Hlavní navigace

eduGAIN - identity všech zemí, spojte se

 Autor: 29
Pavel Satrapa 11. 6. 2009

Přihlašování uživatelů je dnes běžnou součástí celé řady webů a služeb. Většinou se používá nejjednodušší model jedna služba–jeden účet, kdy si každý web své uživatele spravuje sám. Žádnou vzácností nejsou ani skupiny služeb využívajících jednu společnou identitu (například rodiny webových aplikací Google či Microsoftu). Nejsložitější situaci mají federace identit, kdy spolupracuje několik poskytovatelů služeb a správců identit. Projekt eduGAIN se pokouší jejich možnosti posunout ještě o kus dál.

Federace identit v současnosti představují aktuální téma, zejména v akademické komunitě. V komerční sféře není potřeba inženýrů třeba z Intelu a AMD spolupracovat na společných projektech až tak palčivá, nicméně i zde se podobné směry objevují. Například leckteré blogovací či komentářové systémy jsou ochotné přijmout identifikaci uživatele z řady různých zdrojů. Plnohodnotné federace však zatím vznikají zejména mezi univerzitami a výzkumnými institucemi, kde je spolupráce „napříč“ organizacemi řádově častější.

Federace musí vyřešit dva základní okruhy problémů – otázku důvěry (nebo, chcete-li, politiku) a technické uspořádání vzájemné komunikace. Má společnou politiku, v níž se členové zaváží k určitému chování a dodržování jistých pravidel, na jejichž základě mohou poskytovatelé identit věřit poskytovatelům služeb a naopak. Dohodnou se také na společné platformě, která řeší vzájemnou komunikaci z technického hlediska. Situaci ve federaci popisují její metadata, která obsahují základní informace o členech, jejich chování i informace potřebné pro věření autenticity.

Současné federace vznikají obvykle na úrovni států – typickým příkladem je naše eduID.cz. Každá má svou politiku a své technické řešení. Problém vzniká v tom, že se čile spolupracuje i v mezinárodním měřítku a vzniká tak zájem o propojení federací. Posouváme se tak k interfederacím (volnější spojení) či konfederacím (těsnější). A právě do této oblasti míří projekt eduGAIN.

Nejtvrdší oříšek pro něj představuje různorodost. Ambicí eduGAIN je umožnit spolupráci autentizačních infrastruktur evropských zemí, které jsou však velmi rozmanité. Většina sice používá Shibboleth, kromě něj však lze narazit na systémy PAPI, A-Select, simpleSAMLphp či „samodělané“. Také sady atributů popisujících charakteristiky uživatelů mají k jednotnosti daleko. Hlavním cílem eduGAIN je překlenout tyto rozdíly a poskytnout členským federacím společný základ pro spolupráci.

eduGAIN nabízí prostředky pro zajištění vzájemné komunikace – překlad autentizačních protokolů (pod názvem Bridging Elements) a mapování atributů. Díky této dvojici je možné získat informace od systému nekompatibilního z hlediska komunikačního protokolu i struktury dat. Společný základ představuje metadatová služba (Metadata Service, MDS) – společný repozitář, kde členské federace zveřejňují svá metadata. Z nich pak mohou čerpat poskytovatelé identit a služeb: Pokud uživatel projeví zájem o autentizovanou službu a je třeba ověřit jeho identitu či údaje o něm, získá autentizační software údaje z MDS a umožní mu vybrat si z dostupných poskytovatelů identit v rámci všech zúčastněných federací. Podobně si poskytovatel identity může v MDS zjistit, zda žadatel o informace je poskytovatelem služeb zapojeným do konfederace. Tyto operace umožňuje ověřit infrastruktura veřejných klíčů, kterou eduGAIN také zahrnuje.

WT100

Kromě vývoje technických nástrojů k vytvoření konfederace identit samotný projekt eduGAIN i jednu konkrétní konfederaci buduje. V současnosti má 15 členů, akademických federací z evropských zemí, které využívají pět různých autentizačních technologií. Z České republiky je zapojena výše zmiňovaná eduID.cz. Sortiment služeb je poměrně malý, jedná se zatím stále o zkušební záležitost. Využívá se pro řízení přístupu k vybraným službám sítě GÉANT2 (např. perfSONAR pro monitorování přenosového výkonu).

Právě zkušenosti získané během reálného provozu budou využity v nové verzi eduGAIN, na níž se v současnosti začíná pracovat. Využije toho, že postupem času se rozdíly mezi členskými federacemi postupně zmenšují, protože prakticky všichni dnes přešli nebo přecházejí na SAML 2.0. Díky tomu bude možné některé prvky vzájemné komunikace zjednodušit či zcela vypustit. Zvažuje se také opuštění koncepce centrální metadatové služby a její nahrazení prostředky pro vzájemnou výměnu metadat. Celkově by nová verze eduGAIN měla být jednodušší, úspornější a pružnější. Její vývoj však teprve začíná.

Anketa

Využíváte nějakého nástroje, který vám usnadňuje přihlašování do různých online služeb?

Našli jste v článku chybu?
Vitalia.cz: Opuncie je plod kaktusu. Pozor na trny

Opuncie je plod kaktusu. Pozor na trny

DigiZone.cz: Pure má tři nové přijímače DAB

Pure má tři nové přijímače DAB

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

DigiZone.cz: Sat novinky: Kabel eins Doku

Sat novinky: Kabel eins Doku

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Vitalia.cz: Jaký je rozdíl mezi brambůrky a chipsy?

Jaký je rozdíl mezi brambůrky a chipsy?

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

120na80.cz: Hrbatá prsa aneb mýty o implantátech

Hrbatá prsa aneb mýty o implantátech

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Root.cz: Bezpečný router Omnia právě dorazil

Bezpečný router Omnia právě dorazil

Vitalia.cz: Inspekce našla nelegální sklad v SAPĚ. Zase

Inspekce našla nelegální sklad v SAPĚ. Zase

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Vitalia.cz: Když bílkoviny, tak jíme ty nekvalitní

Když bílkoviny, tak jíme ty nekvalitní

Podnikatel.cz: Babišovy firmy a registr smluv. Co odhalil?

Babišovy firmy a registr smluv. Co odhalil?