Project

General

Profile

Vlastnosti Proxy IdP

Měnící se identifikátory uživatelů

Každý uživatel je identifikován pomocí jednoznačného identifikátoru, který mu je přidělen při registraci.
Uživatel má díky Proxy přístup ke svým datům, i když:
1) Uživatel změní domovskou organizaci
2) Uživatel působí ve více organizacích současně
3) Uživatel chce využívat příhlášení pomocí identity ze sociálních sítí
Výhodou je, že uživatel má vše pod jedním účtem a ke svým datům se dostane bez ohledu na použitou identitu.

Standardně služba nedostane původní identitu uživatele

Aby bylo uživateli umožněno přistupovat ke svým datům pomocí více identit sloučených pod jeho účtem,
je uživatel identifikován pomocí vygenerovaného identifikátoru při registraci.
Seznam původních uživatelských identifikátorů je vydáván v atributu forwardedPersonPrincipalName.

Vydávání atributů

Proxy IdP zajišťuje vydávání atributů službám.
Těmto službám je vydávána harmonizovaná sada atributů, která není závislá na použitém poskytovateli identit.
Tato množina atributů může být dále omezena na nutné minimum atributů, které služba potřebuje ke svému provozu (například jméno, příjmení, e-mailová adresa).
Díky této vlastnosti nedochází k situaci, kdy služba dostává různou sadu atributů dle použitého IdP.
Služba také může spoléhat na to, že dostane vždy danou sadu atributů.

Kategorizace uživatele

Proxy IdP dokáže kategorizovat uživatele na základě předem definovaných pravidel.
Například dle členství ve skupině rozhodnout zda se jedná o akademického pracovníka či nikoliv.
Pokud dříve byla kategorizace potřebná, musela ji umět samotná služba.

Registrace uživatelů ke službě

Proxy IdP/SP detekuje neregistrovaného uživatele a přesměruje ho na registraci do systému Perun (Systém pro správu identit a přístupů).
Po registraci v Perunu je uživatel oprávněn přistupovat ke službě.
Dříve tedy neregistrovaného uživatele musela rozpoznat samotná služba.

Řízení přístupu skrze skupiny

Proxy IdP umožňuje řídit přístup ke službám na základě členství v jednotlivých skupinách.
Proxy IdP se k uživatelům, kteří nesplňují podmínky členství ve skupinách, umožňuje chovat následujícími způsoby:
1) Zobrazí stránku, že uživatel nemá přístup ke službě.
2) Zobrazí stránku pro výběr Virtuální Organizace a skupiny k registraci, která má přístup k dané službě.
3) Odkáže uživatele na jinou stránku s dalšími žádanými informacemi:
- rozcestník s výběrem oddělení ve kterých uživatel působí
- stránka s kontakty
- registrační odkaz do skupiny
Výběr způsobu je závislí na správci dané služby.
V případě potřeby tuto činnost musela dříve umět služba sama.

Statistiky přístupu

Proxy IdP sbírá podrobné statistiky přístupů uživatelů ke službám.
To umožňuje správcům služeb vidět, z jakých organizací jejich uživatelé přicházejí a organizace mají přehled jaké služby jejich uživatelé využívají.
Statistiky jsou dostupné zde
https://login.cesnet.cz/proxy/module.php/proxystatistics/
Seznam dostupných služeb
https://login.cesnet.cz/proxy/module.php/perun/listOfSps.php

Správa Acceptable Use Policy/GDPR

Proxy IdP může vynutit akceptaci AUP (Acceptable Use Policy), souboru pravidel vydané správcem.
Uživateli není umožněn přístup na službu, pokud tyto pravidla neakceptuje.
Tato vlastnost umožňuje správci zakázat přístup ke službě uživateli, který tato pravidla porušil.
Akceptaci AUP musela dříve umět samotná služba.

Jednotný vzhled

Veškeré stránky, na které je uživatel během procesu přihlášení odkázán, jsou ve vizuálním stylu organizace CESNET a jsou jednotné pro všechny služby.
Pro výběr domovské organizace je použit CESNET WAYF.

Technická informace

Režim HA (High Availability)

Provoz služeb běží na třech strojích, v případě výpadku jednoho ze strojů je provoz přenesen na další.
Současně nám to umožňuje testovat služby v produkčním prostředí, aniž by to ovlivnilo práci uživatele.

Závěr

Výsledkem tedy je, že Proxy IdP řeší velkou část činností za samotnou službu.
_____________________________________________________________________________________________________