Kalmarin unioni – Mikael Linden, Andreas Åkre Solberg

Kalmar Union, a confederation of Nordic identity federations
http://tnc2009.terena.org/schedule/presentations/show.php?pres_id=28

Mikael Lindenin ja Andreas Solbegin sessio käsitteli confederaatiota eli federaatioiden muodostamaa federaatiota. Esimerkkitapauksena käytettiin Kalmarin Unionia joka on pohjoismaiden federaatioista koostuva federaatio. Tähän kuuluvat norjalainen FEIDE, ruotsalainen SWAMID, suomalainen HAKA ja tanskan ja islannin käyttmä WAYF.

Confederaation hyötynäkökulma kiteytyy sellaisessa esimerkkitapauksessa jossa
yksi palvelu voi palvella kaikkia federaatioon kuuluvia jolloin palvelun
vaatimat resurssit on keskitetty. Näin ei tehdä turhaa päällekkäistä työtä.
Eli käytännössä joku tarjoaa kaikille federaatioille palvelua joka jokaisen
federaation olisi kuitenkin tarjottava jäsenilleen. Kalmarin unionissa eräs tällainen ajankohtainen palvelu on sertifikaattien jakelu.

Kalmarin unioni perustuu SAML2.0 protokollaan. Kalmarin unioni ottaa kaikista federaatioista tarvittavan metadatan ja muodostaa siitä unioniin sopivan version joka jaetaan siihen liittyneille IdP:ille ja SP:ille.

Kalmarin unionin kohtaamat ongelmat ovat lähinnä federaatioiden erilaisissa käytännöissä. Pakolliset attribuutit on määritelty eri tavoin, attribuuttien syntaksi poikkeaa naapurin käyttämästä ja käyttäjän yksilöivät attribuutit eivät ole samoja. Tämän lisäksi eri federaatioiden vaatimukset käyttäjänhallinnossa poikkeavat toisistaan joka asettaa ongelmia määritellä luotettavuussuhteita. Käyttäjäkokemuksen toteuttaminen on myös haastavaa toteuttaa siten, että loppukäyttäjä ymmärtää mihin on sitoutumassa ja miten toimia tietoturvallisesti.

David Simonsen

Trusted third party based ID federation, enhancing privacy and lowering the bar for connecting
http://tnc2009.terena.org/schedule/presentations/show.php?pres_id=29

David puhui WAYF-palvelun (Where Are You From) funktion muuttamisesta tai sen mahdollisuuksista. Perinteisesti WAYF-palvelu ohjaa käyttäjän tunnistautumaan omaan kotiorganisaatioon. Ehdotetussa skenaariossa WAYF toimii oleellisena välittäjänä (singgle point of contact) kotiorganisaation ja palvelun tarjoajan välillä. Käytännössä WAYF prosessoisi tietoa viestiliikenteessä siinä kun SP ja IdP kontrolloivat sitä.

Etuja tällaisesta lähestymistavasta on esimerkiksi federaatioiden liittämisessä toisiinsa ja käyttäjän konsentin (lupa omien tietojen antamisesta palveluntarjoajille) keskistetystä hallinnoinnista.

Yhtenä suurena haastena skenaarion toteuttamisessa on tässäkin tilanteessa tietoturvallisuuden kannalta se, kuinka loppukäyttäjä saadaan ymmärtämään mitä hänen toimintaympäristössään tapahtuu.