Единая точка входа в личный кабинет

В связи с развитием технологий, большинство образовательных учреждений стремится к информатизации образования, предпочитая планировать, организовывать и контролировать учебный процесс, интегрированный с электронными ресурсами, в замену тому, чтобы использовать методы, связанные с бумажным носителем. В связи с множеством ресурсов, поднимается вопрос эффективности управления безопасностью и контроля учетных записей. В результате анализа текущей IT-инфраструктуры ФБГОУ ВО «Красноярский государственный аграрный университет», стало известно, что используется множество ресурсов, доступ к которым независим между собой и пользователь вынужден регулярно проходить аутентификацию на каждом из них, то есть для каждого пользователя существует несколько несвязанных с собой учетных записей. В связи с этим, помимо того, что пользователь должен помнить логин и пароль от каждого ресурса для получения доступа к своей учетной записи, зачастую используются простые данные для ввода и запоминания. В результате этого, аккаунт становится уязвимым к атакам, и заполучить данные пользователя не составляет большого труда. Также использование не- скольких учетных записей может повлечь за собой противоречивость данных.

Помимо неудобств со стороны пользователя ресурса, такая схема неудобна и для администрирования. Так, при зачислении студента, учетные записи создаются администратором для каждого ресурса отдельно, а регистрация на них для нового пользователя недоступна в соответствии с требованиями к ресурсам. В таком случае объем работы увеличивается пропорционально количеству веб-ресурсов, учетную запись для которых необходимо добавить. Также, безопасностью для каждого ресурса необходимо управлять отдельно, что является минусом такой организации хранения данных пользователей. Поэтому решение вышеописанных проблем является актуальным, решить которые можно с помощью создания единой точки входа.

В настоящий момент функционируют следующие площадки, для которых, планируется объединить учетные записи студента, а именно веб-клиент электронной почты от RoundCube доступная по адресу mail.kgau.ru, электронная информационнообразовательная среда на базе 3KL Русский Moodle доступная по адресу e. kgau.ru и внутренний портал КрасГАУ, личный кабинет студента на базе

Одним из способов решения поставленной проблемы является изменение схемы аутентификации с использованием клиент-серверного протокола доступа к каталогам – LDAP [1], благодаря которому администрирование и управление веб ресурсами станет эффективнее и удобнее, так как он более ориентирован для настройки аутентификации, сравнения и управления учетными записями.

Текущая схема аутентификации для студента выглядит следующим образом, указанном на рисунке 1, а схема администрирования указана на рисунке 2.

Рис. 1. Схема входа в личный кабинет

Рис. 2. Схема администрирования учетных записей

Измененная схема аутентификации, составленная с учетом проведенного анализа указана на рисунке 3.

Рис. 3. Измененная схема входа в личный кабинет

Для реализации такой схемы в качестве LDAP-сервера было решено использовать специализированный дистрибутив, базирующийся на Linux – Zentyal 7.0, так как он написан для решения подобных задач и содержит в себе необходимый пакет серверного программного обеспечения, в который также входит встроенный модуль управления LDAP [2].

После развертывания и настройки, LDAP-сервер был интегрирован с системой Moddle и почтой. Это было сделано с помощью указания адреса сервера, проведения минимальных настроек и сопоставления необходимых атрибутов для работы процесса идентификации.

Для управления учетными записями портала, используется модуль «Управление ЭИОС» внутри системы 1С:Университет ПРОФ [3]. Помимо того, что данный модуль отвечает за выполнение входа в аккаунт на portal.kgau.ru, дописанные процедуры позволяют вносить изменения пользователей для LDAP-сервера в ту же форму, что используется для управления учетными записями портала. Таким образом, после внесения изменений, данные с единой формы используются как для портала, так и в процессе обмена данными с LDAP-сервером. В обмене с LDAP-сервером участвуют следующие данные: ФИО, адрес почты, логин, пароль и группа доступа. После передачи данных LDAP-серверу, он формирует запрос на внесение данных в базах Moodle и почты. Такой алгоритм используется при администрировании, упрощая этот процесс и уменьшая объем выполняемой работы по сравнению предыдущим используемым алгоритмом. Также, каждый из ресурсов имеет свою внутреннюю базу, однако ранее она использовалась для аутентификации, авторизации, и идентификации пользователя, но в измененной схеме, внутренняя база служит только для их идентификации.

В соответствии с данной схемой, при попытке входа в аккаунт, выбранный ре- сурс обратится к LDAP-серверу с целью проверить соответствие логина и пароля в базе данных и при успешной аутентификации, следующим шагом является авторизация, то есть определение прав пользователя. После чего сервер возвращает токен веб-ресурсу, далее с использованием внутренней базы данных происходит идентификация и выполняется вход в аккаунт. Данный алгоритм применим к ресурсам почты и электроннообразовательных курсов.

При попытке входа в аккаунт на портале, процессы аутентификации, авторизации и идентификации будут происходить с помощью 1С:Университет ПРОФ, т.к. обращение к LDAP не имеет смысла, в связи с тем, что база 1С:Университет ПРОФ является центром управления учетным записями.

После изменения схемы входа в личный кабинет, администратору для внесения изменений данных пользователей, достаточно изменить данные только в системе 1С:Университет ПРОФ, после чего изменения будут применены для всех вебресурсов.

Таким образом, благодаря изменению схемы, хоть и для обычного пользователя ничего не изменилось, кроме использования единого логина и пароля, для администратора объем работы уменьшился в три раза, а все данные пользователя хранятся в одной базе и управляются едино. Это также несет в себе ряд преимуществ для системы, такие как эффективность контроля, уменьшение избыточности и исключение противоречивости данных, а также прозрачность расположения. Более того, текущая схема входа в личный кабинет унифицирована и позволяет добавлять другие веб-ресурсы, которые также будут использовать базу 1С:Университет ПРОФ для управления учетными записями, а процесс входа и управление учетными записями будет аналогичным как для moddle и почты.