TERENAn TNC2009-konferenssin ensimmäisen päivän toinen ja samalla viimeinen sessio kuuluu teemaan Virtual people.
Teksti on lennosta referoivaa eli osin puutteellista. Jos joku haluaa tutustua asiaan paremmin, kannattaa katsoa esitykset terena.org:sta tai alla olevista linkeistä.
* * *
Ensimmäisenä puhui Internet2:n Kenneth Klingenstein otsikolla “Middleware, Ten Years In: Vapority into Reality into Virtuality“. Hänä puhui ajasta ennen middlewaren aikaa. Silloin tiedettiin jotain autentikoinnista ja auktorisoinnista, elämä oli varsin sovelluskohtaista. Hakemistot muuttivat näkymää, mukaan kuvaan tuki autentikointi. Federointi muutti kuitenkin kaiken. Middlewaresta tuli sen verran tärkeää, että suuret vendorit halusivat huolehtia siitä ja muodostivat niistä myös busineksen lock-in-tuotteita.
Eräitä menestyksen eväitä.
- Yksityisyys ja turvallisuus voidaan hoitaa yhtäaikaa
- Fokus schemaan
- Yhteinen työ SAML:n ympärillä
Eräitä virheitä:
- Hakemistojen hakemistot
- end-to-end end-user PKI
- Diagnostiikka
Tulevaisuus
- Federaatioiden kasvattaminen vaattii palveluista päättämistä, liiketoimintamalleja, governance-rakenteiden kehittämistä ja markkinapaikkaa.
- Interfederaatiot (yli vertikaalisten sektoreiden jne.)
- Konfederaatiot
- Soup (institutionaalisia ryhmiä segmenttien yli, eri tarkoituksia varten perustettuja ryhmiä)
Klingenstein esitteli myös joukon attribuuttiekosysteemin käyttötapauksia sekä attribuutien käytön avainkysymyksiä kuten metdatan käyttö, auktorisoinnin lähteet tai vaikkapa skeemojen hallinnan.
uApprove (http://www.switch.ch/aai/support/tools/uApprove.html) on yksi lähestymistapa yksityisyyden hallintaan (privacy management) ja toinen on InfoCard/Higgins.
Lopulta olennainen kysymys on internet-identiteetti. Miten se voidaan esimerkiksi eri palveluille tehdä ja miten käyttäjät voivat niitä hallita?
Klingenstein korosti myös näkökulmaa, jossa nykyiset opiskelijat ovat tulevaisuuden kuluttuajia. Tekemisessä pitää olla myös realismia.
* * *
Jeff W. Boote (Internet2) ja Cándido Rodríguez Montes (RedIRIS/red.e) otsikolla “Authorizing Dynamic Networks for VOs“.
DICE on epämuodollinen partneruus CANARIEn, ESnetin, GEANTin, Internet2:n ja USLHCnetin ympärillä. Perustuu mm. perfSONAR-yhteistyöhön. perfSONAR on arkkitehtuuri ja kokoelma protokollia, jotka hyödyntävät standardoitua SOA:aa ja WS:ää. Sillä on useita yhteensopivia implementaatioita (Java, Perl).
perfSONAR-arkkitehtuuri koostuu verkon mittauksen middlewaresta, joka on integroitavissa mm. verkon mittaustyökaluihin.
Kyse on verkon toiminnan mittauksen työkaluista ja niiden arkkitehtuurista, joihin voidaan liittää erilaisia komponentteja. Esimerkiksi voidaan selvittää topologiaa ja muita informaatiopalveluista tai vaikkapa verkon autentikointipalveluita. Projektissa on tuotettu modulaarisia ja integroituvia työkaluja verkon hallintaan.
Aiheeseen liittyviä lyhenteitä ovat: AAI, DCN, SAML ECP, ShibuPortal.
* * *
David W Chadwick otsikolla “Attribute Aggregation in Federated Identity Management”
Verkkopalveluiden käyttäjillä on tyypillisesti useita erilaisia attribuutteja eri palvelun tarjoajilta. Käyttäjä tunnetaan yleensä eri id:llä, jotka saadaan eri IdP.stä. Vain käyttäjä itse tietää mitä nämä id:t ovat. Käyttäjä voisi toivoa uszeita id-tietoja yhdelle SP:lle, mutta miten SP saadaan tietoiseksi erilaisista ID-tiedoista ja attribuuteista.
Yksi vaihtoehto on käyttää Linking Serviceä (LS), johon kirjautumalla käyttäjä voi valita millä IdP:llä hän haluaa autentikoitua. LS yhdistää attribuutit, jotka on saatu kirjautumalla LS:n välityksellä eri IdP:hen. Käyttäjä voli näyttäytyä myös nicknamella LS:ssä.
Käyttäjä voi hallita LS:ssä palveluita, joiden IdP-tietoja käytetään. Poistaa ja lisätä niitä sekä määritellä palvelussa attribuuttien julkaispolitiikkaa. LS:ää voi hyödyntää myös provisioinnissa. Käyttäjän kannalta olemnnainen asia on se, että hän itse voi hallinnoida attribuutteja jatkuvasti eli päättää mitä tietoja hänestä itsestään millekin palvelulle LS:n välityksellä välitetään. Yksityisyyden suojaan on kiinnitetty huomiota eli SP tietää vain sen, mitä käyttäjä haluaa kertoa.
Käyttää teknologisesti hyväkseen SAML2:sta sekä OASIS ja Liberty Alliancen standardeja.
Tarkemmin LS:stä kerrotaan toukokuun IEEE Computer Magazinessa.
* * *
Lopuksi nähtiin vielä perfSONAR:iin liittyvä demo.
* * *
Session puheenvuoroista kaksi ensimmäistä olivat varsin paljon syvällisempää verkkoteknologiaa ja viimeisin varsin mielenkiintoinen käyttäjien atteribuuttien jakelun ja jakelun toteutustavan kannalta.