Federacyjne zarządzanie tożsamością PIONIER.Id

pomaranczona lza man-ha minWiele usług informatycznych wymaga, aby użytkownik był w nich w jakiś sposób rozpoznawany. Powody mogą być różne. W najprostszym przypadku chodzi o to by użytkownik mógł zapamiętać pewne specyficzne dla niego ustawienia i korzystać z nich za każdym razem, kiedy korzysta z usługi, może być jednak i tak, że uprywatnienie do korzystania z usługi wynika z jakichś dodatkowych elementów, np. wykupienia abonamentu, przynależności do określonej grupy (pracownicy nauki, studenci itp.). W niektórych przypadkach niezbędne jest wystawienie cyfrowego poświadczenia, że dany użytkownik jest faktycznie tym, za którego się podaje.

Web konferencje, dostęp do portali naukowych, korzystanie z systemów typu WIKI, systemów pracy grupowej, a nawet z usługodawców komercyjnych udzielających studenckich zniżek na zakupy, to jedynie kilka przykładów tego typu usług.

Użytkownicy z instytucji skupionych w federacji PIONIER.Id mogą korzystać z wielu usług w nadzwyczaj prosty sposób. Na stronie usługi odnajdują swoją instytucję macierzystą, po chwili pokazuje się im ekran logowania ich własnej instytucji, tam logują się swoim zwykłym identyfikatorem i hasłem i za moment korzystają już z wyjściowej usługi. Jeżeli będą chcieli skorzystać z kolejnej, to tym razem już nawet nie muszą się logować, bo ich instytucja pamięta, że przed chwilą to zrobili.

Tradycyjne logowanie się do usług przy pomocy dedykowanego identyfikatora i hasła, już od dawna jest postrzegane jako duży problem. Jeżeli identyfikatorem jest np. adres e-mail, to pojawianie się tego samego identyfikatora w wielu usługach umożliwia tworzenie profilu działania użytkownika, ponadto zapamiętanie dużej liczby różnych haseł jest praktycznie niemożliwe, a powielanie haseł naraża użytkownika na to, że skradzenie danych z jednej usługi umożliwi dostęp do innych.

Powyższe problemy, wraz z rozwojem usług elektronicznych, zaczęły narastać pod koniec XX wieku i wtedy zaczęły się pojawiać różne pomysły na ich rozwiązanie. Jednym z nich jest cyfrowa tożsamość utrzymywana przez państwo, coś co docelowo pewnie nas czeka, ale z uwagi na skalę problemu, nie osiągnęło jeszcze poziomu dojrzałości. Środowiska akademickie na świecie dostrzegły skalę problemu stosunkowo szybko i również dosyć szybko zaproponowały rozwiązanie polegające na korzystaniu z konta instytucji macierzystej i nazywane obecnie federacyjnym zarządzaniem tożsamością.

Federacyjne zarządzanie tożsamością opiera się na zaufaniu między stronami tworzącymi federację. Usługodawcy muszą ufać, że instytucje macierzyste przekazują prawdziwe informacje o użytkownikach, a te z kolei muszą ufać, że usługodawcy prawidłowo przetwarzają otrzymane dane. Za tym zaufaniem stoją regulaminy i oficjalne deklaracje ich przestrzegania. Budowa takiego systemu zaufania wymaga skrupulatności i czasu, a zatem jest stosunkowo kosztowna. Zazwyczaj jest realizowana na poziomie pojedynczego kraju, przez instytucję zarządzającą krajową akademicką siecią informatyczną. W sytuacji, gdy usługodawca ma zasięg międzynarodowy pojawia się konieczność powtarzania tych samych formalności w wielu krajach – aby to ułatwić, wprowadzono konfederację eduGAIN. Federacje krajowe umawiają się, że mają zaufanie do procedur wdrożonych przez inne federacje i korzystają z nich na podobnym poziomie jak ze swoich własnych. Dzięki temu nasza polska federacja PIONIER.Id może się skupić na rozwoju polskich usług, ale ma jednocześnie dostęp do ponad tysiąca usługowców zarejestrowanych w innych federacjach eduGAIN.

Wszelkie sytuacje wymagające informacji na temat użytkownika, w naturalny sposób wiążą się z kwestią danych osobowych i ich ochrony. Rozwiązania stosowane w federacjach akademickich działają sprawnie i mają bardzo wysoki stopień bezpieczeństwa. Dostawcy usług otrzymują wiarygodną informację na temat użytkownika, a z drugiej strony tylko taką, jaka jest naprawdę niezbędna. Na przykład w przypadku użytkownika czasopisma elektronicznego przekazywany jest tylko unikatowy, nie zdradzający tożsamości identyfikator oraz potwierdzenie, że użytkownik posiada konkretne uprawnienie. Jeżeli usługą jest portal wymagający komunikacji mailowej, to zasadne będzie przekazanie adresu e-mail, jeżeli jest to portal pracy grupowej, to użytkownik może się zgodzić, by przekazano jego imię i nazwisko – jeżeli się na to zgodzi, to inni użytkownicy będą mieli pewność, że imię i nazwisko są autentyczne, że nikt się pod nikogo nie podszywa.

Dzięki PIONIER.Id i eduGAIN konto w naszej instytucji macierzystej jest cyfrowym paszportem dającym dostęp do szeregu usług bez potrzeby zakładania w nich kolejnych kont.