1. Kijk mam - zonder wachtwoord!
Een pilot met OpenID in onderwijsfederaties
Joost van Dijk, SURFnet
Dé Onderwijsdagen 2009,11 november 2009

2. Innovatiefase
!"#$%&
6"78#-'-(9)
:7-2;#()
=11'+11.*
:;02'"."#)
8"$&%%32&$"%) A$"#%3)
?0@'"0"#31;")"#)
"#)) B#34$55"'$#()
!!&'%()*+#)+&),&-#(#,& >$'-3%)
<"+.2$5)
<"+.2$5%)
,".5"##$#()
!!&.(#,/#-001&
1%$#,2#(3#,&
!"##$%&"'$#()"#)*+",-.&".$#()
!!&4%,5600(2%%(5#,&
/0+1%%1&"2.%#"34".5)
C2$'&$#(+'-75%D)?#3".-@".1+$'$3"$3)"#)B@"#)

3. Inhoud
- Wat is authenticatie?
- Wat is OpenID?
- Wat is een federatie?
- Entree
- SURFfederatie
- OpenID vs Federatie
- Pilots:
- Inloggen met OpenID bij SURFnet
- Inloggen met je instellingsaccount bij OpenID sites
3
- Pros & Cons

4. Authenticatie
Wie
ben
je
?
4

5. Wachtwoordmoeheid
5

6. Identity / Service
Providers
Lokaal Extern Gedistribueerd
DB DB
SP IDP
SP SP IDP
B
B B
6

7. Demo

8. Voordelen
- Voor gebruikers:
- Single Login - maar één wachtwoord onthouden
- Single Sign-on - maar één keer inloggen
- Voor IDPs:
- gebruik credentials maar op één plek
- Voor SPs:
- Schaalbaarheid: User-account database, registratie
- Integriteit: Synchronisatie, up-to-date
- Kostenbesparing: Infrastructuur en support (!)
- Single Login, Single Sign-on: geen barrière voor
gebruikers
8

9. Wat is OpenID?
- Inloggen bij een Service Provider, ...
door te authenticeren bij een Identity Provider
- Gebruik een URL i.p.v. een gebruikersnaam,
bijvoorbeeld: http://joost.myopenid.com
- Authenticeren = “bewijs” dat de URL “van jou” is
- extra’s: Single Sign On, user consent
- NB: OpenID hanteert andere terminologie:
- OpenID Provider i.p.v. Identity Provider
- Relying Party i.p.v. Service Provider
9

11. Federatie?

12. Federaties
- SURFfederatie en Entree zijn voorbeelden van
(Identity) Federaties
- Een federatie bestaat uit:
- (A) een technische infrastructuur
- (B) een set met afspraken (contracten/policies)
- De afspraken zorgen ervoor dat SPs de informatie
van IDPs vertrouwen
- SURFnet en Kennisnet treden op als Trusted Third
Party binnen resp. SURFfederatie en Entree
12

13. SURFfederatie: Identity
Providers
13

14. SURFfederatie:
Service Providers
14

15. Federatie vs OpenID
Federatie OpenID
Vertrouwen + -
gemeenschap gesloten open
IDP discovery WAYF service op basis van URL
Protocol SAML, WS- OpenID
Federation, A-Select
Beveiliging + +/-
Bron van IDP Gebruiker
informatie
15

16. IDP Discovery
Where
are
you
from
?
16

19. Federatie: Attributen
- Autorisatiekenmerken: naam + waarde(n)
Voorbeelden:
- naam: Jan Janssen
- organisatie: Universiteit Leiden
- studierichting: Rechtsgeleerdheid
- De IDP geeft attributen vrij richting SPs
- Bij OpenID wordt om toestemming gevraagd aan de
gebruiker voordat informatie wordt vrijgegeven (user
consent)
19 (C) 2007-2009 SURFnet B.V.

20. 20

22. Pilots
- Inloggen met je instellingsaccount bij OpenID sites
- bijvoorbeeld: inloggen bij Plaxo via
http://openid.tudelft.surfnet.nl/peter
- Inloggen bij SURFnet met je OpenID
- bijvoorbeeld: inloggen bij SURFmedia met je
OpenID van Google
22

23. OpenID Gateway
- Inloggen met je instellingsaccount bij OpenID sites
- bijvoorbeeld: inloggen bij Plaxo via
http://openid.tudelft.surfnet.nl/peter
Federatie OpenID
IDP
SP
IDP
IDP SP
IDP Gateway SP
IDP SP
IDP SP
23

24. User Consent
24 (C) 2007-2009 SURFnet B.V.

25. IDP Select
25 (C) 2007-2009 SURFnet B.V.

28. OpenID Gateway
- Inloggen bij SURFnet met je OpenID
- bijvoorbeeld: inloggen bij SURFmedia met je OpenID
van Google inloggen
OpenID Federatie
IDP
SP
SP IDP SP
X
IDP Gateway SP
X
IDP SP
IDP SP
28

32. Pilots: Pros & Cons
- Pros:
- Single Sign On naar OpenID sites
(Kijk mam, geen wachtwoord!)
- Cons:
- Afstudeerd? Geen toegang meer!
- oplossing (?): delegation
- Geen betrouwbare gegevens
- Volgend jaar: pilot OpenID+
32

33. Contact
Joost van Dijk
joost.vandijk@surfnet.nl
www.surfnet.nl
33