Af Mikkel Hald, 17/10/24
Et voksende antal tjenesteudbydere har behov for at vide hvor sikkert brugeren er logget ind ved sin institution (om det fx er med flere “faktorer”: “MFA”). Og heldigvis findes der en vedtagen teknisk standard for at angive netop den type information i den “billet” organisationens loginsystem udsteder til tjenesten brugeren forsøger at tilgå: Måden organisationen loggede brugeren ind på, udtrykkes i en tekststreng i elementet AuthnContext.
Hos mange af WAYFs brugerorganisationer har det imidlertid vist sig at den software man bruger i sin logintjeneste over for WAYF, ikke implementerer standarden. Og det er uhensigtsmæssigt, for oplysninger om login'ets kvalitet (kunne man kalde det) bliver stadig vigtigere for at brugerne kan tilgå de tjenester de har brug for.
I stedet for at sende oplysningen om loginkvalitet sådan som specifikationen kræver, kunne organisationen som en slags work-around sende den som en af værdierne af attributten eduPersonAssurance. Det giver faktisk mening i alle tilfælde at sende oplysningen dér – fordi eduPersonAssurance må udtrykke ethvert aspekt af en digital identitets sikringsniveau (“assurance level”), herunder hvor sikkert identiteten er autentificeret i den konkrete session. På den måde kan organisationen i det mindste få informationen igennem til tjenesteudbyderen, omend ikke på standardiseret vis.
Det sikreste er imidlertid at følge standarden og sende værdien i loginbillettens AuthnContext-element – eller i hvert fald også sende den dér. Eksempelvis – og nok særligt kritisk – forudsætter den internationale profil for MFA i forskning og uddannelse at man bruger det signal. Og dét bliver nu nemmere for brugerorganisationer i WAYF, med en nyudviklet feature:
Vi udnytter at organisationernes software generelt godt kan sættes op til i loginbilletterne at sende hvilke attributter organisationen vil, med hvilke navne og hvilke værdier den vil – altså samme omstændighed som sætter organisationen i stand til dog at sende oplysningen om loginkvalitet i eduPersonAssurance. Det er meget enkelt: Brugerorganisationen skal til WAYF bare sende værdien i en attribut med navnet AuthnContextClassRef – så vil værdien optræde i AuthnContext-elementet i den tilsvarende loginbillet WAYF sender videre til tjenesten brugeren vil ind på.
Det er selvfølgelig en forudsætning at brugerorganisationens software overhovedet “ved” hvordan brugeren er logget ind, og kan sættes op til at udtrykke det i værdien af en attribut. Og det kan i hvert fald ADFS og EntraID fra Microsoft. De mange organisationer som bruger den software over for WAYF, kan derfor uden videre få glæde af den facilitet vi har beskrevet her.