Autentizační framework sítě MEFANET / Authentication Framework MEFANET

česky Autentizační framework sítě MEFANET
 

Systém autentizace a autorizace uživatelů na portálech lékařských fakult
Jednotné řešení edukačních portálů na lékařských fakultách předpokládá také vyřešení jednotného autentizačního a autorizačního rámce pro uživatele portálů a hlavně vzdělávacího obsahu, který je na portálech nabízen.

Vstup na portál
Samotný vstup na portál není z hlediska okruhu uživatelů nijak omezen. Všechny stránky i příspěvky na portálu jsou přístupné komukoli, kdo portál (resp. jeho obsah) vyhledá. Každý zájemce tak může na portálu získat komplexní přehled o tom, jaká nabídka vzdělávacího obsahu je na dané lékařské fakultě k dispozici.

Vzdělávací obsah
Nabídka vzdělávacího obsahu je tvořena systémem příspěvků, které jsou děleny podle obsahových sekcí, podle typu vzdělávacího obsahu a zejména podle lékařských disciplín. V příspěvku je vzdělávací obsah blíže popsán, a to zejména svým názvem a stručnou anotací. Samotný vzdělávací obsah pak bývá nejčastěji přítomen ve formě přílohy nebo odkazu. Každá příloha nebo odkaz obsahuje informace o tom, pro jaký okruh uživatelů je určena.

Okruhy uživatelů
Autoři vzdělávacího obsahu (vyvěšovaných příloh) mají na výběr z následujících okruhů uživatelů, kterým své materiály mohou zpřístupnit nebo odepřít:

  1. neregistrovaný anonymní uživatel,
  2. registrovaný anonymní uživatel, který při registraci potvrdí souhlas s pravidly nakládání s obsahem portálu,
  3. uživatel sítě MEFANET, tzn. student či pedagog libovolné lékařské fakulty v ČR (a v budoucnosti i v SR),
  4. uživatel lokální univerzity, který si svou příslušnost k lokální univerzitě nechal na portálu ověřit v lokálním informačním systému univerzity,
  5. uživatel lokální lékařské fakulty, který si svou příslušnost k lokální univerzitě nechal na portálu ověřit v lokálním informačním systému univerzity nebo fakulty.

Shibboleth
Shibboleth je jednou z několika technologií pro zajištění autentizace uživatele v rámci federace identit. Pokud je mateřská instituce uživatele (univerzita/fakulta/nemocnice) zapojená ve federaci identit eduID.cz (provozuje CESNET), pak má uživatel možnost bez nutnosti registrace nechat se ověřit pomocí služby Identity provider (IdP) přímo ve své instituci pomocí svého známého loginu a hesla. Tuto možnost mají zejména uživatelé z Univerzity Karlovy a z Masarykovy univerzity, kde kromě zajištěného fungování autentizace/autorizace pomocí technologie Shibboleth je k dispozici i uživatelský atribut mefaperson, který určuje příslušnost uživatele v síti MEFANET a který je dále popsán na www.mefanet.cz/mefaperson.

Kdy je tedy nutné se na portálu registrovat?
Registrace uživatele na portálu je nutná pouze pro uživatele, kteří dosud nemohou nechat svou identitu ověřit pomocí technologie Shibboleth. Tito uživatelé nemohou svou identitu ověřit pomocí Shibboleth ze dvou důvodů:

  • vstupují na instanci portálu na fakultě, kde nebyl Shibboleth dosud implementován;
  • jejich instituce není vylistována v seznamu WAYF (Where Are You From) v rámci autentizačního rámce Shibboleth;

Tito uživatelé tedy volí standardní registraci svou e-mailovou adresou a následně (mají-li tuto možnost) se na stránkách svého uživatelského účtu mohou nechat ověřit v lokálním informačním systému univerzity/fakulty.

Registrace na jakékoli instanci portálu je nutná, pokud chce uživatel přispívat ke vzdělávacímu obsahu portálu. Jinými slovy: služba Poslat článek je přístupná jen registrovaným uživatelům portálu, kteří mají díky existenci svého uživatelského účtu k dispozici nástroje pro komunikaci s redakcí a s administrátory portálu.

Zprovoznění jednotné autentizace ve fakultní nemocnici v Plzni

Jednou z úspěšných případových studií, která je přímo navázaná na systematický proces autentizace sítě MEFANET, je implementace služby Identity Provider ve FN v Plzni. Více informací najdete zde.


English MEFANET authentication framework

 

Authentication and authorization of users at web portals of medical faculties
The uniform solution of educational portals at medical faculties requires a uniform framework of authentication and authorization services for the users, as well as the unification of educational contents.

Portal access
The access to portal itself is not restricted anyhow. All pages and contributions at the portal are accessible for anyone who searches the portal (or its contents, respectively). Therefore, everyone interested can get an overview of educational materials available on the given medical faculty.

Educational contents
The educational contents consists in a system of articles classified according to contents-based sections, according to type of educational material and, in particular, according to medical disciplines. The article describes the educational contents in detail, particularly by its title and a short annotation. The educational contents itself is typically represented by an attachment or a hypertext link. Each attachment and/or link contains information on a group of users who have access to these materials.

User roles
The authors of the educational contents (published attachments) can choose from the following user groups, in order to permit/deny access to their materials:

  1. non-registered anonymous user,
  2. registered anonymous user, who accepts the terms of use within his registration,
  3. user of MEFANET network, i.e. student or teacher from any Czech (or Slovak - in future) medical faculty,
  4. user of local university, whose affiliation to that university has been verified at the portal via the local information system of that university,
  5. user of local medical faculty, whose affiliation to that faculty has been verified at the portal via the local information system of the respective university or faculty.

Shibboleth
Shibboleth is one of several technologies to ensure user authentication within identity federation. If the user's home institution (university / faculty / hospital) is member of the eduID.cz federation (provided by CESNET), the user's identity can be verified without his previous registration, using the service called Identity Provider (IdP) within that institution: the user is only required to enter his login and password to confirm his affiliation to that institution. In particular, this option is available to users from Charles University and Masaryk University: apart from authentication / authorization via technology Shibboleth, these institutions provide the user's attribute mefaperson, which determines the user's identity within the MEFANET network; this attribute is described in more detail on www.mefanet.cz/mefaperson.

Which users need to register at the portal?
The registration at the portal is only necessary for users whose identity cannot be verified via Shibboleth. This can occur in two different situations:

  • the user enters the portal instance from a faculty which has not implemented Shibboleth yet;
  • the user's institution is not included on the WAYF list (Where Are You From) within the Shibboleth authentication framework.

For that reason, such user chooses a standard registration via his e-mail address and, subsequently (if there is such possibility), his identity is verified within the local information system of his home institution (university/faculty).

The registration is required at any portal instance, if the user wants to contribute to educational contents of that portal. In other words, the Send article service is only available to registered users, as their user accounts provide tools for communication with portal editors and administrators.