Zapewnienie elastycznych rozwiązań uwierzytelniania - z dostępem sfederowanym i IP

Załóżmy, że użytkownik Twojej biblioteki potrzebuje artykułu z czasopisma, które prenumeruje Twoja instytucja, a Twoja instytucja uzyskuje dostęp do wydawnictwa poprzez uwierzytelnianie IP. Oznacza to, że wydawca rozpozna adres IP Twojej instytucji i zezwoli na dostęp do każdego żądania pochodzącego z tego adresu. W tym scenariuszu wydawca udziela dostępu nie ze względu na to, kim jest użytkownik, ale ze względu na instytucję. Problem z uwierzytelnianiem IP pojawia się jednak wtedy, gdy użytkownik jest w domu i nie korzysta z adresu IP Twojej instytucji. W takim przypadku wydawca nie rozpozna instytucji, co spowoduje, że użytkownik nie będzie mógł uzyskać dostępu.

Jak już pewnie zauważyłeś, z uwierzytelnianiem IP wiążą się potencjalne problemy. Jeśli adres IP Twojej instytucji zostanie złamany, hakerzy mogą wykorzystać tę okazję, aby skorzystać z dostępu do Twojej instytucji. Ponieważ wydawcy nie są w stanie zidentyfikować wrogich użytkowników indywidualnie, nie mają innego wyjścia, jak zamknąć dostęp dla całej instytucji.

W przeciwieństwie do tego, dostęp federacyjny koncentruje się raczej na jednostce niż na instytucji. Zamiast korzystać z komputera znajdującego się w Twojej instytucji, aby uzyskać dostęp do e-zasobów, użytkownicy mogą korzystać z instytucjonalnej nazwy użytkownika i hasła, aby uzyskać dostęp do wszelkich zasobów cyfrowych, które są subskrybowane przez Twoją instytucję. Nazywa się to "single sign-on", ponieważ wystarczy użyć tylko jednego zestawu danych uwierzytelniających. Twoja instytucja, poprzez dostawcę usług federacyjnych, poświadcza to uwierzytelnienie u wydawcy, który z kolei udziela dostępu. Zasadniczo, wydawca nie potrzebuje adresu IP instytucji, aby zapewnić dostęp. Zamiast tego upewnia się, że dany użytkownik należy do instytucji.

Podczas gdy sfederowane pojedyncze logowanie jest bezpieczniejszą opcją, nie wszyscy dostawcy obsługują obecnie sfederowany dostęp. Niektórzy z nich nadal opierają się na uwierzytelnianiu IP. Dlatego też OpenAthens wspiera dostęp federacyjny i umożliwia pojedyncze logowanie dla wydawców, którzy nadal opierają się na uwierzytelnianiu IP. Istnieją dwie opcje usług proxy obsługiwane przez OpenAthens.

Hosted Proxy

Pierwszą i bardziej popularną z dwóch usług uwierzytelniania IP jest hostowane proxy, w którym OpenAthens zapewnia hosting proxy i adres IP. Użytkownik loguje się za pomocą tej samej nazwy użytkownika i hasła, które są używane do jednokrotnego logowania (SSO), a OpenAthens poświadcza wiarygodność użytkownika w instytucji macierzystej, oszczędzając pracownikom biblioteki konieczności zarządzania usługą proxy we własnym zakresie.

Forward Proxy

Inną opcją jest forward proxy, gdzie OpenAthens utrzymuje pliki konfiguracyjne proxy w sposób podobny do hostowanego proxy, ale ostatnia wizyta u wydawcy jest wykonywana przez lokalny system w infrastrukturze Twojej instytucji. Instytucje preferują forward proxy, jeśli chcą używać istniejącego adresu IP zamiast nowego adresu IP OpenAthens lub jeśli mają kilka adresów IP do identyfikacji różnych części organizacji. Instytucje te są zazwyczaj instytucjami posiadającymi duże zasoby IT. W przypadku forward proxy, organizacja musi utrzymywać serwer proxy i korzystać z darmowego narzędzia proxy Squid.

Konsorcjum GALILEO (GeorgiA LIbrary LEarning Online), składające się z 400 bibliotek akademickich i technicznych, K-12 oraz bibliotek publicznych w Georgii, korzysta z usługi OpenAthens forward proxy. Wdrożeniem OpenAthens kierował Russell Palmer, asystent dyrektora w dziale usług wsparcia GALILEO. "Gdy tylko nasi administratorzy systemów ocenili konfigurację i stwierdzili, że jest ona stosunkowo prosta i trwała, a my możemy zintegrować to rozwiązanie z naszą istniejącą infrastrukturą IP proxy, z przyjemnością przystąpiliśmy do działania" - powiedział Russell o swoich pierwszych doświadczeniach z usługą forward proxy.

Kolejną zaletą forward proxy może być wydajność. W zależności od tego, gdzie znajduje się dana instytucja, może nastąpić poprawa czasu dostępu, jeśli znajduje się ona geograficznie bliżej dostawcy treści niż OpenAthens, które znajduje się w Wielkiej Brytanii.

Czas implementacji forward proxy jest również szybszy niż w przypadku hosted proxy, ponieważ w przypadku hosted proxy, każdy dostawca, do którego uzyskuje się dostęp poprzez IP potrzebuje nowego adresu IP wydanego przez OpenAthens. Natomiast w przypadku forward proxy, ponieważ klienci używają swoich dotychczasowych adresów IP, wydawcy nie musieliby aktualizować IP po swojej stronie.

"Ostatecznie, zyskaliśmy kilka korzyści... Nasza konfiguracja forward proxy pozwala nam na wykorzystanie istniejącego adresu IP proxy GALILEO danej instytucji. Skraca to ogólny czas konfiguracji z dostawcami. W dużej mierze uniknęliśmy dodawania i aktualizowania nowych IP proxy zarządzanych przez OpenAthens dla ponad 400 instytucji i setek kont dostawców” – powiedział Russell o korzyściach płynących z forward proxy.

Piękno dostępu federacyjnego, hostowanego proxy i forward proxy polega na tym, że z punktu widzenia użytkownika wszystko wygląda tak samo. Użytkownicy mogą używać swoich "codziennych" instytutów.

Piękno dostępu federacyjnego, hostowanego proxy i forward proxy polega na tym, że z perspektywy użytkownika wszystko wygląda tak samo. Użytkownicy mogą używać swojej "codziennej" instytucjonalnej nazwy użytkownika i hasła jako poświadczeń pojedynczego logowania. W tle OpenAthens obsługuje wszystko bezproblemowo i płynnie. Nawet jeśli już korzystasz z pojedynczego logowania, aby uzyskać dostęp do aplikacji lub zasobów (poprzez połączenie SAML), OpenAthens może uprościć konfigurację administratora i ujednolicić ścieżkę dostępu użytkownika.

Inne korzyści wynikające z zastosowania OpenAthens i EBSCO to:

• Usługi IP/proxy i dostępu sfederowanego
• Szczegółowe statystyki użytkowania umożliwiające świadomą alokację zasobów i budżetu
• Zarządzanie dostępem oparte na grupach i rolach
• Łatwy w użyciu interfejs administratora
• Wsparcie i szkolenia EBSCO 24/7