Σύστημα Ενιαίας Πρόσβασης (Single Sign On - SSO)

Το Σύστημα Ενιαίας Πρόσβασης (Single Sign on – SSO) έχει τεθεί σε λειτουργία και εξασφαλίζει πρόσβαση στα συστήματα του Πανεπιστημίου Κρήτης, σε όλες τις συνεργαζόμενες διαδικτυακές υπηρεσίες και εφαρμογές με μόνο μία διαδικασία ταυτοποίησης. Ο χρήστης εισάγει μία φορά τα διαπιστευτήριά του (όνομα χρήστη και κωδικό πρόσβασης) και έπειτα οι εφαρμογές αναγνωρίζουν αυτόματα την ταυτότητά του, χωρίς να απαιτούν την εκ νέου εισαγωγή των διαπιστευτηρίων του.

Η ανάπτυξη του Συστήματος Ενιαίας Πρόσβασης έχει αναπτυχθεί για τις διαδικτυακές υπηρεσίες του Πανεπιστημίου Κρήτης, ακολουθώντας τις τεχνολογικές τάσεις στον τομέα της πιστοποίησης, εξουσιοδότησης και ασφάλειας, και είναι διαθέσιμο σε πιλοτική λειτουργία στην ηλεκτρονική διεύθυνση http://sso.uoc.gr.

Χρήστες της υπηρεσίας αποτελούν όλα τα μέλη της πανεπιστημιακής κοινότητας που έχουν καταχωρηθεί στην Υπηρεσία Καταλόγου (LDAP) του Πανεπιστημίου Κρήτης.

 

Βασικά και δομικά στοιχεία του Συστήματος Ενιαίας Πρόσβασης αποτελούν:

  • ο κεντρικός εξυπηρετητής πιστοποίησης χρηστών, που χρησιμοποιεί ως βάση χρηστών την υπηρεσία καταλόγου του ιδρύματος (LDAP) καθώς και
  • η ομάδα των διαδικτυακών εφαρμογών που  έχουν το ρόλο πελάτη (client) και είναι συνδεδεμένες με την κεντρική Υπηρεσία Πιστοποίηση Χρηστών μέσω ενός καθορισμένου πρωτοκόλλου επικοινωνίας.

Το Σύστημα Ενιαίας Πρόσβασης ταυτοποιεί και πιστοποιεί χρήστες στις υποστηριζόμενες από αυτό διαδικτυακές εφαρμογές και υπηρεσίες.

Η ροή των διεργασιών που απαιτείται για τη σύνδεση ενός χρήστη σε διαδικτυακή υπηρεσία υποστηριζόμενη από το σύστημα ενιαίας πρόσβασης αποτυπώνεται στο ακόλουθο διάγραμμα.

Η ροή εργασιών του ως άνω διαγράμματος αναλύεται ακολούθως :

  1. Αίτηση σύνδεσης του χρήστη σε προστατευόμενη από το σύστημα ενιαίας πρόσβασης διαδικτυακή εφαρμογή του Π.Κ.
  2. Ανακατεύθυνση του χρήστη σε ιστότοπο του συστήματος ενιαίας πρόσβασης του Π.Κ. για εισαγωγή των διαπιστευτηρίων του
  3. Επικοινωνία του συστήματος ενιαίας πρόσβασης του Π.Κ. με την υπηρεσία καταλόγου του Π.Κ. για επιβεβαίωση των εισαχθέντων διαπιστευτηρίων
  4. Αποστολή αποτελέσματος ελέγχου ταυτότητας στο σύστημα ενιαίας πρόσβασης του Π.Κ.
  5. Στη περίπτωση που ο έλεγχος ταυτότητας επιστρέψει θετικό αποτέλεσμα, ενεργοποίηση μοναδικού Session και επιστροφή του χρήστη στη προστατευόμενη διαδικτυακή εφαρμογή του Π.Κ. ως συνδεδεμένος χρήστης
  6. Αίτηση ανάκτησης των ιδιοτήτων (LDAP Attributes) του πιστοποιημένου χρήση από το σύστημα ενιαίας πρόσβασης του Π.Κ.
  7. Επιστροφή των εγκεκριμένων από το σύστημα ενιαίας πρόσβασης ιδιοτήτων του συγκεκριμένου χρήστη στην διαδικτυακή εφαρμογή του Π.Κ. για περεταίρω εκμετάλλευση

Όταν η περιγραφείσα διαδικασία έχει επιτυχώς ολοκληρωθεί, τότε η αυτοματοποιημένη σύνδεση του χρήστη σε συνεργαζόμενες διαδικτυακές υπηρεσίες του Π.Κ. ενεργοποιείται. Η αυτοματοποιημένη σύνδεση του χρήστη στις υπηρεσίες τερματίζεται όταν λήξει το προαναφερθέν Session, το οποίο συμβαίνει όταν περάσει ένα μεγάλο χρονικό διάστημα ή όταν ο χρήστης επιλέξει να «κλείσει» τον φυλλομετρητή του (web browser).

 

Απαραίτητες προϋποθέσεις για την ένταξη μιας διαδικτυακής υπηρεσίας στο σύστημα ενιαίας πρόσβασης είναι:

  • Η πιστοποίηση και σύνδεση των χρηστών στην διαδικτυακή υπηρεσία να βασίζεται στην υπηρεσία καταλόγου (LDAP)
  • Η αίτηση διασύνδεσης της διαδικτυακής εφαρμογής με το σύστημα ενιαίας πρόσβασης να έχει εγκριθεί
  • Η εγκατάσταση της απαραίτητης βιβλιοθήκης και η παραμετροποίηση της διαδικτυακής εφαρμογής ώστε να επιτρέπεται η επικοινωνία της με το σύστημα ενιαίας πρόσβασης

Τα βασικότερα πλεονεκτήματα από την υλοποίηση του συστήματος ενιαίας πρόσβασης στο Π.Κ., είναι τα ακόλουθα:

  • Διευκόλυνση των χρηστών με ενιαίο σημείο εισόδου στις συνεργαζόμενες διαδικτυακές υπηρεσίες
  • Μετάβαση από μια διαδικτυακή υπηρεσία σε άλλη χωρίς επανεισαγωγή διαπιστευτηρίων
  • Ελαχιστοποίηση πιθανότητας υποκλοπής διαπιστευτηρίων χρηστών, καθώς αυτά εισάγονται κεντρικά στην υπηρεσία πιστοποίησης χρηστών του Π.Κ.. Ακόμα και αν η ασφάλεια σε κάποια από τις συνεργαζόμενες διαδικτυακές υπηρεσίες παραβιαστεί από τρίτους, τα διαπιστευτήρια των χρηστών παραμένουν ασφαλή, αφού οι εφαρμογές ποτέ δεν έχουν πρόσβαση σε αυτά
  • Ενιαίος τρόπος διαχείρισης των δικαιωμάτων πρόσβασης για όλες τις συνεργαζόμενες διαδικτυακές υπηρεσίες
  • Εισαγωγή διαπιστευτηρίων από τους χρήστες σε ασφαλές περιβάλλον
  • Ευέλικτη υλοποίηση της εκάστοτε πολιτικής ασφαλείας
  • Δυνατότητα σύνδεσης στο σύστημα ενιαίας πρόσβασης με χρήση προσωπικού πιστοποιητικού από το https://pki.uoc.gr/ (βρίσκεται σε φάση δοκιμών)
  • Μείωση φόρτου εργασίας και ευθύνης για τους μηχανικούς λογισμικού του Π.Κ. καθώς η σύνδεση των χρηστών στις εφαρμογές τους πραγματοποιείται με τη χρήση δοκιμασμένων βιβλιοθηκών, διαθέσιμων σε διάφορες γλώσσες προγραμματισμού
  • Τυποποίηση του τρόπου επικοινωνίας και της μετάδοσης στοιχείων μεταξύ των συνεργαζόμενων διαδικτυακών υπηρεσιών και του συστήματος ενιαίας πρόσβασης