dataporten intro (workshop with difi)

Feide / DataportenTrondheim, 26. januar 2016

andreas.solberg@uninett.noAndreas Åkre Solberg

2

Feide

ServiceProvider

SAML 2.0

WebSSOSAML 2.0 is specialized for Single Sign-On

SAML 2.0: KUN autentisering + SSO

Generelt behov for mer data. Spesielt grupper.

Behov for tilgangsstyring til APIer

Vanskelig å tilfredstille nye behov med Feides tekniske rammer.

My plattform: for data.

Connect

Fokus på data. API-er og ikke kun WebSSO.

Ny teknologi.

Fleksibel og utvidbar

OpenID Connect

OAuth Server

OAuth protectedHTTP

PlattformService A Service B

ClientsApplications Services

Service B Service … Service X

OpenID Connect

OAuth Server

OAuth protectedHTTP

Dataporten

Authentication

IDporten guestseduGAIN

Groups

FSFeide

…PeopleSearch

adhoc

ClientsApplications Services

OAuth protectedHTTP

Data provider

Service Y

Service Z

API Gatekeeper

FeideFeide

platformAPI

User info

Modell for juridisk grunnlag for utlevering av personlige data

To hovedklasser:

Personlig samtykke og frivillig bruk.

Obligatorisk bruk i undervisningen: databehandleravtale med mer.

Disse to klassene bygges inn i Dataporten.

7

Initier pålogging fratjenesten

Valg av institusjon

Kontovelger

Pålogging Samtykke Tjeneste

Andre gang man logger på får man kontovelgeren istedenfor.

Samtykke vises bare første gang man går til en ny Connect-tjeneste.

Initier pålogging fratjenesten Kontovelger Single

SignOn Tjeneste

Login flyt

8

Valg av organisasjon

erstatter Feides valg av org.

inkrementell søk

sortering etter avstand. logoer og koordinater.

Legger også til alternative påloggingsvalg: sosiale nett og IDporten.

Introduserer internasjonal pålogging med selektor for land.

Vises veldig skjelden. Kun første gang per bruker per maskin/nettleser

9

Kontovelger

innfører click-trough for SSO

oppmerksomhet rundt hvilken rollen man logger inn på tjenesten som.

I fremtiden kan dette representere rolle-valg.

En variant av det å huske hvilken institusjon man valgte å logge inn med forrige gang, og samtidig holder åpent muligheten for å velge annerledes denne gangen.

10

Samtykke

Erstatter Feides info om overføring av attributter.

11

Testet, ikke helt klart i piloten enda…

Kobling til de fleste utdanningsinstitusjoner i Europa (høyere utdanning)

Connect avlaster mye av kompleksiteten for tilkobling til eduGAIN.

SAML 2.0 metadata publisering og konsumering/aggregering

Attributtsemantikk

Åpne for nye tjenester…

Ikke klart til første prod-dato. Så snart som mulig etterpå…

eduGAIN

12

100% selvbetjening

13

Åpent for alle Studenter kan også være tjenestetilbydere

14

Oppsett av mulige innloggingsmåter per tjeneste

15

Utlogging

Utlogging i Connect:

Applikasjon bør ha en knapp for utlogging som:

Avslutter lokal sesjon,

og deretter videresender brukeren til en utloggingsside hos Connect

Der vil Feidesesjonen avsluttes, og andre Feidetjenester,

men ikke andre Connect-tjenester.

Mobil app, langvarige sesjoner…

16

OAuth gir mulighet for innlogging via mobil.

› In-app browser vs. › System browser + custom url scheme

17

API Library

Langsiktig mål om et bredt tilbud av API-er som bidrar til å minimere integrasjonskostadene ved oppbygging av nye tjenester – både sektorens egne tjenester og eventuelle kommersielle tredjeparts tjenester.

18

SAML vs OAuth+OpenID Connect

19

Personlige brukeridentifikatorer for utdanningssektoren

20

OpenID Connect

OAuth Server

OAuth protectedHTTP

Dataporten

Authentication

IDporten guestseduGAIN

Groups

FSFeide

…PeopleSearch

adhoc

ClientsApplications Services

OAuth protectedHTTP

Data provider

Service Y

Service Z

API Gatekeeper

FeideFeide

platformAPI

User info