Af Mikkel Hald, 21/07/21
Forskere fra lande som deltager i LUMI-konsortiet, vil via eduGAIN få adgang til supercomputeren LUMI med den brugerkonto som de har ved deres institution. Men kun hvis institutionen har et påkrævet modenhedsniveau i sin brugerstyring – og oplyser det i sine brugeres login-tokens. Det er man nået frem til i projektet Puhuri, som udvikler AAI-infrastrukturen omkring LUMI.
Mere konkret skal hver institution som vil give sine forskere adgang til LUMI, have identitetssikret de pågældende brugere på minimum niveau medium ifølge REFEDS Assurance Framework (“RAF”), en international standard for sikring af digitale identiteter ved institutioner for forskning og videregående uddannelse.
Det er også et krav at institutionen aldrig lader en bruger få en værdi af eduPersonPrincipalName som institutionen tidligere har ladet en anden bruger have. Dét forventes allerede af institutionerne som deltager i WAYF, men indskærpes altså af LUMI.
På det tekniske niveau skal institutionen være i stand til at signalere sin overholdelse af kravene ved at sende de tilsvarende værdier i attributten eduPersonAssurance – som godt kan have flere værdier på en gang. Ud over værdien 2 skal institutionen blandt andre værdier også kunne sende værdierne https://refeds.org/assurance/IAP/medium og https://refeds.org/assurance/ID/eppn-unique-no-reassign. Fra 1. marts 2023 spærres adgangen til LUMI for institutionskonti uden de påkrævede værdier af eduPersonAssurance.
Ved at logge ind på sitet her med sin institutionskonto kan man teste om ens institution sender de attributværdier som LUMI-adgangen vil kræve – og se hvad der evt. mangler.
På længere sigt vil LUMI formentlig også stille krav om multifaktorautentifikation – sandsynligvis svarende til REFEDS MFA Profile. Men foreløbig drejer det sig altså alene om hvordan man har sikret at brugerkontoen er blevet udleveret til den tiltænkte fysiske person.
Implementering af RAF ser ud til at ville blive et krav ved stadig flere forskningsinfrastrukturer og publikationsudbydere internationalt og kan derfor med fordel påbegyndes allerede nu på danske og nordatlantiske forskningsinstitutioner. Strengt taget er en institution faktisk nødt til at opfylde RAF's conformance criteria (se sektion 3 i RAF) for overhovedet at måtte sende de eduPersonAssurance-værdier som LUMI kræver.
LUMIs krav til institutioners sikring af deres brugeres identitet er også angivet nederst her på siden. Krav som ikke er omtalt her i artiklen, overholder WAYFs institutioner allerede i og med WAYF-medlemskabet. Eksempelvis har WAYF i sine medlemsinstitutioners eduGAIN-metadata markeret at institutionerne har forhåndsgodkendt tjenester i enhedskategorien Research & Scholarship. De krævede attributter er derfor også allerede på plads – på nær altså de ekstra værdier man nu skal sende i eduPersonAssurance.
Den gældende udgave af REFEDS Assurance Framework definerer sine sikringsniveauer ved at henvise til andre frameworks – som man derfor er nødt til studere for at finde ud af hvad det mere konkret kræver at implementere identitetssikringsniveauet medium. Den mest overskuelige mulighed er måske at læse om IGTF-frameworkets sikringsniveau “BIRCH” her og implementere dét. RAFs eget korte eksempel på hvad en medium-sikring kan bestå i, er også godt at få forstand af. Ligesom slidedeck'et her fra amerikanske NIAID, som giver et rigtig godt overblik. Det er også muligt at en MitID-bekræftelse af brugerkontoen kan ligestilles med en identitetssikring af brugeren på RAF-niveauet high.
Derudover skal man huske at det kun er nødvendigt at implementere medium for de konti som faktisk skal kunne tilgå LUMI – man behøver ikke gøre det for samtlige konti på institutionen. Én mulighed er derfor kun at udføre sikringsprocessen for de få brugere med behov for LUMI-adgang og i hver sådan brugers record notere en kode (eller flere) som institutionens identity provider så omsætter til de nødvendige værdier af eduPersonAssurance.