Upload
andreas-akre-solberg
View
134
Download
6
Embed Size (px)
Citation preview
Feide / DataportenTrondheim, 26. januar 2016
[email protected] Åkre Solberg
2
Feide
ServiceProvider
SAML 2.0
WebSSOSAML 2.0 is specialized for Single Sign-On
SAML 2.0: KUN autentisering + SSO
Generelt behov for mer data. Spesielt grupper.
Behov for tilgangsstyring til APIer
Vanskelig å tilfredstille nye behov med Feides tekniske rammer.
My plattform: for data.
Connect
Fokus på data. API-er og ikke kun WebSSO.
Ny teknologi.
Fleksibel og utvidbar
OpenID Connect
OAuth Server
OAuth protectedHTTP
PlattformService A Service B
ClientsApplications Services
Service B Service … Service X
OpenID Connect
OAuth Server
OAuth protectedHTTP
Dataporten
Authentication
IDporten guestseduGAIN
Groups
FSFeide
…PeopleSearch
adhoc
ClientsApplications Services
OAuth protectedHTTP
Data provider
Service Y
Service Z
API Gatekeeper
FeideFeide
platformAPI
User info
Modell for juridisk grunnlag for utlevering av personlige data
To hovedklasser:
Personlig samtykke og frivillig bruk.
Obligatorisk bruk i undervisningen: databehandleravtale med mer.
Disse to klassene bygges inn i Dataporten.
7
Initier pålogging fratjenesten
Valg av institusjon
Kontovelger
Pålogging Samtykke Tjeneste
Andre gang man logger på får man kontovelgeren istedenfor.
Samtykke vises bare første gang man går til en ny Connect-tjeneste.
Initier pålogging fratjenesten Kontovelger Single
SignOn Tjeneste
Login flyt
8
Valg av organisasjon
erstatter Feides valg av org.
inkrementell søk
sortering etter avstand. logoer og koordinater.
Legger også til alternative påloggingsvalg: sosiale nett og IDporten.
Introduserer internasjonal pålogging med selektor for land.
Vises veldig skjelden. Kun første gang per bruker per maskin/nettleser
9
Kontovelger
innfører click-trough for SSO
oppmerksomhet rundt hvilken rollen man logger inn på tjenesten som.
I fremtiden kan dette representere rolle-valg.
En variant av det å huske hvilken institusjon man valgte å logge inn med forrige gang, og samtidig holder åpent muligheten for å velge annerledes denne gangen.
10
Samtykke
Erstatter Feides info om overføring av attributter.
11
Testet, ikke helt klart i piloten enda…
Kobling til de fleste utdanningsinstitusjoner i Europa (høyere utdanning)
Connect avlaster mye av kompleksiteten for tilkobling til eduGAIN.
SAML 2.0 metadata publisering og konsumering/aggregering
Attributtsemantikk
Åpne for nye tjenester…
Ikke klart til første prod-dato. Så snart som mulig etterpå…
eduGAIN
12
100% selvbetjening
13
Åpent for alle Studenter kan også være tjenestetilbydere
14
Oppsett av mulige innloggingsmåter per tjeneste
15
Utlogging
Utlogging i Connect:
Applikasjon bør ha en knapp for utlogging som:
Avslutter lokal sesjon,
og deretter videresender brukeren til en utloggingsside hos Connect
Der vil Feidesesjonen avsluttes, og andre Feidetjenester,
men ikke andre Connect-tjenester.
Mobil app, langvarige sesjoner…
16
OAuth gir mulighet for innlogging via mobil.
› In-app browser vs. › System browser + custom url scheme
17
API Library
Langsiktig mål om et bredt tilbud av API-er som bidrar til å minimere integrasjonskostadene ved oppbygging av nye tjenester – både sektorens egne tjenester og eventuelle kommersielle tredjeparts tjenester.
18
SAML vs OAuth+OpenID Connect
19
Personlige brukeridentifikatorer for utdanningssektoren
20
OpenID Connect
OAuth Server
OAuth protectedHTTP
Dataporten
Authentication
IDporten guestseduGAIN
Groups
FSFeide
…PeopleSearch
adhoc
ClientsApplications Services
OAuth protectedHTTP
Data provider
Service Y
Service Z
API Gatekeeper
FeideFeide
platformAPI
User info