Af Mikkel Hald, 21/09/23
Det kaldes multifaktorautentifikation (“MFA”) når man identificerer sig online med mere end ét “loginmiddel” på samme tid – fx password plus en app på telefonen. Og mange af WAYFs brugerorganisationer understøtter at brugerne kan identificere sig med MFA når de skal have adgang til deres organisationskonto.
I en identitetsføderation som WAYF kan både udbyderen af en tjeneste og en brugerorganisation som bruger tjenesten, være interesseret i at brugerne identificeres med MFA hos organisationen før de får adgang til tjenesten. Men det kan rent teknisk være svært for parterne at kommunikere om det krav.
Derfor har vi nu implementeret at MFA-kravet kan angives i tjenestens eller brugerorganisationens konfiguration (såkaldte “metadata”) hos WAYF – og hver gang en bruger vil logge ind på tjenesten, sørger WAYF så for at få hendes organisations loginsystem til at kræve at hun logger ind med MFA. AzureAD, ADFS og Microfocus Access Manager er blandt de loginsystemer som forstår det MFA-signal WAYF sender.
Udbyderen af en tjeneste kan i sin konfiguration hos WAYF angive specifikt hvilke brugerorganisationer der skal bruge MFA med tjenesten – og tilsvarende kan hver brugerorganisation specificere i sin konfiguration hos WAYF hvilke tjenester der skal bruges MFA med. Så begge parter har mulighed for at kræve MFA i transaktioner imellem dem. Hvis begge parter angiver noget vedrørende modparten, giver WAYF forrang til brugerorganisationens angivelse. Bl.a. derfor bør tjenesten altid kontrollere i loginbilletten(s AuthnContext-felt) hvilken metode der rent faktisk blev anvendt.
I WAYFs konfigurationseditor er det i feltet RequestedAuthnContext at man angiver krav om MFA (eller andre loginmetoder for den sags skyld). I underfeltet Provider kan man angive hvilke tjenester eller brugerorganisationer kravet skal gælde. Angiver man ingen Provider, bruger WAYF det angivne loginmetodekrav i alle transaktioner med det system som konfigurationen gælder.
Fx kan brugerorganisationen Danmarks Tekniske Universitet i sin konfiguration angive at brugeren skal logge ind med MFA-metoden som betegnes med URI'en http://schemas.microsoft.com/claims/multipleauthn, når hun tilgår tjenesten med føderations-ID'et (altså entityID'et/client-id'et) https://filesender.deic.dk. I Provider-feltet kan man søge på føderations-ID'erne på alle tjenester og brugerorganisationer som er kendt i WAYF (og eduGAIN).