Een pilot met OpenID in onderwijsfederaties

Kijk mam - zonder wachtwoord!

Joost van Dijk, SURFnetDé Onderwijsdagen 2009,11 november 2009

!"##$%&"'$#()"#)*+",-.&".$#()

/0+1%%1&"2.%#"34".5)

6"78#-'-(9):7-2;#()

<"+.2$5%),".5"##$#()

=11'+11.*8"$&%%32&$"%)

"#))>$'-3%)

:;02'"."#)?0@'"0"#31;")"#)

<"+.2$5)

A$"#%3)B#34$55"'$#()

C2$'&$#(+'-75%D)?#3".-@".1+$'$3"$3)"#)B@"#)

Innovatiefase

!"#$%&

!!&'%()*+#)+&),&-#(#,&

!!&.(#,/#-001&

1%$#,2#(3#,&

!!&4%,5600(2%%(5#,&

3

Inhoud

- Wat is authenticatie?

- Wat is OpenID?

- Wat is een federatie?- Entree- SURFfederatie

- OpenID vs Federatie

- Pilots:- Inloggen met OpenID bij SURFnet- Inloggen met je instellingsaccount bij OpenID sites

- Pros & Cons

Authenticatie

4

Wiebenje?

5

Wachtwoordmoeheid

Gedistribueerd

DB

IDP

B

SP

6

Identity / Service Providers

Lokaal

DB

Extern

IDPSP

B

SP

B

Demo

8

Voordelen

- Voor gebruikers:- Single Login - maar één wachtwoord onthouden- Single Sign-on - maar één keer inloggen

- Voor IDPs:- gebruik credentials maar op één plek

- Voor SPs:- Schaalbaarheid: User-account database, registratie- Integriteit: Synchronisatie, up-to-date- Kostenbesparing: Infrastructuur en support (!)- Single Login, Single Sign-on: geen barrière voor

gebruikers

9

Wat is OpenID?

- Inloggen bij een Service Provider, ...door te authenticeren bij een Identity Provider

- Gebruik een URL i.p.v. een gebruikersnaam,bijvoorbeeld: http://joost.myopenid.com

- Authenticeren = “bewijs” dat de URL “van jou” is

- extra’s: Single Sign On, user consent

- NB: OpenID hanteert andere terminologie:- OpenID Provider i.p.v. Identity Provider- Relying Party i.p.v. Service Provider

Federatie?

12

Federaties

- SURFfederatie en Entree zijn voorbeelden van (Identity) Federaties

- Een federatie bestaat uit:- (A) een technische infrastructuur- (B) een set met afspraken (contracten/policies)

- De afspraken zorgen ervoor dat SPs de informatie van IDPs vertrouwen

- SURFnet en Kennisnet treden op als Trusted Third Party binnen resp. SURFfederatie en Entree

13

SURFfederatie: Identity Providers

14

SURFfederatie: Service Providers

15

Federatie vs OpenID

Federatie OpenID

Vertrouwen

gemeenschap

IDP discovery

Protocol

Beveiliging

Bron van informatie

+ -

gesloten open

WAYF service op basis van URL

SAML, WS-Federation, A-Select

OpenID

+ +/-

IDP Gebruiker

IDP Discovery

16

Whereareyoufrom?

(C) 2007-2009 SURFnet B.V.19

Federatie: Attributen

- Autorisatiekenmerken: naam + waarde(n)

Voorbeelden:- naam: Jan Janssen- organisatie: Universiteit Leiden- studierichting: Rechtsgeleerdheid

- De IDP geeft attributen vrij richting SPs

- Bij OpenID wordt om toestemming gevraagd aan de gebruiker voordat informatie wordt vrijgegeven (user consent)

20

22

Pilots

- Inloggen met je instellingsaccount bij OpenID sites- bijvoorbeeld: inloggen bij Plaxo via http://openid.tudelft.surfnet.nl/peter

- Inloggen bij SURFnet met je OpenID- bijvoorbeeld: inloggen bij SURFmedia met je

OpenID van Google

23

OpenID Gateway

IDP

IDP SP

IDP SP

SP

SP

SP

Federatie OpenID

Gateway

IDP

IDP

IDP

- Inloggen met je instellingsaccount bij OpenID sites- bijvoorbeeld: inloggen bij Plaxo via http://openid.tudelft.surfnet.nl/peter

(C) 2007-2009 SURFnet B.V.24

User Consent

(C) 2007-2009 SURFnet B.V.25

IDP Select

28

OpenID Gateway

Gateway

IDP SP

IDP SP

SP

SP

SP

FederatieOpenID

IDP

IDP

IDP

SP

X

X

- Inloggen bij SURFnet met je OpenID- bijvoorbeeld: inloggen bij SURFmedia met je OpenID

van Google inloggen

32

Pilots: Pros & Cons

- Pros:- Single Sign On naar OpenID sites

(Kijk mam, geen wachtwoord!)

- Cons:- Afstudeerd? Geen toegang meer!

- oplossing (?): delegation- Geen betrouwbare gegevens

- Volgend jaar: pilot OpenID+

33

Joost van Dijkjoost.vandijk@surfnet.nl

www.surfnet.nl

Contact