WAYFor en fisk?

Forestil dig at du på Ordbogen.com ser en knap med teksten WAYF.

Når du klikker på knappen bliver du spurgt hvor du kommer fra (Where Are You From, WAYF). Hvis du nu læser på RUC, så vælger du RUC fra en liste, omdirigeres til RUCs logon-side, logger på, og vupti, du har adgang til at bruge tjenesten uden videre. Og uden at Ordbogen.com har den fjerneste anelse om hvem du er, ud over at du er studerende ved RUC

Det er hvad WAYF-projektet giver mulighed for i dag. Hvis du læser på en længerevarende uddannelse er du sandsynligvis blandt den ca. ½ mio danskere som kan bruge WAYF til at logge på en række tjenester.

WAYF er en implementering af en fødereret sikkerhedsmodel hvor tjenester stoler på et sæt oplysninger fra en betroet partner om dig. I eksemplet ovenfor har ordbogen.com lavet en aftale med RUC om at studerende og ansatte kan bruge ordbogen frit. Og WAYF overfører ikke hverken dit brugernavn, password eller andre oplysninger til ordbogen.com, men blot informationen om at du i denne session rent faktisk er autentificeret af RUCs systemer.

Læs mere om dette spændende, open source baserede initiativ på WAYFs hjemmeside

(Jeg hørte om WAYF på det seneste møde i Dansk ITs netværk om Enterprise Architecture hvor indlægget om WAYF var præsenteret af David Simonsen)

Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Nørregaard Blogger

Fisk! Eller med andre ord: Jeg ved ikke hvilke forskelle der er til OpenID.

Mit "uneducated guess" er:
- WAYF kan bruge SAML 2, CAS og LDAP til at forbinde sig til identity providers, hvilket er mere end en standard OpenID løsning kan. Shibboleth kan også bruges til som protokol mellem WAYF-serveren og tjenster.
- Håndtering af samtykke i overensstemmelse med dansk lovgivning
- Den kører i dag og kan bruges af ca. ½ mio studerende og ansatte på de videregående uddannelser.
- Og så måske noget omkring hvilke attributter, der gives til tjenesten og hvordan processen er omkring videregivelsen.

Men det er ikke mit felt og jeg er nysgerrig, så fortæl om jeg har ret.

Jan Keller Catalan

Kan man sige, det er en OpenID med identity-provider specifik funktionalitet?
Altså ikke bare authentication men også authorisation?

Teoretisk er det vel også muligt med OpenID - at give forskellige rettigheder alt efter, hvilken identity-provider man benytter - men eftersom ideen i OpenID er at identity-providers ikke begrænser muligheden for at blive "medlem" giver det ikke så meget mening.

Kan nogen sige noget om implementeringen/protokollen? Hvor forskellig er den fra OpenID?

David Simonsen

I forbindelse med WAYF skal man skelne mellem to roller: tjenesteudbyder (service provider) og identitetsudbyder (identity providers, IdP'ere). WAYF befinder sig midt imellem de to, som betroet tredjepart.

WAYF's rolle er simpel: forespørgsler om login stilles videre til relevante identitetsudbydere, og svarene sendes videre til relevante tjenesteudbydere.

Hvis en tjeneste har behov for at vide, at en person eksempelvis er studerende ved institution X for give adgang, nytter OpenID ikke, idet protokollen tager udgangspunkt i, at man altid stoler på brugeren selv. Protokollen kommunikerer direkte mellem tjenesteudbyder og identitetsudbyder. WAYF gør det modsatte: stiller sig imellem og sikrer at alle oplysninger kommer fra autoritative tredje-parter, der står til ansvar for oplysningernes rigtighed.

Husk på, at man ikke kan logge ind i WAYF; man stilles derimod videre til den identitetsudbyder, hvor man kan logge ind (deraf navnet: Where Are You From).

Det er i øvrigt korrekt at WAYF er baseret på SimpleSAMLphp og open source i øvrigt. Antallet af tilsluttede elektroniske identiteter er p.t. 125.000. WAYF understøtter både SAML2, SAML1.1 (Shibboleth 1.3) på SP-siden og LDAP, CAS, CAS+LDAP og SAML2 på IdP-siden.

Jeg håber, at denne korte opsummering svarer på nogle af spørgsmålene.

Hjemmesiden på www.wayf.dk er under stadig opbygning, og flere (tekniske) detaljer bliver lagt ud i de kommende måneder.

Mht. trojanere er jeg interesseret i at høre mere. Hvori består muligheden?

Jacob Christian Munch-Andersen

Omdirigeringen, brugerne sendes automatisk til deres loginside, hvis man omdirigerer til en lignende trojanerside i stedet kan man opsnappe password/brugerid kombinationer. Alt hvad man skal gøre er at oprette en side der ser ud som om den bruger systemet.

I bruger ikke iFrames så folk der tænker sig om bør kunne undgå at blive ramt, men hvor mange brugere tror du vil finde det mistænkeligt hvis loginproceduren bliver smidt ind i en iFrame? Og hvor mange gider i det hele taget at bekymre sig om hvad der står i en adresse som fylder mere end adressebaren?

David Simonsen

Omdirigeringen af brugeren fra WAYF til IdP sker ikke automatisk. Dog foreslås éns seneste valg af IdP, som derfor foreslås automatisk (for at spare scroll-tid, da man formentlig ofte vil vælge samme IdP). Brugeren skal altsåselv, manuelt angive hvor han vil logge ind - hver gang.

Grunden er, at man kan have forskellige roller på forskellige IdP'er. Måske får man alene adgang til en given tjeneste, hvis man logger ind på den ene. Blev man automatisk omstillet, ville det i nogle tilfælde være umuligt at tilgå bestemte tjenester, da man altid ville logge ind på en 'forkert' IdP.

I øvrigt er det alene WAYF, der kan oprette enheder på listen over tilsluttede IdP'ere. Der er ret omfattende krav for at blive tilsluttet; herunder udveksling af certifikater af en given kvalitet (automatisk check af CA'ens revocation-liste skal kunne foretages). Så det er ikke alle og enhver, der kan blive WAYF-IdP (desværre ;-)

Jan Keller Catalan

Mener du ikke man-in-the-middle eller phishing, Jacob? Jeg har også lidt svært ved at se trojaner-problematikken.

Man-in-the-middle og phishing problematikken er dog en, som er kommet op i forbindelse med OpenID (og remote authentication generelt) ved tidligere lejligheder, og jeg er ikke helt sikker på, at den er blevet ultimativt besvaret (bl.a. derfor vi ikke i Mediehuset Ingeniøren har voldsomt travlt med at tilbyde OpenID login på ing.dk og version2.dk).

Jacob Christian Munch-Andersen

Duh!

Jo, jeg mener selvfølgelig phishing.

Hvem som helst kan påstå at man kan logge ind med WAYF på deres side, og så ellers lave loginsider som ligner de rigtige. Brugeren skal aldrig selv taste adressen til den side hvor de skal logge ind, derfor er det let at nare brugeren til at bruge loginet på en anden lignende side.

Log ind eller Opret konto for at kommentere