[Oa-italia] sistema di autenticazione di un IR

mangiaracina silvana mangiaracina a jolly.bo.cnr.it
Ven 6 Apr 2007 16:45:47 CEST 

Andrea Marchitelli wrote:
 > Ciao Maria,
 > la presentazione alla quale credo che tu ti riferisca [Bollini, Andrea
 > (2007) Strumenti aperti per gli archivi documentali. Esperienze degli
 > Open Archive nella ricerca. Delivered at Documento, documentazione,
 > documentarsi, Rome (Italy). Presentation.,
 > http://eprints.rclis.org/archive/00008921/] era dedicata a una
 > panoramica delle funzionalita' tecniche di alcuni strumenti dell'OA tra
 > i quali, principalmente, i software per la costruzione e gestione di
 > archivi aperti.
 >
 > In quell'ambito, Bollini ha parlato anche della possibilita' di
 > interfacciare il software dell'archivio con eventuali sistemi di
 > autenticazione esterna gia' presenti nell'ente (ad es. LDAP), con
 > l'evidente vantaggio di cui scrive Moser: la possibilita' per gli utenti
 > di utilizzare le stesse credenziali per l'accesso a tutti i servizi
 > dell'ente (archivio, sistema amministrativo, biblioteca digitale ecc.)
 >
 > Da questo consegue che se le politiche dell'archivio ne prevedono una
 > restrizione, all'accesso e/o alla submission, la  convenienza a usare
 > questa tecnica e' tale da renderla una necessita'.
 >
 > Si tratta comunque di una possibilita', utile qualora si prevedano
 > politiche restrittive quali quelle di cui parli,  non di una necessita',
 >  assoluta, ed esclusivamente dipendente dalla policy gestionale dei
 > singoli archivi e dei singoli enti.
 >
 > Andrea Marchitelli


Vorrei segnalare a questo proposito un ulteriore allargamento di 
prospettiva, che e' stato oggetto del II incontro GARR 
sull'Authentication & Authorization Infrastructure "Autenticazione 
federata e biblioteche digitali", svoltosi il 6 marzo a Roma 
(http://www.garr.it/aai2/, http://www.garr.it/aai2/programma.html).

Una AAI (Infrastruttura per l'autenticazione e l'autorizzazione) e' una 
infrastruttura (tipicamente, a livello nazionale) che ha come obiettivo 
il permettere che "tutti i servizi" offerti agli utenti di 
un'istituzione debbano essere accessibili da qualsiasi postazione con un 
"unico" username e password.

Occorre distinguere 2 livelli: il primo (che potremmo definire "locale") 
riguarda "tutti i servizi" intesi come servizi interni all'istituzione, 
forniti dall'istituzione stessa (si pensi nel caso di un università, per 
esempio, al servizio di posta elettronica, di iscrizione agli esami,  di 
accesso alle risorse della biblioteca digitale, di deposito 
nell'archivio OA, etc.. ). In questo contesto la soluzione è ricercabile 
nel Single Sign On intra-istituzionale. A questo livello la gestione 
anagrafica dell'istituzione viene centralizzata e viene fornita agli 
utenti un'unica login: docenti, studenti, tecnici... anche se 
memorizzati su banche dati diverse fanno capo tutti ad un unico 
meccanismo di autenticazione in grado di discriminare i permessi di 
accesso ad ogni servizio offerto. A questo proposito si vedano le due 
relazioni presentate dai colleghi dell'Universita' di Milano e di Torino 
(http://www2.garr.it/aai2_slide/AAI-BD.pdf, 
http://www2.garr.it/aai2_slide/roma-2007-garr-presentation.pdf). Anche 
l'Universita' di Trieste ha presentato un poster, dedicato proprio 
all'integrazione nel sistema di autenticazione di Ateneo (basato su 
LDAP) del loro OA repository realizzato con DSpace .

Una volta raggiunta tale organizzazione interna è più facile 
interfacciarsi con il mondo esterno: il secondo livello, che potremmo 
definire "nazionale", intende "tutti i servizi" come la somma dei 
servizi interni più i servizi esterni forniti "da terzi", per esempio, 
un servizio fornito da una istituzione a tutte le altre. Esempi di 
servizi di terzi sono tutte le piattaforme degli editori e Nilde 
(servizio italiano per il dd, si veda 
http://www2.garr.it/aai2_slide/Nilde-shib.pdf). Un esempio concreto: 
sebbene gli utenti possano avere accesso alle riviste full-text o ad una 
banca dati in modo per loro trasparente (via riconoscimento 
dell'indirizzo IP), se pero' vogliono utilizzare dei servizi 
personalizzati, come il salvare un profilo di ricerca e riceverne degli 
alerts periodici, debbono necessariamente registrarsi sulla piattaforma 
per poter poi accedervi mediante username e password ogni qualvolta 
vorranno usarla in maniera "personalizzata" (e' infatti necessario che 
il servizio memorizzi al suo interno l'indirizzo e-mail dell'utente e le 
parole chiave del profilo di ricerca associati a quell'username e password).
Quali sono i vantaggi offerti quindi da una AAI a questo livello? dal 
lato dell'istituzione utilizzatrice del servizio, è realizzata la 
trasparenza nell'offerta di servizi ai propri utenti (Single Sign On 
inter-istituzionale). Inoltre, evitando la duplicazione delle 
anagrafiche, non solo si ha una maggiore sicurezza (si sa che gli utenti 
tendono ad utilizzare sempre la stessa username e password ogni volta 
che debbono registrarsi da qualche parte- in questo le credenziali 
dell'utente risiedono "solo" nel server della sua istituzione) ma anche 
tutte le operazioni di aggiornamento rimangono istituzionalmente 
accentrate. Come recita la home page del convegno 
(http://www.garr.it/aai2/) dunque "lo scopo di una AAI è di
semplificare, uniformandoli, gli accessi ai servizi tra organizzazioni
diverse. Una AAI gestisce i processi di autenticazione e autorizzazione
tra un utente, la sua organizzazione d'origine e la risorsa cui vuole
accedere".

Tutto cio' e' applicabile ovviamente anche ai repository OA. A me sembra 
piu' interessante per tutto cio' che concerne l'auto-archiviazione 
(limitata necessariamente agli utenti istituzionali, come dice Maria).
Ma pensiamo non solo agli archivi istituzionali (per quelli basta 
infatti il primo livello di single sign on), ma a quelli disciplinari 
(tipo E-LIS, Earth-eprints,..). L'AAI permetterebbe di identificare gli 
utenti (anzi, di farli identificare dalla loro istituzione di 
appartenenza), in modo per loro del tutto trasparente, e anzi, di 
associare in maniera univoca un "autore" alla propria istituzione (a 
fini di valutazione, statistici, ?,...), anche quando l'archivio 
contiene materiale depositato da autori di istituzioni diverse.

Saluti cordiali,
Silvana Mangiaracina


***********************************************************************
Dr. Silvana Mangiaracina
National Research Council - Bologna Research Area Library
via Gobetti, 101 - 40129 Bologna ITALY

mailto:mangiaracina a area.bo.cnr.it
tel. +39 051639 8026 fax +39 051639 8130
http://biblio.bo.cnr.it
************************************************************************

Maggiori informazioni sulla lista OA-Italia