[Oa-italia] sistema di autenticazione di un IR
mangiaracina silvana
mangiaracina a jolly.bo.cnr.it
Ven 6 Apr 2007 16:45:47 CEST
Andrea Marchitelli wrote:
> Ciao Maria,
> la presentazione alla quale credo che tu ti riferisca [Bollini, Andrea
> (2007) Strumenti aperti per gli archivi documentali. Esperienze degli
> Open Archive nella ricerca. Delivered at Documento, documentazione,
> documentarsi, Rome (Italy). Presentation.,
> http://eprints.rclis.org/archive/00008921/] era dedicata a una
> panoramica delle funzionalita' tecniche di alcuni strumenti dell'OA tra
> i quali, principalmente, i software per la costruzione e gestione di
> archivi aperti.
>
> In quell'ambito, Bollini ha parlato anche della possibilita' di
> interfacciare il software dell'archivio con eventuali sistemi di
> autenticazione esterna gia' presenti nell'ente (ad es. LDAP), con
> l'evidente vantaggio di cui scrive Moser: la possibilita' per gli utenti
> di utilizzare le stesse credenziali per l'accesso a tutti i servizi
> dell'ente (archivio, sistema amministrativo, biblioteca digitale ecc.)
>
> Da questo consegue che se le politiche dell'archivio ne prevedono una
> restrizione, all'accesso e/o alla submission, la convenienza a usare
> questa tecnica e' tale da renderla una necessita'.
>
> Si tratta comunque di una possibilita', utile qualora si prevedano
> politiche restrittive quali quelle di cui parli, non di una necessita',
> assoluta, ed esclusivamente dipendente dalla policy gestionale dei
> singoli archivi e dei singoli enti.
>
> Andrea Marchitelli
Vorrei segnalare a questo proposito un ulteriore allargamento di
prospettiva, che e' stato oggetto del II incontro GARR
sull'Authentication & Authorization Infrastructure "Autenticazione
federata e biblioteche digitali", svoltosi il 6 marzo a Roma
(http://www.garr.it/aai2/, http://www.garr.it/aai2/programma.html).
Una AAI (Infrastruttura per l'autenticazione e l'autorizzazione) e' una
infrastruttura (tipicamente, a livello nazionale) che ha come obiettivo
il permettere che "tutti i servizi" offerti agli utenti di
un'istituzione debbano essere accessibili da qualsiasi postazione con un
"unico" username e password.
Occorre distinguere 2 livelli: il primo (che potremmo definire "locale")
riguarda "tutti i servizi" intesi come servizi interni all'istituzione,
forniti dall'istituzione stessa (si pensi nel caso di un università, per
esempio, al servizio di posta elettronica, di iscrizione agli esami, di
accesso alle risorse della biblioteca digitale, di deposito
nell'archivio OA, etc.. ). In questo contesto la soluzione è ricercabile
nel Single Sign On intra-istituzionale. A questo livello la gestione
anagrafica dell'istituzione viene centralizzata e viene fornita agli
utenti un'unica login: docenti, studenti, tecnici... anche se
memorizzati su banche dati diverse fanno capo tutti ad un unico
meccanismo di autenticazione in grado di discriminare i permessi di
accesso ad ogni servizio offerto. A questo proposito si vedano le due
relazioni presentate dai colleghi dell'Universita' di Milano e di Torino
(http://www2.garr.it/aai2_slide/AAI-BD.pdf,
http://www2.garr.it/aai2_slide/roma-2007-garr-presentation.pdf). Anche
l'Universita' di Trieste ha presentato un poster, dedicato proprio
all'integrazione nel sistema di autenticazione di Ateneo (basato su
LDAP) del loro OA repository realizzato con DSpace .
Una volta raggiunta tale organizzazione interna è più facile
interfacciarsi con il mondo esterno: il secondo livello, che potremmo
definire "nazionale", intende "tutti i servizi" come la somma dei
servizi interni più i servizi esterni forniti "da terzi", per esempio,
un servizio fornito da una istituzione a tutte le altre. Esempi di
servizi di terzi sono tutte le piattaforme degli editori e Nilde
(servizio italiano per il dd, si veda
http://www2.garr.it/aai2_slide/Nilde-shib.pdf). Un esempio concreto:
sebbene gli utenti possano avere accesso alle riviste full-text o ad una
banca dati in modo per loro trasparente (via riconoscimento
dell'indirizzo IP), se pero' vogliono utilizzare dei servizi
personalizzati, come il salvare un profilo di ricerca e riceverne degli
alerts periodici, debbono necessariamente registrarsi sulla piattaforma
per poter poi accedervi mediante username e password ogni qualvolta
vorranno usarla in maniera "personalizzata" (e' infatti necessario che
il servizio memorizzi al suo interno l'indirizzo e-mail dell'utente e le
parole chiave del profilo di ricerca associati a quell'username e password).
Quali sono i vantaggi offerti quindi da una AAI a questo livello? dal
lato dell'istituzione utilizzatrice del servizio, è realizzata la
trasparenza nell'offerta di servizi ai propri utenti (Single Sign On
inter-istituzionale). Inoltre, evitando la duplicazione delle
anagrafiche, non solo si ha una maggiore sicurezza (si sa che gli utenti
tendono ad utilizzare sempre la stessa username e password ogni volta
che debbono registrarsi da qualche parte- in questo le credenziali
dell'utente risiedono "solo" nel server della sua istituzione) ma anche
tutte le operazioni di aggiornamento rimangono istituzionalmente
accentrate. Come recita la home page del convegno
(http://www.garr.it/aai2/) dunque "lo scopo di una AAI è di
semplificare, uniformandoli, gli accessi ai servizi tra organizzazioni
diverse. Una AAI gestisce i processi di autenticazione e autorizzazione
tra un utente, la sua organizzazione d'origine e la risorsa cui vuole
accedere".
Tutto cio' e' applicabile ovviamente anche ai repository OA. A me sembra
piu' interessante per tutto cio' che concerne l'auto-archiviazione
(limitata necessariamente agli utenti istituzionali, come dice Maria).
Ma pensiamo non solo agli archivi istituzionali (per quelli basta
infatti il primo livello di single sign on), ma a quelli disciplinari
(tipo E-LIS, Earth-eprints,..). L'AAI permetterebbe di identificare gli
utenti (anzi, di farli identificare dalla loro istituzione di
appartenenza), in modo per loro del tutto trasparente, e anzi, di
associare in maniera univoca un "autore" alla propria istituzione (a
fini di valutazione, statistici, ?,...), anche quando l'archivio
contiene materiale depositato da autori di istituzioni diverse.
Saluti cordiali,
Silvana Mangiaracina
***********************************************************************
Dr. Silvana Mangiaracina
National Research Council - Bologna Research Area Library
via Gobetti, 101 - 40129 Bologna ITALY
mailto:mangiaracina a area.bo.cnr.it
tel. +39 051639 8026 fax +39 051639 8130
http://biblio.bo.cnr.it
************************************************************************
Maggiori informazioni sulla lista
OA-Italia