feide autorisasjon og informasjonstilgang seniorr dgiver ikt arkitektur carl fredrik s rensen
Download
Skip this Video
Download Presentation
FEIDE,  autorisasjon og informasjonstilgang Seniorrådgiver IKT-arkitektur Carl-Fredrik Sørensen

Loading in 2 Seconds...

play fullscreen
1 / 16

FEIDE,  autorisasjon og informasjonstilgang Seniorrådgiver IKT-arkitektur Carl-Fredrik Sørensen - PowerPoint PPT Presentation


  • 113 Views
  • Uploaded on

FEIDE,  autorisasjon og informasjonstilgang Seniorrådgiver IKT-arkitektur Carl-Fredrik Sørensen. Bruk av en tjenesteorientert arkitektur for å etablere EduPerson -informasjon. Muligheter og utfordringer. Agenda. NTNU, Feide og autorisasjon Katalogtjenester, sikkerhet og personvern

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about ' FEIDE,  autorisasjon og informasjonstilgang Seniorrådgiver IKT-arkitektur Carl-Fredrik Sørensen ' - laksha


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
feide autorisasjon og informasjonstilgang seniorr dgiver ikt arkitektur carl fredrik s rensen

FEIDE,  autorisasjon og informasjonstilgangSeniorrådgiver IKT-arkitekturCarl-Fredrik Sørensen

Bruk av en tjenesteorientert arkitektur for å etablere EduPerson-informasjon.Muligheter og utfordringer.

agenda
Agenda
  • NTNU, Feide og autorisasjon
  • Katalogtjenester, sikkerhet og personvern
  • Kontekst og tjenester, kilder til kontekst
  • Feide og EduPerson
  • Tjenesteorientert Informasjonsarkitektur (TIA)
  • Feide, katalogtjeneste og TIA
  • Muligheter
  • Utfordringer
feide og ntnu
Feide og NTNU
  • Feide
    • Primær påloggingsløsning siden Innsida 2.0 ble lansert
    • Benyttes i dag til autentisering: [email protected] og passord
    • LDAP/AD-integrasjon for lokal autentisering ved institusjon
    • Mulighet for å kommunisere mer data gjennom Feide/SAML, lite brukt
  • Fordeler:
    • Standardløsning for UH-sektoren
    • Føderasjon
    • Hindrer duplisering av brukerinformasjon til tjenester
    • Lett å integrere mot for tjenesteleverandører
  • Ulemper
    • Integrasjon mot «statiske» katalogtjenester
katalogtjenester sikkerhet og personvern
Katalogtjenester, sikkerhet og personvern
  • LDAP og AD:
    • Autentisering + autorisasjon
    • Samler og katalogiserer informasjon om personer/brukere, utstyr og tjenester, inkludert koblinger mellom disse (autorisasjon)
    • Omfattende og komplekst å modellere, utvikle, vedlikeholde og provisjonere til. Hvert system har gjerne sin variant
    • Katalogtjenestene er «åpne» og søkbare
    • Mulighet for å få komplette brukerdatabaser med tilhørende informasjon knyttet til basis personinformasjon (inkludert personnr.), roller og rettigheter.
    • Kan være en sikkerhetsrisiko
    • Vanskelig/umulig å håndtere personvernet
  • Ikke ønskelig å åpne for omverdenen.
kontekst og tjenester
Kontekst og tjenester
  • Skytjenester og Intranett-tjenester:
    • Behov for autentisering
    • Behov for autorisering
    • Behov for brukertilpasning
  • Hvem er du?
  • Hva gjør du vanligvis?
  • Hva gjør du nå?
  • Hva er relevant informasjon og tjenester for deg?
  • Hvilken informasjon og tjenester har du tilgang til?
kontekst og tjenester1
Kontekst og tjenester
  • Hvordan tilby aktuell informasjon og tjenester, og håndtere autorisasjon knyttet til bruker?
    • I dag:
      • Integrasjon med LDAP, AD eller interne autorisasjonsregistre
      • Gjerne personbasert, rollebasert eller organisasjonsbasert
      • Blir LDAP og AD for UH en kopi av HR/FS?
    • I morgen
      • Lokasjonsbasert
      • Tids- og planbasert
      • Prosessbasert
      • Høyere granularitetifht. rolle?
      • FEIDE og EduPerson?
  • Aktuell kontekst: Tilhørighet, lokasjon, rolle, tid, plan (kalender), interesser, etc.
kilder til kontekst
Kilder til kontekst
  • Plan/kalender: Timeplansystem, gruppevare
  • Tid: Klokke
  • Organisasjon og roller: HR, FS, IAM + andre fagsystemer
  • Lokasjon: GPS, innendørs posisjonering
  • Grunndata:
    • HR: Person, tilknytning, rolle, stilling
    • FS: Person, tilknytning, rolle, aktivitet/relasjon (emner, studieprogrammer)
feide og eduperson
Feide og EduPerson
  • eduPersonAffiliation
  • eduPersonEntitlement

urn:mace:feide.no:ntnu.no:service:tjenestenavn:"tjenestespesifikk entitlement"

IMSGlobalRoleog emnekoder for å knytte personer med studieprogram og emner:

urn:mace:feide.no:ntnu.no:IMSGlobalRole:student:[emnekode]: ”URL eller URN til en WebService for hente informasjon om emne”

tjenestebuss alternativ til ad ldap
Tjenestebuss: Alternativ til AD/LDAP?
  • Implementere et LDAP-grensesnitt som tjeneste
  • Benytte informasjon fra persontjeneste for å gi roller, tilknytninger i EduPerson
  • RBAC-gjennom persontjeneste?
  • IAM/BAS potensiell kilde til autorisasjonsinformasjon?
katalog proxy
Katalog-proxy

FEIDE

FEIDE

Bind/Search

Autentiser

Brukernavn og passord

Brukernavn og passord

Katalog-proxy

Katalog

Bind/

Autentiser

Search

Entitlements

TIA

Katalog

fordeler
Fordeler
  • Bedre brukeropplevelse
  • Mindre kompleks design av katalogtjeneste (LDAP/AD)
  • Unngår at katalogtjenester må populeres med all mulig informasjon koblet til person
  • Katalogtjeneste benyttes for passordsjekk, all annen informasjon gis gjennom tjeneste
  • Sporbarhet ifht bruk, katalogtjenester gjøres mindre tilgjengelig
  • Dynamisk kontekst, oppdatering i grunndata reflekteres direkte gjennom tjeneste -> ikke behov for provisjonering
utfordringer
Utfordringer
  • Applikasjoner som ikke benytter Feide eller AD/LDAP
  • Spesifikasjon av nødvendig informasjon og bruk av standardmodeller
  • Behov for web services for å hente andre grunndata
  • Brukeraksept for at informasjon benyttes i tjenester
  • Leverandøraksept for bruk av EduPerson
  • Ytelse ved autentisering?
  • Ytelse knyttet til oppslag på grunndata?
  • Integrasjoner
  • Databehandleravtale
relevante tjenester
Relevante tjenester
  • Informasjon om emner og roller: Multimediasenter, bibliotek, LMS, LOR, bokhandel
  • Informasjon om stilling/rolle og organisatorisk enhet: Systemer som krever autorisasjon: Arkiv, Lønnssystem, HR-system, bestillingssystem, LMS, etc.
sp rsm l
Spørsmål
  • Takk for oppmerksomheten!
ad