eduGAIN - identity všech zemí, spojte se

Federace identit v současnosti představují aktuální téma, zejména v akademické komunitě. V komerční sféře není potřeba inženýrů třeba z Intelu a AMD spolupracovat na společných projektech až tak palčivá, nicméně i zde se podobné směry objevují. Například leckteré blogovací či komentářové systémy jsou ochotné přijmout identifikaci uživatele z řady různých zdrojů. Plnohodnotné federace však zatím vznikají zejména mezi univerzitami a výzkumnými institucemi, kde je spolupráce „napříč“ organizacemi řádově častější.

Federace musí vyřešit dva základní okruhy problémů – otázku důvěry (nebo, chcete-li, politiku) a technické uspořádání vzájemné komunikace. Má společnou politiku, v níž se členové zaváží k určitému chování a dodržování jistých pravidel, na jejichž základě mohou poskytovatelé identit věřit poskytovatelům služeb a naopak. Dohodnou se také na společné platformě, která řeší vzájemnou komunikaci z technického hlediska. Situaci ve federaci popisují její metadata, která obsahují základní informace o členech, jejich chování i informace potřebné pro věření autenticity.

Současné federace vznikají obvykle na úrovni států – typickým příkladem je naše eduID.cz. Každá má svou politiku a své technické řešení. Problém vzniká v tom, že se čile spolupracuje i v mezinárodním měřítku a vzniká tak zájem o propojení federací. Posouváme se tak k interfederacím (volnější spojení) či konfederacím (těsnější). A právě do této oblasti míří projekt eduGAIN.

Nejtvrdší oříšek pro něj představuje různorodost. Ambicí eduGAIN je umožnit spolupráci autentizačních infrastruktur evropských zemí, které jsou však velmi rozmanité. Většina sice používá Shibboleth, kromě něj však lze narazit na systémy PAPI, A-Select, simpleSAMLphp či „samodělané“. Také sady atributů popisujících charakteristiky uživatelů mají k jednotnosti daleko. Hlavním cílem eduGAIN je překlenout tyto rozdíly a poskytnout členským federacím společný základ pro spolupráci.

eduGAIN nabízí prostředky pro zajištění vzájemné komunikace – překlad autentizačních protokolů (pod názvem Bridging Elements) a mapování atributů. Díky této dvojici je možné získat informace od systému nekompatibilního z hlediska komunikačního protokolu i struktury dat. Společný základ představuje metadatová služba (Metadata Service, MDS) – společný repozitář, kde členské federace zveřejňují svá metadata. Z nich pak mohou čerpat poskytovatelé identit a služeb: Pokud uživatel projeví zájem o autentizovanou službu a je třeba ověřit jeho identitu či údaje o něm, získá autentizační software údaje z MDS a umožní mu vybrat si z dostupných poskytovatelů identit v rámci všech zúčastněných federací. Podobně si poskytovatel identity může v MDS zjistit, zda žadatel o informace je poskytovatelem služeb zapojeným do konfederace. Tyto operace umožňuje ověřit infrastruktura veřejných klíčů, kterou eduGAIN také zahrnuje.

Kromě vývoje technických nástrojů k vytvoření konfederace identit samotný projekt eduGAIN i jednu konkrétní konfederaci buduje. V současnosti má 15 členů, akademických federací z evropských zemí, které využívají pět různých autentizačních technologií. Z České republiky je zapojena výše zmiňovaná eduID.cz. Sortiment služeb je poměrně malý, jedná se zatím stále o zkušební záležitost. Využívá se pro řízení přístupu k vybraným službám sítě GÉANT2 (např. perfSONAR pro monitorování přenosového výkonu).

Právě zkušenosti získané během reálného provozu budou využity v nové verzi eduGAIN, na níž se v současnosti začíná pracovat. Využije toho, že postupem času se rozdíly mezi členskými federacemi postupně zmenšují, protože prakticky všichni dnes přešli nebo přecházejí na SAML 2.0. Díky tomu bude možné některé prvky vzájemné komunikace zjednodušit či zcela vypustit. Zvažuje se také opuštění koncepce centrální metadatové služby a její nahrazení prostředky pro vzájemnou výměnu metadat. Celkově by nová verze eduGAIN měla být jednodušší, úspornější a pružnější. Její vývoj však teprve začíná.