Misforståelser om WAYF

Der findes en håndfuld almindelige misforståelser om WAYF. Siden her sejler op imod dem ved at slå følgende fast:

WAYF er ikke noget firma. WAYF er en del af det offentlige

WAYF er ikke noget firma. Vi er en del af det offentlige. Vi er en del af DeiC — som er en virtuel enhed under Uddannelsesministeriet. WAYF bemandes af og drives fra Danmarks Tekniske Universitet.

WAYF giver ikke brugsret til webtjenester

WAYF giver ikke institutionernes brugere lov til rent faktisk at bruge de webtjenester som indgår i føderationen. WAYF gør det bare teknisk muligt at identificere sig over for dem med brugerkonti fra akademiske institutioner. Det er WAYF uvedkommende og en sag mellem hver tjenesteudbyder og hver institution hvilke brugere der skal have brugsret til en bestemt tjeneste. Hvis brugsretten ikke er etableret, vil brugeren få en fejlmeddelelse fra tjenesten efter et ellers vellykket login ved sin institution.

Adgangskontrollen ligger hos tjenesten – ikke hos WAYF

Hvis brugeren efter at have valgt sin institution på WAYFs liste gennemfører en vellykket indlogning ved institutionen, giver dét ikke i sig selv adgang til den webtjeneste som han forsøger at logge ind på. Nok bliver brugeren genkendt og autentificeret ved sin institution; men det er derefter op til den tjeneste(udbyder) som modtager login-svaret via WAYF, at afgøre om den pågældende bruger rent faktisk skal have adgang til tjenesten. WAYF forholder sig ikke til dét – men leverer alene de oplysninger om brugeren som tjenesteudbyderen skal kende for selv at kunne afgøre om brugeren skal have adgang til tjenesten. Udbyderen har altså ansvar for at implementere et filter ved tjenesten. WAYF garanterer ikke tjenesteudbyderen andet end at oplysningerne om brugeren er rigtige.

Der er ikke nogen brugerdata i WAYF

WAYF er ikke nogen brugerdatabase. WAYF opbevarer ikke nogen brugeroplysninger. WAYF kender ikke nogen brugere. WAYF har ikke nogen brugernavne eller passwords eller andet i den stil. Man kan ikke logge ind i WAYF. Men man kan logge ind igennem WAYF – som i hvert login overfører relevante oplysninger om brugeren fra den organisation hun logger ind ved, til den webtjeneste hun ønsker at logge ind på. Hvis nogle af de overførte oplysninger er forkerte, kan problemet ikke ligge andre steder end hos brugerens organisation, for det er den der opbevarer og ajourfører brugeroplysningerne.

WAYF sender kun oplysninger om en bruger til en tjeneste når brugeren rent faktisk tilgår tjenesten

Oplysningerne om brugeren overføres til tjenesten når brugeren forsøger at logge ind. Der sker ingen som helst udveksling af brugeroplysninger mellem WAYF og tjenesten på noget andet tidspunkt – hverken før eller efter brugerens forsøg på at tilgå tjenesten. Nogle tjenester kender slet ikke brugeren før han logger ind via WAYF, men opretter ham ved første indlogning. Hvis en tjeneste har brug for at kende hver bruger før hun logger ind første gang, så kan dét desværre ikke ske med WAYFs hjælp.

WAYF har ikke noget at gøre med IP-adresser

IP-adresser indgår ikke i definitionen af interfacet til WAYF. Protokolmæssigt er WAYF et lag oven på HTTPS – groft sagt en lille håndfuld parametre til GET og POST. IP-adresser spiller ingen rolle i tekniske forbindelser til WAYF — på anden måde end hvis det par URL'er som indgår i interfacet, omfatter IP-numre i stedet for DNS.

WAYF er ikke noget med DNS eller domæner

WAYF har ikke noget med servernavne eller domæner at gøre – i hvert fald ikke ret meget. Interfacet mellem WAYF og omverden er specifikke URL'er – ikke bestemte servere eller domæner. Hvis en med WAYF forbundet tjeneste eller institution skifter domæne eller platform eller lignende, er det muligvis relevant at oplyse en ny URL eller flere til os i WAYF. Men ikke andet.

EntityID'er skal ikke kunne resolves

Den protokol som WAYF bruger til login, nemlig SAML2, bruger URL'er (som fx https://wayf.au.dk) som entydige navne på de tjenester og institutioner som udveksler login-oplysninger. I de tilfælde skal URL'en ikke opfattes som en adresse på noget på internettet. Nogle gange er URL'en også en internetlokation. Men det har ingen betydning for login-protokollen eller for forbindelsen til WAYF: I vores sammenhæng er URL'en bare en navnestreng.

WAYF understøtter tofaktor-login

WAYF understøtter tofaktor-login i nøjagtig samme omfang som tilsluttede tjenester og institutioner gør. Hvis en institution logger en bruger ind med to faktorer, står det den frit for at meddele det i login-svaret til WAYF — og dermed lade WAYF meddele det til tjenesten brugeren skal ind på. Vær opmærksom på at institutioner i WAYF har gratis adgang til tofaktor-autentificering med NemLog-in.

Certifikater i WAYF er noget andet end SSL- eller PKI-certifikater

Hvis din WAYF-server skifter SAML2-signeringsnøglepar, skal du inddatere den nye offentlige nøgle i WAYFs indgang for din WAYF-server. Nøglen er af tekniske grunde pakket ind i et PEM-X509-certifikat — men er ikke noget certifikat. WAYF fortolker ikke andet end selve nøglen; de øvrige felter ignoreres, herunder udløbsdatoen. — Hvis du derimod skifter SSL-certifikat på din WAYF-server, skal du ikke orientere WAYF om dét.

ALT som kan forbindes til ADFS/AzureAD, kan også forbindes til WAYF

WAYF er ikke teknisk noget helt andet and ADFS og AzureAD. Det er det samme. Det er samme tekniske protokol. Hvis man kan forbinde en loginkrævende tjeneste med ADFS eller AzureAD, kan man uden videre også forbinde den med WAYF. Og det vil der typisk være fordele ved, sammenlignet med en direkte forbindelse. WAYF er på det tekniske niveau et drop-in-replacement for ADFS/AzureAD.