Single sign on virker! Nu skal det bare rulles ud?
Vi har netop afsluttet evaluering af et - synes jeg - meget successfuldt "afprøvningsprojekt", som ikke mindst Firefox-brugere kan glæde sig over: * Fælles login tjeneste, single sign on (SSO) til det offentlige.
Fællesoffentligt har IT og Telestyrelsen (ITST) i flere år peget på SAML standarderne, til SSO... og det er så blevet ved pegningen.
Nu er der i regi af "Den fællesoffentlige borgerportal" (den næste portal, "min side", første version Q1 2008) taget fat i netop denne tjeneste. Borgerportalen samler og udstiller jo en række services, som udbydes selvstændigt fra mange forskellige myndigheder, så der er et presserende teknisk - og brugervendt - behov for at have SSO.
I regi af borgerportalprojektet, har man derfor gennemført en "realistisk" afprøvning af SSO. Det vil sige at ITST har skåret ind til benet - og præcist formuleret hvilke dele af det store SAML 2.0 kompleks man vil anvende, og hvordan. ITST har også - til testen - stillet en service til rådighed på Internettet, en Identity Provider (IDP). Borgerportalen / Den digitale taskforce har "faciliteret" projektet, og som myndighed har Rødovre Kommune "migreret" en løsning, til at passe ind i konceptet.
Og det er lykkedes.
Samarbejdet mellem parterne (taskforce, ITST, Rødovre Kommune, leverandører) har været rigtig godt, åbent og konstruktivt. Teknikken ? - ja den virker.
Set fra kommunens side kan vi både deltage i fællesskabet (vise vores løsninger gennem borgerportal, med SSO), vi kan udnytte fællesskabet (i egen løsning lade IDP foretage logon for os), og vi kan bibeholde egen sikkerhedsløsning (egen logon). Alt sammen samtidigt.
Ja det lyder som at vi slet ikke kan få armene ned - og det passer.
Rødovre Kommune planlægger at migrere infrastrukturen nu, så mangler vi kun borgerportalen og IDP :-)
Er der slet ikke noget MEN ? Jo det er der, og dem skal der naturligvis arbejdes på. Eksempelvis:
1) SSO er en ny service, som det offentlige tilbyde borgerne. Så i finansministerielle termer (og eksempelvis B103) er der tale om en SERVICEUDVIDELSE. For de u-indviede betyder det, at indførelse af standarden og løsningen koster penge. Penge de mange myndigheder ikke "ellers" havde planlagt i deres egen systemudviklings plan....
2) Det er ikke nemt. Den hurtigste implementering vi lavede var et "demonstrations hack" - lidt garagekodning. Det virker, men er ikke produktionsmodent. Store leverendører har "verdensklasse enterprise løsninger" - men har brug for "verdensklasse teknikerhjælp" til at sætte det op....
3) Der er identificeret lidt "flimmer" i brugeroplevelsen. Jeg er håber på at det bliver løst fra centralt hold. Jeg kan berolige alle Firefox brugere, det er ikke dem der har risiko for flimmer :-)
Kommentarer (5)
Hej Lars,
Velkommen til - interessant at høre om SSO via SAML 2.0.
Kan du løfte sløret for hvilken platform i er på og hvordan i har kunne vælge den rigtige SAML profil (var der understøttelse i jeres eksisterende platform eller skulle i investere i nyt?)
Hvor meget er konfig og hvad var det egenlig i garagekodede?
-René
-
0 -
0
Det lyder dejligt at den offentlige sektor også har fokus på browser alternativer så som Firefox. Men der er noget der undre mig.. Designes der til IE og Firefox specefikt?. Eller designes der til at overholde W3C standarterne således at andre browsere også understøttes ?.
-
0
-
0
Hej Réne
SSO platformen var:
På IDP siden brugtes et produkt "ping". Det skal nok understreges at dette var til "proof of concept", ikke et endeligt valg af produkt. På borgerportal siden, er der tale om en Oracle Platform, som videreførsel af www.borger.dk. Vores "front" i testen udgjordes af en IBM platform, som skal konsolidere flere services, fra vidt forskellige systemer og leverandører. Der hos os omfatter hos bl.a. ibm, sun, oracle og ms teknologier.
Profileringen af SAML stod ISTS for.
Ja, for at gennemføre "federeret SSO" skal vi ud og anskaffe produkter, som vi ikke ellers havde anskaffet.
Hvor meget... ? Ja det kan jeg desværre ikke sige særligt præcist, så det egner sig nok ikke til bloggen.
/lars
-
0
-
0
Det skal understreges, at browser problemerne ikke havde at gøre med fremvisning af de egentlige services(i dette tilfælde websider på oracle og ibm platforme). Men havde at gøre med SSO mekanismerne. Altså om man efter logon korrekt blev vist den ønskede side. Det er problemer vedr. federationens "redirects" og lign.
/lars
-
0
-
0
Nu har det aldrig været god latin at skabe single point of failure. ALligevel er det præcis hvad man er i gang med her.
Det store spørgsmål er ikke hvordan man tilslutter sig, men hvordan man undgår/omgår flaskehalsen.
Det er som om klappen er gået ned og det offentlige nu skal gentage samtlige fejl, der er begået i it-historien. Pt. er man i gang med at ignorere den tid i 60erne, hvor man lærte bruger-orienteret udvikling.
På et tidspunkt opdager man vel at der er noget, der hedder sikkerhed og kunder. Og så kan man håbe at man dernæest begynder at effektivisere og innovere.
-
0
-
0
Tilføj kommentar
