AAI@EduHr
Autentikacijska i autorizacijska infrastruktura znanosti i visokog obrazovanja u Republici Hrvatskoj - AAI@EduHr - je infrastrukturni, posrednički sustav čija je temeljna zadaća omogućiti sigurno, pouzdano i efikasno upravljanje elektroničkim identitetima te njihovu jednostavnu uporabu za pristup mrežnim i mrežom dostupnim resursima.
U proteklih se 15 godina AAI@EduHr afirmirala kao ključni sustav koji vlasnicima elektroničkih identiteta (znanstvenicima, nastavnicima, studentima i učenicima) omogućuje siguran i jednostavan rad u virtualnom okruženju što se posebno važnim pokazalo i u uvjetima pandemije COVID-19.
AAI@EduHr 2021. godine slavi 15 godina od puštanja u produkciju.
AAI@EduHr nastala je na temelju iskustava u radu s imeničkim servisima (izvorna usluga imeničkog servisa danas je gotovo pa izumrla vrsta) koja smo skupljali niz godina upoznavši pri tome NETFIND, WHOIS(++), X.500 i na koncu LDAP. U tom su vremenu (LDAP) imenici od temelja imeničkih servisa (tražilica e-mail adresa) postali temelj posredničkih (middleware) sustava, izvor podataka za autentikaciju i autorizaciju korisnika. Jedan od poticaja za osmišljanje sustava AAI@EduHr bilo je i rješavanje problema autentikacije i autorizacije za CARNET-ovu uslugu modemskih ulaza (CMU). Bilo je to doba modema na prijelazu stoljeća. Hijerarhija RADIUS i LDAP poslužitelja koju smo tada uspostavili bila je okosnica i za uspostavu usluge StuDOM - autenticiranog pristupa mreži iz studentskih domova (2003.).
Sustav AAI@EduHr u produkcijski je rad pušten 1. ožujka 2006. godine, nešto manje od dvije godine od početka projekta u svibnju 2004., pokrenutog kako bi Srce ponudilo odgovor na rastuće potrebe korisnika za pouzdanim i sigurnim sustavom za autentikaciju i autorizaciju pri korištenju mrežnih usluga. Projekt je podržalo i financiralo tadašnje Ministarstvo znanosti obrazovanja i športa, a Srce ga je provelo u suradnji s CARNET-om.
Vodeći brigu o heterogenosti zajednice koju čini velik broj matičnih ustanova i potencijalnih davatelja usluga s različitom razinom znanja i raspoloživih resursa, odlučili smo se graditi federaciju prema modelu „hub-and-spoke“: središnji sustav koji održava operater federacija – Srce, koji služi kao posrednik (hub) između matičnih ustanova i davatelja usluga, pojednostavljujući pri tome njihov posao.
U izgradnji sustava oslonili smo se na programsku podršku otvorenoga koda: OpenLDAP i FreeRADIUS, no bila nam je potrebna i specifična programska podrška za autentikacijske i autorizacijske procese u web okruženju. Shibboleth (kao i SAML protokol) je u to vrijeme bio u prvoj verziji, bez mogućnosti izrade odgovarajućih programskih paketa i njihove distribucije na ustanove, a simpleSAMLphp tek u razvoju. Stoga smo se odlučili svoju (postojeću, za potrebe CMU-a) hijerarhiju distribuiranih LDAP imenika i RADIUS poslužitelja dopuniti vlastitom programskom podrškom nazvanom AOSI (hvala bivšem kolegi Denisu Stančeru na prvoj verziji) i centralnom komponentom FWS; definirali smo svoje imeničke sheme (hrEduPerson i hrEduOrg) i tako je nastala AAI@EduHr.
Te 2006. godine AAI@EduHr je bila jedna od prvih federacija elektroničkih identiteta u globalnoj akademskoj i obrazovnoj zajednici sa svim što federaciju čini krugom povjerenja: organizacijskim, informacijskim i tehničkim/tehnološkim pravilima (definiranim kroz Pravilnik o ustroju AAI@EduHr i prateće dokumente).
Velik i trajan posao, po kojem je AAI@EduHr doista rijedak slučaj u svijetu, podrška je matičnim ustanovama, a dijelom i davateljima usluga kroz održavanje programskih paketa koji na odabranoj platformi (Linux Debian) omogućuju instalaciju programske podrške za potporu pojedinim funkcionalnostima (npr. LDAP imenik matične ustanove).
Pomoću elektroničkih identiteta iz sustava AAI@EduHr može se pristupati mnogim javnim uslugama koje su dio sustava e-Građani.
Tome treba pridodati kako je sustav AAI@EduHr povezan sa sustavima eduroam – (globalna roaming usluga pristupa mreži) i eduGAIN – (globalni sustav koji povezuje federacije elektroničkih identiteta).
Krajem 2020. godine u sustav AAI@EduHr bila je uključena 241 matična ustanova - davatelj elektroničkih identiteta te jedinstveni imenik svih škola u RH s ukupno više od 920.000 elektroničkih identiteta koje su njihovi vlasnici mogli koristiti za pristup do više od 860 različitih usluga.
Osim toga, dodatno je kroz eduGAIN korisnicima na raspolaganju još više od 4100 usluga iz 70-ak federacija diljem svijeta.
U izazovnoj 2020. godini sustav AAI@EduHr potvrdio se kao robustan i pouzdan posrednički sustav podržavši naglo i značajno povećanje korištenja. Tijekom te godine segment sustava AAI@EduHr koji brine o prijavi za korištenje usluga putem weba zabilježio je više od 80.400.000 uspješnih prijava za rad, što je rekordan godišnji promet, i 2,2 puta veći broj obrađenih autentikacijskih zahtjeva nego u 2019. godini.
Rekordan mjesečni promet zabilježen za mjesec ožujak 2020. godine - 11.214.236 uspješnih autentikacija 517.453 jedinstvenih korisnika.
Osim na tehnološkim rješenjima i standardima sustav AAI@EduHr temelji se na uzajamnom povjerenju svih uključenih subjekata. Na federacije elektroničkih identiteta upravo se zato gleda i kao na krugove povjerenja.
Kako bismo to povjerenje očuvali, od 2011. godine provodimo redovite provjere usklađenosti (certificiranja) subjekata u sustavu (matičnih ustanova i davatelja usluga) s normama sustava koje uključuju tehnološka, informacijska i organizacijska pravila i preporuke.
U tehnološkom smislu sustav je usklađen sa svim važećim standardima i protokolima, a Srce neprekidno radi na njegovom unapređenju. Tako je uz standardni način prijave (korisničkom oznakom i lozinkom) uvedena i mogućnost višestupanjske autentikacije koja omogućuje korištenje više različitih metoda autentikacije te time podiže razinu sigurnosti procesa autentikacije korisnika.
Nedavno smo dodali mogućnost korištenja OIDC protokola, a u 2021. planiramo dodati i mehanizam autentikacije temeljen na FIDO2 (webauth) standardu.
Nije nam bilo lako u ožujku 2020. godine kad je kompletno obrazovanje naglo zbog pandemije COVID-19 prebačeno na online sustave koji za autentikaciju i autorizaciju koriste AAI@EduHr. Bili smo prisiljeni naše razvojne planove za tako složen i važan sustav ubrzati i neka rješenja preko noći staviti u produkciju.
Svijetlih trenutaka je puno, a zadnji koji smo baš zapamtili je kad smo jesenas u jedno jutro u 8 sati (počinje nastava!) zamijetili da broj uspješnih autentikacija u minuti iznosi preko 1600, a čitava infrastruktura radi glatko kao da to nije nikakvo opterećenje.
S krajnjim korisnicima sustava često trebamo izmijeniti i po nekoliko mailova jer pitanja koja nam postavljaju, poput „Ne radi mi Studomat", ili "Ne mogu se prijaviti u vašu aplikaciju" u najvećem broju slučajeva nisu dovoljno jasna. Nažalost bez nama nepoznatog konteksta, korisniku ne možemo pomoći. Koju od 800 aplikacija? Kako vam ne radi Studomat? Kako se zovete, imamo 900.000 korisnika 😊 I slično. Unatoč tome, radimo sve da im riješimo svakodnevne probleme, čak i kada nisu vezani uz nas, uputimo ih na pravu adresu (zato imamo javni katalog usluga s kontaktima za svaku od njih).
Ponekad smo zatečeni i njihovim odgovorima poput: „Hvala što ste mi odgovorili, nisam se nadala odgovoru pa vam nisam dala sve podatke, ispričavam se. 😊
Za naše korisnike – koordinatore sustava na ustanovama te vlasnike i developere usluga uključenih u AAI@EduHr - dugi niz godina održavamo događanja poput Dan AAI@EduHr ili Tjedan AAI@EduHr, koji su zadnjih godina integrirani u konferenciju Srce DEI Dani e-infrastrukture. Na tim događanjima za njih održavamo posebna predavanja i radionice na kojima osluškujemo potrebe i sugestije za implementaciju novih značajki sustava.
Vesele nas komentari poput jednog od admina s ustanova: „A ne javljam se jer sve radi pouzdano i nemam problema.“ Voljeli bismo međutim zajednicu vidjeti u aktivnijoj ulozi kad se radi o definiranju potreba i planova razvoja.
Tu vidimo i prostor za pomake: našu komunikaciju (bez obzira na „sve radi“) s okolinom trebamo unaprijediti kako bismo kvalitetnije i na vrijeme odgovorili (novim) potrebama zajednice.
AAI@EduHr je posrednički sustav, kao i svaka slična infrastruktura, nezanimljiv i nevidljiv - o njemu se najviše priča samo onda kad ne radi dobro 😊
Srce aktivno sudjeluje u međunarodnim projektima (npr. MyAcademicID ili kao partner CARNET-a u seriji projekata GÉANT već više od 10 godina) i radnim skupinama (posebno u okviru organizacije REFEDS) koje se bave problemima povezanim s posredničkim sustavima i sustavima autentikacije i autorizacije. U okviru tih aktivnosti u svijetu su višekratno prezentirani rezultati rada naših djelatnika na razvoju sustava AAI@EduHr.
Srce je od međunarodnih partnera prepoznato i prihvaćeno kao operator nacionalne autentikacijske i autorizacijske infrastrukture i pouzdan partner u izgradnji globalnih posredničkih (middleware) sustava.