JA T3 Framework

Fast. Flexible. Powerful

Kontakt

Sådan får du WAYF-login på din webtjeneste

  1. Tag fat i WAYF-sekretariatet
  2. Pris
  3. Sponsorerklæring (ved kommercielle tjenester)
  4. Tjenesteudbyderkontrakt
  5. Formålsbeskrivelse
  6. Attributprofil
  7. Interne tjenester
  8. Teknisk integration
  9. Begrænset teknisk support
  10. Adgangskontrollen ligger hos tjenestenikke hos WAYF

1. Tag fat i WAYF-sekretariatet

Hvis du gerne vil give dine brugere mulighed for at logge ind via WAYF på en webtjeneste som du udbyder, så skal du henvende dig til WAYF-sekretariatet for at få tilslutningsprocessen sat i gang. Forinden bør du dog have læst alt hvad der står herunder:

2. Pris

Både tilslutning til WAYF og brug af WAYF er gratis for tjenesteudbydere. Eventuelle udgifter ved den tekniske integration af WAYF-login på tjenesten afholdes dog af tjenesteudbyderen.

3. Sponsorerklæring (ved kommercielle tjenester)

Det er imidlertid en vigtig juridisk en forudsætning for at kunne få en kommerciel tjeneste tilsluttet at udbyderen over for WAYF-sekretariatet dokumenterer at mindst én af de institutioner som er tilsluttet WAYF, ønsker at lade deres brugere tilgå den kommercielle tjeneste via WAYF. Hvis tjenesteudbyderen allerede er tilsluttet WAYF som institution (fx er et universitet), så behøves ingen eksplicit dokumentation. Men ellers skal tjenesteudbyderen sørge for at der fremsendes en "sponsorerklæring" fra en tilsluttet institution. Der er ingen særlige formkrav; det kan bare være en kort e-mail.

4. Tjenesteudbyderkontrakt

Når sponsorerklæringen er på plads, skal tjenesteudbyderen indgå en kontrakt med WAYF om tilslutningen. WAYF-sekretariatet udfærdiger dokumentet efter skabelonen her og fremsender det til underskrivelse. For at kunne lave kontraktudkastet skal WAYF have følgende oplysninger/materiale fra tjenesteudbyderen:

  • tjenestens officielle navn (på dansk og engelsk);
  • tjenesteudbyderens officielle navn (på dansk og engelsk);
  • tjenesteudbyderens CVR-nummer;
  • tjenesteudbyderens logo;
  • det fulde navn på de(n) tegningsberettigede person(er) som skal underskrive kontrakten for tjenesteudbyderen.

Ved tilslutningen skal tjenesteudbyderen derudover udnævne én organisatorisk kontaktperson og én teknisk kontaktperson — og fremsende: navn, e-mailadresse og telefonnummer på hver kontaktperson.

5. Formålsbeskrivelse

Som et særligt punkt i kontrakten indgår en meget kort beskrivelse af tjenestens formål. Beskrivelsen fastlægges i samarbejde mellem tjenestens udbyder og WAYF og vil blive vist for brugeren når han forsøger at tilgå tjenesten via WAYF. Beskrivelsen skal give brugeren et grundlag for at afgøre om han vil give sit samtykke til at bestemte oplysninger om ham, som vises samtidig, udleveres til tjenesten fra hans institution. Endvidere skal beskrivelsen passe ind i skabelonen 'Formålet med tjenesten er ' ... '.' hhv. 'The purpose of the service is ' ... '.'.

6. Attributprofil

Hver gang en bruger forsøger at logge ind på en webtjeneste via WAYF, overfører WAYF en række oplysninger om brugeren til webtjenesten. Det følger af persondataretten at en tjeneste kun må modtage det minimum af brugeroplysninger fra WAYF som er nødvendigt for at kunne stille tjenesten til rådighed for tjenestens målbrugergruppe. Den nødvendige mængde brugeroplysninger — tjenestens attributprofil — forhandles mellem tjenesteudbyderen og WAYF og skrives ind i kontrakten. De brugeroplysninger (attributter) som WAYF har mulighed for at udlevere til en tjeneste fra institutionerne, er opregnet her. Bemærk at WAYF kun kan garantere tilgængeligheden af attributter som er markeret med 'MUST'.

7. Interne tjenester

I de tilfælde hvor en institution udbyder en tjeneste kun til brug for sine egne brugere, har vi at gøre med en intern tjeneste; og sådan en kan tilsluttes uden videre. WAYF gennemtvinger teknisk at enhver intern tjeneste kun kan tilgås fra den institution som udbyder tjenesten (omend det forbliver institutionens ansvar at kun berettigede brugere får adgang). Hver institution kan få et ubegrænset antal interne tjenester tilsluttet WAYF — og på den måde bruge WAYF som internt single-sign-on-system.

8. Teknisk integration

Den tekniske integration kan sagtens påbegyndes inden kontrakten er underskrevet, og består i: at implementere en SAML2-SP på webtjenesten og derpå: udveksle metadata med WAYF.

SAML-SP'en er en service som kan kommunikere med WAYFs server via login-protokollen SAML2. Til implementering af en SAML2-SP findes flere produkter på markedet, både kommercielle (fx Microsofts ADFS) og open-source (fx SimpleSAMLphp, Shibboleth, OIOSAML). Der findes derudover særlige SAML2-moduler til en række CMS'er (fx WordPress, Drupal). En PHP-implementering af en minimal SAML2-SP kan studeres her. En samling af SAML2-værktøjer til forskellige programmeringssprog og CMS'er findes her. Et modul til Perl her.

Vær opmærksom på at din server skal overholde WAYFs tidspolitik og skal understøtte HTTPS. Din SAML2-SP skal endvidere kunne sende login-forespørgsler til WAYF via en HTTP-GET og kunne modtage login-svar fra WAYF via en HTTP-POST.

Når webtjenesten har implementeret SAML2-interfacet, skal tjenesteudbyderen og WAYF udveksle metadata: væsentligt oplysninger til hinandens servere om hvor de kan finde hinanden på nettet, og hvordan de nærmere kan kommunikere indbyrdes. Metadata om WAYFs server findes her og skal indlæses i webtjenestens SAML2-SP. Metadata om webtjenestens SAML2-SP skal inddateres i WAYFs metadataregister, JANUS — se manual her.

I den almindelige udgave af WAYF fungerer det sådan at WAYF spørger brugeren som vil logge ind på en tjeneste, hvilken institution han vil logge ind fra. Men som tjenesteudbyder har man også mulighed for at lade brugeren vælge login-institution direkte på tjenestens eget site. Det kan fx være relevant hvis man ønsker at begrænse udvalget til kun at omfatte institutioner som er kunder ved tjenesten. Relevante teknologier er da BIRK eller scoping og kræver dybere SAML2-kendskab at udnytte. WAYFs egen institutionsliste ("discovery-liste") lader sig ikke tilpasse, men vil altid omfatte alle institutioner som er tilsluttet WAYF.

9. Begrænset teknisk support

WAYF-sekretariatet yder principielt ingen support til den tekniske integration på tjenesteudbyderens side af forbindelsen til WAYF. Vi understøtter interfacet SAML2, men forholder os ikke til konkrete implementeringer af SAML2 hos tjenesteudbyderen — herunder ikke til opsætningen af SAML2-software som vi måtte omtale her på sitet. Hvis man ikke selv magter integrationsopgaven, kan man hyre en SAML2-kyndig konsulent.

10. Adgangskontrollen ligger hos tjenesten — ikke hos WAYF

Det er vigtigt at huske at al adgangskontrol foregår hos webtjenesten: Når WAYF-serveren sender et loginsvar til tjenesten, er dét ikke i sig selv udtryk for at den pågældende bruger skal have adgang til tjenesten. Men svaret indeholder de aftalte oplysninger (attributter) om brugeren; og det er tjenesteudbyderens ansvar at implementere et filter som kontrollerer om de medsendte attributværdier berettiger brugeren til adgang. Det er en alvorlig — og forretningskritisk — misforståelse hvis tjenesteudbyderen tror at enhver som forsøger at logge på tjenesten via WAYF, er forhåndsgodkendt til at få adgang. Tjenesteudbyderen skal selv afgøre om hver bruger må få adgang — på grundlag af de oplysninger om brugeren som WAYF leverer til tjenesten ved hvert loginforsøg. Tjenesteudbyderen har også ansvar for at kontrollere at login-svaret som tjenesten modtager, rent faktisk stammer fra WAYF -- ved at verificere XML-signaturen på login-svarets assertion-element.

WAYF – Where Are You From
Asmussens Allé, bygning 305
2800 Kgs. Lyngby

www.wayf.dk
sekretariat@wayf.dk

line
You are here