Misforståelser om WAYF

Der findes en håndfuld almindelige misforståelser om WAYF. Siden her sejler op imod dem ved at slå følgende fast:

WAYF er ikke noget firma. WAYF er en del af det offentlige

WAYF er ikke noget firma. Vi er en del af det offentlige. Vi er en del af DeiC — som er en virtuel enhed under Uddannelsesministeriet. WAYF bemandes af og drives fra Danmarks Tekniske Universitet.

WAYF giver ikke brugsret til webtjenester

WAYF giver ikke institutionernes brugere lov til rent faktisk at bruge de webtjenester som indgår i føderationen. WAYF gør det bare teknisk muligt at identificere sig over for dem med brugerkonti fra akademiske institutioner. Det er WAYF uvedkommende og en sag mellem hver tjenesteudbyder og hver institution hvilke brugere der skal have brugsret til en bestemt tjeneste. Hvis brugsretten ikke er etableret, vil brugeren få en fejlmeddelelse fra tjenesten efter et ellers vellykket login ved sin institution.

Adgangskontrollen ligger hos tjenesten – ikke hos WAYF

Hvis brugeren efter at have valgt sin institution på WAYFs liste gennemfører en vellykket indlogning ved institutionen, giver dét ikke i sig selv adgang til den webtjeneste som han forsøger at logge ind på. Nok bliver brugeren genkendt og autentificeret ved sin institution; men det er derefter op til den tjeneste(udbyder) som modtager login-svaret via WAYF, at afgøre om den pågældende bruger rent faktisk skal have adgang til tjenesten. WAYF forholder sig ikke til dét – men leverer alene de oplysninger om brugeren som tjenesteudbyderen skal kende for selv at kunne afgøre om brugeren skal have adgang til tjenesten. Udbyderen har altså ansvar for at implementere et filter ved tjenesten. WAYF garanterer ikke tjenesteudbyderen andet end at oplysningerne om brugeren er rigtige.

Der er ikke nogen brugerdatabase i WAYF

WAYF er ikke nogen brugerdatabase. WAYF opbevarer ikke nogen brugeroplysninger. WAYF kender ikke nogen brugere. WAYF har ikke nogen brugernavne eller passwords eller andet i den stil. Man kan ikke logge ind i WAYF. Men man kan logge ind igennem WAYF – som i hvert login overfører relevante oplysninger om brugeren fra den organisation han logger ind ved, til den webtjeneste han ønsker at logge ind på. Hvis nogle af de overførte oplysninger er forkerte, kan problemet ikke ligge andre steder end hos brugerens organisation, for det er den der opbevarer og ajourfører brugeroplysningerne.

WAYF sender kun oplysninger om en bruger til en tjeneste når brugeren rent faktisk tilgår tjenesten

Oplysningerne om brugeren overføres til tjenesten når brugeren forsøger at logge ind. Der sker ingen som helst udveksling af brugeroplysninger mellem WAYF og tjenesten på noget andet tidspunkt – hverken før eller efter brugerens forsøg på at tilgå tjenesten. Nogle tjenester kender slet ikke brugeren før han logger ind via WAYF, men opretter ham ved første indlogning. Hvis en tjeneste har brug for at kende hver bruger før han logger ind første gang, så kan dét desværre ikke ske med WAYFs hjælp.

WAYF har ikke noget at gøre med IP-adresser

IP-adresser indgår ikke i definitionen af interfacet til WAYF. Protokolmæssigt er WAYF et lag oven på HTTPS – groft sagt en lille håndfuld parametre til GET og POST. IP-adresser spiller ingen rolle i tekniske forbindelser til WAYF — på anden måde end hvis det par URL'er som indgår i interfacet, omfatter IP-numre i stedet for DNS.

WAYF er ikke noget med DNS eller domæner

WAYF har ikke noget med servernavne eller domæner at gøre – i hvert fald ikke ret meget. Interfacet mellem WAYF og omverden er specifikke URL'er – ikke bestemte servere eller domæner. Hvis en med WAYF forbundet tjeneste eller institution skifter domæne eller platform eller lignende, er det muligvis relevant at oplyse en ny URL eller flere til os i WAYF. Men ikke andet.

I WAYF er en URL ikke altid et link

Den protokol som WAYF bruger til login, nemlig SAML2, bruger URL'er (som fx https://wayf.au.dk) som entydige navne på de tjenester og institutioner som udveksler login-oplysninger. I de tilfælde skal URL'en ikke opfattes som et link man kan følge i en browser. Nogle gange er URL'en også et link. Men det har ingen betydning for login-protokollen eller for forbindelsen til WAYF: I vores sammenhæng er URL'en bare en navnestreng.