Υποδομή Πιστοποίησης και Εξουσιοδότησης (AAI) – Κανονιστικό πλαίσιο
Κέντρο Ηλεκτρονικής Διακυβέρνησης
Αριστοτέλειο Πανεπιστήμιο Θεσσαλονίκης
Υπηρεσία Πιστοποίησης και Εξουσιοδότησης (A.A.I.) Α.Π.Θ.
Κανονιστικό πλαίσιο υπηρεσίας
Έκδοση 1.1
Μάιος 2014
Περιγραφή υπηρεσίας
Η Υπηρεσία Πιστοποίησης και Εξουσιοδότησης (Υ.Π.Ε.) έχει σκοπό την πιστοποίηση της ταυτότητας του χρήστη ηλεκτρονικών υπηρεσιών του Α.Π.Θ. και την εξουσιοδότησή του για χρήση αυτών των υπηρεσιών. Ο χρήστης κατέχοντας ένα μόνο ιδρυματικό λογαριασμό, με το μυστικό κωδικό του, μπορεί να χρησιμοποιεί μια πληθώρα υπηρεσιών χωρίς την ανάγκη εισαγωγής username/password σε κάθε μία ξεχωριστά. Η εισαγωγή των username, password γίνεται με ασφαλή μέθοδο σε ένα κεντρικό σημείο άπαξ (Single Sign On –SSO), χωρίς να υφίσταται ανάγκη εισαγωγής τους για κάθε μία από τις υπηρεσίες που προσπελαύνει. Μετά την επιτυχημένη πιστοποίηση του χρήστη ακολουθεί η διαδικασία εξουσιοδότησης του για κάθε συγκεκριμένη υπηρεσία που αυτός αιτείται να χρησιμοποιήσει. Με την ολοκλήρωση της εξουσιοδότησης που περιλαμβάνει και απελευθέρωση χαρακτηριστικών του χρήστη, αυτός μπορεί να απολαμβάνει υπηρεσίες, που συνδέονται με την Υ.Π.Ε., εύκολα και απρόσκοπτα.
Η Υ.Π.Ε. λειτουργεί και συντηρείται από το Κ.Η.Δ. Η λειτουργία για δια-ιδρυματικές υπηρεσίες βασίζεται στο διεθνές πρότυπο SAML 2.0 που σήμερα (2010) υλοποιείται με το λογισμικό Shibboleth και θεωρείται η πλέον διαδεδομένη μέθοδος παροχής αντίστοιχων υπηρεσιών παγκοσμίως στον Ακαδημαϊκό χώρο. Παράλληλα, με το ίδιο login, υπάρχει και λειτουργία SSO για υπηρεσίες με λιγότερες απαιτήσεις, που υλοποιείται με λογισμικό PubCookie.
Η Υ.Π.Ε. προσφέρει τις υπηρεσίες της σε όλους τους χρήστες του Α.Π.Θ. που αποκτούν ιδρυματικό λογαριασμό από το Κ.Η.Δ. Συνεργάζεται με όλες τις μονάδες του Α.Π.Θ., αλλά και τρίτους παρόχους (Service Providers) που υλοποιούν ηλεκτρονικές υπηρεσίες τις οποίες επιθυμούν να προσφέρουν προς τα μέλη του Α.Π.Θ. μέσω του παγκόσμιου ιστού (web based services) εντασσόμενοι στην Υ.Π.Ε.
Ένταξη Παρόχου Υπηρεσιών (Service Provider)
Κάθε Πάροχος Υπηρεσιών που επιθυμεί να ενταχθεί στην Υ.Π.Ε. καταθέτει σχετικό αίτημα στο Κ.H.Δ. Το αίτημα εγκρίνει ή απορρίπτει η Επιτροπή Υποστήριξης Τεχνολογιών & Υπηρεσιών Πληροφορικής & Επικοινωνιών μετά από εισήγηση του Κ.H.Δ. Για να ενταχθεί ο πάροχος, οφείλει να εναρμονίζεται με τις απαιτήσεις και τους κανόνες λειτουργίας της Υ.Π.Ε. Συγκεκριμένα ο πάροχος υποχρεούται:
– να δηλώσει το εύρος της ιδιότητας των χρηστών που δικαιούνται να χρησιμοποιήσουν την εντασσόμενη υπηρεσία.
– να δηλώσει τα ελάχιστα και τα επιθυμητά χαρακτηριστικά (attributes) που χρειάζεται η εντασσόμενη υπηρεσία για την εξασφάλιση εξουσιοδότησης.
– να τεκμηριώσει τις απαιτήσεις της εντασσόμενης υπηρεσίας στην απελευθέρωση των απαιτούμενων χαρακτηριστικών. Η απελευθέρωση των απαιτούμενων χαρακτηριστικών θα γίνεται σε συνεννόηση με το Κ.H.Δ. και μετά από έγκριση της Επιτροπής Υποστήριξης Τεχνολογιών & Υπηρεσιών Πληροφορικής & Επικοινωνιών.
– να παρέχει μεταδεδομένα (metadata) κατά την ένταξη της υπηρεσίας και να ενημερώνει το Κ.H.Δ. για κάθε αλλαγή τους.
– να χρησιμοποιεί πιστοποιητικό διακομιστή για τον διακομιστή που θα φιλοξενεί την εντασσόμενη υπηρεσία. Το πιστοποιητικό αυτό είτε εκδίδεται από την Αρχή Πιστοποίησης του Α.Π.Θ., είτε από Α.Π. που ανήκει στον κύκλο εμπιστοσύνης της Α.Π. του Α.Π.Θ., ή από Α.Π. η οποία είναι προ-εγκατεστημένη στους δημοφιλείς πλοηγούς (browsers).
– να τηρεί αρχεία καταγραφής εισόδου-εξόδου χρηστών στην εντασσόμενη υπηρεσία διάρκειας τουλάχιστον 24 μηνών.
– να παραδίδει τα αρχεία καταγραφής της εντασσόμενης υπηρεσίας σε περίπτωση κατάχρησής της και εφόσον ζητηθούν από την αρμόδια Δημόσια Αρχή. (αρχεία καταγραφής παρόχων υπηρεσίας εντός ΑΠΘ αναζητούνται μέσω της Πρυτανείας του ΑΠΘ).
– να φροντίζει για την καλή, εύρυθμη και ασφαλή λειτουργία τόσο της εντασσόμενης υπηρεσίας όσο και του διακομιστή, συμπεριλαμβανομένου του λειτουργικού συστήματος και της δικτυακής σύνδεσής του.
– να χειρίζεται ως εμπιστευτικά τα χαρακτηριστικά των χρηστών που απελευθερώνονται στην υπηρεσία του από την ΥΠΕ και να μην τα επεξεργάζεται για σκοπούς πέραν της υπηρεσίας για την οποία συμφώνησε ο τελικός χρήστης
– να παρέχει υπηρεσίες που συνάδουν με την ακαδημαϊκή δραστηριότητα και δεν έρχονται σε σύγκρουση ή / και επικάλυψη με υφιστάμενες επίσημες ιδρυματικές υπηρεσίες του Α.Π.Θ.
– να συμμορφώνεται στις υποδείξεις και τους κανόνες λειτουργίας της Υ.Π.Ε. όπως αυτές ορίζονται από την Επιτροπή Υποστήριξης Τεχνολογιών & Υπηρεσιών Πληροφορικής & Επικοινωνιών.
Το Κ.H.Δ. γνωμοδοτεί σε θέματα καλής λειτουργίας και σύνδεσης της εντασσόμενης υπηρεσίας στην Υ.Π.Ε. προς τον πάροχο.
Το Κ.H.Δ., μετά την θετική έγκριση της Επιτροπής Υποστήριξης Τεχνολογιών & Υπηρεσιών Πληροφορικής & Επικοινωνιών, εντάσσει την νέα υπηρεσία στην Υ.Π.Ε. περιλαμβάνοντας τα μεταδεδομένα της σε αυτά που αναγνωρίζει η Υ.Π.Ε. και εφαρμόζοντας την εγκεκριμένη πολιτική εύρους χρηστών καθώς και απελευθέρωσης χαρακτηριστικών της εντασσόμενης υπηρεσίας.
Η Επιτροπή Υποστήριξης Τεχνολογιών & Υπηρεσιών Πληροφορικής & Επικοινωνιών ορίζεται ως μοναδικός κριτής και διαιτητής οποιουδήποτε αιτήματος ή / και διαφωνίας που ενδέχεται να προκύψει κατά την λειτουργία της εντασσόμενης υπηρεσίας.
Πλαίσιο ιδρυματικού παρόχου πιστοποίησης
Ο ιδρυματικός Πάροχος Πιστοποίησης (IdP) της Υ.Π.Ε. λειτουργεί υπό την διαχείριση του Κ.H.Δ. Συγκεκριμένα το Κ.H.Δ φροντίζει ώστε ο IdP:
– να εξυπηρετεί το σύνολο των χρηστών ηλεκτρονικών υπηρεσιών του Α.Π.Θ.
– να χρησιμοποιεί τεχνολογία συμβατή με SAML 2.0 στην υπηρεσία πιστοποίησης.
– να διατηρεί ασφαλή και να διαφυλάσσει από μη εγκεκριμένη από τον ίδιο το χρήστη έκθεση τα προσωπικά δεδομένα των χρηστών που εξυπηρετεί.
– να παρέχει ενημερωμένα μεταδεδομένα (metadata) για τις υπηρεσίες πιστοποίησης του.
– να χρησιμοποιεί πιστοποιητικό διακομιστή εκδιδόμενο από την Αρχή Πιστοποίησης του Α.Π.Θ.
– να τηρεί αρχεία καταγραφής για τις δραστηριότητες της υπηρεσίας πιστοποίησης τουλάχιστον 24 μηνών.
– να φροντίζει για την καλή, εύρυθμη και ασφαλή λειτουργία τόσο της υπηρεσίας πιστοποίησης όσο και του διακομιστή, συμπεριλαμβανομένου του λειτουργικού συστήματος και της δικτυακής σύνδεσής του.
Επιπλέον το Κ.H.Δ:
– παραδίδει τα αρχεία καταγραφής της υπηρεσίας πιστοποίησης στην Επιτροπή Υποστήριξης Τεχνολογιών & Υπηρεσιών Πληροφορικής & Επικοινωνιών ή την πρυτανεία του Α.Π.Θ. σε περίπτωση κατάχρησής της Υ.Π.Ε. και εφόσον ζητηθούν από αυτές.
– τηρεί, συντηρεί και ανανεώνει τεκμηρίωση απελευθέρωσης χαρακτηριστικών των χρηστών που εξυπηρετεί ανά πάροχο υπηρεσίας.
– διαβιβάζει στην Επιτροπή Υποστήριξης Τεχνολογιών & Υπηρεσιών Πληροφορικής & Επικοινωνιών αιτήματα απελευθέρωσης χαρακτηριστικών των χρηστών προς Παρόχους Υπηρεσιών και προσαρμόζει την απελευθέρωσή τους βάση της έγκρισης της Επιτροπής Υποστήριξης Τεχνολογιών & Υπηρεσιών Πληροφορικής & Επικοινωνιών.
– γνωμοδοτεί σε θέματα καλής λειτουργίας και σύνδεσης της υπηρεσίας πιστοποίησης στην Υ.Π.Ε. προς τον κάθε πάροχο υπηρεσιών
Η Επιτροπή Υποστήριξης Τεχνολογιών & Υπηρεσιών Πληροφορικής & Επικοινωνιών ορίζεται ως μοναδικός κριτής και διαιτητής οποιουδήποτε αιτήματος ή / και διαφωνίας που ενδέχεται να προκύψει κατά την λειτουργία της υπηρεσίας πιστοποίησης.