L'autenticazione degli utenti per l'utilizzo dei servizi di biblioteca … · 2007. 3. 13. ·...

P. Gardois et al. L'autenticazione degli utenti per l'utilizzo dei servizi di biblioteca digitale

L'autenticazione degli utenti per l'utilizzo dei servizi di biblioteca

digitale

Roma, 6 marzo 2007

P. Gardois, F. Bungaro, D. Arduino, A. SaccàUniversità di Torino


UNITO: biblioteca digitale e servizi


Progetto OPAC/Portale Documentario

• Durata: 2004-2007• Obiettivo: Realizzazione di

un’infrastruttura tecnologica integrata per la biblioteca digitale di UNITO


Progetto OPAC/Portale Documentario

• Realizzazioni:– Sito web per l’accesso ai servizi (library.unito.it)– Catalogo unico d’ateneo (SEBINA SBN)– Deposito istituzionale AperTO (D-Space)– OpenURL resolver Trova@UNITO (SFX – Exlibris)

• Rilascio imminente (entro la primavera):– Metamotore e catalogo/VRD di risorse web

selezionate (Metalib – Exlibris + Scout PortalToolkit)


SBA UNITO – nuove funzioni centrali

• Servizi bibliografici digitali: gestione, sviluppo e promozione di servizi tecnologici integrati. A oggi:– Catalogo d’ateneo– OpenURL resolver– Metasearcher + Virtual Reference Desk– Archivio istituzionale open access– Consulenza alle biblioteche per lo sviluppo e

l’innovazione tecnologica


SBA UNITO – nuove funzioni centrali

• Sviluppo collezioni e metadati: a oggi:– gestione, sviluppo e promozione dell’acquisto di

contenuti digitali– coordinamento delle politiche catalografiche– consulenza alle biblioteche e agli utenti finali per

utilizzo contenuti in licenza– analisi dell’utilizzo dei contenuti– contatto con gli utenti finali per analisi dei bisogni

informativi


Servizi bibliografici digitali: esigenze generali

• Integrazione dei servizi di accesso ai documenti digitali e non

• Profilatura e personalizzazione• Integrazione dei servizi locali con altri

servizi accessibili da web (GoogleScholar, Connotea, Nilde, cataloghi e database free, ecc…)


UNITO e Access Management Process


[separatore sezione]

Da: Harris et al. 2003

Access Management – Le transazioni


AuthN & AuthZ• “Authentication is the process of establishing

the identity of an individual (User). It is achieved through the presentation of some kind of token, which is considered proof that the User concerned is who they assert they are” (Harris et al. 2003)

• “Authorization is the process of verifying that a known person has the authority to perform a certain operation” (Wikipedia 2007)


SBA UNITO : AuthN e AuthZ• Garantire all’utente un facile accesso a servizi

diversi (opac, archivio istituzionale, meta-motore, ecc.)

• Aiutare l’utente a sfruttare tutte le caratteristiche di un dato servizio, ad es.:– Salvataggio ricerche su OPAC e metamotore– Presentazione di contenuti profilati– Accesso con privilegi a determinate funzioni di un

servizio


AMP for AuthN / AuthZ1. Suitability / Effectiveness2. Ease of Implementation3. Licensing Cost4. Implementation Cost5. Software Expertise Required6. Security7. Maintainability8. Robustness9. Scalability10.Simplicity of Understanding11.Acceptance / Preexisting Implementation

Fattori da valutare nella scelta di un sistema di AM secondo Teets et al. 2006


I servizi offerti dallabiblioteca digitale di UNITO

• OPAC e prestito lettori• Metamotore di ricerca• Catalogazione del web• Archivio Istituzionale ad Acesso

Aperto• Reference linking








Autenticazione per l’accesso ai servizi del

catalogo d’ateneo


Catalogo unico d’ateneo: obiettivi

• Un catalogo per TUTTE le biblioteche dell’Ateneo• Adesione a SBN di TUTTE le biblioteche• Orientamento all’utente:

– facilità di accesso al catalogo d’ateneo– base per la gestione coordinata di servizi (servizio di

prestito)– integrazione delle risorse documentarie (monografie,

periodici, RER)• Integrazione con altri servizi (resolver, metaricerca,

webcat)


Catalogo / OPAC SEBINA

Procedura registrazione interna (autenticazione/autorizzazione per servizi on line) ; “Situazione lettore”: stato prestiti, prenotazioni, prelazioni

Database anagrafica interna (lettori)

Strumenti/ procedure riconoscimento utente

Accesso web al catalogo SEBINA UNITO, spazio per utenti registrati (salvataggio ricerche, bibliografie, novità, proposte acquisto, comunicazione con biblioteche)

Inserimento registrazioni catalografiche SBN, gestione amministrativa, servizi (es.: prestito)

FunzioniCILEAHosting

catalogo.unito.it - OPAC SOL 1.5SEBINA (v.4.5.2)Software

OPACData entry


Prestito ai lettori• Accesso regolato da “policies” a livello di biblioteche.• Ogni policy collega uno o più gruppi di utenti ad una

certa collezione e permette o nega certi tipi di operazioni sulla collezione di materiali.

• Le “policies” richiedono delle informazioni:sugli utenti Ruoli (es. Studente, ricercatore, ecc…)sui materiali delle collezioni attributi (es. General, reserve, reference) – differenti attributi possono essere associati a differenti elementi dello stesso oggetto/materiale

• Le operazioni possono essere la consultazione o le diverse tipologie di prestito


Prestito ai lettori

ConsultazioneReferenceDocente o Studente

ConsultazioneReserveStudente

prestito 15 giorniGeneralStudente

prestito 15 giorniReserveDocente

prestito 45 giorniGeneralDocente

OperazioneAttributoRuolo

Cfr . Arms 1998


Prestito ai lettori

Cfr . Arms 1998


I database dei lettori• I lettori potenziali dell’università – studenti, docenti,

personale – possono essere identificati attraverso un numero di matricola a 6 cifre

• I “lettori” dell’università appartengono all’utenza potenziale dei servizi bibliotecari: studenti attivi, personale docente inquadrato a vario titolo, personale tecnico amministrativo.

• Gli utenti potenziali sono già inseriti (a prescindere dall’utilizzo di qualunque servizio bibliotecario) in due database dell’ateneo, che nascono con altri scopi:.– studenti (gestito dalle segreterie studenti): gestione

carriere studenti immatricolazione, reiscrizione, esami, variazioni

– dipendenti (gestito dalla divisione risorse umane): immatricolazione, inquadramenti, retribuzioni, ecc.


Connessione tra database Ateneo e SEBINA

• 2 possibili soluzioni:– ideale– temporanea - attiva


Soluzione ideale• Il catalogo web based ha un suo sistema

interno di registrazione (autenticazione/ autorizzazione) a mezzo del quale si possono utilizzare servizi personalizzati.

• In uno scenario ideale:– SEBINA prestiti gestisce l’anagrafica lettori

utilizzando direttamente i dati contenuti in una vista appositamente generata dal database centrale d’Ateneo (Kernel) – o in LDAP

– L’autenticazione viene gestita interfacciando il modulo OPAC all’LDAP d’Ateneo, sfruttando user e password già usati per e-mail e altri servizi (cartellino web, login su portale ateneo, ecc.)


Soluzione ideale• Il modulo SEBINA prestiti gestisce gli atti di prestito

(associazioni fra gli inventari presenti in SEBINA e le matricole studenti e personale “viste” sul DB Kernel).– Il collegamento tra SEBINA e kernel è garantito anche dalla

matricola– I campi che descrivono il “documento” sono su Sebina– I campi che descrivono il “lettore” sono sui DB d’ateneo

• Nessuna duplicazione dei contenuti dei db impossibilitàdi disallineamenti

• Accesso alle variazioni dell’anagrafica in tempo reale• SEBINA prestiti “vede” le variazioni dei lettori (lettori

nuovi, lettori da inibire, lettori cancellati)• Il DB dei lettori “vede” la situazione dei prestiti (lettore in

ritardo, lettore da cancellare con situazioni sospese)


Soluzione ideale• a) Accesso da parte dei bibliotecari ai dati

degli utenti:• Modulo prestiti Sebina acquisizione dati utente

con variazioni in tempo reale da VISTA su Kernel

• b) Autenticazione lettore su OPAC:• Form su OPAC Inserimento credenziali (U/P

mail) conferma credenziali con check su LDAP OPAC dati lettore su modulo prestiti

SEBINA con vista su Kernel (profilatura) erogazione servizi all’utente (es.: situazione lettori su OPAC)


Problemi• La situazione ideale non è al momento

realizzabile in quanto Kernel e SEBINA prestiti usano DB diversi (Oracle e Progress)

• Inoltre:– db inseriti in reti distinte (CILEA, UNITO)– db gestiti da staff distinti per scopi distinti (SBA

Servizi digitali, Segreterie, Risorse Umane)

• Soluzione possibile: utilizzo da parte di Sebina prestiti di LDAP con attributi idonei e mantenuti con policies precise


Soluzione temporanea• EXPORT dalle anagrafiche• IMPORT periodico in Sebina (effettuato solo

l’inserimento iniziale, per ora)• Flusso:• Form web su OPAC

(credenziali=Matricola/pw utente) gestione autenticazione e profilatura su DB anagrafica in SEBINA (importata da DB Studenti e Dipendenti) Modulo prestiti SEBINA Accesso degli utenti alla loro situazione lettori su OPAC


Vantaggi• Soluzione realizzata in un tempo ragionevole• Disponibilità per la prima volta di

un’anagrafica composta da 90.000 lettori potenziali

• Accesso a informazioni utili quali:– facoltà di appartenenza– profili cui si possono associare diversi privilegi

secondo i regolamenti delle singole biblioteche (tipologie di docenti e di personale, studenti)


Criticità• Molte ore/uomo impiegate nella realizzazione

dell’export (contatti tra strutture, analisi) • Alta probabilità di disallineamenti• Qualità dei dati, nei database i dati sono

aggiornati secondo tempi e logiche a volte non compatibili con gli scopi dello SBA (non suffsensibilità su concetti di condivisione dati)

• Ore uomo da investire per ingegnerizzare gli scarichi incrementali


Criticità• Sistema di attribuzione matricola diverso per le due

macrocategorie di lettori (dipendenti e studenti)• NB: a questa anagrafica di “lettori” potenziali vanno

aggiunti lettori non “potenziali” (professionisti, visitingprofessors, ecc.) e lettori non esportati (inserimenti non effettuati per qualche ragione). Questo impatta su autenticazione / autorizzazione

• I lettori inseriti in Sebina al di fuori dell’export/import dalle anagrafiche al momento non possono utilizzare il servizio “situazione lettori”:– Utilizzando LDAP Ateneo si potrebbero inserire i lettori ospiti

nell’LDAP Guest (e quindi assegnargli una username e password scrivendo su quell’LDAP)


Autenticazione e metamotore di ricerca


Metaricerca e AuthN/AuthZ

Nel caso di un ambiente di metaricerca cisono due processi AM

• Fra utente e motore di metaricerca• Fra motore di metaricerca e resource

provider.


Metaricerca e AuthN/AuthZ

(Teets et al. 2006)


Metalib• Il servizio di metaricerca è realizzato con il

software Metalib di ExLibris• La registrazione dell’utente è facoltativa• La registrazione richiede come campi

obbligatori user ID, Institution, Portal e Nominativo. La password è obbligatoria solo per l’autenticazione in locale.

• Utente autenticato può salvare le proprie ricerche e impostare dei set personalizzati di risorse da interrogare.


Metalib e AuthN/AuthZ• Ad ogni utente sono associate tre variabili che

determinano la sua affiliation :– Istitution– Portal– User group

• L’assegnazione di una affiliation determina:– l’autenticazione dell’utente– l’autorizzazione all’accesso alle risorse– la visualizzazione dell’appropriata interfaccia

utente


Metalib• L’autenticazione degli utenti può avvenire in locale

sull’applicazione o in remoto su un server di autenticazione esterno.

• ExLibris produce un componente PDS Patron Directory Serviceche fornisce funzioni di user authentication e Single Sign On (SSO) distribuite per tutte le sue applicazioni.

• L’accesso a Metalib avviene attraverso questo modulo che a sua volta può ad esempio accedere in remoto ad un servizio di autenticazione via LDAP.

• Al momento si prevede di importare in Metalib le informazioni relative a tutti gli utenti istituzionali attraverso un export dalle anagrafiche di ateneo e la realizzazione dell’autenticazione via LDAP di Ateneo

• L’autenticazione presso i provider delle risorse avviene attraverso riconoscimento IP e/o Username/password


Autenticazione e altri servizi


Catalogazione del web• Il servizio di Catalogazione del WEB sarà

realizzato sperimentalmente con il software Scout Portal Toolkit 1.4.0

• Richiede registrazione facoltativa utente• Utente non autenticato può effettuare

search/browse delle risorse ma non interagire con la comunità

• La registrazione richiede come campi obbligatori Username, email, Nominativo. La password è generata automaticamente ma può essere successivamente cambiata. Non può essere recuperata.


Catalogazione del web• Per l’autenticazione è richiesta la digitazione di

user/password• Non prevista di default la possibilità di “agganciarsi”

ad un sistema di AM. E’ possibile importare “in massa” gli utenti.

• Utenti autenticati possono ricevere 11 diversi tipi di autorizzazione (dalla possibilità di commentare una risorsa fino ai privilegi di amministratore)

• L’autorizzazione a compiere determinate azioni non èlegata – lato Scout – ad un particolare ruolo. Per l’applicazione gli utenti non sono raggruppabili in ruoli. L’autorizzazione non modifica il modo di fruire delle risorse offerte ma le modalità di interazione con l’applicazione.


• Aperto è l’Archivio Istituzionale ad Accesso Aperto dell’Università degli Studi di Torino

• Realizzato con il software DSPACE• Richiede registrazione facoltativa utente• Utente non autenticato può effettuare browsing delle

risorse ma non interagire con la comunità• La registrazione richiede come campi obbligatori

email, Nominativo. La password è generata automaticamente ma può essere successivamente cambiata. Può essere recuperata.


• Per l’autenticazione è richiesta la digitazione di email/password

• Prevista la possibilità di “agganciarsi” ad un sistema di AM via LDAP – al primo accesso un utente èinserito in AperTO

• Utenti autenticati possono ricevere vari tipi di autorizzazione (dalla possibilità di usufruire di sistemi di alerting all’amministrazione di collezioni e comunità) solo dagli ammistratori.

• Per l’applicazione gli utenti non sono raggruppabili in ruoli. L’autorizzazione a compiere determinate azioni non è legata – lato DSPACE – ad un particolare ruolo.


SFX e NILDE• L’Università degli Studi di Torino ha scelto come openURL

resolver il prodotto SFX di ExLibris• SFX non prevede al momento l’autenticazione dell’utente.• SFX fornisce il link al documento solo se la richiesta proviene

da un IP riconosciuto dal provider o se è possibile fornire all’utente U/P per accedervi.

• Al momento non è configurato nessun servizio di DD (document delivery)

• Prospettive: Utilizzo delle credenziali di accesso prese da LDAP d’Ateneo per accedere, partendo dal menu SFX, a NILDE utente per una richiesta di DD


Decreto Pisanu• Le disposizioni del "pacchetto sicurezza" (Decreto Legge 27

Luglio 2005 n. 144) che riguardano le attività telematiche obbligano un grande numero di operatori ad acquisire e conservare i dati identificativi dei loro utenti e i "dati del traffico", cioè "chi-ha-fatto-cosa" momento per momento.

Le informazioni da conservare sono:• a) i dati anagrafici degli utenti;• b) le riproduzioni dei documenti di identità;• c) i log file dei server, che contengono i dati del traffico.

• L’ente che acquisisce i dati di chi utilizza il terminale o il servizio, rientra a pieno titolo nella nozione di "titolare" di un trattamento di dati personali ai sensi del DLgs 196/03 ed è tenuto a rispettare le norme sull'informativa, il consenso, la conservazione e la sicurezza dei dati.

Fonte InterLex <http://www.interlex.it/675/pisanu3.htm>


Decreto Pisanu• Obiettivi: gestire autenticazione usando

LDAP Ateneo per l’accesso al browser, in modo da associare ad una sessione di navigazione un singolo utente. Le sessioni vengono salvate su un log locale che contiene anche lo username


Sistema Portale d’Ateneo e servizi

bibliografici


Prospettive e conclusioni


Problemi ed esperienze• In determinati servizi, tutta l’utenza istituzionale,

opportunamente profilata, dev’essere automaticamente abilitata ad accedere – es. OPAC, metamotore in lettura.

• In altri servizi, è necessario preventivamente attribuire a determinati utenti particolari privilegi, inserendoli ad es. in un database della singola applicazione (o recuperandoli da un db istituzionale); in un secondo momento, gli utenti abilitati potranno usufruire di un LDAP per l’autenticazione. Quindi, l’applicazione specifica gestisce l’autorizzazione, l’LDAP gestisce l’autenticazione.


Problemi ed esperienze• E’ difficile avere un identificativo univoco per gli

utenti, all’interno di un’istituzione e/o nell’ambito di determinati servizi bibliografici (E-mail per D-Space, matricola per l’OPAC SEBINA associata ad N codici lettori, uno per biblioteca, ecc.).

• Nel mondo reale, il codice fiscale identifica in modo univoco una persona (ma con studenti stranieri?)

• In un’università vengono identificati ruoli – ad es. tramite una matricola, ecc. (si può avere uno stessa persona, con più ruoli – tecnico e studente, ad es.)

• Il problema delle identità multiple diventa ancora piùcomplesso se si considera i consorzi tra università o istituzioni (cfr. Gourley 2003).


Scenari ottimali per il futuro• Scenario ottimale per il futuro: Single Sign On (SSO):

autenticazione sul portale d’Ateneo e accesso diretto a tutte le risorse disponibili per l’Ateneo (incluse quelle esterne) e a tutte le Istituzioni con cui la mia è federata e con cui avviene un eventuale scambio di risorse/servizi.

• Nel caso in cui un utente disponga di più account (ruoli) dovrebbe poter scegliere con quale autenticarsi.

• L’autenticazione dovrebbe diventare sensibile sia al contesto (cioè alle azioni che sto compiendo) sia ai possibili privilegi che le mie N identità (nel caso in cui ne possegga più di una) hanno relativamente a quella azione in modo che sia automaticamente scelta quella più conveniente/completa/soddisfacente.

• …dunque Shibboleth?


Conclusioni• Positivo inizio di collaborazione tra SBA, Sistema

Portale d’Ateneo, Divisione Sistemi Informativi e centro di gestione della rete di ateneo (ReTe) per autenticazione e utilizzo condiviso dei dati presenti nei DB dell’organizzazione

• Necessità di ridisegno complessivo dei processi che coinvolgono più funzioni e di adeguamento dell’infrastruttura IT ai nuovi flussi di lavoro: ridurre la ridondanza di informazioni e il numero di operazioni riferite ad una stessa persona (gia avviato il ridisegno del processo di accreditamento degli utenti)


Conclusioni• Interesse per progetti nazionali

sull’autenticazione• Condivisione di iniziative a livello

regionale (altri atenei piemontesi, Regione Piemonte)

• Interesse per l’adozione di standard condivisi all’interno e all’esterno di UNITO


Contatti e Ringraziamenti• [email protected]• [email protected]

• Grazie per i suggerimenti e i consigli a:– Renata Riva, Enrico Francese (Staff SBA UNITO)– Alessandro Fasoli (Atlantis)– Marina Grazioli (Biblioteca Dip. di economia "S.

Cognetti de Martiis"- UNITO)– Angela Re e Baldo Cocchiara (Centro ReTe

UNITO)


Bibliografia e sitografia


Bibliografia• Arms W. “Implementing Policies for Access Management”, D-Lib

Magazine, February 1998 <http://dlib.ukoln.ac.uk/dlib/february98/arms/02arms.html>

• Harris, Mcleish and Paschoud “Authentication and Authorisation:Report to Sparta”, 2003

• R.L. "Bob" Morgan, S. Cantor, S. Carmody, W. Hoehn, and K. Klingenstein “Federated Security: The Shibboleth Approach”EDUCAUSE Quarterly Volume 27 Number 4 2004 <http://www.educause.edu/apps/eq/eqm04/eqm0442.asp>

• M. Teets and P. Murray “Metasearch Authentication and Access Management” D-Lib Magazine June 2006 Volume 12 Number 6 <http://www.dlib.org/dlib/june06/teets/06teets.html>

• D. Gourley “Library Portal Roles in a Shibboleth® Federation”Washington Research Library Consortium 2003 <http://shibboleth.internet2.edu/docs/gourley-shibboleth-library-portals-200310.html>


Sitografia• Portale dell’Università degli Studi di Torino

<http://www.unito.it/>• Servizi della biblioteca digitale dell’Università degli Studi di

Torino <http://library.unito.it/>• Sebina OpenLibrary,

<http://ics.datamanagement.it/sebina/index.html>• Metalib <http://www.exlibrisgroup.com/metalib.htm>• SFX <http://www.exlibrisgroup.com/sfx.htm>• Scout Portal Toolkit <http://scout.wisc.edu/Projects/SPT/>• DSPACE <http://www.dspace.org/>• NILDE Network Inter Library Document Exchange

<http://nilde.bo.cnr.it/>

Date post:	17-Aug-2020
Category:	Documents
Upload:	others
View:	1 times
Download:	0 times

L'autenticazione degli utenti per l'utilizzo dei servizi di biblioteca … · 2007. 3. 13. ·...

Documents