Af Mikkel Hald, 16/09/24
Det er helt almindeligt i identitetsføderationer i forsknings- og uddannelsessektoren at en type brugeroplysning – en bestemt attribut, et bestemt claim – kan have flere samtidige værdier. Eksempler er attributten eduPersonEntitlement, hvor hver værdi angiver en rettighed brugeren har, og eduPersonAssurance, hvor hver værdi siger noget om login'ets kvalitet hos brugerorganisationen (“level of assurance”). Og mange tjenester har behov for at modtage den slags multivalued attributter.
Desværre er loginsystemerne i flere af føderationernes brugerorganisationer kun i stand til at udstede loginbilletter med en enkelt værdi per attribut – eksempelvis systemet EntraID fra Microsoft, som er populært i mange it-afdelinger. Det giver naturligvis problemer når en organisations loginsystem på den måde ikke understøtter standarderne i det omfang som er nødvendigt for at dens brugere kan få adgang til de tjenester som deres virke i organisationen kræver. Eksempelvis forskere med behov for adgang til supercomputeren LUMI – eller radiografistuderende som skal bruge tjenesten SECTRA.
Men nu kommer WAYF til hjælp – med en facilitet som over for føderationens tjenester kan producere de attributter med flere samtidige værdier som brugerorganisationer med fx EntraID som loginsystem ikke kan. Faciliteten er meget enkel og forudsætter kun at organisationen kan sende attributter med enkeltværdier: Hvis organisationen fx ønsker at tjenesten brugeren vil ind på, modtager attributten eduPersonAssurance med værdierne
på samme tid, så kan den i brugerens loginsvar blot sende følgende tre attributter til WAYF:- attributten eduPersonAssurance75 med værdien 2,
- attributten eduPersonAssuranceassign med værdien https://refeds.org/assurance/eppn-unique-no-reassign og
- attributten eduPersonAssuranceD71 med værdien https://refeds.org/assurance/IAL/medium
– så vil WAYF videresende det ønskede til tjenesten. Dvs. når WAYF modtager en attribut hvis navn begynder med navnet på en attribut WAYF understøtter (fx modtager en attribut med navnet eduPersonAssuranceD71), så videresender WAYF den modtagne attributs værdi som værdi af den genkendte attribut (her eduPersonAssurance). Og hvis WAYF modtager flere attributter som på den måde svarer til én og samme understøttede attribut (fx eduPersonAssurance75 og eduPersonAssuranceassign), så videresender WAYF altså de attributters værdier som samtidige værdier af den genkendte attribut (her altså eduPersonAssurance).
Faciliteten her er allerede implementeret og kan nu udnyttes af enhver brugerorganisationen som ikke er i stand til at sende attributter med flere samtidige værdier. Der findes andre måder at løse det problem på; men i første omgang forsøger vi os med så enkel en mekanisme som muligt.