- Created by Katja Prause, last modified by Jonas Nowak Jørgensen on Mar 10, 2020
Primær målgruppe
Projektleder
Begrebsliste
Begreb | Forklaring | Eksempler |
IdP | En identitetsudbyder, der udsteder adgangsbilletter til at komme ind på tjenester. Når en bruger forsøger at logge på et system eller tjeneste, sender systemet anmodningen om login videre til IdP’en. IdP’en verificerer brugerens identitet baseret på de oplysninger, som brugeren er oprettet med i det interne brugerkatalog og udsteder en digital ”billet”, som den sender retur til systemet. Billetten dokumenterer, hvem brugeren er, og hvilke adgangsrettigheder brugeren har i det pågældende system. (let justeret fra fra https://globeteam.com/introduktion-til-foederation/ ). IdP’en står dermed for autentificering (ikke autorisation). | Unilogin ADFS (Active Directory Federation Services. Microsoft produkt) |
IdP-fordeler | Når en bruger logger på en tjeneste, sker det via IdP-fordeleren, som finder ud af, om der er én oplagt IdP, til at brugeren logger på denne tjeneste, hvorved brugeren med det samme sendes til denne IdP. Alternativt præsenterer IdP-fordeleren en liste af IdP’ere, hvor brugeren kan vælge en, som der sendes til, for at foretage login der. En IdP-fordeler er i sig selv en IdP, der er konfigureret til at delegere autentifikationsopgaven til andre IdP’ere, som IdP-fordeleren stoler på. | Unilogin Broker |
Kommunal IdP | I den fælleskommunale rammearkitektur agerer den enkelte kommune som Identity Provider og udsteder af elektroniske identifikationsmidler for egne medarbejdere. På den baggrund vil en medarbejders lokale log-in til et lokalt domæne kunne blive fødereret til eksterne, fælleskommunale systemer. (fra DIGST/Referancearkitektur for brugerstyring - https://arkitektur.digst.dk/rammearkitektur/referencearkitekturer/referencearkitektur-brugerstyring) | |
Service Provider (SP) | Et system, der udbyder en service eller tjeneste (eller indeholder data), som gøres tilgængelig for anvendere (f.eks. brugere). I relation til sikkerhed, vil service provideren kræve et akkreditiv for at tillade adgang til servicen (eller data), der udstilles. SP’en står dermed for autorisation (ikke autentifikation) | Aula Læringsplatform Fagsystem, selvbetjeningsportal |
AD (Active Directory) | Active Directory (AD) er et Microsoft product, der anvendes til at administrere brugere, computere og andre devices i et netværk. | |
Akkreditiv (elektronisk identifikations-middel) | Et elektronisk eller fysisk objekt/genstand, der kan anvendes til at gennemføre en autentifikation af en identitet. Akkreditivet udstedes af en akkreditivtjeneste på baggrund af den foregående registrering af et eID. (fra DIGST/Referancearkitektur for brugerstyring -https://arkitektur.digst.dk/rammearkitektur/referencearkitekturer/referencearkitektur-brugerstyring ) | Et brugernavn, et bruger-navn og password, en PIN-kode, et SmartCard, et certifikat, et (hardware) token, et fingeraftryk, et pas osv. |
Autentifikation (autentificering) | Processen der verificerer en slutbrugers identitet (https://digst.dk/it-loesninger/implementeringssite/brokere/ ) En proces som genkender og verificerer en identitet gennem anvendelse af et elektronisk identifikationsmiddel, der er koblet til identiteten. Ved multi-faktor autentifikation forstås en autentifikationsproces, hvor det anvendte elektroniske identifikationsmiddel tilvejebringer flere autentifikationsfaktorer fra forskellige kategorier. (let justeret fra DIGST/NSIS - https://digst.dk/it-loesninger/nemlog-in/det-kommende-nemlog-in/vejledninger-og-standarder/nsis-standarden/) | Login med brugernavn og password |
Autorisation | Processen der kontrollerer en bruges adgang til information eller materiale, baseret på brugerens akkreditiv. Systemet der tilbyder en service eller funktionalitet (Service Provider) håndhæver brugerens rettigheder for at sikre, at brugeren kun får adgang til information/funktionalitet, som brugeren er blevet tildelt adgang til og dermed findes i akkreditivet. | Fagsystem |
Føderation | En føderation består af en række forbundne tjenester, hvor brugerne kan anvende det samme akkreditiv på tværs. En række organisationer, der har indbyrdes tillid til hinanden omkring autentificering af brugere. Indenfor en føderation kan en bruger bruge samme identitet til at autentificere sig overfor en lokal IdP og derefter anvende sit akkreditiv i tjenester udbudt af de andre organisationer uden at skulle autentificere sig igen. En føderation består af en række forbundne tjenester, hvor brugerne kan anvende det samme akkreditiv på tværs. | KOMBITs sikkerhedsføderation, UniLogin, NemLog-in |
Primær målgruppe
Teknisk personale
Her kan de læse om arkitekturen, der er baseret på Unilogin Broker, der kobler hhv. tjenester og IdP'er, så brugeren kan logge ind.
SkoleGrundData leverer alle nødvendige data om personer og deres roller på institutionerne. En person kaldes formelt en entitet og en samling af personens relaterede roller definerer en aktør.
På baggrund af disse data fastlægger Unilogin, jf. nedenstående arkitektur, hvilke elektroniske identiteter en entitet får i Unilogin og hvilke aktører, der er knyttet op på disse. Desuden fastlægges der i løsningen, hvordan en given identitet kan autentificeres.
En identitet med samlingen af aktører og autentificerings-muligheder kaldes et brokerid. Den primære opgave i registreringsdelen af SkoleLogin-projektet er således en opbygning af et broker-register på baggrund af data fra SkoleGrundData.
Et eksempel på et brokerid: En person er kontakt for en række børn. Alle rollerne som kontakt og CPR-nr samles i et brokerid. Entiteten kan nu logge ind med NemID og identificeres i Unilogin med et brokerid med aktøren "kontakt" .
En af autenticeringsmulighederne i Unilogin brokeren er Unilogins egen IdP. Løsningen administrerer akkreditiverne i Unilogin IdP'en og deres relationer til brokerid'er. I praksis oprettes akkreditiverne i Unilogin IdP'en i første omgang af de eksisterende UNI-Login registreringsprocesser, hvor skolerne i dag leverer data til STIL via en webservice, WSAImport (WS10). Dette sker i Skolegrunddata.
Opgaven i Unilogin begrænser sig derfor til at oprette og knytte Unilogin IdP'ens ID, kaldet UPID (Unilogin Personlig ID), til et eksisterende akkreditiv fra SkoleGrunddata og skabe relationen til identiteter i broker-registeret.
Flow for vedligehold af Broker-registeret
En event-strøm med relevante data til broker-registeret leveres af SkoleGrunddata-projektet ud fra de eksisterende UNI-Login registreringsprocesser på basis af wsiEKSPORT.
På baggrund af disse data besluttes der om en entitets aktør-tilknytninger i elevregisteret skal oprettes med et nyt brokerID eller knyttes til et eksisterende. Der oprettes et nyt brokerID, når entiteten registreres med en ny aktør som hhv elev, medarbejder/ekstern eller kontakt.
ID-referencer fra andre identitetsudbydere
Analogt til tilkoblingen af UPID til brokerID'er skal broker-administrationen udstille en service, hvor eksterne identitetsudbydere, der er tilsluttet føderationen, kan til- og frakoble egne ID'er til brokerID'er. Dette skal ske i henhold til et regelsæt, som identificerer de relevante brokerID'er, hvor det lokale ID skal tilkobles. Ved tilslutning af en identitetsudbyders IdP til føderationen skal der defineres et scope for hvilke institutioner og aktørtyper ("medarbejder/ekstern", "elev" eller "kontakt"), der kan anvende IdP'en. Derudover skal der identificeres en nøgle, der er kendt i SkoleLogin-føderationen, f.eks. CPR eller UNI-ID.
F.eks. kunne en kommune-IdP koble lokale ID'er til brokerID'er, der indeholder aktøren "medarbejder" for institutioner i den pågældende kommune, hvor entiteten er identificeret med CPR-nummer.
Relation til Fællesoffentilig arkitektur for brugerstyring
Et brokerID svarer til en identitet (eID) i den fællesoffentlige arkitektur for brugerstyring, suppleret med afledte referencer fra andre identitetsbrokere (KommuneID, PID/RID, CPR, UNI-ID).
- No labels