Tjenester og institutioner i eduGAIN

Interføderationen eduGAIN er et internationalt samarbejde mellem et stort antal identitetsføderationer i verden som herigennem stiller tjenester og institutioner til rådighed for hinanden. WAYF deltager i eduGAIN og gør det hermed muligt for brugere ved danske institutioner at tilgå webtjenester uden for WAYF — og muligt for brugere ved udenlandske institutioner at tilgå webtjenester som er med i WAYF.

Institutioner som er med i WAYF, er i udgangspunktet også med i eduGAIN; dvs. enhver (udenlandsk) webtjeneste som er med i eduGAIN, kan uden videre vælge at acceptere logins fra institutioner som er med i WAYF. (Alle WAYF-institutioners metadata er publiceret i metadata-feed'et for eduGAIN.) Hvis en institution ønsker det, kan WAYF udtræde den af eduGAIN.

En udenlandsk webtjeneste får dog kun lov til at modtage logins fra institutioner i WAYF hvis WAYF eksplicit har godkendt tjenesten til formålet. WAYF godkender tjenester fra eduGAIN på forespørgsel fra sine institutioner — og sørger for at der kun udleveres det nødvendige minimum af login-oplysninger til tjenesten om hver bruger som forsøger at logge ind på den. Enhver tjeneste som af sin hjemmeføderation er blevet markeret som Research & Scholarship, giver WAYF dog uden videre adgang til at modtage logins fra institutionerne i WAYF.

Eksempelvis er den hollandsk indregistrerede webtjeneste TERENA SP Proxy godkendt i WAYF med en let censureret attributprofil som det kan ses her. På websitet PHPh giver WAYF en oversigt over hvilke webtjenester der er med i eduGAIN, og hvilke af dem der p.t. er godkendt til brug i WAYF.

Danske webtjenester som er med i WAYF, kan vælge at acceptere logins fra udenlandske institutioner som er med i eduGAIN — ved at tage følgende skridt:

  • markere tjenesten som medlem af eduGAIN i dens metadata hos WAYF (i selvbetjeningsværktøjet JANUS tilvælges simpelthen feltet EntityAttributes:edugain:0 med værdien Yes);
  • erstatte sine almindelige metadata for WAYF med metadata fra eduGAIN-feed'et på https://metadata.wayf.dk/wayf-idp-transitive.xml. Feed'et er meget stort; så det kan være en god idé kun at bruge de dele af feed'et som vedrører netop de institutioner som ens webtjeneste skal kunne tilgås fra. Man bør endvidere sørge for jævnlig og automatiseret opdatering af sin tjenestes metadata fra eduGAIN-feed'et;
  • indarbejde en discovery service på sin webtjenestes login-side, som giver brugeren mulighed for at vælge at logge ind fra et antal danske og udenlandske institutioner. Hvis man ikke vil lave sin egen discovery service, kan man blot bruge WAYFs generelle discovery service på https://ds.wayf.dk. I standard-SAML2-software som SimpleSAMLphp og Shibboleth skal denne URL simpelthen bare angives som værdi i softwarens konfiguration.

På sigt er det meningen at WAYF skal gøre det nemmere for sine tjenesteudbydere at modtage logins fra udenlandske institutioner via eduGAIN; men som situationen er i dag, er det nødvendigt for udbyderne at tage disse tre skridt.

Tjenesteudbydere i WAYF skal også være opmærksomme på at attributforholdene er anderledes i eduGAIN end internt i WAYF: Dels kan man generelt kun regne med at kunne få leveret disse otte attributter, dels skal man være indstillet på at attributterne benævnes i URN:OID-formatet og ikke i formatet Basic Name (eller Systemnavn), som bruges internt i WAYF. På WAYFs attributliste kan man se WAYFs attributter benævnt i begge formater.