Nelli-Tunnis on kehitetty nimenomaan yleisiä kirjastoja varten, ja sitä voidaan nykyisellään käyttää ATP Origon ja PallasPron kanssa. Nelli-Tunniksen tarkoituksena on mahdollistaa kirjautuminen Nelliin (PDS:ään) käyttäen omaa kirjastokorttia ja pin-koodia. Toisin sanoen se korvaa esim. Shibbolethin tai LDAP:n, joita käytetään yleisesti yliopistojen ja ammattikorkeakoulujen käyttäjien kirjautumisessa.

Käyttäjän tunnistus Nelli-portaalissa yleisissä kirjastoissa

Nelli-portaali tarjoaa vapaiden aineistojen lisäksi pääsyn kirjastojen lisensioimiin aineistoihin. Käyttäjä pitää pystyä tunnistamaan kirjaston asiakkaaksi ennen kuin lisensioitujen aineistojen käyttö sallitaan. Tunnistautuneelle käyttäjälle voidaan myös tarjota ns. personoidut palvelut (uutuusvahdit, kirjahylly yms.). Yleisten kirjastojen Nelli-portaalit eroavat yliopistojen ja ammattikorkeakoulujen portaaleista sikäli, että niillä on käyttäjiä useista kirjastoista, eikä yhdellä portaalilla ole yhtä omaa kotiorganisaatiota. Tämä asettaa autentikoinnillekin uusia vaatimuksia. Yhden portaalin käyttäjien autentikointiin pitää voida käyttää kaikkien siihen kuuluvien kirjastojen asiakasrekistereitä. Tähän tarkoitukseen on suunniteltu Nelli-Tunnis -palvelu. Sitä käyttämällä käyttäjä voi valita kirjaston, jonka asiakasrekisteriin haluaa kirjautua, ja ko. kirjaston järjestelmä vahvistaa käyttäjän kirjautumisen ja palauttaa tarpeelliset tiedot.

Tekniikka

Nelli-Tunnis on suunniteltu mahdollisimman kevyeksi ja helpoksi toteuttaa. Tavoitteena on riittävä turvallisuus ilman liiallista mutkikkuutta järjestelmien tai käyttäjän kannalta. Käytännössä autentikointi tapahtuu näin:

• Käyttäjä valitsee Nelli-portaalissa sisäänkirjautumisen
• Nelli-Tunnis palauttaa asiakkaan täytettäväksi lomakkeen, jossa on seuraavat tiedot:
  • Kirjaston valinta
    • Nelli-Tunnis listaa tähän ko. portaalin jäsenkirjastot, joita autentikoinnissa voidaan käyttää
  • Viivakoodi
  • PIN-koodi (salasana)
• Asiakas valitsee kirjaston ja syöttää viivakoodin ja salasanan
• Nelli-Tunnis lähettää valitun kirjaston palvelimelle autentikointipyynnön suojatulla HTTPS-yhteydellä POST-metodia käyttäen
• Palvelin palauttaa vastauksen XML-muodossa

Palvelun käyttö edellyttää suojattua HTTPS-yhteyttä, jolla huolehditaan siitä, etteivät käyttäjän tiedot liiku salaamattomina Internetissä. Kustannusten minimoimiseksi palvelu ei edellytä yleisesti luotetun tahon allekirjoittamaa SSL-sertifikaattia, vaan myös ns. itse allekirjoitettu (selfsigned)sertifikaatti kelpaa. Suositeltava merkistö kaikessa liikenteessä on UTF-8, mutta tarvittaessa voidaan käyttää myös ISO-8859-1:tä tai ISO-8859-15:tä. Autentikointipyynnössä lähetetään seuraavat parametrit normaalilla application/x-www-formurlencoded-enkoodauksella:

• id (käyttäjän syöttämä id, käytännössä siis viivakoodi)
• verification (PIN-koodi tai salasana)
• service (palvelun tunniste, esim. nelli)

• mahdolliset järjestelmäkohtaiset lisäkentät (esim. formid=xyz)

Vastauksena saadaan XML-tietue, jossa on seuraavat elementit auth-juurielementin (jossa pakollinen version="1.0" -attribuutti) alla:

• status (autentikointipyynnön status)
• id (käyttäjän id, käytännössä siis viivakoodi. HUOM! Tulee säilyä yksilöivänä vähintään vuoden.)
• name (käyttäjän nimi)
• email (käyttäjän sähköpostiosoite)
• language (käyttäjän käyttökieli, ISO 639-2:n mukainen kolmekirjaiminen kielikoodi)

Esimerkit

Lähetettävä POST-pyyntö: 

XML-vastaus:

Jos autentikointi epäonnistuu (id tai verification pielessä, tai niillä ei pääse service-attribuutin
määrittelemään palveluun), palautetaan virhe:

Jos autentikointipalvelu ei ole juuri nyt käytettävissä:

XML-Skeema

Simppeli XML-skeema kirjaston palvelimen palauttamasta vastauksesta. Skeema ei ole mitenkään täydellinen, mutta onpahan ainakin suuntaa-antava.

Sivut, joissa käsitellään aihetta"etäkäyttö tai tunnistautuminen"