FAQ om SWAMI och SWAMID
Vanliga frågor och svar om SWAMID. Allmänna frågor först och mer tekniska frågor mot slutet.
Vad är SWAMID?
SWAMID är en identitetsfederation - dvs policy och teknologi som används för att etablera säkra associationer och transaktioner mellan identiteter och system som kontrolleras av olika organisationer. Syftet med en identitetsfederation är att sänka kostnaden för hantering av digitala identiteter samt att möjliggöra etableringen av delade tjänster som använder digitala identiteter.
Vad är relationen mellan SWAMID och SWAMI?
SWAMI är en aktivitet inom SUNET som driver projekt (huvudsakligen) inom området middleware och identitet. SWAMID är ett av projektet som initierats av SWAMI.
Hur finansieras SWAMID?
SUNET och övriga medlemmar i SWAMI bidrar med tid och resurser till pågående aktiviteter. SUNET bidrar med en ganska stor mängd resurser. Övriga medlemmar bidrar i huvudsak genom att låta en del av sin egen spetskompetens delta i aktiviteter och projekt.
Hur styrs SWAMI?
Medlemmarna i SWAMI - dvs de som bidrar med resurser och arbetstid - tillsätter gemensamt ett råd som beslutar om hur resurserna används.
Hur styrs SWAMID?
Identitetsfederationen SWAMID styrs av SWAMI-rådet. Beslut om medlemskap i SWAMID fattas av SWAMI-rådet efter att ansökningar förberetts av driftgruppen (SWAMID operations team). Detta beskrivs i detalj i SWAMID-federationspolicy.
Behöver vi vara medlemmar i SWAMI?
Högskolor och universitet som vill vara med och påverka inriktningen på de aktiviteter som drivs av SWAMI gör det genom att bli medlemmar i SWAMI och därigenom själva bidra med arbete eller andra resurser. De högskolor som är nöjda med det arbete som görs behöver inte bli medlemmar i SWAMI.
Behöver vi vara medlemmar av SWAMI för att vara med i SWAMID?
Nej! Medlemskap i SWAMID är fritt för alla universitet och högskolor.
Hur kommer vi igång med SWAMID?
Skicka ett mail till operations@swamid.se som uttrycker intention att bli medlem i SWAMID - ett slags "email of intent" analogt med ett "letter of intent". Driftgruppen tar kontakt med er för att sätta igång processen.
Vad krävs för medlemskap i SWAMID?
Dels krävs ett dokument som beskriver hur digitala identiteter hanteras vid högskolan/universitetet. Kontakta operations@swamid.se för att få tillgång till exempel på hur existerande medlemmar har uppfyllt detta krav. Dessutom krävs teknisk integration med de teknologier som ingår i SWAMID - eduroam och SAML.
Behöver vi vara medlemmar i SWAMID för att använda eduroam?
Ja. eduroam styrs av en policy som reglerar hur SUNET och övriga nät som deltar i eduroam ska samverka. I eduroam-policy:n ställs krav på SUNET som SUNET uppfyller genom att hänvisa till SWAMID-policy:n.
Behöver vi vara medlemmar i SWAMID för att använda Adobe Connect Pro?
Ja. SUNETs nya e-mötestjänst som är baserad på Adobe Connect Pro kommer att använda SWAMID för inloggning till tjänsten. Alla som vill kunna skapa nya mötesrum i e-mötestjänsten måste logga in via SWAMID. Att delta i ett e-möte som någon annan satt upp kräver dock inte inloggning till e-mötestjänsten.
Behöver vi var medlemmar i SWAMID för att använda nya SCS (TCS)?
Det är i dagsläget osäkert om TCS för servercertifikat kommer att kräva federationsinloggning (dvs SWAMID). Det är emellertid säkert att TCS för klient- och GRID-certifikat kommer att kräva SWAMID.
Vi har väldigt lite resurser för ny teknologi. Vilken hjälp kan vi få?
SWAMI arbetar på att uppdatera all dokumentation kring SWAMID som finns på denna site. Vi kommer även att ta fram VMware-baserade virtuella maskiner som man kan använda som utgångspunkt för att snabbt komma igång med federationstekologi. Vi förstår att många har behov av hjälp i samband med nya tjänster som tex e-mötestjänsten och Terenas nya certifikatstjänst (före detta SCS) och lovar att göra vad vi kan för att hjälpa så många som möjligt att komma igång så snabbt som möjligt.
Vilken teknologi används i SWAMID?
Två teknologier används: dels RADIUS som används i eduroam och dels SAML som används för webbtjänster. Dessa båda teknologier är analoga men samtidigt komplementära: de löser samma problem men i olika sammanhang.
Varför används inte LDAP eller Active Directory?
LDAP och Active Directory (som också är en variant av LDAP) fungerar väl i en väl kontrollerad enterprisemiljö. Erfarenheten visar att det är mycket svårare att länka ihop LDAP-tjänter när flera organisationer är involverade. Det beror i huvudsak på att det finns så många olika sätt att struktura och bygga upp en LDAP-tjänst. Istället väljer allt fler organisationer, länder och leverantörer att använda SAML som mekanism att koppla ihop identitetstjänster. Ofta finns det en katalogtjänst i bakgrunden - LDAP och Active Directory är mycket vanligt förekommande.
Fungerar LDAP/Active Directory med SWAMID
Absolut. Det finns bra implementationer av både RADIUS (för eduroam) och SAML som fungerar väl med LDAP och Active Directory.
Varför används inte e-ID?
Nationell e-legitimation (eID) som används vid (tex) deklaration och andra samhällstjänster har en prismodell som gör den olämplig att användas (i nuvarande form) för de typer av tjänster som SWAMID används för. De tjänster som SWAMID används för är ofta baserade på öppna standarder (tex RADIUS för eduroam). Nationell e-legitimation är inte baserad på någon öppen standard och integrationskostnaderna blir därför ofta mycket höga. Dessutom kan bara svenska medborgare med personnummer få e-legitimation. Dessa problem med nationell e-legitimation har påpekats av andra organisationer och intressenter. SUNET arbetar i olika nätverk och sammanhang med att påverka beslutsfattare att gå mot att använda öppna standarder för framtida system för nationell e-legitimation.
Hur mycket arbete krävs?
Den tekniska integrationen tar ca 1-2 dagar effektiv tid i anspråk per teknologi. SWAMID har resurser (som SUNET bidrar med) för att hjälpa nya medlemmar att komma igång med tekniken. Kontakta operations@swamid.se!
Räcker det inte med en teknologi?
RADIUS (eduroam) och SAML löser liknande problem med i olika sammanhang. Beroende på vilka behov en högskola/universitet har kan det räcka med att införa en av teknologierna. Normalfallet är dock att båda teknologierna behövs.
Vad är SAML?
SAML- Security Assertion Markup Language - är en standard från OASIS som används för att kommunicera information om identitet, säkerhet och authenticering. SAML finns i flera sk profiler som avgör exakt hur SAML används för att lösa ett specifikt problem.
Vilka SAML-profiler används i SWAMID?
De två viktigaste profilerna är Web Browser Single-Sign On och Web Browser Single-Sign On Light. Av historiska skäl är den sk Shibboleth-profilen också vanligt förekommande. Denna profil som baseras på Shibboleth version 1.x kommer att fasas ut de närmaste åren.
Vad är Shibboleth?
SAML är en opensource-implementation av standarden SAML från Internet2. Shibboleth är en vanligt förekommande implementation av SAML men inte den enda och SWAMID bygger på öppna standarder, inte enskilda implementationer. Därför rekommenderar SWAMID att nya medlemmar endast använder SAML 2.0 baserat på någon av implementationerna SAML verison 2, simpleSAMLphp och Geneva. De två första implementationerna stödjer dessutom den tidigare Shibboleth version 1 profilen så uppgradering från äldre versioner blir smidigt och enkelt.
Vad är CWAA?
CWAA - Common Web Authentication - är en teknologi som utvecklades av SWAMI för att lösa problemet med inloggning till Studera.NU. När CWAA togs fram fanns inte några fungerande öppna standarder som löste det problemet (CWAA utvecklades alltså före SAML blev en stabil standard). Idag finns SAML och CWAA kommer att avvecklas till förmån för SAML2 under de närmaste åren.
När kommer CWAA att avvecklas?
Den mest kritiska användningen av CWAA är inloggning på Studera.NU via högskola. VHS har fört upp frågan om avveckling av CWAA på sin förvaltningsplan för 2010. Det betyder att VHS evt kommer att gå över till SAML2 någn gång under 2010 eller 2011. Därefter räknar vi med att alla kritiska användningar av CWAA är avecklade och SWAMI kommer inte längre att erbjuda hjälp med CWAA.
Vi har en Microsoft-miljö. Vad ska vi använda?
För eduroam fungerar IAS (Microsofts AD-integrerade radius-server) väl. Tester pågår för att utvärdera Geneva som är en Active Directory-integrerad SAML-server för användning i SWAMID. Vi räknar med att dessa tester kommer att falla mycket väl ut.
Varför används inte ADFS?
ADFS - Active Directory Federation Service - är en Microsoft-produkt som löser samma problem som SAML-implementationer gör (tex Shibboleth) men med hjälp av en teknologi som heter WS-Federation. ADFS är dels ett produktnamn och dels en teknologi. Med lanseringen av Geneva har Microsoft visat att man är på väg ifrån WS-Federation som teknologi för produkten ADFS till förmån för SAML. Med stor sannolikhet är Geneva det som blir andra generationens ADFS-produkt. Redan idag går det dock att åstadkomma en begränsad nivå av interoperabilitet mellan Shibboleth och ADFS.
Varför används inte CAS?
CAS - Common Authentication Service - är ett JaSIG-projekt som ursprungligen startades på Yale university. CAS är en sk Enterprise SSO - dvs en lösning för web-baserad Single-Sign On som fungerar väl inom en organisation. Problemet med CAS är att det inte är en öppen standard och heller inte har stöd från multipla leverantörer som SAML och radius har. Det är emellertid mycket enkelt att fortsätta använda en Enterprise SSO internt och SAML externt - flera medlemmar i SWAMID gör så idag.
Behövs en Enterprise SSO?
Ja och Nej. Många organisationer skulle klara sig bra med bara SWAMID för sina interna applikationer. Vissa randfall kan medföra att man ändå vill välja att köra en Enterprise SSO - tex baserat på CAS eller PubCookie.
Måste man använda Shibboleth?
Inte alls. Shibboleth är java-baserad men både Geneva (.NET-baserad) och simpleSAMLphp (LAMP-baserd) fungerar väl i de flesta fall. Det finns dock vissa fall då bara Shibboleth fungerar: främst inloggning via Studera.NU. Eftersom VHS använder en äldre version av Shibboleth så fungerar inte Geneva. Det pågår arbete med att få simpleSAMLphp att fungera och i samband med avvecklingen av CWAA kommer SAML 2 Web Browser SSO att stödjs fullt ut av Studera.NU både som SP och IdP.
Behöver vi uppgradera vår Shibboleth 1.x IdP för att använda e-mötestjänsten?
Adobe Connect Pro kommer att installeras med en Shibboleth 2 SP men kommeratt konfigureras så att den stödjer Shibboleth 1. Det betyder att både Shibboleth 1, 2, simpleSAMLphp och Geneva -baserade IdPer ska fungera tillsammans med Adobe Connect Pro.
Vad är bäst: Shibboleth, simpleSAMLphp eller Geneva?
Det beror på vilken miljö man har. Använd det som passar bäst för er.
Redaktör: Leif Johansson
Uppdaterad: 2009-06-03