Jak USOS współpracuje z CUS czyli o autoryzacji użytkowników w serwisach internetowych UW

Janina Mincer-Daszkiewicz, Wydział MIM
Przemystaw Baszkiewicz, Dziat Sieciowy ICM

Wyobrażmy sobie taki oto scenariusz...
Janek Kowalski, świeżo upieczony maturzysta, chce zostać studentem Wydziału Prawa i Administracji Uniwersytetu Warszawskiego. Rejestruje się w systemie Internetowej Rejestracji Kandydatów (IRK), a po zakończeniu procesu kwalifikacji w tym samym serwisie dowiaduje się, że znalazt się w grupie szczęśliwców zakwalifikowanych na studia. W ustalonym terminie jedzie na jeden dzień do Warszawy, żeby ztożyć dokumenty. Po kilku dniach otrzymuje list przesiany pocztą elektroniczną, że zostat immatrykulowany elektronicznie w Uniwersyteckim Systemie Obsługi Studiów (USOS) i że automatycznie uzyskat dostęp do serwisów internetowych uczelni przeznaczonych dla studentów. List nie zawiera szczegółów dotyczących założonych Jankowi kont, gdyż identyfikator i hasto zostaty przeniesione z systemu IRK, więc nasz student je dobrze zna. Janek jeszcze przed ostatecznym przyjazdem do Warszawy w celu rozpoczęcia studiów ogląda w wydziałowym USOSweb swój plan zajęć, wchodzi na strony systemu do rejestracji na zajęcia przeznaczone dla wszystkich studentów UW (UL), wybiera sobie grupę z ptywania dla zaawansowanych, lektorat z angielskiego - poziom średni, a jako przedmiot wolnego dostępu bardzo ciekawie brzmiący wyktad "Tajemnica wszechświata" z oferty Wydziatu Fizyki. Wchodzi na strony serwisu poczty uniwersyteckiej (Poczta UW), żeby zatożyć sobie konto pocztowe. Wybiera adres pocztowy j.kowalskitSstudent. uw.edu.pl. Teraz wszyscy odbiorcy jego listów będą wiedzieli, że jest studentem prestiżowej uczelni!
Czy to realne i co wspólnego ma z tym CUS?
Ależ oczywiście, przecież tak to wtaśnie się odbywa na UW, choć może nie wszyscy do końca zdają sobie sprawę jak to się dzieje i być może nie wszystkie wydziały UW wykorzystują istniejące możliwości. Każdy student wpisany do USOS podczas elektronicznej immatrykulacji staje się automatycznie znany wszystkim serwisom intemetowym UW dzięki usłudze, określanej skrótem CUS (co daje się zabawnie wymawiać jako cóś), pochodzącym od nazwy Centralne Uwierzytelnianie Studentów. Skrót jest nieco mylący, bo CUS może służyć nie tylko studentom, lecz także pracownikom (o tym będzie mowa później). Zadaniem CUS jest przechowywanie profili (nazw ustug czy serwisów) , identyfikatorów i haseł. Typowy student będzie miał zdefiniowanych kilka profili dających dostęp do następujących serwisów:
* centralne uwierzytelnianie przy użyciu CUS (tak, to przecież też jest usługa, do której musimy mieć uprawnienia), * poczta uniwersytecka (Poczta UW), * UL, czyli system do rejestracji na zajęcia przeznaczone dla wszystkich studentów UW, * wydziałowy USOSweb (nazwa profilu zależy od usytuowa- nia serwisu w Internecie). Student studiujący równolegle na różnych wydziałach może mieć dostęp do więcej niż jednego USOSweb.
CUS petni rolę ustugową w stosunku do różnych serwisów internetowych na UW udostępniających ustugi, uwierzytelniając użytkowników tych serwisów, czyli potwierdzając ich uprawnienia do korzystania z oferowanych ustug. Gtównym celem wprowadzenia CUS byto zgromadzenie identyfikatorów i haset użytkowników w jednym miejscu, dostępnym bezpośrednio dla wszystkich serwisów internetowych, dzięki czemu użytkownik może we wszystkich posługiwać się jednym hasłem.
Jak to wszystko działa? Popatrzmy na rysunek 1.

Sercem tego systemu jest USOS jako centralne repozytorium danych o studentach UW. To tutaj musi trafić informacja o uprawnieniach do korzystania z serwisów intemetowych uczelni. W przypadku studentów trafia bądź podczas elektronicznej immatrykulacji (tak jak w przypadku naszego Janka), bądź później w trakcie studiów (wydział może przyznawać studentom uprawnienia do pewnych usług na wyższych latach). W każdym przypadku do USOS dane są wprowadzane przez pracowników dziekanatu macierzystej jednostki studenta. Tylko tam bowiem wiadomo jakie uprawnienia przysługują studentowi realizującemu dany program studiów.
USOS otrzymane dane o profilach, identyfikatorach i hasłach od razu przekazuje do CUS. To właśnie CUS ma te dane przechowywać i dostarczać na żądanie innym serwisom. USOS sam się nie zajmuje uwierzytelnianiem - ma za dużo innych obowiązków. Korzystają z niego w codziennej pracy dziekanaty wszystkich wydziałów i to one mają najwyższy priorytet. Absorbujące zadanie wystawiania "listów uwierzytelniających" klientom serwisów intemetowych UW musi być delegowane do CUS jako podwykonawcy.
Z chwilą gdy dane o koncie znajdą się w CUS, niektóre serwisy internetowe mogą od razu zacząć go odpytywać o swoich użytkowników. Takim serwisem jest system poczty uniwersyteckiej czy dostępny w COME (Centrum Otwartej i Multimedialnej Edukacji) system do obsługi kursów intemetowych. Inne, takie jak USOSweb czy UL, muszą poczekać na najbliższą migrację danych - ponieważ ilość informacji wymienianych między tymi serwisami a USOS jest bardzo duża, więc przekazanie danych o profilach nie odbywa się natychmiast, tylko w czasie synchronizowania danych, które przeprowadza się najczęściej w godzinach nocnych.
Załóżmy, że USOSweb czy UL dowiedziały się już o przyznanych studentowi uprawnieniach. Student wpisuje na stronie głównej serwisu swój identyfikator i hasło. System w pierwszej kolejności sprawdza, czy student ma prawo do dostarczanej usługi, czyli czy utworzono dla niego właściwy profil. Jeśli nie, to odmawia dalszej współpracy. Jeśli natomiast student ma prawo do usługi, to system wysyła profil, identyfikator i hasło do CUS i prosi o sprawdzenie. Teraz CUS przeszukuje swoje zasoby. Jeśli identyfikator i hasło są poprawne, to odpowie twierdząco, dzięki czemu student będzie mógł skorzystać z usługi. Jeśli natomiast nie, to odpowiedź będzie przecząca i student zostanie ponownie poproszony o wprowadzenie identyfikatora i hasła.
Czasami wyglądało nieco prościej. System Poczta UW wymagała od studentów profili, ale nie sprawdza ich sam (bo ich nie dostaje z USOS), lecz zawsze od razu wysyła zapytanie do CUS. Utrzymywana w COME platforma edukacyjna dziata na jeszcze innych zasadach. Jest z założenia dostępna dla wszystkich studentów UW, ale na niektóre kursy trzeba się wcześniej zarejestrować w UL. Dlatego nie tworzy się żadnych profili dających uprawnienia do korzystania z platformy edukacyjnej. System dopuszcza do niej każdego użytkownika znanego w CUS, ale potem weryfikuje prawo do korzystania z konkretnego kursu kontaktując się bezpośrednio z USOS, żeby się upewnić, że student dopełnił obowiązku rejestracji

Rysunek 2. Platforma edukacyjna COME - ekran logowania Nie zawsze to USOS jest źródtem danych dla innych systemów, czasami informacja jest przekazywana w drugą stronę. Tak jest w przypadku systemu Poczta UW, który wysyta do USOS adres pocztowy przypisany do nowo utworzonego konta (por. rysunek 1). Dokładniej może przekazać, bo wykonywana akcja zależy od decyzji wtadz wydziału. Możliwe są trzy scenariusze: wymuszone wstawienie adresu z serwera uniwersyteckiego, pozostawienie dotychczasowego adresu (zwykle jest to adres z serwera wydziałowego), danie studentowi możliwości wyboru czy chce zapisać nowy adres w USOS, czy pozostawić tam dotychczasowy.
Wspaniale, ale co robić gdy zapomnimy hasło?
O ile łatwiej jest poruszać się w wirtualnym świecie systemów UW, gdy wystarczy do tego jedno hasło do wszystkich serwisów. Nawet jeśli student po wejściu do któregokolwiek z nich, np. USOSweb, zmieni swoje hasło, to ten połączy się z CUS i przekaże mu nowe dane (USOSweb przecież sam nie przechowuje haseł). Oznaczało, że jeśli za chwilę student będzie chciał skorzystać z innego serwisu, np. UL lub poczty elektronicznej, to będzie mógł używać od razu nowego hasła.
Jeśli jednak to hasło będące kluczem do wszystkich drzwi wyleci nam z głowy, to wszystkie drzwi od razu zamkną się przed nami na dobre! Co wówczas? Jest tylko jeden bezpieczny sposób - trzeba udać się osobiście do dziekanatu i poprosić o zmianę hasta. Każdy pracownik dziekanatu powinien to zrobić od ręki i tylko on może to zrobić, bo przecież zaczęliśmy od tego, że to właśnie tylko tam student jest znany, rozpoznawany i może domagać się uprawnień do korzystania z systemów intemetowych. A dlaczego wymaga to osobistego stawienia się na uczelni? Ktoś musi sprawdzić tożsamość osoby proszącej o nowe hasło, między innymi żeby wykluczyć przypadek gdy jeden student drugiemu chce zrobić psikusa - pra- cownik dziekanatu albo zna studenta osobiście, albo sprawdzi jego zdjęcie przechowywane w USOS i dodatkowo poprosi go o wylegitymowanie się.
A jak CUS przestanie działać?
Trzeba także zdawać sobie sprawę z zagrożeń. CUS, tak jak USOS, uróst do rangi kluczowej ustugi na UW. Niedostępność CUS powoduje, że studenci nie mogą się rejestrować na lektoraty, sprawdzać swoich ocen w USOSweb, czy zakładać kont w poczcie uniwersyteckiej, a pracownicy dziekanatów nie mogą immatrykulować studentów. CUS musi być dostępny praktycznie bez przerw - tak jak bank internetowy czy system rezerwacji biletów lotniczych.
CUS został więc zrealizowany tak, aby minimalizować konsekwencje awarii - pracuje nie na jednym, a na dwóch catodobowo monitorowanych serwerach, które mogą się automatycznie wzajemnie zastępować w razie awarii. Dzięki temu ewentualne uszkodzenia można usuwać bez przerwy w funkcjonowaniu serwisu.
Współpraca USUS i CUS w akcji, czyli poczta elektoniczna dla studentów
Jednym z pierwszych znaczących efektów wdrożenia CUS było umożliwienie obsługi studenckich kont poczty elektronicznej na uczelni.
System pocztowy dla studentów jest usytuowany na dedykowanym, monitorowanym całodobowo serwerze. Udostępnia wszystkie podstawowe usługi, takie jak możliwość kierowania przychodzących listów na inny adres pocztowy, archiwizowania jej w folderach, czy wysyłania załączników, a także chroni skrzynki użytkowników przed wirusami, robakami internetowymi i spamem, czyli niechcianą pocztą. System ma własną stronę pomocy, na której można znaleźć odpowiedzi na pytania najczęściej zadawane przez użytkowników. Jeśli nasze problemy są typowe, to jest duża szansa, że znajdziemy tam odpowiedź na nurtujące nas pytania.
Jednak to nie funkcjonalność, zupełnie niewyróżniająca się w dzisiejszych czasach, powoduje, że system ten ma szansę stać się znaczącym krokiem naprzód w informatyzacji uczelni. Po pierwsze należy pamiętać, że studentów jest okoto 60 tysięcy i tradycyjna obstuga przez zbieranie indywidualnych wniosków i ręczne zakładanie kont zwyczajnie nie wchodzi w rachubę. Dzięki danym dostępnym z USOS założenie konta studenckiego jest niezwykle proste. Wystarczy w przeglądarce wpisać adres http://poczta. student.uw.edu.pl, a znajdziemy się na stronie pokazanej na rysunku 3.

Rysunek 3. Strona powitalna systemu poczty UW dla studentów
Prawo do korzystania z serwisu mają wszyscy studenci UW, niezależnie od realizowanego programu studiów, nawet wówczas, gdy macierzysty wydział utrzymuje własny serwer pocztowy. Wyrazem tego uprawnienia jest profil, który zakłada studentowi w USOS pracownik dziekanatu macierzystej jednostki. Konto w systemie pocztowym może sobie założyć każdy student, który zostanie uwierzytelniony przez CUS bez zbędnego stania w kolejkach, składania podań lub wypełniania wniosków. Zapomniane hasło zmieni mu pracownik w dziekanacie.
Po drugie centralny system USOS wraz z CUS pozwala na zakładanie jednolitych, profesjonalnie wyglądających adresów dla wszystkich studentów uczelni. Jest on tworzony z kombinacji imion (inicjały lub pełne imię) i nazwiska użytkownika, przy czym zapisuje się go alfabetem łacińskim bez polskich znaków diakrytycznych. W przypadku powtarzających się identyfikatorów uzupełniany jest wyróżnikiem cyfrowym na końcu. Adres pocztowy ma postać identyfikator@ student.uw.edu.pl. Prośba o kopię artykułu, możliwość uczestniczenia w stażu czy wygłoszenie referatu na spotkaniu koła naukowego wystana z adresu uniwersyteckiego zostanie potraktowana dużo poważniej i przyzwyczaja studenta do stosowania właściwych konwencji w przyszłym życiu zawodowym. Należy tu dodać, że podkreśleniem służbowego charakteru poczty elektronicznej jest też fakt, iż system nie dołącza do wysyłanych listów żadnych tekstów reklamowych. Nie grozi nam także, że baza adresów zostanie przekazana podmiotom trzecim, co jest nagminnie praktykowane w serwisach pocztowych udostępnianych bezpłatnie przez prywatnych dostarczycieli.
Po trzecie adresy stają się łatwo dostępne do wykorzystania w codziennej korespondencji studentów i wykładowców. Adres ten może być przekazywany do USOS, o czym była mowa już wcześniej. Z USOS trafi zaś do innych serwisów internetowych i będzie wykorzystywany w wielu miejscach, np. na tworzonej automatycznie w USOSweb stronie domowej studenta, czy w module U-MAIL systemu USOSweb, który umożliwia grupowe komunikowanie się studentów i pracowników, którzy mają wspólne zajęcia. Czy to nie miłe dostać wieczorem list "Odwołuję jutrzejszy poranny wykład z powodu nagłego wyjazdu na konferencję. Twój Profesor"? Wystanie z USOSweb listu do wszystkich studentów uczęszczających na wykład jest tak proste, że żadnemu profesorowi nie powinno sprawić ktopotu. Współpraca systemu poczty elektronicznej i USOS otwiera zupełnie nowe możliwości w funkcjonowaniu naszej uczelni.
Czy trudno jest założyć sobie konto pocztowe? No cóż, żeby się o tym przekonać, trzeba spróbować. Gorąco do tego zachęcamy. Wydaje się zresztą, że studentów nie trzeba specjalnie zachęcać: w ciągu dwóch pierwszych tygodni działania systemu konta założyło ponad 2000 użytkowników, a obecnie dziennie przybywa około 100 nowych.
Jakie inne możliwości stwarza centralny serwer uwierzytelniania?
Systemy, które obecnie wykorzystują nowy mechanizm uwierzytelniania, są głównie związane z dydaktyką. USOSweb, który jest przeznaczony zarówno dla studentów, jak i dla nauczycieli akademickich, wszystkich uwierzytelnia w ten sam sposób, tak więc pracownicy związani z dydaktyką również muszą otrzymywać profile i hasła, które zostaną przekazane do CUS. Do ich tworzenia są uprawnione macierzyste dziekanaty. USOS jednak nie zawiera danych pozostałych pracowników. Wynika to z faktu, iż do przechowywania danych o pracownikach zasadniczo stuży nie USOS (będący systemem do obsługi spraw studiów), lecz HMS (system kadrowo-finansowy). Potrzebny jest zatem mechanizm automatycznego uaktualniania danych pracowniczych w USOS na podstawie danych w HMS. Aby rozwiązać ten problem rozpoczęto prace, które doprowadzą do integracji USOS i HMS - dwóch podstawowych systemów informacyjnych UW. Gdy się zakończą, pracownicy, tak jak studenci, będą mogli w pełni korzystać z możliwości CUS.
Jest wiele innych systemów, które mogłyby korzystać z danych zgromadzonych w CUS i z elastycznego mechanizmu profili po ostatecznej integracji danych pracowniczych i studenckich w USOS. Są plany objęcia kampusów UW lokalnymi sieciami radiowymi, które na pewno będą wymagały uwierzytelniania. Również ogólnodostępne laboratoria komputerowe wymagają sprawdzania uprawnień (takie laboratorium powstało w wyremontowanym budynku starego BUW). Własnymi bazami haseł posługują się na dzień dzisiejszy zbudowane niedawno sieci komputerowe w domach studenckich, system obsługi użytkowników BUW i system kont pracowniczych Poczty UW. Część wydziałów nadal korzysta z własnych lokalnych systemów uwierzytelniania w dostępie do lokalnej sieci, serwerów i usług (portali wydziałowych, serwerów pocztowych). Centralny portal UW mógłby udostępniać treści, które wymagałyby ochrony hastem (chronione zbiory różnych grup użytkowników, takich jak zespoły badawcze, członkowie Senatu UW, komisji senackich itp.). Możliwych zastosowań jest z pewnością więcej.
Reasumując, mając z jednej strony USOS jako centralne repozytorium danych o studentach i pracownikach UW, grupach użytkowników zgromadzonych wokół wspólnych zadań i uprawnieniach, z drugiej zaś CUS jako centralne repozytorium haseł można stworzyć siatkę współpracujących ze sobą systemów informacyjnych. Efekt będzie taki, że dane o uprawnieniach będą trafiać z wielu rozproszonych miejsc do jednej wspólnej bazy, a stąd do jednego wspólnego centrum uwierzytelniania, które będzie pełnić rolę usługową wobec wszystkich systemów.
Kto za tym stoi?
Za realizację i utrzymywanie usług Poczta UW i CUS odpowiadają pracownicy Działu Sieciowego ICM, rozwój USOS jest w rękach Wydziału Matematyki, Informatyki i Mechaniki, internetowa platforma edukacyjna jest obsługiwana i rozwijana przez COME, a wdrażaniem USOS na UW zajmuje się Dział Aplikacji Komputerowych. Przygotowanie współpracy CUS z systemami USOS, IRK, Poczta UW, UL, USOSweb, COME wymagało intensywnej pracy wielu pracowników wymienionych jednostek.