Feide autorisasjon og informasjonstilgang seniorr dgiver ikt arkitektur carl fredrik s rensen
Download
1 / 16

FEIDE,  autorisasjon og informasjonstilgang Seniorrådgiver IKT-arkitektur Carl-Fredrik Sørensen - PowerPoint PPT Presentation


  • 113 Views
  • Uploaded on

FEIDE,  autorisasjon og informasjonstilgang Seniorrådgiver IKT-arkitektur Carl-Fredrik Sørensen. Bruk av en tjenesteorientert arkitektur for å etablere EduPerson -informasjon. Muligheter og utfordringer. Agenda. NTNU, Feide og autorisasjon Katalogtjenester, sikkerhet og personvern

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about ' FEIDE,  autorisasjon og informasjonstilgang Seniorrådgiver IKT-arkitektur Carl-Fredrik Sørensen ' - laksha


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
Feide autorisasjon og informasjonstilgang seniorr dgiver ikt arkitektur carl fredrik s rensen

FEIDE,  autorisasjon og informasjonstilgangSeniorrådgiver IKT-arkitekturCarl-Fredrik Sørensen

Bruk av en tjenesteorientert arkitektur for å etablere EduPerson-informasjon.Muligheter og utfordringer.


Agenda
Agenda

  • NTNU, Feide og autorisasjon

  • Katalogtjenester, sikkerhet og personvern

  • Kontekst og tjenester, kilder til kontekst

  • Feide og EduPerson

  • Tjenesteorientert Informasjonsarkitektur (TIA)

  • Feide, katalogtjeneste og TIA

  • Muligheter

  • Utfordringer


Feide og ntnu
Feide og NTNU

  • Feide

    • Primær påloggingsløsning siden Innsida 2.0 ble lansert

    • Benyttes i dag til autentisering: [email protected] og passord

    • LDAP/AD-integrasjon for lokal autentisering ved institusjon

    • Mulighet for å kommunisere mer data gjennom Feide/SAML, lite brukt

  • Fordeler:

    • Standardløsning for UH-sektoren

    • Føderasjon

    • Hindrer duplisering av brukerinformasjon til tjenester

    • Lett å integrere mot for tjenesteleverandører

  • Ulemper

    • Integrasjon mot «statiske» katalogtjenester


Katalogtjenester sikkerhet og personvern
Katalogtjenester, sikkerhet og personvern

  • LDAP og AD:

    • Autentisering + autorisasjon

    • Samler og katalogiserer informasjon om personer/brukere, utstyr og tjenester, inkludert koblinger mellom disse (autorisasjon)

    • Omfattende og komplekst å modellere, utvikle, vedlikeholde og provisjonere til. Hvert system har gjerne sin variant

    • Katalogtjenestene er «åpne» og søkbare

    • Mulighet for å få komplette brukerdatabaser med tilhørende informasjon knyttet til basis personinformasjon (inkludert personnr.), roller og rettigheter.

    • Kan være en sikkerhetsrisiko

    • Vanskelig/umulig å håndtere personvernet

  • Ikke ønskelig å åpne for omverdenen.


Kontekst og tjenester
Kontekst og tjenester

  • Skytjenester og Intranett-tjenester:

    • Behov for autentisering

    • Behov for autorisering

    • Behov for brukertilpasning

  • Hvem er du?

  • Hva gjør du vanligvis?

  • Hva gjør du nå?

  • Hva er relevant informasjon og tjenester for deg?

  • Hvilken informasjon og tjenester har du tilgang til?


Kontekst og tjenester1
Kontekst og tjenester

  • Hvordan tilby aktuell informasjon og tjenester, og håndtere autorisasjon knyttet til bruker?

    • I dag:

      • Integrasjon med LDAP, AD eller interne autorisasjonsregistre

      • Gjerne personbasert, rollebasert eller organisasjonsbasert

      • Blir LDAP og AD for UH en kopi av HR/FS?

    • I morgen

      • Lokasjonsbasert

      • Tids- og planbasert

      • Prosessbasert

      • Høyere granularitetifht. rolle?

      • FEIDE og EduPerson?

  • Aktuell kontekst: Tilhørighet, lokasjon, rolle, tid, plan (kalender), interesser, etc.


Kilder til kontekst
Kilder til kontekst

  • Plan/kalender: Timeplansystem, gruppevare

  • Tid: Klokke

  • Organisasjon og roller: HR, FS, IAM + andre fagsystemer

  • Lokasjon: GPS, innendørs posisjonering

  • Grunndata:

    • HR: Person, tilknytning, rolle, stilling

    • FS: Person, tilknytning, rolle, aktivitet/relasjon (emner, studieprogrammer)


Feide og eduperson
Feide og EduPerson

  • eduPersonAffiliation

  • eduPersonEntitlement

    urn:mace:feide.no:ntnu.no:service:tjenestenavn:"tjenestespesifikk entitlement"

    IMSGlobalRoleog emnekoder for å knytte personer med studieprogram og emner:

    urn:mace:feide.no:ntnu.no:IMSGlobalRole:student:[emnekode]: ”URL eller URN til en WebService for hente informasjon om emne”


Tjenesteorientert informasjonarkitektur
Tjenesteorientert Informasjonarkitektur


Tjenestebuss alternativ til ad ldap
Tjenestebuss: Alternativ til AD/LDAP?

  • Implementere et LDAP-grensesnitt som tjeneste

  • Benytte informasjon fra persontjeneste for å gi roller, tilknytninger i EduPerson

  • RBAC-gjennom persontjeneste?

  • IAM/BAS potensiell kilde til autorisasjonsinformasjon?


Katalog proxy
Katalog-proxy

FEIDE

FEIDE

Bind/Search

Autentiser

Brukernavn og passord

Brukernavn og passord

Katalog-proxy

Katalog

Bind/

Autentiser

Search

Entitlements

TIA

Katalog


Fordeler
Fordeler

  • Bedre brukeropplevelse

  • Mindre kompleks design av katalogtjeneste (LDAP/AD)

  • Unngår at katalogtjenester må populeres med all mulig informasjon koblet til person

  • Katalogtjeneste benyttes for passordsjekk, all annen informasjon gis gjennom tjeneste

  • Sporbarhet ifht bruk, katalogtjenester gjøres mindre tilgjengelig

  • Dynamisk kontekst, oppdatering i grunndata reflekteres direkte gjennom tjeneste -> ikke behov for provisjonering


Utfordringer
Utfordringer

  • Applikasjoner som ikke benytter Feide eller AD/LDAP

  • Spesifikasjon av nødvendig informasjon og bruk av standardmodeller

  • Behov for web services for å hente andre grunndata

  • Brukeraksept for at informasjon benyttes i tjenester

  • Leverandøraksept for bruk av EduPerson

  • Ytelse ved autentisering?

  • Ytelse knyttet til oppslag på grunndata?

  • Integrasjoner

  • Databehandleravtale


Relevante tjenester
Relevante tjenester

  • Informasjon om emner og roller: Multimediasenter, bibliotek, LMS, LOR, bokhandel

  • Informasjon om stilling/rolle og organisatorisk enhet: Systemer som krever autorisasjon: Arkiv, Lønnssystem, HR-system, bestillingssystem, LMS, etc.


Sp rsm l
Spørsmål

  • Takk for oppmerksomheten!


ad