Politikker

Føderationsregler

Følgende gælder i WAYF og skal iagttages af deltagende organisationer (tjenesteudbydere og identitetsudbydere):

  • Formål. WAYF er Danmarks identitetsføderation for forskning og uddannelse og har til formål at udvide virkefeltet for brugerkonti ved danske forsknings- og uddannelsesinstitutioner til også at omfatte webtjenester som drives uden for institutionernes egne loginsystemer. Gennem samarbejde med tilsvarende føderationer i udlandet faciliterer WAYF også brug af danske brugerkonti ved webtjenester i udenlandske føderationer og brug af udenlandske brugerkonti ved webtjenester som er tilsluttet WAYF (se Interføderation herunder).
  • Arkitektur. WAYF driver en hub imellem webtjenester og autentifikationssystemer. Organisationer som deltager i WAYF, tilslutter deres systemer til WAYFs hub; og systemerne kommunikerer altid med hinanden via hubben. For udbydere som foretrækker det, tilbyder WAYF en alternativ teknisk tilslutningsform som emulerer den arkitektur hvor hvert tilsluttet system kommunikerer direkte med andre tilsluttede systemer (den såkaldte mesh-arkitektur).
  • Sessioner. WAYF har ikke nogen sessioner for brugere som logger ind igennem WAYF. Hvor længe en browser har en session “hos WAYF”, afgøres alene af hvor længe browseren er logget ind hos den valgte identitetsudbyder.
  • Protokolprofil. I WAYF gælder i udgangspunktet reglerne i Kantaras implementeringsprofil for føderationsinteroperabilitet. Man kan i udgangspunktet ikke forlade sig på at WAYF understøtter andet end hvad der ifølge den profil skal understøttes. WAYF kan specificere afvigelser fra profilen, især indskrækninger. Mest opsigtsvækkende understøtter WAYF kun browserbaseret protokoltrafik, ingen server-til-server-kommunikation.
  • Trafiksignering. Identitetsudbydere skal signere Assertion-elementet og godt signere Response-elementet i login-svar til WAYF. Tjenesteudbydere må godt, men behøver ikke signere login-forespørgsler til WAYF. WAYF accepterer og udsteder selv signaturer med både SHA1 og SHA256 som benyttet hashing-algoritme. WAYF validerer enhver modtagen signatur. Al logouttrafik skal signeres. Enhver tilsluttet organisation skal validere enhver signatur i protokoltrafik fra WAYF. WAYF kan ikke holdes ansvarlig for skader forårsaget af en tilsluttet organisations forsømmelse af signaturvalidering.
  • Signeringsnøgler. Signerede protokolmeddelelser til WAYF skal være signeret med en privatnøgle svarende til en offentlig nøgle som er mindst 2048 bits lang. Nøglen skal meddeles WAYF indeholdt i et base64-indkodet X509-certifikat. Jf. WAYFs protokolprofil betragter WAYF alene “certifikatet” som et teknisk format for nøglen og altså ikke som noget egentligt PKI-certifikat; WAYF forholder sig ikke til andet indhold i X509-strukturen end selve nøglen. WAYF signerer selvudstedte protokoldokumenter (både trafik og metadata) med privatnøgler i hardware svarende til 2048 bits lange offentlige nøgler.
  • Føderationsattributter. WAYF understøtter udveksling af brugeroplysninger ifølge skemaet her. Identitetsudbyderne skal i ethvert login-svar til WAYF levere værdier for enhver MUST-attribut. WAYF videresender ikke syntaktisk misdannede attributværdier i login-svaret fra identitetsudbyderen til tjenesteudbyderen. Ud fra andre modtagne værdier danner WAYF værdier for attributterne eduPerson(Scoped)Affiliation og displayName hvis ikke identitetsudbyderen selv leverer dem i login-svaret til WAYF. Tilsvarende danner WAYF værdier for attributterne schacYearOfBirth og schacDateOfBirth hvis identitetsudbyderen ikke selv leverer værdierne, ud fra værdien af schacPersonalUniqueID hvis dén leveres.
  • Kryptering. Al logintrafik til og fra WAYF skal foregå via HTTPS. Tilsluttede organisationer kan ikke meddele WAYF protokol-endepunkter som ikke indledes med https://. Login-svars Assertion-elementer må godt, men behøver ikke være krypterede. WAYF kan kryptere login-svar til tjenesteudbydere som ønsker dét.
  • Persondatabehandling:
    • Beskrivelse. Hver gang en bruger forsøger at tilgå en tilsluttet webtjeneste via WAYF, modtager WAYF fra hans institution en mængde oplysninger om ham og videregiver til tjenestens udbyder den delmængde heraf som udbyderen er nødt til at behandle for at kunne levere sin ydelse til brugeren eller hans institution. Straks efter videregivelsen er oplysningerne ude af WAYFs hænder; der sker ingen langtidsopbevaring bortset fra i WAYFs log, som omfatter pseudonymiserede bruger-ID'er.
    • Dataansvar. WAYF er databehandler for hver eneste tilsluttet organisation, dvs. både for identitetsudbyderne og for tjenesteudbyderne. Det forbliver de dataansvarliges ansvar at sikre gyldig behandlingshjemmel for den behandling af personoplysninger som finder sted når WAYF bruges, og sikre sig at de registrerede er tilstrækkeligt oplyst om de behandlinger som finder sted i sammenhæng med brugen af WAYF. I mange tilfælde vil WAYFs behandling have hjemmel i fuldbyrdelse af en kontrakt imellem brugeren og hans institution (identitetsudbyder).
    • Dataminimering. Ved tilslutning rådgiver WAYF hver tjenesteudbyder om dataminimering og udleverer herefter kun de brugeroplysninger til udbyderen hvis behandling er blevet fundet nødvendig. Det forbliver dog tjenesteudbyderens ansvar ikke at foretage unødvendig behandling af personoplysninger formidlet af WAYF.
    • Slutbrugeroplysning. WAYF oplyser brugeren (den registrerede) om videregivelse af persondata første gang han logger ind på en given tjeneste fra en given institution. Medmindre tjenestens udbyder er identisk med eller databehandler for identitetsudbyderen. WAYFs slutbrugeroplysning tjener til at øge persondatabehandlingens gennemsigtighed for brugeren og er ikke nødvendigvis nogen fuldgyldig oplysning om behandlingsbegyndelse i persondatarettens forstand.
  • Tidstolerance. WAYF behandler ikke protokolmeddelelser som er mere end 3 minutter gamle. WAYF kan kun fastlægge en meddelelses alder rigtigt hvis uret går nogenlunde præcist på den afsendende organisations server.
  • Logout. Hvis WAYF modtager en logout-forespørgsel fra en tjenesteudbyder, vil WAYF videresende den til den tilsvarende identitetsudbyder hvis identitetsudbyderen har meddelt WAYF et logout-endepunkt. Identitetsudbyderen har ikke pligt til at sende noget tilhørende logout-svar; men hvis WAYF modtager et tilhørende logout-svar fra identitetsudbyderen, vil WAYF videresende det til den tjenesteudbyder som sendte WAYF den tilhørende logout-forespørgsel. WAYF har ingen yderligere understøttelse for logout.
  • Engangsbehandling. WAYF behandler kun hvert modtaget login-svar én gang. Replay er derfor ikke muligt.
  • Endepunktskvalitet. Tilsluttede organisationer må ikke meddele WAYF endepunkter som ikke virker. Endepunkter som findes ikke at virke, skal fjernes fra metadata uden ugrundet ophold.
  • Datakvalitet. Hver identitetsudbyder i WAYF er forpligtet til at vedligeholde sine brugeroplysninger sådan at ingen oplysning som WAYF modtager, er mere end 24 timer forældet.
  • Forespørgselskrav. WAYF behandler ikke login-svar som ikke svarer til en modtaget login-forespørgsel. WAYF understøtter mao. ikke (det som i SAML2-protokollen kaldes) unsolicited responses.
  • NameIDFormat. For tjenesteudbydere understøtter WAYF transient, persistent og emailAdress, for identitetsudbydere kun transient. WAYF understøtter ikke andre NameIDFormater, fx ikke unspecified.
  • Interføderation. Hvis mindst én af WAYFs identitetsudbydere ønsker at kunne tilgå en webtjeneste i en anden eduGAIN-føderation, gør WAYF tjenesten tilgængelig for alle sine identitetsudbydere, og minimerer mængden af brugerdata som den får udleveret. Enhver webtjeneste i eduGAIN som af sin føderation er blevet markeret som Research&Scholarship, er dog tilgængelig for WAYFs identitetsudbydere uden videre. Enhver tjenesteudbyder i WAYF kan modtage logins fra udenlandske identitetsudbydere i eduGAIN hvis han ønsker det.
  • Metadata. Deltagende organisationer skal sørge for at tilsluttede systemer altid bruger gyldige metadata fra WAYF — og for at holde tilsluttede systemers metadata opdateret hos WAYF. Kun med udtrykkelig tilladelse fra WAYF må WAYF-metadata bruges til andet end til at forbinde systemer med WAYF. Brug af WAYF-metadata sker på eget ansvar.