Hvem kan bestille tilgang?
Alle som drifter en tjeneste på nett som ønsker autentisering av brukere fra UiO kan i prinsippet bestille tilgang til Weblogin. Det settes en forventning til at tjenesten har relevanse for universitetet eller personer tilknyttet universitetet.
Bestilling
Vi trenger svar på en del spørsmål for å gi tjenester tilgang til Weblogin. I en bestilling må du svare på:
- Hvilke brukere skal kunne logge inn i tjenesten?
- Hvem er kontaktpunkt for tjenesten?
- Hvilken informasjon forventer tjenesten å få fra Weblogin?
- Skal kommunikasjon mellom tjenesten og Weblogin krypteres?
- Service Provider metadata fra din tjeneste.
Ved utvikling av en ny tjeneste eller under testfasen så skal man benytte Weblogin-test. Dette for å ikke utsette Weblogin for eventuelle problemer, samt at feilsøking er langt enklere for drift.
Brukergrupper
Ved UiO så oppererer man i hovedsak med tre brukergrupper
- Personer ved UiO (uioperson) er mennesker som har en nær tilknytning til UiO. Typiske eksempler er ansatte og studenter ved universitetet. Eksempler på personer som ikke er med i denne gruppen er innleide konsulenter og gjesteforskere. Typisk for denne gruppen er at det finnes detaljerte personopplysninger som fødselsnummer, tilhørighet, telefonnumre og lignende. Brukermassen i denne gruppen kommer fra person-treet i UiOs LDAP-katalog.
- Alle brukerkonti (uiobruker) er mengden av alle brukere ved UiO, personlige og upersonlige. En person kan ha flere konti. Det finnes langt mindre opplysninger om denne typen identiteter. Brukermassen i denne gruppen kommer fra bruker-treet i UiOs LDAP-katalog.
- WebID en tjeneste som gjør det mulig å gi løst tilknyttede personer tilgang til it-tjenester ved UiO. Du kan lese mer om dette på nettstedet for WebID. Merk at kun WebID-brukere som er aktive vil kunne logge inn med Weblogin. En aktiv WebID-bruker er medlem av minst en WebID-gruppe.
Merk at det ikke er SSO mellom brukergrupper! Dersom brukeren 'foo' autentiserer seg hos en tjeneste som kun benytter seg av en gitt brukergruppe, vil brukeren kun være autentisert i andre tjenester som benytter seg av samme brukergruppe.
Man kan velge å bruke flere brukergrupper i sin tjeneste. Brukeren vil da selv kunne velge hvilken brukergruppe vedkommende vil autentisere seg med. En vanlig kombinasjon her er brukergruppene «uiobruker» og «webid». Sluttbrukeren vil da få opp to faner i Weblogin, og vil selv kunne velge hvilken av disse som brukes.
I tillegg har Weblogin mulighet for fallback mellom brukergrupper. Dette betyr at hvis innloggingen feiler mot en brukergruppe så vil Weblogin forsøke mot en annen (prekonfigurert) brukergruppe, med samme autentiseringsinformasjon. En tjeneste kan da konfigureres til å autentisere mot brukergruppen «uioperson», med fallback til «uiobruker». Da vil alle brukerkonti ved UiO kunne benytte tjenesten, men personlige brukerkontoer vil foretrekkes der det er mulig. Dette løser noe av problemet med manglende SSO mellom brukergrupper.
Kontaktpunkt
Alle tjenester som det bestilles tilgang for må det registreres et kontaktpunkt for. Dette kontaktpunktet vil benyttes for å informere om endringer i Weblogin som kan påvirke din tjeneste.
Kontaktpunktet skal være en epostliste, ikke epostadresse til en enkeltperson. Folk flytter på seg, men ansvaret flytter sjelden sammen med dem.
Informasjon
Weblogin kan gi informasjon om autentiserte brukere til din tjeneste. Hvilken informasjon som er tilgjengelig, vil være avhengig av hvilken brukergruppe brukeren tilhører.
- uioperson: attributt fra person-treet i UiOs LDAP-katalog vil være tilgjengelig.
- uiobruker: vil attributt fra bruker-treet i UiOs LDAP-katalog være tilgjengelig.
- webid: For WebID vil kun navn, brukernavn og e-post være tilgjengelig.
En tjeneste bør ikke få tilsendt flere attributter enn den trenger. Ved bestilling må man derfor eksplisitt føre opp hvilke attributt man ønsker overført fra Weblogin. Det er uproblematisk å endre dette i ettertid dersom tjenesten får behov for mer informasjon.
Merk at forespørsler om sensitive opplysninger kan medføre at kravet må dokumenteres. Om tjenesten ber om sensitiv informasjon, må også kommunikasjonen mellom tjenesten og sluttbruker krypteres (kun være tilgjengelig over HTTPS). Sensitiv informasjon vil typisk være fødselsnummer. Man kan ikke få informasjon om brukerens passord.
Kryptering
All kommunikasjon mellom bruker og Weblogin vil alltid skje over HTTPS, for å beskytte brukerens passord. I tillegg vil alle meldinger fra Weblogin til din tjeneste være digitalt signert. Dette forhindrer at meldinger til din tjeneste ikke kan forfalskes, og gjør at din Service Provider kan stole på informasjonen fra Weblogin.
Informasjonen som utleveres av Weblogin til din Service Provider kan i tillegg krypteres, for å hindre innsyn. Dersom du ønsker slik kryptering, må du opplyse om dette i bestillingen, og inkludere en offentlig nøkkel i metadata for din SP.
Dersom meldingene ikke krypteres vil brukerens nettleser ha innsyn i disse dataene. Så lenge kommunikasjon mellom brukeren og din tjeneste er begrenset til HTTPS, er det strengt tatt ingen behov for slik kryptering.
Metadata
Inkludert i bestillingen må du ha metadata for din Service Provider. Metadata inkluderer en unik identifikator for din SP, samt ressursene som Weblogin sender meldinger til. En SP vil typisk ha to slike ressurser, en for kontroll av innlogging, og en for utlogging.
For å bygge konfigurasjonen som weblogin trenger for å la en tjeneste videresende brukere så trenger vi noen parametre. Under er eksempler på disse parametrene:
<EntityDescriptor entityID="https://foo.uio.no/simplesaml/saml2/sp/metadata.php"/> <SingleLogoutService Location="https://foo.uio.no/simplesaml/saml2/sp/SingleLogoutService.php"/> <AssertionConsumerService Location="https://foo.uio.no/simplesaml/saml2/sp/AssertionConsumerService.php"/>
Eksempel på metadata kan du også finne på Weblogin og Weblogin-test. Merk at dette er metadata for en IdP og ikke en SP. Husk at du også må legge inn metadata for Weblogin i din SP.
Kontaktpunkt for Weblogin
Kontaktpunktet for alle typer henvendelser er weblogin-kontakt@usit.uio.no.