrazimeva i otvaranje naloga za korisnike Akademska mreža Srbije www. amres. ac. rs

Bez AAI Fakultet A Davaoci Resursa Auth Autz web -mail Auth Autz eduroam Auth Autz e-sednice Auth Autz e-learning Biblioteka Davaoci Resursa Akademska mreža Srbije www. amres. ac. rs Auth Autz e-časopisi Auth Autz e-knjige

Bez AAI korisnik se registruje kod svakog davaoca resursa. Problemi su: Svaki korisnik mora da otvara i pamti veliki broj naloga Svaki administrator resursa mora sam da registruje i održava podatke o korisnicima Akademska mreža Srbije www. amres. ac. rs izvor: http: //www. switch. ch/aai/about/introduction/

Sa AAI Fakultet A Davaoci Resursa Autz Davalac identiteta Održavanje korisničkih identiteta A u t h web -mail eduroam Autz e-sednice Autz e-Learning Biblioteka Davaoci Resursa Autz Akademska mreža Srbije www. amres. ac. rs e-časopisi e-knjige

Sa AAI uprošćava proces AA za sve učesnike Korisnik se registruje samo jednom u svojoj matičnoj instituciji Matična institucija upravlja identitetima, odgovorna je za autentifikaciju svojih korisnika Identitet se nalazi samo na jednom mestu što olakšava održavanje podataka o korisnicima Autentifikacija se obavlja na matičnoj institicuiji Odluke o autorizaciji korisnika obavlja davalac servisa Akademska mreža Srbije www. amres. ac. rs izvor: http: //www. switch. ch/aai/about/introduction/

Uloge u AAI Uloge se razdvajaju na: Davalac identiteta (eng. Identity Provider Id. P) Institucije koje su članice AMRESa Upravaljaju identitetima svojih korisnika Vrše autentifikaciju korisnika Nakon autentifikacije davaocima resursa mogu da daju određene podatke o korisnicima Davalac resursa (eng. Resource Provider RP) Institucije koje su članice AMRESa i partneri (potrebno definisati u politici) Servisi mogu biti: Za pristup mreži – radius protokol za AA Web – SAML protokol za AA Korisnika preusmeravaju da se autentifikuje kod svog Id. P Opciono od Id. P traže podatke o korisniku na osnovi kojih mogu da donesu odluke o pristupu servisu Korisnik Ima jedne kredencijale samo kod svog Id. Pa Akademska mreža Srbije www. amres. ac. rs

Šta omogućava AAI ? Infrastruktura za autentifikaciju i autorizaciju Olakšava inter-institucionalnu autentifikaciju i autorizaciju Omogućava korisnicima da istim kredencijalima pristupaju mrežnim i web resursima Jasno deli uloge na one koji se bave samo upravljanjem identitetima i na one koji obezbeđuju određeni resurs Akademska mreža Srbije www. amres. ac. rs

Krug poverenja Dijagram AAI na visokom nivou eduroam dial-up VPN mrеžni RP web RP NAS Web resurs Radius Federacija AMRES bpd wiki SAML U razvoju od 11. marta u produkciji Radius SAML Dođite na eduroam workshop Akademska mreža Srbije www. amres. ac. rs Baza Korisnika Id. P Osnova za razvoj svih servisa koji zahtevaju lokalnu i interinstiucionalnu autentifikaciju i autorizaciju

Korisnička baza Akademska mreža Srbije www. amres. ac. rs

U kojoj bazi čuvati digitalne identitete korisnika Mogu se čuvati u bilo kojoj bazi: Relacione : My. SQL, ORACLE, Postgre SQL Hijerarhijske: LDAP, Active Directory Preporuka je da se koriste hijerarhijske baze Akademska mreža Srbije www. amres. ac. rs

Baza korisnika – zašto LDAP? Odnos relacionih baza i LDAP direktorijuma Relacione baze Ne postoji standardna šema za tabele Šema LDAP direktorijum Internacionalni standardi za opis osoba i organizacija Akademska mreža Srbije www. amres. ac. rs izvor: http: //www. terena. org/activities/idm/moldova/intro 2 LDAP. pdf

Baza korisnika – zašto LDAP? Odnos relacionih baza i LDAP direktorijuma Relacione baze Jedan logički entitet smešten u nekoliko tabela Šema Organizacija LDAP direktorijum Jedan logički entitet Jedan objekat Jedan čvor = ulaz u DITu Akademska mreža Srbije www. amres. ac. rs izvor: http: //www. terena. org/activities/idm/moldova/intro 2 LDAP. pdf

Baza korisnika – zašto LDAP? Odnos relacionih baza i LDAP direktorijuma Relacione baze Potrebana nova tabela ili više polja Šema Organizacija Višestruke Vrednosti LDAP direktorijum Svi su smešteni u istom atributu Broj nije ograničen Akademska mreža Srbije www. amres. ac. rs izvor: http: //www. terena. org/activities/idm/moldova/intro 2 LDAP. pdf

Baza korisnika – zašto LDAP? Odnos relacionih baza i LDAP direktorijuma Relacione baze Promene u šemi zahtevaju velike napore. Utiče i na aplikativnu logiku. Šema Organizacija Višestruke vrednosti Fleksibilnost LDAP direktorijum Modifikacija šeme je granularna. Lako dodavanje atributa. Akademska mreža Srbije www. amres. ac. rs izvor: http: //www. terena. org/activities/idm/moldova/intro 2 LDAP. pdf

Baza korisnika – zašto LDAP? Odnos relacionih baza i LDAP direktorijuma Relacione baze Pristup preko mreže nije standardizovan Šema Organizacija Višestruke vrednosti Fleksibilnost Pristup LDAP direktorijum Standardizovan protokol za pristup preko mreže: LDAP Akademska mreža Srbije www. amres. ac. rs izvor: http: //www. terena. org/activities/idm/moldova/intro 2 LDAP. pdf

Baza korisnika – zašto LDAP? Odnos relacionih baza i LDAP direktorijuma Relacione baze Samo proprietary mehanizmi za autentifikaciju Šema Organizacija Višestruke vrednosti Fleksibilnost Pristup Autentifikacija LDAP direktorijum Razni standardizovani mehanizmi za autentifikaciju Akademska mreža Srbije www. amres. ac. rs izvor: http: //www. terena. org/activities/idm/moldova/intro 2 LDAP. pdf

Baza korisnika – zašto LDAP? Odnos relacionih baza i LDAP direktorijuma Relacione baze Šema Organizacija Višestruke vrednosti Fleksibilnost Pristup Autentifikacija Optimizacija LDAP direktorijum Optimizovan za veliki broj čitanja Akademska mreža Srbije www. amres. ac. rs izvor: http: //www. terena. org/activities/idm/moldova/intro 2 LDAP. pdf

Uvod u LDAP termine

Kako izgleda LDAP? Akademska mreža Srbije www. amres. ac. rs

Kako izgleda LDAP šema ? Šema se sastoji od klasa eng. object. Class Klasa sadrži proizvoljan broj atributa Atributi sadrže konkretne podatke Atribut definisan u jednoj šemi može da se koristi u klasima definisanim u drugim šemama schema Class. X attribute. X definition Akademska mreža Srbije www. amres. ac. rs

Kako izgleda Klasa? Ima ime i globalno jedinstven identifikator (OID) Unutar klase definiše se koji joj atributi pripadaju i da li su obavezni (MUST) ili opcioni (MAY) Akademska mreža Srbije www. amres. ac. rs

Kako izgleda Atribut? Ima ime i globalno jedinstven identifikator (OID) Svaki atribut je uključen u jednu ili više klasa Svaki atribut može biti definisan kao MULTI-VALUE ili SINGLE-VALUE Za svaki atribut mora da se definiše sintaksa Za svaki atribut može da se definiše kako se ponaša u nekim uslovima Akademska mreža Srbije www. amres. ac. rs

Kako izgleda LDAP baza ? LDAP je hijerarhijska baza Izgleda kao stablo, sa čvorovima u kojima se nalaze podaci Stablo se zove Directory Information Tree DIT, koren stabla se zove root, a čvorovi se nazivaju entry Svaki entry ima jednog roditelja i proizvoljan broj dece Svaki entry ima jednoznačnu poziciju u stablu definisanu sa Distinguished Name – DN Svaki entry je definisan jednom ili više klasa, a klasa definiše atribute Akademska mreža Srbije www. amres. ac. rs

Standardizovane LDAP šeme edu. Person (edu. Person 200604) Internet 2 MACE group Dizajniran za direktorujume u kampusima Atributi opisuju osobe u višem obrazovanju edu. Org (edu. Org 200210) Internet 2 MACE group Dizajniran za direktorujume u kampusima Atributi opisuju organizacije u višem obrazovanju edu. Member (edu. Member 200507) Internet 2 MACE-Dir WG Rešava problem dodeljivanja prava i privilegija korisnicima kroz grupe SCHAC TERENA TF za Middleware, TF-EMC 2 Dopunjuje edu. Org i edu. Person atributima specifičnim za evropski sistem obrazovanja Akademska mreža Srbije www. amres. ac. rs

Šema u AMRES AAI Korišćenje određene šeme postavlja temelj za razvoj AAI u okruženju sa inter-institucionalnom autentifikacijom i autorizacijom Institucije koje učestvuju u AMRES AAI moraju koristiti istu šemu zato što: Unifikuje skup atributa, njihovu namenu i semantiku Omogućava jednostavnu razmenu i tumačenje atributa prilikom autentifikacije i autorizacije Davaoci servisa mogu planirati razvoj svojih aplikacija saglasno definisanim atributima Akademska mreža Srbije www. amres. ac. rs

rs. Edu šema Sve akademske mreže u svetu, za potrebe razvoja svoje AAI definisale su šemu koje koriste njihove članice Postoje 2 opcije: Korišćenje već standardnih šema Definisanje nacionalnih šema, uz preuzimanje standardnih atributa Za potrebe AMRES AAI, definisali smo nacionalnu rs. Edu šemu https: //bpd. amres. ac. rs/doku. php? id=amres_aai_wiki: start Akademska mreža Srbije www. amres. ac. rs

Na čemu se zasniva rs. Edu šema ? Obuhvata korisnike obrazovnih i naučno-istraživačkih institucija u Srbiji Pri definisanju šeme oslanjali smo se na: Obrazovni i sistem naučno-istraživačkih ustanova u Srbiji Aktuelne standarde za šeme Iskustva i preporuke ostalih NREN-ova Glavni princip je: koristiti što veći broj standardizovanih atributa, a samo za potrebe specifične za sistem u Srbiji definisati nove atribute Akademska mreža Srbije www. amres. ac. rs

Kako izgleda LDAP? dc=inst, dc=ac, dc=rs ou=People class=rs. Edu. Person class=edu. Member - Hijerarhijska struktura - DIT – Data Information Tree - Svaki čvor nosi informacije o sebi ou=Organizations class=rs. Edu. Org ou=System. Accounts class=rs. Edu. System. Accounts Akademska mreža Srbije www. amres. ac. rs

Koliko košta promena šeme ? Promene nad postojećim atributima su skupe i krajnje nepoželjne Podrazumevaju da se menjaju sadržaji svih baza Dodavanje atributa je dozvoljeno (dokle god nisu obavezni) Ukoliko se neki atribut menja, to se može izvesti uvođenjem novog atributa i postepenim zastarivanjem starog Zato je jako bitno da pri definisanju šeme naše definicije budu što tačnije Akademska mreža Srbije www. amres. ac. rs

Pogled na rs. Edu šemu Akademska mreža Srbije www. amres. ac. rs

rs. Edu šema Šema nisu samo podaci o korisnicima Kroz polja u šemi se rešavaju različiti problemi: 1. 2. 3. 4. 5. 6. Akademska mreža Srbije www. amres. ac. rs Kako realizovati registraciju korisnika Na osnovu kojih kredencijala će se obaviti autentifikacija Na osnovu čega će se obaviti autorizacija Na osnovu kojih atributa identifikovati osobu Kako korisnik može da sačuva svoju privatnost Koji su ostali atributi

1. Kako realizovati registraciju korisnika Registracija korisnika se može realizovati na dva načina: ručno kreiranje digitalnih identiteta korisnika preuzimanje podataka i sinhronizacija sa različitim izvorima podataka (eng. Source Systems) Provera identiteta korisnika ? Akademska mreža Srbije www. amres. ac. rs

1. Kako realizovati registraciju korisnika Atribut: rs. Edu. Person. Unique. Number Sintaksa: <tip-identifikatora>: <vrednost> tip-identifikatora može imati jednu od sledećih vrednosti: JMBG, LBO, PASSPORT Preporuka je da se čuvaju i JMBG i LBO ako postoje Za osobe koje nemaju ni JMGB ni LBO, čuva se broj pasoša Akademska mreža Srbije www. amres. ac. rs

1. Kako realizovati registraciju korisnika Sadrži Ko može da poseduje identif. lične info. JMBG sve osobe rođene u Srbiji DA LBO zdravstveni osiguranici u Srbiji NE Broj osobe koje poseduju pasoš Pasoša Legenda: prednost mana Akademska mreža Srbije www. amres. ac. rs validnost identifikatora dostupnost dodeljivane su nevalidne vrednosti već se nalazi u svim izvorima podataka uglavnom sve dodeljene ne nalazi se u svim vrednosti su validne izvorima podataka ne nalazi se u svim izvorima podataka

2. Na osnovu kojih kredencijala će se obaviti autentifikacija Kredencijali mogu biti: Korisničko ime i lozinka Sertifikat skupo, zahteva dodatnu administrativnu i tehnički infrastrukturu => neskalabilno Korisnik ima jedno korisničko ime i lozinku koje koristi za lokalne servise i pri inter-institucionalnoj autentifikaciji Akademska mreža Srbije www. amres. ac. rs

3. Na osnovu čega će se obaviti autorizacija Prvo pokušati da se upotrebi neki od postojećih atributa koji opisuju osobu Prednost je što ne mora ništa da se dodaje Mana što se može desti da nije dovoljno granularno Ako ne postoji, onda korisniku dodati neki atribut koji opisuje njegovu ulogu na sistemu Prednost je što se privilegije mogu dodeliti na nivou pojedinačnog korisnika Mana je što mora ručno da se dodaje Akademska mreža Srbije www. amres. ac. rs Students only Admins only

3. Na osnovu čega će se obaviti autorizacija Postojeći atributi koji se najčešće koriste: rs. Edu. Person. Affiliation rs. Edu. Person. Scoped. Affiliation Dodatni atributi koji se mogu koristiti: edu. Person. Entitlement – omogućava jedinstveno imenovanje, inter-institucionalna authz! grupe – dosta zastupljen način, ali prevashodno za lokalne servise Akademska mreža Srbije www. amres. ac. rs

4. Na osnovu kojih atributa identifikovati osobu RP često imaju potrebu da znaju ko je određeni korisnik (npr. da bi sačuvali preference tog korisnika) Id. P strogi - pri AA ne odaju lične informacije o korisniku Bilo je potrebno uvesti identifikator tako da se: čuva anonimnost korisnika ne odaje podatke o njemu davaoci resursa ne mogu dovoditi u međusobnu vezu korisnike Akademska mreža Srbije www. amres. ac. rs

4. Na osnovu kojih atributa identifikovati osobu edu. Person. Trgeted. Id Trajan identifikator korisnika koji razmenjuju davalac servisa i davalac identiteta Nikada se ne dodeljuje ponovo i ne sadrži nikakve podatke o korisniku Davalac identiteta koristi različite vrednosti kada predstavlja istog korisnika različitim davaocima resursa Može da bude generisan kao heš funkcija nekih podataka o korisniku i podataka o davaocu resursa Ima definisan format – objašnjenje u tehničkim detaljima Akademska mreža Srbije www. amres. ac. rs

5. Kako korisnik može da sačuva svoju privatnost Jedan od načina da se sačuva privatnost korisnika jeste da sam korisnik naznači koji podaci o njemu su privatni. schac. User. Private. Attribute Vrednosti su imena atributa koje korisnik smatra privatnim Vrednosti atributa navedeni u ovom atributu ne treba da budu dostupni van matične institucije. Akademska mreža Srbije www. amres. ac. rs

6. Koji su ostali atributi Podaci o korisniku Lični podaci Privatne i poslovne kontakt informacije Povezanost sa ustanovom Podaci o instituciji Opšti podaci Kontakt informacije Identifikatori i ključevi Koriste se za jedinstveni identifikaciju korisnika i institucija Koriste se za povezivanje sa drugim izvorima podatka o korisnicima (Studentska služba, zdravstveni sistem) Autorizacija i privilegije Postojeći atributi Specijalni atributi koji izražavaju role i privilegije Poverljivost podataka Korisnik može da naznači koji podaci o njemu su poverljivi Autentifikacija Kredencijali Akademska mreža Srbije www. amres. ac. rs

Specifikacija rs. Edu šeme

rs. Edu klase rs. Edu. Person Sadrži atribute koji opisuju osobu Sadrži atribute koji se odnose na osobu u smislu njene povezanosti sa institucijom rs. Edu. Org Sadrži atribute koji opisuju instituciju Akademska mreža Srbije www. amres. ac. rs

rs. Edu atributi Svaki atribut ima: kratak opis detaljne napomene vezane za njegovu upotrebu definisanu LDAP sintaksu – (poput tipa podataka u relacionim bazama) definisan skup dopuštene vrednosti Za sve atribute koje imaju strogo definisan skup vrednosti napravili smo šifarnike primer korišćenja za atribute koji su preuzeti iz drugih šema, date su preporuke za korišćenje unutar AMRESa, ukoliko je bilo potrebno Akademska mreža Srbije www. amres. ac. rs

rs. Edu. Person Lični Podaci cn (Ime i prezime) sn (Prezime) givename (Ime) schac. Date. Of. Birth (Datum Rođenja Osobe) schac. Gender (Pol Osobe) rs. Edu. Person. Edu. Level (Školska Sprema) preferred. Language (Preferirani jezik) jpeg. Photo (Slika Osobe) Akademska mreža Srbije www. amres. ac. rs

rs. Edu. Person Privatne kontakt Informacije home. Phone (Kućni Telefonski Broj) home. Postal. Address (Kućna poštanska adresa) rs. Edu. Access. Phone. Number (Pristupni Telefon) Akademska mreža Srbije www. amres. ac. rs

rs. Edu. Person Povezanost sa institucijom o (Naziv Matične Institucije) ou (Organizaciona Jedinica) rs. Edu. Person. Affiliation (Povezanost sa Institucijom) rs. Edu. Person. Primary. Affiliation (Primarna Pov. sa Inst. ) rs. Edu. Person. Scoped. Affiliation (Povezanost sa Inst. sa Dom. ) rs. Edu. Person. Expiry. Date (Datum isteka primarne pov. sa inst. ) Identifikatori i ključevi rs. Edu. Person. Local. Number Akademska mreža Srbije www. amres. ac. rs (Lokalni identifikator osobe)

rs. Edu. Person Povezanost sa ustanovom - zaposleni rs. Edu. Person. Designation (Zvanje) rs. Edu. Person. Position (Pozicija u ustanovi) rs. Edu. Person. Staff. Category (Vrsta Zaposlenog) Povezanost sa ustanovom - studenti rs. Edu. Person. Study. Type rs. Edu. Person. Study. Status Akademska mreža Srbije www. amres. ac. rs (Vrsta Studija) (Status studiranja)

rs. Edu. Person Poslovne kontakt informacije mail (Elektronska adresa) schac. User. Presence. ID (Identifikator korisnika za mrežni protokol) postal. Address (Službena Poštanska adresa) rs. Edu. Address. Code (Poštanski adresni kod) postal. Code (Poštanski broj) I (Lokacija (Mesto)) Street (Ulica i kućni broj) telephone. Number (Telefonski broj ) rs. Edu. Person. Extension. Number (Lokalni tel. br. ) facsimile. Telephone. Number (Fax broj) mobile (Broj Mobilnog Telefona) labeled. URI (URI Adresa) Akademska mreža Srbije www. amres. ac. rs

rs. Edu. Person Kredencijali uid (Korisničko ime) user. Password (Korisnička lozinika) user. Certificate (Sertifikat) Akademska mreža Srbije www. amres. ac. rs

rs. Edu. Person Identifikatori i ključevi edu. Person. Targeted. Id (Pseudonim korisnika) Neprozirni trajan identifikator korisnika koji razmenjuju davalac servisa i davalac identiteta rs. Edu. Person. Unique. Number (Jedinstveni brojni identifikator osobe ) JMBG, LBO ili broj pasoša Neophodan zato što omogućava jadnoznačnu i pouzdanu identifikaciju korisnika u slučajevima: Sinhornizacija sa drugim izvorima podataka Garancija za izdati identitet (Lo. A) edu. Person. Principal. Name (Jedinstveni identifikator osobe) Akademska mreža Srbije www. amres. ac. rs

rs. Edu. Person Poverljivost Podataka schac. User. Private. Attribute (Privatni Atribut) Autorizacija i privilegije edu. Person. Entitlement korisnika na sistemu ) (Prava i privilegije Vrednost atributa je URI ili URN koji jednoznačno određuje prava korisnika Akademska mreža Srbije www. amres. ac. rs

rs. Edu. Org Informacije o instituciji rs. Edu. Org. Legal. Name (Zvanični naziv institucije) o (Naziv instutucije) rs. Edu. Org. Unique. Number (Jedinstveni brojni identifikator institucije) rs. Edu. Org. Domain. FQN (Potpuno kvalifikovano ime domena institucije) rs. Edu. Org. Type (Tip institucije) rs. Edu. Org. Home. Page. URI (URL adresa institucije) rs. Edu. Org. Identity. Auth. NPolicy. URI (URI lokacija politike institucije) rs. Edu. Org. White. Pages. URI (URL adresa belih strana institucije) Akademska mreža Srbije www. amres. ac. rs

rs. Edu. Org Kontakt Informacije rs. Edu. Org. Mail (Elektronska adresa) rs. Edu. Org. Mobile (Broj mobilnog telefona) telephone. Number (Telefonski broj) facsimile. Telephone. Number (Fax broj) postal. Address (Poštanska adresa) postal. Code (Poštanski broj) rs. Edu. Org. Address. Code (Poštanski adresni kod) I (Lokacija (Mesto)) street (Ulica i kućni broj) Akademska mreža Srbije www. amres. ac. rs

Izražavanje privilegije pomoću grupa edu. Member is. Member. Of has. Member Akademska mreža Srbije www. amres. ac. rs

Šifrarnici Šifarnici su jako važni jer omogućavaju unifikaciju vrednosti atributa koje mogu biti zajedničke za različite entitete Definisanje šifarnika je težak i mukotrpan posao Pri pravljenju šifarnika neophodno je usaglasiti ih sa zakonima i pravilicima koji tretiraju različite vrste obrazovnih i istraživačko naučnih institucija Treba pokriti sve moguće slučajeve i izbegavati šifarničku vrednost “ostalo” Akademska mreža Srbije www. amres. ac. rs

Šifrarnici U okviru projekta za pravljenje jedinstvene baze studenta i zaposlenih Uo. B napravljeni su šifarnici, koji su potom odobreni od strane Uo. B U toku razvoja rs. Edu šeme sarađivali smo sa osobama koje su definisale univerzitetske šifarnike Pomogli su nam da razumemo šifarnike, a u saradnju sa njima upotpunili smo postojeće univerzitetske šifarnike Otvoreni smo za komentare i za sugestije! Pomozite nam da bi naši šifarnici bili bolji Akademska mreža Srbije www. amres. ac. rs

Šifrarnici rs. Edu. Person. Study. Status regularan upis ispis vojni rok trudnoća mirovanje komisijski sa drugog fakulteta Akademska mreža Srbije www. amres. ac. rs

Šifrarnici rs. Edu. Person. Study. Type osnovne akademske diplomske akademske specijalističke akademske doktorske akademske osnovne strukovne specijalističke strukovne po starom zakonu diplomske (po zakonima do 2005) magistarske (po zakonima do 2005) specijalističke (po zakonima do 2005) doktorske (po zakonima do 2005) integrisane osnovne i diplomske srednjoškolske osnovnoškolske Vrednosti usaglašene sa Zakonom o Visokom Obrazovanju Akademska mreža Srbije www. amres. ac. rs

Šifrarnici rs. Edu. Person. Edu. Level bez škole nepotpuna osnovna škola (1 -7 razreda) osnovna škola (8 razreda) srednja škola viša škola visoka škola diplomirani magistar doktor specijalista Vrednosti usaglašene sa ŠV obrascem i relevantnim zakonima Akademska mreža Srbije www. amres. ac. rs

Šifrarnici rs. Edu. Person. Position predsednik zamenik predsednika sekretar zamenik sekretara član rektor prorektor dekan student prodekan Akademska mreža Srbije www. amres. ac. rs student prodekan direktor zamenik direktora šef katedre šef odseka generalni sekretar vođa projekta rukovodilac organizacione jedinice šef laboratorije

Šifrarnici rs. Edu. Person. Staff. Category nastavnik saradnik vannastavno osoblje istraživač administrativno osoblje tehničko osoblje IKT osoblje ostalo tehničko osoblje biblioteke Vrednosti usaglašene sa Zakonom o visokom obrazovanju, Zakonom o bibliotečkoj delatnosti i Zakonom o naučno-istraživačkoj delatnosti Akademska mreža Srbije www. amres. ac. rs

Šifrarnici rs. Edu. Person. Designation Akademska mreža Srbije www. amres. ac. rs asistent predavač asistent pripravnik gostujući profesor saradnik profesor emeritus redovni profesor drugo nastavničko zvanje vanredni profesor lektor nastavnik viši lektor docent saradnik u nastavi istraživač pripravnik drugo saradničko zvanje istraživač saradnik viši predavač naučni saradnik viši naučni saradnik bibliotekar naučni savetnik viši bibliotekar profesor strukovnih studija bibliotekar savetnik nastavnik stranih jezika i veština knjižničar Vrednosti usaglašene sa Zakonom o visokom obrazovanju, Zakonom o bibliotečkoj delatnosti i Zakonom o naučnoistraživačkoj delatnosti

Šifrarnici rs. Edu. Org. Type univerzitet fakultet umetnička akademija strukovnih studija visoka škola strukovnih studija institut centar biblioteka zdravstvena ustanova srednja škola osnovna škola predškolska ustanova muzej zavod resorno ministarstvo ostalo Vrednosti usaglašene sa Zakonom o visokom obrazovanju Akademska mreža Srbije www. amres. ac. rs

Upravljanje korisničkim idenitetima

Identity Management - Id. M – održavanje/upravljanje digitalnim identitetima Set procedura i pravila koji definišu: 1. 2. 3. 4. 5. Akademska mreža Srbije www. amres. ac. rs Ko ima pravo na digitalni identitet Kako se kreira digitalni identitet Kako se održava digitalni identitet Kako se upotrebljava digitalni identitet Kako se terminira digitalni identitet Preporuka je da svaka insitucija ima pisani dokument koji definiše Id. M procedure Procedure moraju biti u skladu sa zakonima Republike Srbije

1. Ko ima pravo na digitalni identitet Učenici Studenti Nastavno Osoblje Ostali zaposleni Ostale osobe koje su povezane sa institucijom gosti, korisnici usluge ? Akademska mreža Srbije www. amres. ac. rs

2. Kako se kreira digitalni identitet Kada osoba treba da bude registrovana? Student Koje informacije treba uneti - kada se? prijavi za prijemni - pri upisu na fakultet/školu • obavezan ili opcion - prvi dan studiranja • jednostruk ? ili višestruk Odakle dolaze informacije - kada mu zatreba • sintaksa • • Automatski iz drugog izvora šifarnici Koji je kvalitet informacija? • Zaposleni formulara • Ručno pravilaizzapopunjenog korisnička imena i lozinke prvi radni dan • Ručno usmenim putem Na unete-informacije se oslanjaju drugi kada mu zatreba sistemi, te stoga one trebaju biti što • više izvora – problem sinhronizacije tačnije Kako i kada se vrši provera identiteta ! Akademska mreža Srbije www. amres. ac. rs

3. Kako se održava digitalni identitet Podaci u digitalnom identitetu trebaju biti ažurni i tačni Ko je odgovoran za prijavu o promeni informacija, i kojih? Kako se unose promene ? Krajnji korisnik • lične podatke Kada se vrši promena informacija ? Krajnji korisnik Administrativna služba • • moguće putem portala podatkeself-service vezane za studiranje/zaposlenje Što je ranije kada do promene dođe Administrativna služba • Ručno na osnovu popunjenog formulara • Ručno usmenim putem • Automatski iz drugih izvora Akademska mreža Srbije www. amres. ac. rs

4. Kako se upotrebljava digitalni identitet Koji sistemi mogu da čitaju informacije? Oni koji kontrolišu pristup, pri čemu čitaju: Koje podatke mogu čitati? • Direktno • Posredno putem autentifikacionog Potrebno je ograničiti na one podatke za koje servera : Radius, SAML based. . postoji Kako su regulisanapotreba, pravanpr: i privilegije korisnika? mailatributi korisnika • Postojeći • Dodatni atribut koji oslikava pripadnost nekoj JMBG grupi odnosno prava i privilegije Akademska mreža Srbije www. amres. ac. rs

5. Kako se terminira digitalni identitet Kada se terminira identitet ? Kada osoba više nije povezana sa institucijom student da - kada studuje Ko prijavljuje da • treba sezavrši terminira id. ? • zaposleni – kada prestane da radi • Korisnik • gost - ? • Studentska služba ? Kako se terminira identitet • Treba Služba za zaposlene osigurati da od trenutka kada osoba više Administrativna • nije Zapovezana goste ? saslužba institucijom do brisanja prođe • Ručnotrajno na osnovubriše popunjenog Da li se identitet ? formulara najkraće vreme • Ručno usmenim putem Ukoliko se osoba vrati, izvora da li joj treba omogućiti • Automatski iz drugih da ima isti identitet i koliko dugo? Da li treba ponovo dodeljivati jednom korišćena korisnička imena ? Akademska mreža Srbije www. amres. ac. rs