2. De SURFfamilie
Strategische
Instellingen (160) Aansturing
Klantrelatie
Vraagbundeling sinds 1985
2 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel
3. Wie is SURFnet?
- Ontwikkelt en exploiteert het nationale
onderzoeksnetwerk voor Hoger Onderwijs en
Onderzoek
- Werkgebied: elektronisch verbinden van mensen,
faciliteiten en organisaties
- 100% eigendom van Stichting SURF
- Not for profit, 80- medewerkers
- 180 aangesloten instellingen, 1 miljoen gebruikers
- Financiering
- Innovatie door overheid en bedrijfsleven
- Exploitatie kostenverdeelmodel instellingen
3 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel
4. Focusgebieden
Netwerkinfrastructuur
Basis voor alle samenwerking
Identity en Trust
Om vertrouwde toegang te verlenen
Grensverleggend Samenwerken
Middellen voor internationale en
instellingsoverstijgende samenwerking
4 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel
5. Federaties in de Praktijk
5 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel
6. Federaties?!
6 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel
7. Gefedereerde Identiteit
- Een federatie is een collaboration of trust
- Gebruikers loggen in met eigen credentials bij hun
hun instelling om diensten af te nemen bij Service
Providers
JISC2007
7 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel
8. Greep uit Instellingen (60+)
8 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel
9. Greep uit Service Providers
9 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel
10. Al last van
wachtwoordmoeiheid?
10 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel
11. Federeren: 1 + 1 = 3?
- Voor eindgebruikers
- Single Login maar één wachtwoord onthouden
- Single Sign-on maar één keer inloggen voor toegang
tot instellingsdiensten en daar buiten
- Voor Identity Providers (de instellingen)
- Gebruik van de eindgebruiker’s credentials alleen binnen
domein identiteiten en attributen op één plek
- Reductie overhead bij aansluiten en gebruik van Service
Providers
- Voor Service Providers
- In een keer aansluiten van een groep IdPs HO&O
- Single login en Single Sign-on verlaagt barrieres bij
gebruikers
11 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel
12. Voorbeeld federatieve login
SP IdP
redirect…
Gebruikersnaam harold
U bent niet ingelogd.
Welkom, Harold Teunissen Logout
Login …terug
Wachtwoord
12 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel
14. Rol van SURFnet
IDP SURFfederatie Service SP
A-Select Cross
A-Select Cross
Shibboleth
SAML 2.0 SAML 2.0
WS-Fed / ADFS WS-Fed / ADFS
14 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel
15. SURFfederatie en Trust
(A) Een technische infrastructuur
SURFnet als Trusted Third Party / central
authority
(B) Een set met afspraken (contracten/policies
SURFdiensten als licentieorganisatie
- Trust is omgekeerd evenredig met de grootte van
een federatie
15 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel
16. Waar!
kom je
vandaan?
16 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel
17. Voorbeeld (1)
17 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel
18. Voorbeeld (2)
18 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel
19. Wat!
mag je!
allemaal?
19 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel
20. Attributen
- Autorisatiekenmerken: naam + waarde(n)
Voorbeelden:
- naam: Alex van Buuren!
- organisatie: Universiteit Leiden
- studierichting: Geschiedenis
- De IdP geeft attributen vrij richting SPs
(via de SURFfederatie gateway)
- NB: Er moet overeenstemming bestaan tussen IdPs
en SPs over de gebruikte attributen!
- NB: Maar er moet langzamerhand ook
overeenstemming bestaan tussen IdP en de
eindgebruiker over de gebruikte attributen!
20 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel
21. Waarom attributen?
- Personalisatie
- Automatische enrollment/provisioning
- Geen eigen user-account database nodig bij SP
- Altijd up-to-date
- Fijnmazige en correctere autorisatie
- Betere implementatie van licentie voorwaarden
21 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel
22. Waar werken we nu aan?
- Provisioning en de-provisioning
- OpenID en OpenID+ voor gastgebruik
- Cross-layer identity management Zero Sign In
- User Centric Privacy
- Identity as a Service en Federation-in-the-Box
- SURFfederatie als een one-stop-shop voor
koppelingen tussen IdPs en SPs
- Federatie inzetten als enabler voor multi-
disciplinaire e-Science onderzoeksinfrastructuren
- Alle instelling aansluiten op SURFfederatie
22 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel
23. Key Take Aways
- Eindgebruikers Gemak van Single Login, Single
Sign-on
- Identity Providers Vat op gebruik identiteit
binnen domein
- Service Providers Rechtstreeks toegang tot een
grote gebruikerspopulatie
23 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel
25. Backup Slides
25 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel
26. Van lokaal naar federaal
Lokaal Extern Federatief
DB DB
SP LDAP
LDAP
LDAP
IDP
SAML
SP HTTP
SP IDP
(HTTP)
HTTP
HTTP
HTTP
B
B B
26 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel