Af Mikkel Hald, 31/08/20
En identitetsføderations metadata er det autoriserede katalog over de indholdstjenester og autentifikationssystemer som deltager i føderationen og herigennem udveksler digitale identiteter. Traditionelt distribueres en føderations metadata i én stor XML-fil til samtlige deltagende systemer, som på den måde får kendskab og tillid til hinanden og mulighed for at kommunikere sammen. Metadata vedligeholdes af føderationens centrale myndighed, “føderationsoperatoren”, som underskriver metadata digitalt.
I føderationer med mange tjenester og autentifikationssystemer kan metadatafilen imidlertid blive så stor at nogle af systemerne har besvær med at behandle filen. Derfor har man opfundet Metadata Query Protocol (‘MDQ’) — som giver mulighed for at hente metadata om et enkelt system i føderationen, frem for om alle systemerne i én stor fil. Med MDQ kan hvert system som deltager i føderationen, nøjes med at indlæse metadata om de typisk ret få andre systemer i føderationen som det reelt har brug for at dele brugeridentiteter med. Eller hvis der faktisk er brug for at kommunikere med mange systemer, kan systemet nøjes med at hente og bruge metadata om hvert system netop når kommunikationen med det pågældende andet system skal foregå.
I udgangspunktet har systemer som deltager i WAYF, kun brug for at kende metadata for WAYFs proxyserver. Men systemer som er skrevet til den konkurrerende føderationsarkitektur, “mesh” – hvor føderationens systemer kommunikerer direkte med hinanden i stedet for via en proxy – de har brug for metadata om specifikke tjenester og autentifikationssystemer som deltager i WAYF. Den type systemer er stort set enerådende i eduGAIN-samarbejdet, som forbinder verdens identitetsføderationer for forskning og uddannelse. Fx har autentifikationssystemet for University of Cambridge i den britiske føderation brug for at kende metadata specifikt om tjenesten sciencedata.dk i WAYF hvis universitetets brugere skal kunne tilgå sciencedata.dk med deres universitetskonti.
For at kunne levere metadata om enkeltsystemer har WAYF nu udviklet og idriftsat et MDQ-interface til føderationens metadataregister. Det består i et simpelt REST-kald til URL'en https://wayf.wayf.dk/MDQ/entity, hvor entity er et udtryk på formen hash/sp/hash (hvis systemet der ønskes metadata for, er en indholdstjeneste eller service provider) eller hash/idp/hash (hvis systemet der ønskes metadata for, er et autentifikationssystem eller identity provider). Udtrykket hash er systemets MDQ-ID ifølge oversigten på https://phph.wayf.dk: Hér kan man øverst på fanebladet for hvert system finde systemets MDQ-ID ud for teksten “MDQ:”. Eksempelvis er URL'en for Syddansk Universitets metadata https://wayf.wayf.dk/MDQ/9330abb052/idp/9330abb052, mens URL'en for tjenesten sciencedata.dk's metadata er https://wayf.wayf.dk/MDQ/6a4e36e22e/sp/6a4e36e22e. Når URL'erne kaldes, returneres de respektive systemers WAYF-metadata — signeret med privatnøglen svarende til certifikatet på siden her.
Når det drejer sig om metadata for en institutions autentifikationssystem, kan man i stedet for MDQ-ID'et også bruge institutionens DNS-domæne som argument i MDQ-kaldet: fx vil https://wayf.wayf.dk/MDQ/su.se/idp/su.se returnere metadata for Stockholms Universitet.