Post on 04-Jul-2015
description
transcript
Feide ved NTNU
Hvordan og hvorfor NTNU bruker Feide
Samling for erfarne administratorer, 16.10.2014
Kent Overholdt, systemadministrator, NTNU IT
2
Single sign-on (SSO)
• «Lang» tradisjon for SSO ved NTNU
• Det forrige intranettet til NTNU (Innsida 1) tilbydde
allerede fra 1999 en tjeneste som vi kaller InnsidaSSO
• InnsidaSSO tilbyr SSO med det gjeldende intranettet
• InnsidaSSO er en svært enkel SSO-løsning som
omdirigerer fra Innsida til målapplikasjonen med blant
annet brukernavn og en digital signatur som GET-
variabler i URL
• En rekke applikasjoner har tatt i bruk InnsidaSSO opp
gjennom årene
3
InnsidaSSO-brukere
• its learning – LMS’et som NTNU benytter
• IME – fagsider og interne administrative systemer
• Studentorganisasjoner – typisk for å beskytte interne
sider og påmelding til bedriftspresentasjoner
• Studieavdelingen – system for timeregistrering
• Økonomiavdelingen – beskyttelse av nettsider
• NTNU IT – noen applikasjoner som enda ikke er endret
til å benytte Feideogging + noen små applikasjoner som
ikke vil bli endret
4
Feide under Innsida 1
• Feide «konkurrerte» først og fremst med InnsidaSSO,
men også AD, LDAP etc. som autentiseringsløsning
• NTNU anbefalte Feide til applikasjoner der brukere fra
flere institusjoner trengte å logge seg inn
• Viktige applikasjoner som var tidlig ute med å bruke
Feide og som fortsatt bruker Feide:
– Studentweb (studentenes grensesnitt til FS)
– Pagaweb (de ansattes grensesnitt til lønnssystemet PAGA)
– EpN (administrasjon av emner i FS)
5
Program for Basis IT-tjenester
• Startet opp i 2010
• To nøkkelprosjekter med tanke på bruk av Feide
• IAM-prosjektet
• Innsida II-prosjektet
6
IAM-prosjektet
• 20% teknologi og 80% prosess
• Den tekniske delen av prosjektet var å ta i bruk deler av
Oracle IAM-suiten
• OIF (Oracle Identity Federation)
• OAM (Oracle Access Manager)
• Webgate
7
IAM-prosjektet alternativer
1. Bruke Feide og implementere en Feide-wrapper
(wrapper: som gir dagens applikasjoner som benytter
InnsidaSSO, mulighet til å benytte FEIDE for
autentisering)
2. Sette opp OIF som Identity Provider og som en service
provider i FEIDE
3. Bruke løsningen som prosjektet har satt opp dvs. OAM,
OIF og web gates
8
IAM-prosjektet alternativ 1
Fordeler Ulemper
• Oppnår WSSO på alle webapplikasjoner som i dag bruker FEIDE eller InnsidaSSO
• Driftes av Uninett• Vi kjenner kvaliteten• Benytter åpen standard (SAML 2.0)• Dagens applikasjoner fra InnsidaSSO
til FEIDE – en overkommelig jobb (i linja)
• Felles applikasjoner med andre universitet
• Får ferdige bibliotek og dokumentasjon• NTNU har god intern kompetanse• Dekker dagens krav til funksjonalitet
• NTNU blir i større grad avhengig av FEIDE-org. for tekniske endringer
• Noe potensiell fremtidig funksjonalitet må implementeres internt ved NTNU på grunn Feide (for eksempel WNA)
• OAM er foreslått som løsning for tilgangskontroll av administrasjon i OIM design. Hvis man ikke benytter OAM må dette re-designes
• Må utvikle wrapper
9
IAM-prosjektet alternativ 2
Fordeler Ulemper
• Mulighet for implementering av ny funksjonalitet som WNA, 2-faktor, etc,.
• Benytter åpen standard (SAML 2.0)• Mulighet til å opparbeide kompetanse
på anskaffet produktportefølje før behov oppstår
• Bedre kontroll på tekniske endringer, ikke avhengig av andre.
• Kan implementere WSSO direkte for interne applikasjoner på web logicplattform
• Krever høyere intern ressursbruk• Mangler kompetanse internt• Oppnår ikke WSSO med FEIDE-
applikasjoner • Må lage samme wrapper som i alt.1
10
IAM-prosjektet alternativ 3
Fordeler Ulemper
• Mulighet for implementering av ny funksjonalitet som WNA, 2-faktor, etc.
• Mulighet til å opparbeide kompetanse på anskaffet produktportefølje før behov oppstår
• Bedre kontroll på tekniske endringer, ikke avhengig av andre.
• Kan implementere WSSO direkte for interne applikasjoner på web logicplattform
• Driftsorganisasjonen mangler tillit til løsningen
• Web gate er spesielt driftsmessig utfordrende
• Web gate istedenfor åpen standard• Krever høyere intern ressursbruk• Mangler kompetanse• Ikke WSSO med FEIDE-applikasjoner
11
IAM-prosjektet anbefaling
• Outsourcing av IdP til FEIDE
• Flytting av webapplikasjoner fra InnsidaSSO til FEIDE
(linjeoppgave / men bør koordineres av prosjektet)
• Alle eksterne leverandør må benytte FEIDE
12
Innsida II
• Rullet ut våren 2012 med innlogging via Feide
• Innsida 1 og InnsidaSSO mot Innsida 1 eksisterte i en
overgansperiode samtidig
• InnsidaSSO ble rimelig raskt skrevet om til å bruke Feide
som autentiseringsbackend istedenfor Innsida 1
13
14
Arbeid i forbindelse med Feide
• Registrering av nye applikasjoner
• Støtte til de som skriver anbudsdokumenter
• Støtte til leverandører som skal implementere
Feidepålogging
• Feilsøking
15
Spørsmål?