Politikker

Føderationsregler

Følgende gælder i WAYF og skal iagttages af deltagende organisationer (tjenesteudbydere og brugerorganisationer):

  • Formål. WAYF er identitetsføderationen for forskning og uddannelse i Danmark og Nordatlanten og har til formål at udvide virkefeltet for brugerkonti ved danske forsknings- og uddannelsesinstitutioner til også at omfatte onlinetjenester som drives uden for institutionerne. Gennem samarbejde med tilsvarende føderationer i udlandet faciliterer WAYF også brug af danske og nordatlantiske brugerkonti ved onlinetjenester i udenlandske føderationer og brug af udenlandske brugerkonti ved webtjenester som er tilsluttet WAYF (se Interføderation herunder).
  • Optagelse og ansvar. Institutioner kan optages som brugerorganisationer hvis de tilhører WAYFs målgruppe, som er offentlige virksomheder og øvrige virksomheder som opfylder betingelserne for at aftage DeiCs forskningsnet. En tjenesteudbyder kan registrere sin tjeneste i WAYF og dermed modtage logins fra WAYFs brugerorganisationer hvis mindst én af dém ønsker tjenesten registreret i WAYF. Tjenesteudbydere bruger WAYF på eget ansvar og uden muligt erstatningsansvar for WAYF og indestår for ikke at gøre anden brug af gennem WAYF indsamlede brugeroplysninger end hvad de har aftalt med de rekvirerende brugerorganisationer. WAYF kan suspendere tjenestetilslutninger og ekskludere tjenesteudbydere i tilfælde af grove vilkårsovertrædelser eller anden adfærd som WAYF skønner egnet til at skade føderationen. Tjenesteudbydere kan til enhver tid udmelde tjenester og udtræde af føderationen, dog uden refusion af erlagte beløb. Se i øvrigt her for optagelse af brugerorganisationer og her for optagelse af tjenesteudbydere.
  • Vilkårsændringer. WAYF kan ændre vilkårene her og gør det jævnligt. WAYF tilstræber at varsle væsentlige ændringer forud for ikrafttræden. Deltagende organisationer er dog forpligtede til at holde sig ajour her med hvad der gælder.
  • Arkitektur. WAYF driver en hub imellem webtjenester og autentifikationssystemer. Organisationer som deltager i WAYF, tilslutter deres systemer til WAYFs hub; og systemerne kommunikerer med hinanden via hubben. For udbydere som foretrækker det, tilbyder WAYF en alternativ teknisk tilslutningsform som emulerer den arkitektur hvor hvert tilsluttet system kommunikerer direkte med andre tilsluttede systemer (den såkaldte mesh-arkitektur). Undtagelsesvis kan systemer registreres i WAYFs metadataregister uden at tilsluttes hubben.
  • Sessioner. WAYF har ikke nogen sessioner for brugere som logger ind igennem WAYF. Hvor længe en browser har en session “hos WAYF”, afgøres alene af hvor længe browseren er logget ind hos den valgte brugerorganisation.
  • Kontaktoplysninger. Tjenesteudbydere og brugerorganisationer er forpligtede til løbende at vedligeholde deres kontaktoplysninger hos WAYF. Gør de ikke det, risikerer de eksempelvis ikke at modtage varslinger og anden vigtig information fra WAYF.
  • Protokolprofil. I WAYF gælder i udgangspunktet reglerne i Kantaras implementeringsprofil for føderationsinteroperabilitet. Man kan i udgangspunktet ikke forlade sig på at WAYF understøtter andet end hvad der ifølge den profil skal understøttes. WAYF kan specificere afvigelser fra profilen, især indskrænkninger. Mest opsigtsvækkende understøtter WAYF kun browserbaseret protokoltrafik, ingen server-til-server-kommunikation. — WAYF har med sin hub teknisk potentiale for at oversætte mellem forskellige føderationsprotokoller og understøtter eksperimentelt også WS Federation Passive Requester og OIDC (kun flow'et id_token) for tjenester.
  • Trafiksignering og ansvar. brugerorganisationer skal signere Assertion-elementet og godt signere Response-elementet i login-svar til WAYF. Tjenesteudbydere må godt, men behøver ikke signere login-forespørgsler til WAYF. WAYF accepterer og udsteder selv kun signaturer med SHA256 som benyttet hashing-algoritme. WAYF validerer kun signaturer på login-svar, ingen signaturer på andre protokolmeddelelser. Enhver tilsluttet organisation skal validere enhver signatur i protokoltrafik fra WAYF. WAYF kan ikke holdes ansvarlig for skader forårsaget af en tilsluttet organisations forsømmelse af validering af signaturer, tidsstempler eller audience restrictions.
  • Signeringsnøgler. Signerede protokolmeddelelser til WAYF skal være signeret med en privatnøgle svarende til en offentlig nøgle som er mindst 2048 bits lang. Nøglen skal meddeles WAYF indeholdt i et base64-indkodet X509-certifikat. Jf. WAYFs protokolprofil betragter WAYF alene “certifikatet” som et teknisk format for nøglen og altså ikke som noget egentligt PKI-certifikat; WAYF forholder sig ikke til andet indhold i X509-strukturen end selve nøglen. WAYF signerer selvudstedte protokoldokumenter (både trafik og metadata) med privatnøgler i hardware svarende til 2048 bits lange offentlige nøgler.
  • Føderationsattributter. WAYF understøtter udveksling af brugeroplysninger ifølge skemaet her. Brugerorganisationerne skal i ethvert login-svar til WAYF levere værdier for enhver MUST-attribut. WAYF videresender ikke syntaktisk misdannede attributværdier i login-svaret fra brugerorganisationen til tjenesteudbyderen. Ud fra andre modtagne værdier danner WAYF værdier for attributterne eduPerson(Scoped)Affiliation og displayName hvis ikke brugerorganisationen selv leverer dem i login-svaret til WAYF. Tilsvarende danner WAYF værdier for attributterne schacYearOfBirth og schacDateOfBirth hvis brugerorganisationen ikke selv leverer værdierne, ud fra værdien af schacPersonalUniqueID hvis dén leveres. CPR-nummer udleveres alene til tjenesteudbydere som enten er offentlige virksomheder eller arbejder på vegne af offentlige virksomheder.
  • Kryptering. Al logintrafik til og fra WAYF skal foregå via HTTPS. Tilsluttede organisationer kan ikke meddele WAYF protokol-endepunkter som ikke indledes med https://. Login-svars Assertion-elementer må godt, men behøver ikke være krypterede på XML-niveauet. WAYF kan XML-kryptere login-svar til tjenesteudbydere som ønsker dét. XML-kryptering er en yderligere kryptering af dele af protokoldokumentet i tilgift til krypteringen på TLS-niveauet.
  • Behandling af personoplysninger:
    • Beskrivelse. Hver gang en bruger forsøger at tilgå en tilsluttet webtjeneste via WAYF, modtager WAYF fra hans institution en mængde oplysninger om ham og videregiver til tjenestens udbyder den delmængde heraf som udbyderen er nødt til at behandle for at kunne levere sin ydelse til brugeren eller hans institution. Straks efter videregivelsen slettes alle data på nær bruger-ID'et, som pseudonymiseres inden det gemmes i WAYFs log. 
    • Dataansvar. WAYF er databehandler for hver tilsluttet brugerorganisation. Det forbliver de dataansvarliges ansvar at sikre gyldig behandlingshjemmel for den behandling af personoplysninger som finder sted når WAYF bruges, og sikre sig at de registrerede er tilstrækkeligt oplyst om de behandlinger som finder sted i sammenhæng med brugen af WAYF. Muligvis kan WAYFs behandling gennemgående ses som havende hjemmel i fuldbyrdelsen af en kontrakt imellem brugeren og hans institution (brugerorganisation).
    • Dataminimering. Ved tilslutning rådgiver WAYF hver tjenesteudbyder om dataminimering og udleverer herefter kun de brugeroplysninger til udbyderen hvis behandling er blevet fundet nødvendig. Det forbliver dog tjenesteudbyderens ansvar ikke at foretage unødvendig behandling af personoplysninger formidlet af WAYF.
    • Slutbrugeroplysning. WAYF oplyser brugeren (den registrerede) om videregivelse af persondata første gang han logger ind på en given tjeneste fra en given institution. Medmindre tjenestens udbyder er identisk med eller databehandler for brugerorganisationen. WAYFs slutbrugeroplysning tjener til at øge persondatabehandlingens gennemsigtighed for brugeren og er ikke nødvendigvis nogen fuldgyldig oplysning om behandlingsbegyndelse i databeskyttelsesrettens forstand.
  • Tidstolerance. WAYF behandler ikke protokolmeddelelser som er mere end 3 minutter gamle. WAYF kan kun fastlægge en meddelelses alder rigtigt hvis uret går nogenlunde præcist på den afsendende organisations server. WAYFs tidspolitik skal overholdes.
  • Logout. WAYF understøtter fuld single logout i det omfang de tilsluttede systemer gør det. Hvis brugeren har en session med mere end én identity provider, logger WAYF hende endda ud af dem alle.
  • Endepunktskvalitet. Tilsluttede organisationer må ikke meddele WAYF endepunkter som ikke virker. Endepunkter som findes ikke at virke, skal uden ugrundet ophold enten bringes til det eller fjernes fra metadata.
  • Datakvalitet. Hver brugerorganisation i WAYF er forpligtet til at vedligeholde sine brugeroplysninger sådan at ingen oplysning som WAYF modtager, er mere end 24 timer forældet. Derudover må der ikke formidles urigtige brugeroplysninger til WAYF. WAYF skrider ind hvis der opdages overtrædelser.
  • Opt-out. Enhver webtjeneste som er tilsluttet WAYF, har i udgangspunktet adgang til at få logins fra enhver institution som er tilsluttet WAYF. Hvis en institution ønsker det, kan den blokere for at bestemte tjenester kan få logins fra den.
  • Forespørgselskrav. WAYF behandler ikke login-svar som ikke svarer til en modtaget login-forespørgsel. WAYF understøtter mao. ikke (det som i SAML2-protokollen kaldes) unsolicited responses.
  • NameIDFormat. For tjenesteudbydere understøtter WAYF transient, persistent og emailAdress, for brugerorganisationer kun transient. WAYF understøtter ikke andre NameIDFormater, fx ikke unspecified.
  • Subject. Når WAYF modtager en loginforespørgsel med et Subject-element, videresender WAYF dét til brugerorganisationen; men WAYF formidler blot transaktionerne og påtager sig intet ansvar for at et tilhørende loginsvar fra brugerorganisationen rent faktisk vedrører den bruger som var identificeret i forespørgslens Subject-element – det er (som i udgangspunktet alt andet) en sag mellem tjenesteudbyder og brugerorganisation.
  • Interføderation. Hvis mindst én af WAYFs brugerorganisationer ønsker at kunne tilgå en webtjeneste i en anden eduGAIN-føderation, gør WAYF tjenesten tilgængelig for alle sine brugerorganisationer og minimerer mængden af brugerdata som den får udleveret. Enhver webtjeneste i eduGAIN som af sin føderation er blevet markeret som Research&Scholarship, er dog tilgængelig for WAYFs brugerorganisationer uden videre. Enhver tjenesteudbyder i WAYF kan modtage logins fra udenlandske brugerorganisationer i eduGAIN hvis han ønsker det.
  • Metadatakvalitet. Deltagende organisationer skal sørge for at tilsluttede systemer altid bruger gyldige metadata fra WAYF — og for at holde tilsluttede systemers metadata hos WAYF opdateret. Kun med udtrykkelig tilladelse fra WAYF må WAYF-metadata bruges til andet end til at forbinde systemer med WAYF. Brug af WAYF-metadata sker på eget ansvar.
  • EntityID-kvalitet. EntityID'et i SAML-forbindelser som en medlemsorganisation registrerer hos WAYF, skal være en URN eller en URL; namespace'et eller domænet skal være under organisationens dokumenterbare kontrol, eller også skal entityID'et i sin helhed kunne dokumenteres tildelt medlemsorganisationen af den organisation som ejer dets namespace eller domæne. Det sidste indebærer fx at AzureAD-tenant'er godt kan registreres i WAYF.
  • RequestInitiator. Enhver tjenesteudbyder opfordres til at implementere og derpå registrere et RequestInitiator-endepunkt i WAYFs metadata for hendes tjeneste.
  • Enhedskategorier. Udbydere med behov for at lade deres metadataenheder optræde med bestemte entity categories i eduGAIN skal henvende sig til WAYF-sekretariatet for at få gennemført mærkningen. REFEDS-enhedskategorierne Research&Scholarship, Code of Conduct og SIRTFI er ikke i systematisk brug inden for WAYF, men understøttes for metadataenheder som ønskes eksporteret til eduGAIN. Kun Hide from Discovery fortolkes i WAYF – hvis discoverytjeneste ikke viser loginsystemer med det metadatamærke.
  • Discovery. Hver gang WAYF modtager en loginforespørgsel fra en bestemt tjeneste, viderestiller WAYF brugeren til det loginsted som han har valgt permanent for den tjeneste. Hvis han ikke har valgt noget permanent loginsted, lader WAYF ham vælge sit loginsted fra en liste. Brugeren kan ophæve et permanent valg af loginsted på sitet my.wayf.dk.