En solid og sikker adgangskontrol er fundamentet for smidig kommunikation mellem mennesker, systemer og tjenester. Identifikation og autentifikation er de to grundlæggende elementer i informationssikkerhed, der skal håndteres på en både sikker og brugervenlig måde.
På de højere uddannelsesinstitutioner har vi løst den udfordring gennem en såkaldt føderation, som vi selv udvikler.
Hvis man slår ”føderation” op i den Den Danske Ordbog, så lyder forklaringen, at det er ”en sammenslutning af delstater med fælles regering og statsoverhoved”. Men det kan også betyde et ”partnerskab mellem to eller flere sikkerhedsdomæner, hvor man godkender hinandens brugere og giver dem adgang til de udvalgte systemer, der via føderationen stilles til rådighed”. Og det er sagen her.
Helt skåret ind til benet er det: en sammenslutning mellem tjenester og institutioner, hvor brugerne har adgang til alle (registrerede) tjenester med ét login, der kontrolleres af én instans.
De to store fordele ved denne model er, at (persondata)sikkerheden er høj, og at man kun skal logge på én gang, uanset hvor mange tjenester man tilgår. De ansatte og studerende slipper altså for at huske særskilte loginoplysninger for hver webtjeneste, som de anvender uden for deres institution.
Godt for både it- og personsikkerheden
Vi kalder løsningen for Where Are You From (WAYF), hvilket samtidig er en ret præcis beskrivelse af, hvordan vi definerer brugeren i forbindelse med login.
Overordnet kan det sammenlignes med NemLog-in, som vi alle kender og anvender, dog med en afgørende forskel.
Hvor NemLog-in kan identificere dig som borger i det danske samfund, så er WAYF bygget til at benytte arbejdspladsen eller studiestedet som udgangspunkt for autentificeringen (Where Are You From).
Vi opbevarer således ingen personoplysninger i løsningen. Det foregår på den enkelte uddannelsesinstitution, der så selv bestemmer kriterier og rettigheder. Det er ligeledes her, at brugeren forsynes med den login-profil, som WAYF forbinder med tjenesterne.
Er du eksempelvis studerende eller ansat på Københavns Universitet er det altså her, dine informationer opbevares, og din konto udstedes.
Når du har behov for at logge på en ekstern tjeneste, så overføres derfor også kun de data, der er strengt nødvendige. Det kan vi gøre, fordi universitetet indgår i føderationen, WAYF.
Det er et minimum af information, der udveksles, hvilket er godt for persondatasikkerheden. Kommunikationen sker samtidig via hardware-signering, hvilket giver en teknisk sikker løsning.
Samtidig slipper brugeren for at skulle oprette og huske forskellige passwords til hver webtjeneste, som ellers er vores anbefaling. Passwordet overføres slet ikke til tjenesten, så også her styrkes sikkerheden betydeligt.
En registrering giver adgang til 27 mio. brugere
Føderationen kræver naturligvis, at de eksterne tjenester registrerer sig i WAYF. Men når det er gjort, så er der adgang til tjenesten for alle de personer, som har et login – i hele verden. I runde tal svarer det til 27 millioner brugere heraf mere end 500.000 er i Danmark. Det skyldes at WAYF, der er en dansk føderation, også er medlem af den globale føderation for universitetssektoren, kaldet eduGAIN.
Brugerne på de danske uddannelsesinstitutioner kan, via WAYF, benytte omkring 275 danske tjenester og yderligere 3.500 globale tjenester. Hvis du har fået tildelt adgang til tjenesterne af dit studiested eller din arbejdsplads, kan de alle tilgås med ét enkelt password og login.
Omvendt er det også en meget enkel måde for en tjeneste, at komme i kontakt med rigtig mange brugere i en arbejdsgang. For udbydere, der vil forbinde til forsknings- og undervisningsverdenen, har selvfølgelig de samme fordele ved at melde sig ind under føderationens fane.
Det er enkelt, sikkert og effektivt.
Oprindelig bragt på Computerworld Online den 26. april 2019.