\"/
\"/ \"/    

Shibboleth v praxi: vzdálený přístup k elektronickým informačním zdrojům

Vlastimil Krejčíř, ÚVT MU
Ročník XXI - číslo 1, říjen 2010
Citace: V. Krejčíř. Shibboleth v praxi: vzdálený přístup k elektronickým informačním zdrojům. Zpravodaj ÚVT MU. ISSN 1212-0901, 2010, roč. XXI, č. 1, s. 1-4.
verze pro tisk: PDF
Tematické zařazení: Elektronické informační zdroje
 předchozí číslo | následující článek 
Čtenáři Zpravodaje ÚVT se mohli s technologií Shibboleth seznámit již dříve v článku Federace identit aneb spolčení totožností [1] . Autoři článku mj. zmiňují praktické využití Shibbolethu v oblasti přístupu k elektronickým informačním zdrojům. V následujícím textu se seznámíme se současným stavem a možnostmi, které Shibboleth při přístupu k elektronickým informačním zdrojům na Masarykově univerzitě nabízí.


Přístup k licencovaným (univerzitou placeným) elektronickým zdrojům - jako je například citační databáze Web of Science, kolekce vědeckých elektronických časopisů ScienceDirect od nakladatelství Elsevier apod. - je obvykle omezen na přístup z počítačů v síti MU, tj. těch, které se fyzicky nacházejí v některé z budov spravovaných univerzitou. Chce-li student či zaměstnanec MU využívat licencované zdroje například ze svého domácího počítače, pak musí použít některou z technologií umožňujících vzdálený přístup. Donedávna byly k dispozici technologie proxy, VPN a EZproxy (podrobně v [2,3] ). Ty však kladou na uživatele větší či menší nároky v podobě nutných nastavení domácího počítače. Zároveň bývají náchylné na různá netradiční nastavení firewallů a dalších síťových prvků poskytovatele internetového připojení, takže zajistit hladký vzdálený přístup nemusí být v některých případech zrovna snadnou záležitostí. Ideální by bylo, aby uživatel mohl přistupovat k libovolným informačním zdrojům s pomocí jediného přihlašovacího jména a hesla (které používá ve své mateřské instituci) odkudkoliv a bez jakéhokoli dalšího nastavování jím používaného počítače. A právě toto umožňuje technologie Shibboleth. Z pohledu uživatele je využití informačního zdroje podporujícího Shibboleth snadné: uživatel si u daného zdroje zvolí přihlášení přes Shibboleth, přihlásí se svými přihlašovacími údaji z MU a začne se zdrojem pracovat.

1  Jak poznám, že zdroj podporuje Shibboleth pro MU?

Na Portálu elektronických informačních zdrojů http://library.muni.cz/ezdroje/  [4] je možné najít potřebné informace o všech zdrojích na MU včetně těch, ke kterým je možné přihlásit se přes Shibboleth. V seznamu zdrojů je vždy za názvem zdroje zobrazena hranatá závorka a v ní způsoby možného připojení ke zdroji - podporuje-li zdroj Shibboleth, je zde uveden odkaz "Shibboleth" (viz obr. 1). Kliknutím na tento odkaz je uživatel obvykle vyzván k přihlášení, po kterém již může se zdrojem pracovat1.


 
Obrázek 1: Odkaz na připojení přes Shibboleth v přehledu zdrojů na Portálu EIZ
 
Pokud si kliknutím na název zdroje zobrazíme podrobné informace o zdroji, je podpora Shibbolethu indikována jednak ikonou s logem Shibbolethu (kterým je bájné zvíře gryf2) vedle navigačních šipek, a jednak odkazem "Vzdálený přístup: Shibboleth"(obr. 2). Při přejetí myší přes ikonu gryfa se zobrazí další informace a také odkaz na přihlášení ("Připojit se ke zdroji"). Obecné informace o vzdáleném přístupu přes Shibboleth je pak možné čerpat opět ze stránek Portálu EIZ v sekci Vzdálený přístup → Shibboleth [5].


 
Obrázek 2: Zdroj podporující Shibboleth
 

2  Jaké zdroje jsou v současnosti "shibbolethizovány"?

V současné době podporují přihlášení přes technologii Shibboleth zdroje platformy Ovid (Medline, GEOBASE, Georef, EMBASE, ...), dále EBSCO, Cambridge Journals a Web of Science. Aktuální přehled je možné získat na Portálu EIZ. Je potěšující, že poskytovatelé elektronických informačních zdrojů si čím dál víc uvědomují, že přístup přes Shibboleth velmi usnadňuje jejich zákazníkům život, takže nabídka "shibboletizovaných" informačních zdrojů se postupně rozrůstá.

3  Chci se přihlásit přes Shibboleth...

Přihlášení k informačnímu zdroji přes Shibboleth je nejjednodušší s využitím připravených odkazů3 přímo z Portálu EIZ. Tyto odkazy nasměrují uživatele na přihlašovací formulář "Poskytovatel identit MU", do nějž uživatel vloží své UČO a sekundární heslo ze systému IS MU. Server, na němž je provozován zvolený elektronický informační zdroj, si automaticky ověří platnost přihlašovacích údajů u serveru identit Masarykovy univerzity. Pokud jsou tyto údaje platné, je uživatel připojen na informační zdroj, se kterým může okamžitě plnohodnotně pracovat. Ne vždy je využití přímých odkazů možné (poskytovatel zdroje je nepodporuje) nebo v daný okamžik výhodné (uživatel se přihlašuje přímo ze stránek zdroje, kde si našel odkaz typu "Shibboleth login"). V takovém případě musí uživatel, ještě než se přihlásí, sám sebe blíže identifikovat - zdroji sdělí, z jaké je federace a instituce. Pro uživatele z Masarykovy univerzity je platná federace Česká akademická federace identit eduID.cz (anglicky Czech academic identity federation eduID.cz[6] a jako instituci si volí právě Masarykovu univerzitu. Na obrázku 3 je ukázka výběru federace a instituce u zdrojů platformy Ovid.


 
Obrázek 3: Výběr federace a instituce u OVID SP
 
Uživatel z MU nejprve v prvním kroku zadá svou federaci identit (Czech academic identity federation); server mu ve druhém kroku zobrazí seznam institucí, které patří pod zadanou federaci, a uživatel z něj vybere svou mateřskou instituci (Masarykova univerzita). Následně je již přesměrován na stránky instituce, kde pokračuje přihlášením popsaným v předešlém odstavci.

4  Jak to celé přesně funguje?

Masarykova univerzita je členem České akademické federace identit eduID.cz, která v podstatě zastřešuje "shibbolethizaci" elektronických informačních zdrojů pro potřeby akademických institucí v ČR. Federace vyjednává s jednotlivými producenty informačních zdrojů jejich zapojení do federace a zpřístupnění jimi poskytovaných zdrojů, což následně umožňuje všem členům federace využívat pro autentizaci v těchto zdrojích systém Shibboleth. Ve federaci mají členové své role - buď jako poskytovatelé identit (akademické instituce) a nebo poskytovatelé služeb (producenti zdrojů, např. EBSCO). Zapojením jednotlivých subjektů do federace si tyto organizace v podstatě sdělují, že si navzájem důvěřují - poskytovatelé věří, že uživatelé autentizovaní na jednotlivých institucích jsou skutečnými platnými členy těchto institucí. Celý princip autentizace koncového uživatele lze ukázat na tomto příkladu. Členem federace eduID.cz je EBSCO - významný poskytovatel informačních multioborových databází (v roli poskytovatele služeb). Nabízí možnost autentizaci přes Shibboleth ostatním členům federace. Masarykova univerzita je také členem federace, a tudíž je pro EBSCO důvěryhodná. Uživatel, který se chce k databázi EBSCO přihlásit, může buď využít odkazu na Portálu EIZ nebo přistoupit přímo na stránky zdroje EBSCO, kde si vyhledá odkaz na přihlášení přes Shibboleth. Vybere si federaci a svoji instituci. Poskytovatel zdroje následně uživatele přesměruje na autentizační server MU, kde je uživatel vyzván k zadání svých autentizačních údajů (UČO a sekundární heslo). Autentizační server MU ověří jejich platnost a zpět na EBSCO posílá informaci "tento uživatel je platným a ověřeným studentem/zaměstnancem MU". EBSCO informaci přijme, uživatele "si zapamatuje" a nabídne mu veškeré služby, na které má dotyčný z titulu studenta/zaměstnance MU nárok. Je vidět, že přihlašovací údaje jsou vždy ověřovány na MU a poskytovatel zdroje dostává pouze informaci, že daný uživatel je autentizován. To umožňuje, aby uživatelé používali pro přístup ke všem shibbolethizovaným zdrojům jedno přihlašovací jméno a heslo (přihlašovací údaje jsou udržovány pouze na straně MU a nejsou v žádném případě poskytovány třetím stranám). Nevýhodou výše zmíněného procesu je náročnost jeho počáteční fáze - vyjednávání s poskytovateli, technická nastavení a testování. Jednotlivé zdroje jsou proto zapojovány do celého systému postupně a k dispozici uživatelům je zatím jen menší část z nich. Situace se ale postupně zlepšuje.

5  Vyzkoušejte si Shibboleth

S množstvím zdrojů, které budou podporovat Shibboleth, poroste i komfort práce - přihlášení k systému Shibboleth je nutné provést pouze jednou. Autentizace provedená pro jeden zdroj je platná pro všechny zdroje zapojené v systému Shibboleth - je možné přihlásit se ke zdroji EBSCO a následně plynule přejít na zdroj Web of Science, aniž by bylo nutné znovu zadávat jméno a heslo. Poté, až do zavření okna prohlížeče je uživatel po dobu několika hodin přihlášen, a toto přihlášení je platné pro všechny zdroje v systému autentizace Shibboleth. Není tedy nutné se ke zdrojům připojovat opakovaně. S dotazy nebo návrhy na vylepšení služby Shibboleth pro elektronické informační zdroje můžete kdykoli kontaktovat Knihovnicko informační centrum MU na adrese eiz@.muni.cz.

Literatura

[1] D.Kouřil, M. Kuba, M. Osovský, R. Peša, M. Procházka. Federace identit aneb spolčení totožnosti. Zpravodaj ÚVT MU. ISSN 1212-0901, 2007, roč.XVIII, č. 2, s. 1-7. http://www.ics.muni.cz/zpravodaj/
... zpět do textu
[2] V. Krejčíř. Nástroje pro práci s elektronickými informačními zdroji MU. Zpravodaj ÚVT MU. ISSN 1212-0901, 2010, roč.XX, č. 3, s. 3-7. http://www.ics.muni.cz/zpravodaj/articles/634.html
... zpět do textu
[3] Vzdálený přístup. http://library.muni.cz/ezdroje/vzdaleny_pristup/?lang=cs
... zpět do textu
[4] Portál elektronických informačních zdrojů. http://library.muni.cz/ezdroje/
... zpět do textu
[5] Shibboleth na Portálu EIZ. http://library.muni.cz/ezdroje/vzdaleny_pristup/shibboleth.php
... zpět do textu
[6] České akademické federace identit eduID.cz. http://www.eduid.cz/wiki/eduid/index
... zpět do textu
setting
1 Někdy poskytovatel zdroje přímé přihlášení nepodporuje a uživatel musí udělat mezikrok volbou své federace a instituce. Více dále v článku.
... zpět do textu
2 JAnglicky také Griffin, více na http://en.wikipedia.org/wiki/Griffin
... zpět do textu
3 Pro tyto odkazy je běžně používaný termín Wayfless odkazy.
... zpět do textu
Zpět na začátek
ÚVT MU, poslední změna 14.11.2011