Bestille tilgang til Weblogin

Hvem kan bestille tilgang?

Alle som drifter en tjeneste p? nett som ?nsker autentisering av brukere fra UiO kan i prinsippet bestille tilgang til Weblogin. Det settes en forventning til at tjenesten har relevanse for universitetet eller personer tilknyttet universitetet.

Bestilling

Vi trenger svar p? en del sp?rsm?l for ? gi tjenester tilgang til Weblogin. I en bestilling m? du svare p?:

• Hvilke brukere skal kunne logge inn i tjenesten?
• Hvem er kontaktpunkt for tjenesten?
• Hvilken informasjon forventer tjenesten ? f? fra Weblogin?
• Skal kommunikasjon mellom tjenesten og Weblogin krypteres?
• Service Provider metadata fra din tjeneste.

Ved utvikling av en ny tjeneste eller under testfasen s? skal man benytte Weblogin-test. Dette for ? ikke utsette Weblogin for eventuelle problemer, samt at feils?king er langt enklere for drift.

Brukergrupper

Ved UiO s? oppererer man i hovedsak med tre brukergrupper

• Personer ved UiO (uioperson) er mennesker som har en n?r tilknytning til UiO. Typiske eksempler er ansatte og studenter ved universitetet. Eksempler p? personer som ikke er med i denne gruppen er innleide konsulenter og gjesteforskere. Typisk for denne gruppen er at det finnes detaljerte personopplysninger som f?dselsnummer, tilh?righet, telefonnumre og lignende. Brukermassen i denne gruppen kommer fra person-treet i UiOs LDAP-katalog.
• Alle brukerkonti (uiobruker) er mengden av alle brukere ved UiO, personlige og upersonlige. En person kan ha flere konti. Det finnes langt mindre opplysninger om denne typen identiteter. Brukermassen i denne gruppen kommer fra bruker-treet i UiOs LDAP-katalog.
• WebID en tjeneste som gj?r det mulig ? gi l?st tilknyttede personer tilgang til it-tjenester ved UiO. Du kan lese mer om dette p? nettstedet for WebID. Merk at kun WebID-brukere som er aktive vil kunne logge inn med Weblogin. En aktiv WebID-bruker er medlem av minst en WebID-gruppe.

Merk at det ikke er SSO mellom brukergrupper! Dersom brukeren 'foo' autentiserer seg hos en tjeneste som kun benytter seg av en gitt brukergruppe, vil brukeren kun være autentisert i andre tjenester som benytter seg av samme brukergruppe.

Man kan velge ? bruke flere brukergrupper i sin tjeneste. Brukeren vil da selv kunne velge hvilken brukergruppe vedkommende vil autentisere seg med. En vanlig kombinasjon her er brukergruppene ?uiobruker? og ?webid?. Sluttbrukeren vil da f? opp to faner i Weblogin, og vil selv kunne velge hvilken av disse som brukes.

I tillegg har Weblogin mulighet for fallback mellom brukergrupper. Dette betyr at hvis innloggingen feiler mot en brukergruppe s? vil Weblogin fors?ke mot en annen (prekonfigurert) brukergruppe, med samme autentiseringsinformasjon. En tjeneste kan da konfigureres til ? autentisere mot brukergruppen ?uioperson?, med fallback til ?uiobruker?. Da vil alle brukerkonti ved UiO kunne benytte tjenesten, men personlige brukerkontoer vil foretrekkes der det er mulig. Dette l?ser noe av problemet med manglende SSO mellom brukergrupper.

Kontaktpunkt

Alle tjenester som det bestilles tilgang for m? det registreres et kontaktpunkt for. Dette kontaktpunktet vil benyttes for ? informere om endringer i Weblogin som kan p?virke din tjeneste.

Kontaktpunktet skal v?re en epostliste, ikke epostadresse til en enkeltperson. Folk flytter p? seg, men ansvaret flytter sjelden sammen med dem.

Informasjon

Weblogin kan gi informasjon om autentiserte brukere til din tjeneste. Hvilken informasjon som er tilgjengelig, vil v?re avhengig av hvilken brukergruppe brukeren tilh?rer.

• uioperson: attributt fra person-treet i UiOs LDAP-katalog vil v?re tilgjengelig.
• uiobruker: vil attributt fra bruker-treet i UiOs LDAP-katalog v?re tilgjengelig.
• webid: For WebID vil kun navn, brukernavn og e-post v?re tilgjengelig.

En tjeneste b?r ikke f? tilsendt flere attributter enn den trenger. Ved bestilling m? man derfor eksplisitt f?re opp hvilke attributt man ?nsker overf?rt fra Weblogin. Det er uproblematisk ? endre dette i ettertid dersom tjenesten f?r behov for mer informasjon.

Merk at foresp?rsler om sensitive opplysninger kan medf?re at kravet m? dokumenteres. Om tjenesten ber om sensitiv informasjon, m? ogs? kommunikasjonen mellom tjenesten og sluttbruker krypteres (kun v?re tilgjengelig over HTTPS). Sensitiv informasjon vil typisk v?re f?dselsnummer. Man kan ikke f? informasjon om brukerens passord.

Kryptering

All kommunikasjon mellom bruker og Weblogin vil alltid skje over HTTPS, for ? beskytte brukerens passord. I tillegg vil alle meldinger fra Weblogin til din tjeneste v?re digitalt signert. Dette forhindrer at meldinger til din tjeneste ikke kan forfalskes, og gj?r at din Service Provider kan stole p? informasjonen fra Weblogin.

Informasjonen som utleveres av Weblogin til din Service Provider kan i tillegg krypteres, for ? hindre innsyn. Dersom du ?nsker slik kryptering, m? du opplyse om dette i bestillingen, og inkludere en offentlig n?kkel i metadata for din SP.

Dersom meldingene ikke krypteres vil brukerens nettleser ha innsyn i disse dataene. S? lenge kommunikasjon mellom brukeren og din tjeneste er begrenset til HTTPS, er det strengt tatt ingen behov for slik kryptering.

Metadata

Inkludert i bestillingen m? du ha metadata for din Service Provider. Metadata inkluderer en unik identifikator for din SP, samt ressursene som Weblogin sender meldinger til. En SP vil typisk ha to slike ressurser, en for kontroll av innlogging, og en for utlogging.

For ? bygge konfigurasjonen som weblogin trenger for ? la en tjeneste videresende brukere s? trenger vi noen parametre. Under er eksempler p? disse parametrene:

<EntityDescriptor entityID="https://foo.uio.no/simplesaml/saml2/sp/metadata.php"/>
<SingleLogoutService Location="https://foo.uio.no/simplesaml/saml2/sp/SingleLogoutService.php"/>
<AssertionConsumerService Location="https://foo.uio.no/simplesaml/saml2/sp/AssertionConsumerService.php"/>

Eksempel p? metadata kan du ogs? finne p? Weblogin og Weblogin-test. Merk at dette er metadata for en IdP og ikke en SP. Husk at du ogs? m? legge inn metadata for Weblogin i din SP.

Kontaktpunkt for Weblogin

Kontaktpunktet for alle typer henvendelser er weblogin-kontakt@usit.uio.no.