Differences

This shows you the differences between two versions of the page.

--- damsym:roles_and_authentication [2026/01/15 16:21] – created fincons
+++ damsym:roles_and_authentication [2026/02/12 12:13] (current) – [Authentication Procedure] fincons
@@ Line 1: / Line 1: @@
-. Ruoli e Autenticazione
+====== Roles and Authentication ======
-________________________________________
-.1 Descrizione generale
+===== General Description =====
-Il sistema DaMSym  (WP4) prevede un modello di accesso controllato basato su ruoli, che determina i diritti e le funzionalità disponibili per ciascun utente.
-L’autenticazione avviene attraverso la piattaforma D4Science, che fornisce un’infrastruttura sicura e centralizzata per la gestione delle identità, utilizzando il servizio Keycloak come provider SSO (Single Sign-On).
+The DaMSym system (WP4) adopts a controlled access model based on roles, which determines the rights and functionalities available to each user.
-Tale integrazione consente agli utenti di ITSERR e RESILIENCE di accedere a tutti i tools collegati (come Ubiquity, Damsym, Sanctuaria, ecc.) utilizzando le stesse credenziali, mantenendo un controllo coerente su profili e permessi.
-________________________________________
+Authentication is performed through the D4Science platform, which provides a secure and centralized infrastructure for identity management, using Keycloak as the SSO (Single Sign-On) provider.
-.2 Tipologie di utenza
-Il sistema definisce quattro profili principali, ciascuno con un insieme specifico di funzionalità e permessi.
+This integration allows ITSERR and RESILIENCE users to access all related tools (such as Ubiquity, DaMSym, Sanctuaria, etc.) using the same credentials, while maintaining consistent control over profiles and permissions.
-Ogni ruolo determina le azioni consentite all’interno dell’interfaccia, sia per la ricerca semantica che per la gestione e revisione delle risorse.
-Ruolo	Descrizione e Permessi
+----
-Guest (Utente non autenticato)	Può accedere liberamente alla homepage e utilizzare la ricerca semantica in tutte le lingue disponibili. Non ha accesso ad aree riservate, né può aggiungere o modificare risorse.
-Researcher	Utente autenticato che, oltre alla ricerca, può aggiungere nuove risorse (Add Resource), modificare testi esistenti (Edit Texts) e aggiornare i metadati associati. Dispone inoltre della Dashboard personale per la gestione delle proprie submission.
+===== User Types =====
-Reviewer	Dispone delle stesse funzioni del Researcher, con la possibilità aggiuntiva di valutare i risultati della ricerca attraverso un sistema di feedback (rating) corredato da note descrittive. Anche i Reviewer accedono alla propria Dashboard.
-WP Lead	È il ruolo di supervisione e controllo. Oltre a tutte le funzioni precedenti, può approvare o rigettare le risorse inviate dagli altri utenti, visualizzare tutti i feedback e esportare i rating rilasciati dai Reviewer.  Dalla sua Dashboard il WP Lead può inoltre gestire i font dedicati alla lingua Slava e accedere alla sezione Corrections, dove sono raccolte le richieste di modifica relative ai testi e ai metadati inviati dai Reviewer o dai Researcher.
+The system defines four main user profiles, each with a specific set of functionalities and permissions.
-________________________________________
-.3 Accesso alla piattaforma
+Each role determines the actions allowed within the interface, both for semantic search and for resource management and review.
-L’accesso al portale DaMSym avviene tramite URL dedicato:
+^ Role ^ Description and Permissions ^
+| **Guest (unauthenticated user)** | Can freely access the homepage and use semantic search in all available languages. Has no access to restricted areas and cannot add or modify resources. |
+| **Researcher** | Authenticated user who, in addition to search functionalities, can add new resources (Add Resource), edit existing texts (Edit Texts), modify associated metadata (Edit Metadata), and add new metadata (Add Metadata). The Researcher also has access to a personal Dashboard for managing their submissions. From the Dashboard, the Researcher can access the **Corrections** section, where the list of modification requests related to submitted resources is available. |
+| **Reviewer** | Has the same functions as the Researcher, with the additional ability to evaluate search results through a feedback (rating) system accompanied by descriptive notes. Reviewers also access their personal Dashboard. From the Dashboard, the Reviewer can access the **Corrections** section to view the list of modification requests associated with evaluated resources. |
+| **WP Lead** | Supervisory and control role. In addition to all previous functions, the WP Lead can approve or reject resources submitted by other users, view all feedback, and export ratings provided by Reviewers. From the Dashboard, the WP Lead can also manage fonts dedicated to the Church Slavonic language and access the **Corrections** section, where modification requests related to texts and metadata submitted by Reviewers or Researchers are collected and managed. |
+----
+===== Platform Access =====
+Access to the DaMSym portal is provided via a dedicated URL:
 🔗 https://damsym-itserr.d4science.org
-La pagina iniziale presenta il pulsante “Login” posizionato nella parte superiore destra dell’interfaccia.
-Cliccando su di esso, l’utente viene reindirizzato alla schermata di autenticazione gestita da D4Science / Keycloak, dove può selezionare una delle seguenti modalità di accesso:
-•	Account D4Science – accesso con credenziali personali già registrate nella piattaforma;
-•	Account istituzionale federato – login tramite un provider accademico o universitario riconosciuto da RESILIENCE;
-•	Altri Identity Providers abilitati – login esterno tramite sistemi federati compatibili (ad esempio, istituzioni partner o centri di ricerca accreditati).
-________________________________________
-.4 Procedura di autenticazione
-Il flusso di accesso si articola in quattro passaggi principali:
-.	L’utente seleziona “Login” dalla barra superiore del portale.
-.	Il sistema reindirizza automaticamente alla pagina Keycloak / D4Science Login.
-.	Dopo l’autenticazione, Keycloak valida le credenziali e restituisce un token di sessione alla piattaforma DaMSym.
-.	L’utente viene riportato alla homepage, ora arricchita dalle funzionalità specifiche del proprio ruolo.
-Il sistema mantiene la sessione attiva per la durata della navigazione o fino alla disconnessione manuale tramite il menu utente. (figura 1)
+The homepage displays the “Login” button located in the upper-right area of the interface.
-Figura 1, Autenticazione
-________________________________________
+By clicking it, the user is redirected to the authentication page managed by D4Science / Keycloak, where one of the following access methods can be selected:
+  * **D4Science account** – login using personal credentials already registered on the platform;
+  * **Federated institutional account** – login through an academic or university provider recognized by RESILIENCE;
+  * **Other enabled Identity Providers** – external login through compatible federated systems (e.g., partner institutions or accredited research centers).
+{{damsym:damsym_keycloak.png?700|Keycloak}}
+----
+===== Authentication Procedure =====
+The access flow consists of four main steps:
+  * the user selects “Login” from the top navigation bar of the portal;
+  * the system automatically redirects to the Keycloak / D4Science Login page;
+  * after authentication, Keycloak validates the credentials and returns a session token to the DaMSym platform;
+  * the user is redirected back to the homepage, now enriched with functionalities specific to their role.
+The system keeps the session active for the duration of navigation or until manual logout via the user menu.
+{{damsym:damsym_user_menu.png?400|User Menu}}
+----
+===== User Menu =====
+After authentication, the user profile icon appears in the upper-right corner of the screen, opening a dropdown menu containing the following entries:
+  * **Dashboard** → access to the personal section for managing resources and feedback;
+  * **Logout** → system logout and termination of the current session.
+For users with the role of Researcher and Reviewer, the Dashboard presents a simplified view.
+Specifically, these users can access only the following sections:
+  * **Dashboard** – overview of personal resources and associated feedback;
+  * **Corrections** – section dedicated to managing modification requests related to texts and metadata.
+For WP Lead users, the Dashboard includes the following sections, displayed in order:
+  * **Dashboard** – general overview of resources and feedback;
+  * **Corrections** – section dedicated to managing modification requests related to texts and metadata;
+  * **Add Fonts** – section for managing and adding fonts specific to the Church Slavonic language;
+  * **Ratings Export** – functionality dedicated to exporting feedback (ratings) provided by Reviewers.
+----
+===== Session Timeout and Security =====
+For security reasons, the system implements a session timeout mechanism.
+In case of prolonged inactivity, the user is automatically logged out and redirected to the login page.
+Authentication is entirely managed by D4Science / Keycloak, ensuring compliance with European data protection standards (GDPR) and with OAuth2 and OpenID Connect security protocols.
+All credential exchanges occur in encrypted form (HTTPS/TLS).
+----
+===== Anonymous vs Authenticated Access: Summary =====
+^ Functionality ^ Anonymous Access (Guest) ^ Authenticated Access (Researcher / Reviewer / WP Lead) ^
+| Semantic search execution | ✔️ | ✔️ |
+| Results visualization | ✔️ | ✔️ |
+| Add resources | ❌ | ✔️ |
+| Edit texts / metadata | ❌ | ✔️ |
+| Feedback submission | ❌ | Reviewer (submission); WP Lead (view only) |
+| Dashboard access | ❌ | ✔️ |
+| Rating export | ❌ | WP Lead only |
+----
-.5 Menu utente
+===== Logout =====
-Dopo l’autenticazione, nella parte superiore destra della schermata appare l’icona del profilo utente (figura 2), che apre un menu a discesa contenente le seguenti voci:
-•	Dashboard → accesso alla sezione personale di gestione delle risorse e dei feedback;
-•	Logout → disconnessione dal sistema e chiusura della sessione corrente.
-Per gli utenti WP Lead, all’interno della Dashboard sono presenti le seguenti sezioni, visualizzate in ordine:
-•	Dashboard – panoramica generale delle risorse e dei feedback;
-•	Corrections – area dedicata alla gestione delle richieste di correzione dei testi e dei metadati;
-•	Add Fonts – sezione per la gestione e l’aggiunta dei font specifici per la lingua Slava;
-•	Ratings Export – funzionalità dedicata all’esportazione dei feedback (rating) rilasciati dai Reviewer.
+Logout is performed by selecting the “Logout” entry from the user menu.
-Figura 2, Menu utente
-________________________________________
+At the end of the session, the user is redirected to the public homepage in guest mode, temporarily losing access to all restricted functionalities.
-.6 Scadenza sessione e sicurezza
-Per motivi di sicurezza, il sistema implementa un meccanismo di session timeout:
-in caso di inattività prolungata, l’utente viene automaticamente disconnesso e reindirizzato alla pagina di login.
-L’autenticazione è interamente gestita da D4Science/Keycloak, che assicura la conformità agli standard europei di protezione dei dati (GDPR) e ai protocolli di sicurezza OAuth2 e OpenID Connect.
-Tutti gli scambi di credenziali avvengono in modo cifrato (HTTPS/TLS).
-________________________________________
-.7 Accesso anonimo e autenticato: confronto sintetico
+----
-Funzionalità	Accesso anonimo (Guest)	Accesso autenticato (Researcher / Reviewer / WP Lead)
-Esecuzione ricerca semantica	✔️	✔️
-Visualizzazione risultati	✔️	✔️
-Aggiunta risorse	❌	✔️
-Modifica testi / metadati	❌	✔️
-Inserimento feedback	❌	Reviewer e WP Lead (visualizza)
-Accesso alla Dashboard	❌	✔️
-Rating Export	❌	Solo WP Lead
-________________________________________
-.8 Logout
-La disconnessione avviene selezionando la voce “Logout” dal menu utente.
-Al termine della sessione, l’utente viene reindirizzato alla homepage in modalità pubblica, perdendo temporaneamente tutte le funzionalità riservate.