OZ 2014/1

M T 7 ORGANIZACIJA ZNANJA 2014, LETN. 19, ZV. 1 V osnovi je za avtentikacijo uporabnikov potreben imenik uporabnikov LDAP; ker pa knjižnice že uporabljajo svo- je baze podatkov o članih v COBISS-u, smo v IZUM-u vzpostavili strežnik LDAP za komunikacijo med bazami podatkov o članih in informacijskimi servisi po standar- dnem protokolu LDAP. Imenik uporabnikov LDAP po- nujamo le nekaterim slovenskim institucijam, ki nimajo možnosti avtomatizirane izposoje gradiva (in s tem baze podatkov o članih) ali celo nimajo svoje knjižnice. Ta- kšen primer je Agencija za raziskovalno dejavnost RS, za katero IZUM zagotavlja gostovanje LDAP. Slika 1: Osnovni koncept prijavnega mehanizma COBISS preko protokola LDAP Slika 1 prikazuje osnovni koncept prijavnega mehanizma COBISS preko protokola LDAP. Dostop do informacij- skega servisa (npr. Libroam, Moja knjižnica v COBISS/ OPAC-u, EZproxy, Metaiskalnik, Mrežnik itd.) zagotavlja strežnik LDAP na osnovi podatkov o članih iz COBISS/ Izposoje preko protokola LDAP. Uporabnik ob prijavi v informacijski servis vpiše uporabniško ime in geslo, ki se preverita v bazi podatkov o članih. Če sta uporabniško ime in geslo pravilna, bo uporabniku prijava v informa- cijski servis omogočena, sicer pa bo prijava zavrnjena. Nekateri servisi zahtevajo tudi avtorizacijo uporabnika, tj. preverjanje dodatnih podatkov o članu, kot je kategorija člana (študent, zaposlen na univerzi itd.). Ta avtorizacij- ska pravila se zapišejo v posebno datoteko, ki se preverja ob prijavi v informacijski servis. O tem, kakšna bodo avtorizacijska pravila, se dogovorita IZUM in knjižnica, ki zagotavlja servis svojim uporabnikom, pri čemer je treba upoštevati licenčne pogoje, dogovorjene s ponudni- kom informacijskega servisa. Ob prijavi v informacijski servis se lahko upošteva lokalna politika knjižnice, na osnovi katere se lahko zavrne prijava za določene člane knjižnice, kot so uporabniki, ki imajo v knjižnici dolg ali kakšno drugo omejitev dostopa do e-virov ali drugih knji- žničnih storitev. Tudi o teh pogojih se dogovorita IZUM in knjižnica. Slika 2: Poenostavljena ponazoritev avtentikacijsko- avtorizacijskega mehanizma COBISS preko protokola LDAP Slika 2 prikazuje poenostavljeno ponazoritev avtenti- kacijsko-avtorizacijskega mehanizma COBISS preko protokola LDAP. V informacijske servise, ki jih ponujajo IZUM in slovenske knjižnice, se je mogoče prijaviti pre- ko strežnika LDAP, ki komunicira z bazami podatkov o članih knjižnic v sistemu COBISS. Nekatere knjižnice še uporabljajo staro platformo COBISS2/Izposoja, vse več pa jih prehaja na novo platformo COBISS3/Izposoja. Strežnik LDAP je centralna aplikacija prijavnega me- hanizma, medtem ko so baze podatkov o članih osnova za pridobivanje podatkov o uporabnikih; ti podatki so potrebni, da se omogočita avtentikacija in avtorizacija prijave v informacijske servise. Nekateri informacijski servisi zahtevajo le avtentikacijo uporabnika (Libroam, Odpiranje vrat, PaperCut, MyPC, Biblos itd.), medtem ko nekateri drugi zahtevajo tudi več podatkov o uporabnikih, tj. avtorizacijo (EZproxy, Metaiskalnik itd.). Slabost prijavnega sistema LDAP je, da se mora uporab- nik v vsak servis prijaviti ponovno, čeprav se je že prija- vil v enega izmed njih. Ker informacijski servisi delujejo na različnih platformah in strežnikih, niso medsebojno aplikacijsko povezani, zato mora uporabnik postopek av- tentikacije in avtorizacije izvesti vsakič posebej. Da bi se temu ponavljajočemu postopku izognili in zagotovili ne le enako prijavo (angl. same sign-on ), temveč tudi enotno prijavo (angl. single sign-on ), je potrebna implementacija aplikativnega modula, ki bi takšno funkcionalnost zago- tovil. Še posebej v akademskih in raziskovalnih krogih zahodnega sveta se je uveljavil Shibboleth kot takšen vmesni aplikativni člen med informacijskim servisom in ponudnikom identitete. Petek, Batič, Vobič, Ambrožič, Cigrovski, Kolarič: FEDERACIJA COBISS AAI