讓我們假設某個圖書館使用者需要機構內已訂閱的期刊中的一篇文章,而機構是用IP身分驗證來取得進入這家出版社;這就意謂該出版社會認得機構IP位置並允許任何來自該位置的請求得以進入,若是在這種情況下,則可理解出版社之所以會提供路徑不是使用者本人的身份,而是機構本身;然而如果該使用者是在家裡,也就不是使用機構IP位置,那麼使用IP身分驗證就會產生問題;此假設的情況下,出版社也就無法辨識機構而導致使用者無法存取。
正如同我們可能會猜想到的是IP身分驗證會有一些潛在問題,萬一我們的IP位置遭人侵入,那麼駭客就能趁機利用機構的存取服務;因出版社無法逐一辨識誰是惡意使用者,因此也別無選擇,只能將整個機構的存取服務都加以封閉,相較之下,Federated 聯合身分驗證(Federated access)則是將焦點放在個人而非機構,使用者不用操作機構內的電腦就能取得電子資源,主要是用自己在機構內的使用者名稱、密碼來存取機構有買的各種數位資源內容,這種方式稱為單一登入,這通常只需用一組驗證資訊並透過一個網路服務端的整合就能讓機構向出版社保證這些驗證資訊是正確的,然後出版社就能隨時提供存取通道。最重要的是現在無須機構IP位置,出版社一樣能提供連結通道且現在反而還能夠確定這位個別使用者是自己組織機構成員;雖然聯合單一登入是更安全的選項,但目前並非所有的網路服務業者都支援Federated
聯合身分驗證存取服務。有些業者仍依賴IP身分驗證。對於那些仍然依賴IP身分驗證的出版社來說,這就是為何 OpenAthens 要支援Federated 聯合身分驗證並讓單一登入可使用的原因,現階段OpenAthens支援的代理服務有兩種選項。
Hosted Proxy 主機代理服務
在兩種IP身分驗證服務當中,第一種是較常用託管代理,也就是由OpenAthens提供代理伺服器的代管服務及一組IP位置;使用者只要用單一登入(single sign-on,SSO)相同的使用者名稱與密碼,OpenAthens身分驗證工具就會向使用者所屬的機構驗證資訊是否正確,這可省去圖書館員要管理一個內部代理伺服器的繁瑣業務工作。
Forward Proxy 正向代理服務
另一種選項是正向代理(Forward proxy),這種方式在OpenAthens會保有類似託管代理方式的代理伺服器配置檔案,但抵達出版社的最後一段過程則由位機構基礎設施的當地系統來完成;如果每家圖書機構想要使用本身現有的IP位置而非由OpenAthens配發的新IP或是它們擁有好幾個IP位置來辨識自家機構的不同單位,那麼就會傾向使用正向代理;這類型的機構多半會很多豐富的IT資源,若是利用正向代理的方式,那麼機構就需保有一個代理伺服器並要用一種叫做Squid的免費代理伺服器工具。
只要我們的系統管理員評估過這種設定並判斷是相對安全且可持續使用,同時我們也能將這套解決方案整合到現有的代理伺服器IP基礎設施中,那麼我們當然很樂意往下一步邁進。
只要我們的系統管理員評估過這種設定並判斷是相對安全且可持續使用,同時我們也能將這套解決方案整合到現有的代理伺服器IP基礎設施中,那麼我們當然很樂意往下一步邁進。
喬治亞州線上圖書館學習GALILEO (GeorgiA LIbrary LEarning Online)聯盟是由喬治亞州境內學術與科技大專院校內的400個圖書館和K-12(幼稚園到12年級)與公立圖書館組成,其使用OpenAthens的正向代理服務。「只要我們的系統管理員評估過這種設定並判斷是相對安全且可持續使用,同時我們也能將這套解決方案整合到現有的代理伺服器IP基礎設施中,那麼我們當然很樂意往下一步邁進」;此為Russell在談到他利用正向代理的初次經驗時表示。
此正向代理服務的另一項好處是效率方面,主要還是依機構所在地點而定,從地理位置來說,若與位在英國的OpenAthens相比,我們的機構更接近內容供應商的話,那就能省下一些存取時間。
此外,正向代理的導入時間也會比託管代理要來得快,因為用託管代理須經IP來存取每家網路服務業者且都必需有OpenAthens配發新的IP位置;反觀若用正向代理,由於使用者是用自己現有的IP位置(或複數IP位置),所以出版社也就不需要將IP更新,「最後我們能更效率的取得…。透過正向代理設定還能讓我們使用機構現有的GALILEO代理IP,這也能大幅減少透過業者所花費的整體設定時間。同時既要橫跨數百家業者單位,又要為400家以上的機構新增並更新由OpenAthens管理新的代理IP,這項負擔大致上也能避免。」當Russell談到正向代理的各種好處時表示。
從使用者的角度來說,Federated 聯合身分驗證、託管代理及正向代理服務的優點在於這些都看起來相同,但使用者可用自己平時的機構內使用者名稱及密碼來當作單一登入的驗證資訊;至於到了後台,OpenAthens則可用無縫接軌方式來處理任何指令,甚至就算我們已在使用單一登入來取得任何應用程式或存取資源(透過一種SAML的銜接方式),OpenAthens的Federated 聯合身分驗證方式也能簡化管理設定並將使用者歷程加以標準化。
OpenAthens認證服務和EBSCO還有更多優點像是:
- IP/代理驗證和Federated 聯合身分驗證存取管理服務
- 產生詳細的使用統計可瞭解資源和預算配置
- 以群組和使用者角色設定為基礎的存取管理
- 友善的資源管理界面
- EBSCO全年無休的產品支援和培訓