1. Federaties in de praktijkHarold TeunissenSURFnet

2. De SURFfamilieStrategischeInstellingen (160) Aansturing Klantrelatie Vraagbundeling sinds 19852Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 3. Wie is SURFnet?- Ontwikkelt en exploiteert het nationale onderzoeksnetwerk voor Hoger Onderwijs en Onderzoek- Werkgebied: elektronisch verbinden van mensen, faciliteiten en organisaties- 100% eigendom van Stichting SURF- Not for profit, 80- medewerkers- 180 aangesloten instellingen, 1 miljoen gebruikers- Financiering - Innovatie door overheid en bedrijfsleven - Exploitatie kostenverdeelmodel instellingen3 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 4. Focusgebieden Netwerkinfrastructuur Basis voor alle samenwerking Identity en Trust Om vertrouwde toegang te verlenen Grensverleggend Samenwerken Middellen voor internationale en instellingsoverstijgende samenwerking4 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 5. Federaties in de Praktijk5 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 6. Federaties?!6 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 7. Gefedereerde Identiteit- Een federatie is een collaboration of trust- Gebruikers loggen in met eigen credentials bij hun hun instelling om diensten af te nemen bij Service ProvidersJISC20077 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 8. Greep uit Instellingen (60+)8 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 9. Greep uit Service Providers9 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 10. Al last van wachtwoordmoeiheid?10 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 11. Federeren: 1 + 1 = 3? - Voor eindgebruikers - Single Login maar n wachtwoord onthouden - Single Sign-on maar n keer inloggen voor toegang tot instellingsdiensten en daar buiten - Voor Identity Providers (de instellingen) - Gebruik van de eindgebruikers credentials alleen binnen domein identiteiten en attributen op n plek - Reductie overhead bij aansluiten en gebruik van Service Providers - Voor Service Providers - In een keer aansluiten van een groep IdPs HO&O - Single login en Single Sign-on verlaagt barrieres bij gebruikers11Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 12. Voorbeeld federatieve login SP IdP redirectGebruikersnaam harold U bent niet ingelogd. Welkom, Harold TeunissenLogoutLogin terugWachtwoord 12Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 13. Federatie Modellen 1-1nxnn+n IDPSPIDP SP IDP SPIDPSPIDP SPCFC IDPSPIDP SP13Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 14. Rol van SURFnet IDP SURFfederatie ServiceSP A-Select Cross A-Select Cross Shibboleth SAML 2.0 SAML 2.0 WS-Fed / ADFSWS-Fed / ADFS14Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 15. SURFfederatie en Trust (A) Een technische infrastructuur SURFnet als Trusted Third Party / central authority (B) Een set met afspraken (contracten/policies SURFdiensten als licentieorganisatie - Trust is omgekeerd evenredig met de grootte vaneen federatie15 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 16. Waar!kom je vandaan?16 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 17. Voorbeeld (1)17 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 18. Voorbeeld (2)18 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 19. Wat! mag je! allemaal?19Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 20. Attributen - Autorisatiekenmerken: naam + waarde(n)Voorbeelden: - naam: Alex van Buuren! - organisatie: Universiteit Leiden - studierichting: Geschiedenis - De IdP geeft attributen vrij richting SPs(via de SURFfederatie gateway) - NB: Er moet overeenstemming bestaan tussen IdPsen SPs over de gebruikte attributen! - NB: Maar er moet langzamerhand ookovereenstemming bestaan tussen IdP en deeindgebruiker over de gebruikte attributen!20 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 21. Waarom attributen? - Personalisatie - Automatische enrollment/provisioning - Geen eigen user-account database nodig bij SP - Altijd up-to-date - Fijnmazige en correctere autorisatie - Betere implementatie van licentie voorwaarden21 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 22. Waar werken we nu aan? - Provisioning en de-provisioning - OpenID en OpenID+ voor gastgebruik - Cross-layer identity management Zero Sign In - User Centric Privacy - Identity as a Service en Federation-in-the-Box - SURFfederatie als een one-stop-shop voorkoppelingen tussen IdPs en SPs - Federatie inzetten als enabler voor multi-disciplinaire e-Science onderzoeksinfrastructuren - Alle instelling aansluiten op SURFfederatie22 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 23. Key Take Aways - Eindgebruikers Gemak van Single Login, SingleSign-on - Identity Providers Vat op gebruik identiteitbinnen domein - Service Providers Rechtstreeks toegang tot eengrote gebruikerspopulatie23 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 24. Q&AHarold Teunissenharold.teunissen@surfnet.nl 25. Backup Slides25 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 26. Van lokaal naar federaal LokaalExtern FederatiefDB DBSPLDAP LDAP LDAPIDP SAMLSP HTTP SPIDP(HTTP) HTTPHTTP HTTP B BB26 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel