Styringsregler for autentisering

Hvilken autentiseringsløsning tjenester integrerer med får konsekvenser for arbeidsflyt og funksjonalitet for sluttbrukere. For å sikre en enhetlig og god arbeidsflate, som ivaretar sikkerhetsaspekter, så gjelder visse regler for valg av autentiseringsløsning man som tjenesteeier skal velge. 

Det er to avgjørende faktorer som bestemmer valget:

  • nasjonal eller lokal tjeneste
  • webbasert eller ikke

Nasjonale tjenester, som er tiltenkt hele sektoren og lanseres som dette, skal benytte Feide. Lokale tjenester, som er tiltenkt primært UiO, skal benytte Weblogin. Den andre faktoren er om tjenesten i hele tatt kan benytte høynivå løsninger som Feide og Weblogin. For tjenester som ikke kan det så står valget mellom LDAP eller AD

For moderne løsninger som kan støtte Feide eller Weblogin skal en av disse løsningene velges. 

De ulike alternativene

Weblogin

Weblogin er UiOs egen autentiseringsløsning for webtjenester. Løsningen implementerer SAML over HTTP og tilbyr skreddersydd innlogging for de tjenester som integrerer med Weblogin. Tjenester kan velge blant ulike brukergrupper, de har SSO (Single Sign-On) og de fleste tjenester har også automatisk innlogging fra kontormaskiner på UiO.

I integrasjonen mellom Weblogin og tjenester så spesifiseres hvilke data tjenesten skal få fra Weblogin som en del av avtalen som inngås – det samme gjelder andre SAML-baserte løsninger. Nyere funksjonalitet i Weblogin gir mulighet for å delegere autentiseringen til eksterne SAML IdP-er (andre autentiseringstjenere).

Som for alle SAML-baserte løsninger så eksponeres ikke klartekstpassordet for tjenesten. Weblogin tilbyr også tjenester tilgang til å autentisere selvregistrerte brukere via WebID.

Feide

Feide er den nasjonale autentiseringsløsningen for utdanningssektoren. Tjenesten drives av Feide, et søsterselskap av Uninett. Feide implementerer også SAML og HTTP, men tilbyr ikke den samme skreddersømmen som Weblogin. Feide har derimot mulighet til å autentisere nesten hele utdanningssektoren. Feide har SSO mellom tjenester som benytter deres IdP.

Feide implementerer også OpenID Connect ut mot tjenester og støtter flere autentiseringsløsninger i bakkant (tidligere var dette en egen tjeneste kalt Dataporten, men er nå en del av Feide). En tjeneste velger hvilke autentiseringsløsninger som skal gjelde for seg som en del av integrasjonen. Støtter bl.a. Feide, ID-porten, Facebook og Twitter.

LDAP

LDAP er en gammel og velprøvd katalogprotokoll. Som en del av protokollen kan tjenester også autentisere brukere. LDAP er ikke begrenset til web, men mangler SSO og en del sikkerhetsaspekter som mer moderne protokoller og tjenester tilbyr. Til forskjell fra Weblogin, og Feide gjøres autentiseringen ved at tjenesten mottar brukernavn og passord som den sender til LDAP for autentisering. Brukergruppene som tilbys er alle konti på UiO, samt alle personer tilknyttet UiO.

AD

AD er Microsofts katalogtjener og implementerer blant annet LDAP og Kerberos. Som en del av integrasjonen mellom tjeneste og AD så kan man velge om man ønsker å benytte LDAP og/eller Kerberos. Kerberos tilbyr god sikkerhet og SSO, men den initielle innloggingen skjer ved at brukeren gir tjenesten brukernavn og klartekstpassord. AD er en infrastrukturkomponent i Microsoft Windows-maskinparken på UiO. Brukergruppen er alle konti på UiO.

Brukergrupper

Hvem man ønsker å autentisere setter store føringer på valg av autentiseringsløsning. Skal personer med en tilknytning til UiO logge inn så står man langt friere enn hvis brukergruppen er en person fra en utdanningsinstitusjon. Tjenester trenger noen ganger å tillate ulike brukergrupper tilgang, som personer på UiO, samt selvregistrerte brukere (eksempelvis hvis noen skal få kommentere på et blogginnlegg). Det å definere hvilke brukergrupper som skal ha tilgang er, sammen med teknologi-/protokollvalg det som avgjør hvilken autentiseringsløsning man skal velge.

Når man har identifisert brukergruppene som skal ha tilgang så må man vurdere bruksmønster eller profilen til tjenesten. Lanseres en tjeneste som et nasjonalt samarbeid så gir det føringer på valg av autentiseringsløsning. Hvis man har en UiO-tjeneste som også skal tilby innloggingsmuligheter for andre institusjoner så kan valget være et annet.

Teknologi

Moderne løsninger som Weblogin og Feide har noen begrensninger i at de er fokusert på web og nettlesere. Hvis man skal sette opp en tjeneste som ikke er en typisk webtjeneste så må man ty til eldre protokoller på et lavere nivå, typisk LDAP eller AD. For moderne ikke-nettlesertjenester, som apper på smarttelefoner, benyttes ofte autentisering i nettleser ved at appen selv åpner et nettleservindu ved innlogging.

For avanserte autentiseringsscenarioer der tjenesten er sammensatt, eller man trenger å autentisere selve tjenesten i tillegg til brukeren, kommer også SAML til kort. Da er det kun OpenID Connect som tilbyr denne funksjonaliteten.

Hvordan velge

I all hovedsak kan valget konkretiseres ned til følgende:

  • Brukergrupper fra UiO helt eller primært:
    • Weblogin
  • Nasjonale tjenester:
    • Feide
  • Legacy eller ikke weborientert:
    • LDAP
    • AD

Brukergrupper fra UiO primært betyr at tjenesten i hovedsak benyttes av brukere fra UiO. På grunn av funksjonalitet i Weblogin kan andre brukergrupper også få tilgang, men fokuset er på funksjonalitet for UiO-brukere. Dette er det beste valget for tjenesten da arbeidsflyten optimaliseres for den største brukermassen gjennom SSO og automatisk innlogging. 

Nasjonale tjenester vil si at tjenesten er ment å være felles for sektoren. Det er fundamentalt for tjenesten at den er både tiltenkt nasjonal bruk og markedsført som dette. Et eksempel på en slik tjeneste er Bibsys.

Legacy eller ikke weborientert er mange tjenester som kjører for eksempel på servere eller kontormaskiner som applikasjoner. Dette kan være webtjenester også, men som kun støtter eldre autentiseringsløsninger. Om man skal forsøke å konfigurere disse til mer moderne autentiseringsløsninger er et spørsmål om kost/nytte. For en intern webapplikasjon med en håndfull brukere så er neppe gevinsten stor. For mer utstrakt bruk så skal man se på om mer moderne autentiseringsløsninger lar seg realisere.

Av Mathias Meisfjordskar
Publisert 1. juni 2017 09:41 - Sist endret 25. nov. 2019 14:24