Belnet R&E Federation - Technical FAQ

Over een federatie

Wat is een federatie?
Wat heeft een federatie u te bieden?
Wat is de Belnet R&E Federation?

Over het technische framework

Wat is het technische framework?
Welke systemen worden er gebruikt voor de installatie van IdP- of SP-software?
Hoe installeer ik een IdP (identity provider)?
Hoe installeer ik een SP (service provider)?
Meer informatie nodig over Shibboleth?
Meer informatie nodig over SAML2?
Meer informatie nodig over de metadata en de Discovery Service?
Meer informatie nodig over de kenmerken?
Extensies: wat is de MDUI?
Meer technische informatie en nuttige links nodig?

Wat is een federatie?

Een federatie is een groep organisaties die overeenkomen dat ze volgens een bepaalde reeks regels willen samenwerken. Meestal definieert een federatie kenmerken en kent ze metadata toe die deze informatie voorstellen.

Over het algemeen heeft elke organisatie in een federatie één identity provider (IdP) voor haar gebruikers en een aantal service providers (SP's). Met één unieke login kan een student of personeelslid bijvoorbeeld de online vacatures van deelnemende organisaties bekijken.

Wat heeft een federatie u te bieden?

Zonder federatie registreert een gebruiker zich bij elke bron die hij wil bekijken. Meestal gebruikt hij dan voor elke bron een nieuwe gebruikersnaam- en wachtwoordcombinatie (ofwel 'logingegevens'). Daardoor stuiten zowel de gebruikers als beheerders op verschillende problemen:

  • Te veel logingegevens: voor elke bron krijgen gebruikers een gebruikersnaam en wachtwoord.
  • Complexe gebruikersregistratie: elke bronbeheerder moet de gebruikers zelf registreren.

Een federatie maakt deze processen voor iedereen gemakkelijker:

  • Vereenvoudigde registratie: een gebruiker moet zich slechts één keer binnen zijn organisatie registreren. Deze 'thuisorganisatie' is verantwoordelijk voor de informatie over de gebruiker en bezorgt de gebruiker zijn logingegevens.
  • Vereenvoudigde administratie: omdat de gebruiker slechts één set logingegevens heeft, is het gemakkelijker om de administratie binnen de organisatie te stroomlijnen.
  • Verificatie: de organisatie van de gebruiker voert de verificatie uit. Als de bron dit vraagt en de gebruiker hiermee instemt, kan de organisatie aanvullende informatie over de gebruiker aan de bron bezorgen.
  • Toegangscontrole: een beslissing die wordt genomen door de bron op basis van de opgehaalde informatie over de gebruiker.

Een federatie is gebaseerd op het concept dat bronnen de gebruikersverificatie laten uitvoeren door de organisatie van de gebruiker. Van deze organisatie krijgen ze informatie over de gebruiker waarmee ze hun eigen beslissingen over de verificatie nemen.

Wat is de Belnet R&E Federation?

De Belnet R&E Federation verenigt instellingen voor onderzoek en hoger onderwijs die verbonden zijn met het netwerk van Belnet op een gezamenlijke infrastructuur. Daar krijgen studenten en medewerkers toegang tot online services.

De Belnet R&E Federation biedt op een eenvoudige en veilige manier toegang tot een reeks services en informatiebronnen. De gebruiker heeft alleen de logingegevens van zijn thuisorganisatie nodig om toegang te krijgen tot interne (bijv. website en webmail) en externe bronnen (bijv. wetenschappelijke publicaties, Belnet-diensten zoals FileSender en Antispam, ...).

Wat is het technische framework?

Vroeger waren de gebruikersnaam en het wachtwoord (logingegevens) van een student alleen geldig op de campus van zijn universiteit of hogeschool. Dankzij de identiteitsfederatie kunnen studenten hun logingegevens ook buiten de grenzen van de universiteit gebruiken. Deze technologie maakt het mogelijk om met lokale logingegevens bij externe toepassingen in te loggen. Bovendien houdt de technologie alles veilig en zorgt deze ervoor dat het hele proces voldoet aan de privacyvereisten.

De belangrijkste concepten hierbij zijn de 'service provider' (SP) en de 'identity provider' (IdP). Met deze categorieën houden we functies gescheiden die niet binnen één organisatie nodig zijn. Met de middleware Shibboleth plakken we alles aan elkaar. Het SAML2-protocol en de metadata, ontdekkingsdienst en kenmerken zijn de andere essentiële onderdelen van dit technische framework.

Federation illustration


In de volgende vragen en antwoorden vindt u meer informatie over elk van deze onderdelen.

Welke systemen worden er gebruikt voor de installatie van IdP- of SP-software?

Er zijn twee systemen getest in de academische federaties: Shibboleth en SimpleSAMLphp. Shibboleth gebruikt Java en Tomcat, SimpleSAMLphp gebruikt PHP.

Belnet heeft gekozen voor Shibboleth. U kunt wel SimpleSAMLphp gebruiken, maar wij bieden alleen ondersteuning voor Shibboleth.

Hoe installeer ik een IdP (identity provider)?

Op deze pagina's vindt u alle informatie die u nodig hebt om uw IdP in te stellen:

IdP met Shibboleth 3.1.2 op Ubuntu Linux (vanaf versie 14.04 LTS)
• IdP met Shibboleth 2.4.4 op Ubuntu Linux (vanaf versie 10.04 LTS)
Windows met ADFS: ADFS 3.0 IdP voor windows2k12 in de Belnet-federatie
https://shib.kuleuven.be/docs/idp/2.x/install-idp-2.1-windows.html
• Windows : lees ook dit handige document van KULeuven

Hoe installeer ik een SP (service provider)?

Op de volgende pagina's vindt u alle informatie die u nodig hebt om uw SP in te stellen:

Ubuntu Linux (zie het pdf-document over de installatie van SP's met Shibboleth - Linux (Ubuntu))
• Windows (binnenkort beschikbaar)

Meer informatie nodig over Shibboleth?

Het Amerikaanse onderzoeksnetwerk Internet2 is een pionier op het vlak van identiteitsfederatie. Daarvoor heeft het netwerk een eigen systeem ontwikkeld: Shibboleth. Het systeem bestaat uit een set softwarecomponenten, waaronder de Shibboleth Identity Provider, Shibboleth Service Provider en andere centrale componenten die het geheel doen werken. De componenten van Shibboleth zijn vrijgegeven met een open-sourcelicentie.

De ontwikkeling van Shibboleth heeft heel wat nuttige informatie opgeleverd voor de standaardisering op dit vlak: de Oasis-standaard SAML2.

Meer informatie nodig over SAML2?

SAML (Security Assertion Markup Language) is gebaseerd op XML. Deze standaard definieert de structuur van SAML-berichten die tussen IdP's en SP's worden uitgewisseld. Daarnaast bepaalt SAML2 hoe deze berichten via het internet kunnen worden verzonden. SAML gebruikt XML-handtekeningen en versleuteling om de veiligheid van de uitgewisselde berichten te garanderen.

Meer informatie nodig over de metadata en de Discovery Service?

De SAML2-metadata zitten in een XML-document dat de technische informatie van alle IdP's en SP's in de federatie bevat. Elke IdP en SP heeft deze metadata nodig om goed te functioneren. Zonder de metadata weet een SP niet hoe hij berichten naar een bepaalde IdP moet versleutelen. Hij weet ook niet welke server verantwoordelijk is voor welke IdP, noch welke IdP's er in de federatie beschikbaar zijn. De metadata worden onderhouden door de federatie-operator, Belnet.

Daarnaast biedt Belnet een andere service om de werking van de IdP's en SP's te vergemakkelijken: de ontdekkingsdienst. Wanneer een gebruiker een beschermde bron wil bekijken, weet de SP niet bij welke IdP de gebruiker hoort. De gebruiker moet dan zijn eigen organisatie in de lijst met beschikbare IdP's selecteren. Deze selectie wordt uitgevoerd door de Discovery Service, ook wel 'WAYF?' (Where Are You From?) genoemd. De Discovery Service kan opzichzelfstaand en standaard zijn of geïntegreerd worden met om het even welke SP. Belnet gebruikt de opzichzelfstaande Discovery Service.

Meer informatie nodig over de kenmerken?

Elke IdP geeft bepaalde informatie over de gebruiker in de vorm van kenmerken. Enkele voorbeelden van kenmerken zijn iemands naam, verjaardag en band met de organisatie. Als een service provider alleen moet weten of iemand aan een bepaalde universiteit studeert, is dit het enige kenmerk dat de IdP van de universiteit vrijgeeft.

Extensies: wat is de MDUI?

Dit acroniem staat voor 'Metadata Extensions for User Interface' (Login & Discovery). Deze extensie wordt gebruikt door IdP's en SP's en maakt het mogelijk de metadata uit te breiden met verschillende gegevens, zodat de interface tussen de IdP en SP wordt verbeterd. Dit maakt deel uit van de ontdekkingsdienst (of WAYF). Voor de IdP van ons personeel slaat Belnet logo's, geografische coördinaten en IP-hints op. Hieronder ziet u een voorbeeld van hoe dit werkt:

<Extensions>
   <mdui:UIInfo>
       <mdui:DisplayName xml:lang="en"> Belnet </mdui:DisplayName>
       <mdui:Description xml:lang="en"> Belnet operates the Research and Education network for Belgium. </mdui:Description>
       <mdui:Logo height="16" width="16"> https://your.site.url/images/smalllogo.png </mdui:Logo>
       <mdui:Logo height="64" width="152"> https://your.site.url/images/biglogo.png </mdui:Logo>
   </mdui:UIInfo>
   <mdui:DiscoHints>
        <mdui:DomainHint>belnet.be</mdui:DomainHint>
        <mdui:IPHint>193.190.0.0/15</mdui:IPHint>
        <mdui:IPHint>2001:6a8::/32</mdui:IPHint>
       <mdui:GeolocationHint>geo:50.825312,4.365471</mdui:GeolocationHint>
   </mdui:DiscoHints>
</Extensions>

Zoals u ziet kunnen er meerdere logo's worden gebruikt, wat nuttig is voor de interface die de entiteiten weergeeft. Over het algemeen lijkt de consensus te zijn dat logo's bij voorkeur in de breedte worden uitgebreid (maar niet te hoog mogen zijn).

Het DiscoHint-gedeelte wordt gebruikt om het Discoverysysteem DiscoJuice te helpen met het lokaliseren van de dichtstbijzijnde IdP waarop u kunt worden gelogd.

Meer technische informatie en nuttige links nodig?

Over de Belnet R&E Federation:

Metadata Management service (Belnet R&E Federation-interface)
Belnet-federatiecertificaat (PEM-indeling) -geldig vanaf sinds 03-07-2018!
XML-bestand met metadata - officiële Belnet-federatie
XML-bestand met metadata - officiële Belnet-federatie met eduGAIN

Over Shibboleth:

Shibboleth homepage
Shibboleth IdP- en SP -software
IdP met Shibboleth 3.1.2 op Ubuntu (vanaf versie 14.04 LTS)
Shibboleth-installatie voor SP's - Linux (Ubuntu)

 

 

Connecteer u aan de Belnet R&E Federation metadata manager interface

Copyright © 2021 Belnet.