IdP-utredning

Sist endret 13. jan. 2010 18:47 av root@localhost

Forutsetninger

Dette autentiseringspunktet må passe inn i Feides overordnede arkitektur for autentisering, men skal i tillegg tilby funksjonalitet utover det feide kan levere.

Konkret vil et autentiseringspunkt minimum bestå av en open source SAML2 Identity Provider med følgende egenskaper

• delegering til Feides sentrale IDP
• ldap som backend for lokal autentisering
• tjenester må kunne ha forskjellige profiler for hva slags attributter som utveksles og hvilke autentiseringsmekanismer og -grensesnitt brukeren blir tilbudt.

Overordnede målsetninger

• muliggjøre bedre kontroll med tilgangen til sensitiv brukerinformasjon, ved å etablere et sentralt forvaltningsregime for tilgangen til denne informasjonen.
• videreføre feide sin arkitektur også for brukergrupper på institusjonens nettsted som ikke er i feide-føderasjonen.
• muligjøre videreutvikling av funksjonaliteten i et sentralt autentiseringspunkt, for bedre å dekke tjenesters behov og for å avlaste andre mekanismer for informasjonsutveksling til tjenester.

Fokus for utredningsarbeidet

• Klargjøre i hvilken grad et autentiseringspunkt kan erstatte andre eksisterende mekanismer for tilgang til sensitiv informasjon (som LDAP og direkte utveksling mellom kilde- og mottakertjeneste)
• Gå igjennom behov som webtjenester ikke får dekket idag, vurdere mulige løsninger og hvilke krav dette stiller til et autentiseringspunkt
• Vurdere hvordan forvaltningen av et autentiseringspunkt kan organiseres, og hvilke krav dette stiller til organisasjonen, både teknisk og prosessmessig.
• Evaluere tekniske løsninger opp mot behov

Arbeidsgruppe

Utredningen vil gjøres i regi av tjenestegruppe for autentisering, primært ved Mathias Meisfjordskar (SAPP) og Jo Størset (SAUS), med bistand fra Bjørn Ola Smievoll (konsulent fra Conduct).