| Summary: | Σήμερα, οργανώσεις και επιχειρήσεις χρειάζονται τα κατάλληλα εργαλεία για τη διαχείριση και την πιστοποίηση ταυτότητας των χρηστών. Τα εργαλεία αυτά, πλέον, έχουν γίνει ψηφιακά. Περνώντας, όμως, στον ψηφιακό κόσμο, επιτακτική ήταν η ανάγκη να οριστούν κάποιες έννοιες. Μια από αυτές είναι η ”ταυτότητα”, η οποία με βάση αυτήν γίνεται η διαχείριση και η πιστοποίηση ταυτότητας των χρηστών. Κατά τη διάρκεια της ζωής της ταυτότητας υπάρχουν ορισμένα γεγονότα. ΄Ενα από τα γεγονότα αυτά είναι η ενιαία σύνδεση, η οποία προσφέρει στους χρήστες τη δυνατότητα να συνδέονται μια φορά και να έχουν πρόσβαση σε πολλές εφαρμογές. Για να επιτευχθεί αυτό έχουν οριστεί ορισμένα πρωτόκολλα. Στην εργασία αυτή αναλύεται το πρωτόκολλο SAML το οποίο παρέχει την ενιαία σύνδεση μεταξύ τομέων (cross-domain single sign-on) και την ομοσπονδιακή ταυτότητα (federated identity). Πάνω στο πρωτόκολλο αυτό, έχει βασιστεί και η υποδομή Shibboleth, η οποία προσφέρει ένα ολοκληρωμένο σύστημα ενιαίας σύνδεσης και ταυτοποίησης χρηστών. Ενώ η υποδομή Shibboleth μπορεί να χαρακτηριστεί ως ένα ολοκληρωμένο σύστημα, η ταυτοποίηση των χρηστών γίνεται με έναν μόνο παράγοντα. Ο παράγοντας αυτός προτρέπει τους χρήστες να εισάγουν ένα όνομα χρήστη και έναν κωδικό πρόσβασης για να πιστοποιηθούν. Ο τρόπος αυτός είναι δοκιμασμένος και τα περισσότερα συστήματα, αν όχι όλα, τον χρησιμοποιούν για να πιστοποιήσουν την ταυτότητα των χρηστών τους. Παρόλα αυτά, για να γίνει η διαδικασία πιστοποίησης ταυτότητας των χρηστών ασφαλέστερη κρίνεται απαραίτητο να χρησιμοποιούνται πολλοί παράγοντες. Η διαδικασία αυτή ονομάζεται έλεγχος ταυτότητας πολλών παραγόντων (Multi-Factor Authentication (MFA)). Η υποδομή Shibboleth, αν και παρέχει εγγενώς κάτι τέτοιο, βασίζεται κυρίως σε ενσωματώσεις με εξωτερικές εφαρμογές. Το Duo είναι μία τέτοια εξωτερική εφαρμογή η οποία ενσωματώνεται με το Shibboleth μέσω ενός προσθέτου και κάνει χρήση MFA με κινητές συσκευές αλλά απαιτεί κόστος. Επίσης, το Shibboleth παρέχει δωρεάν πρόσθετο που πιστοποιεί την ταυτότητα των χρηστών με έναν δεύτερο παράγοντα που κάνει χρήση Time Based One-Time Password (TOTP), ένας τρόπος ο οποίος χρησιμοποιείται σε συνδυασμό με κινητές συσκευές και είναι πολύ διαδεδομένος στα σύγχρονα συστήματα. Παρόλα αυτά, το πρόσθετο αυτό δεν προσφέρει διαχείριση της εγγραφής των χρηστών στον παράγοντα αυτόν. Οπότε, στα πλαίσια της εργασίας αυτής, δημιουργήθηκε ανοικτού κώδικα εφαρμογή η οποία αποτελεί επέκταση του πρόσθετου αυτού. Η εφαρμογή αυτή, δίνει τη δυνατότητα στους χρήστες να εγγραφούν στον δεύτερο παράγοντα ενώ στους διαχειριστές προσφέρεται σύστημα για να διαχειρίζονται τις εγγραφές αυτές.
|
|---|
