Bestille tilgang til Weblogin2

Til forskjell fra andre autentiseringssystemer s? m? en tjeneste eksplisitt gis tilgang til Weblogin2.

Hvem kan bestille tilgang?

Alle som drifter en tjeneste p? nett som ?nsker autentisering av brukere fra UiO kan i prinsippet bestille tilgang til Weblogin2. Det settes en forventning til at tjenesten har relevanse for universitetet eller personer tilknyttet universitetet. Usikker p? om tjenesten din b?r bruke Weblogin2? Se Styringsregler for autentisering.

Bestilling

Teknisk ansvarlig, eller systemansvarlig, for tjenesten kan sende inn bestilling via nettskjemaet for ? opprette ny tjeneste i Weblogin.

Vi trenger svar p? en del sp?rsm?l for ? gi tjenester tilgang til Weblogin2. I bestillingen m? du svare p?:

Hvilke brukere skal kunne logge inn i tjenesten?
Hvem er kontaktpunkt for tjenesten?
Hvilken informasjon forventer tjenesten ? f? fra Weblogin2?
Skal kommunikasjon mellom tjenesten og Weblogin2 krypteres?
Hvilken autentiseringsprotokoll st?tter tjenesten?
(Kun for SAML 2.0: Service Provider metadata fra din tjeneste.)

Brukergrupper

Weblogin2 opererer i hovedsak med tre brukergrupper:

Personer ved UiO er mennesker som har en n?r tilknytning til UiO. Typiske eksempler er ansatte og studenter ved universitetet. Eksempler p? personer som ikke er med i denne gruppen er innleide konsulenter og gjesteforskere. Typisk for denne gruppen er at det finnes detaljerte personopplysninger som f?dselsnummer, tilh?righet, telefonnumre og lignende. Brukermassen i denne gruppen kommer fra person-treet i UiOs LDAP-katalog.
Personer med annen Feide-tilh?righet er mennesker som har n?r tilknytning til en annen Feide-institusjon enn UiO. Typiske eksempler er ansatte eller studenter ved et annet universitet.
WebID er en tjeneste som gj?r det mulig ? gi l?st tilknyttede personer tilgang til it-tjenester ved UiO. Du kan lese mer om dette p? nettstedet for WebID. Merk at kun WebID-brukere som er aktive vil kunne logge inn med Weblogin2. En aktiv WebID-bruker er medlem av minst en WebID-gruppe.

Man kan velge ? bruke flere brukergrupper i sin tjeneste. Sluttbrukeren vil da f? opp flere knapper i Weblogin2 for de forskjellige brukergruppene, og vil selv kunne velge hvilken av disse som brukes.

Kontaktpunkt

Det m? registreres et kontaktpunkt for alle tjenester som skal ha tilgang til Weblogin2. Dette kontaktpunktet vil benyttes for ? informere om endringer i Weblogin2 som kan p?virke din tjeneste.

Kontaktpunktet skal v?re en e-postliste, ikke e-postadresse til en enkeltperson. Folk flytter p? seg, men ansvaret flytter sjelden sammen med dem.

Informasjon

Weblogin2 kan gi informasjon om autentiserte brukere til din tjeneste. Hvilken informasjon som er tilgjengelig, vil v?re avhengig av hvilken brukergruppe brukeren tilh?rer.

Personer ved UiO: Attributter fra person-treet i UiOs LDAP-katalog vil v?re tilgjengelig.
Annen Feide-tilh?righet: Hvilke attributter som er tilgjengelige avhenger av autentiseringsprotokollen.
WebID: For WebID vil kun navn, brukernavn og e-post v?re tilgjengelig.

En tjeneste b?r ikke f? tilsendt flere attributter enn den trenger. Ved bestilling m? man derfor eksplisitt f?re opp hvilke attributt man ?nsker overf?rt fra Weblogin2. Det er uproblematisk ? endre dette i ettertid dersom tjenesten f?r behov for mer informasjon.

Merk at foresp?rsler om sensitive opplysninger kan medf?re at kravet m? dokumenteres. Om tjenesten ber om sensitiv informasjon, m? ogs? kommunikasjonen mellom tjenesten og sluttbruker krypteres (kun v?re tilgjengelig over HTTPS). Sensitiv informasjon vil typisk v?re f?dselsnummer. Man kan ikke f? informasjon om brukerens passord.

Kryptering

All kommunikasjon mellom bruker og Weblogin2 vil alltid skje over HTTPS, for ? beskytte brukerens passord.

I tillegg vil alle meldinger fra Weblogin2 til din tjeneste v?re digitalt signert. Dette forhindrer at meldinger til din tjeneste kan forfalskes, og gj?r at din Service Provider kan stole p? informasjonen fra Weblogin2.

Informasjonen som utleveres av Weblogin2 til din Service Provider kan i tillegg krypteres, for ? hindre innsyn. Dersom du ?nsker slik kryptering, m? du opplyse om dette i bestillingen, og inkludere en offentlig n?kkel i metadata for din SP.

Dersom meldingene ikke krypteres vil brukerens nettleser ha innsyn i disse dataene. S? lenge kommunikasjon mellom brukeren og din tjeneste er begrenset til HTTPS, er det strengt tatt ingen behov for slik kryptering.

Dersom tjenesten din benytter OpenID Connect (OIDC) er det ikke behov for slik kryptering, ettersom OIDC er basert p? OAuth 2.0 rammeverket hvor kryptering er innebygd.

Protokoll

Weblogin2 st?tter autentiseringsprotokollene OpenID Connect (OIDC) og SAML 2.0. OIDC er foretrukket av Weblogin2.

Metadata - gjelder dersom du velger protokollen SAML 2.0

Dersom tjenesten din benytter SAML 2.0, m? du inkludere metadata for din Service Provider i bestillingen din. Metadata inkluderer en unik identifikator for din SP, samt ressursene som Weblogin sender meldinger til. En SP vil typisk ha to slike ressurser, en for kontroll av innlogging, og en for utlogging.

For ? bygge konfigurasjonen som Weblogin2 trenger for ? la en tjeneste videresende brukere s? trenger vi noen parametre. Under er eksempler p? disse parametrene:

<EntityDescriptor entityID="https://foo.uio.no/simplesaml/saml2/sp/metadata.php"/>
<SingleLogoutService Location="https://foo.uio.no/simplesaml/saml2/sp/SingleLogoutService.php"/>
<AssertionConsumerService Location="https://foo.uio.no/simplesaml/saml2/sp/AssertionConsumerService.php"/>

Eksempel p? metadata kan du ogs? finne p? Weblogin2 og Weblogin2-test. Merk at dette er metadata for en IdP og ikke en SP. Husk at du ogs? m? legge inn metadata for Weblogin2 i din SP.

Kontaktpunkt for Weblogin

Kontaktpunktet for alle typer henvendelser er weblogin-kontakt@usit.uio.no.

Publisert 20. sep. 2024 12:09 - Sist endret 30. sep. 2024 14:08