Bestille tilgang til Weblogin2

Til forskjell fra andre autentiseringssystemer så må en tjeneste eksplisitt gis tilgang til Weblogin2.

Hvem kan bestille tilgang?

Alle som drifter en tjeneste på nett som ønsker autentisering av brukere fra UiO kan i prinsippet bestille tilgang til Weblogin2. Det settes en forventning til at tjenesten har relevanse for universitetet eller personer tilknyttet universitetet. Usikker på om tjenesten din bør bruke Weblogin2? Se Styringsregler for autentisering.

Bestilling

Teknisk ansvarlig, eller systemansvarlig, for tjenesten kan sende inn bestilling via .

Vi trenger svar på en del spørsmål for å gi tjenester tilgang til Weblogin2. I bestillingen må du svare på:

Hvilke brukere skal kunne logge inn i tjenesten?
Hvem er kontaktpunkt for tjenesten?
Hvilken informasjon forventer tjenesten å få fra Weblogin2?
Skal kommunikasjon mellom tjenesten og Weblogin2 krypteres?
Hvilken autentiseringsprotokoll støtter tjenesten?
(Kun for SAML 2.0: Service Provider metadata fra din tjeneste.)

Brukergrupper

Weblogin2 opererer i hovedsak med tre brukergrupper:

Personer ved UiO er mennesker som har en nær tilknytning til UiO. Typiske eksempler er ansatte og studenter ved universitetet. Eksempler på personer som ikke er med i denne gruppen er innleide konsulenter og gjesteforskere. Typisk for denne gruppen er at det finnes detaljerte personopplysninger som fødselsnummer, tilhørighet, telefonnumre og lignende. Brukermassen i denne gruppen kommer fra .
Personer med annen Feide-tilhørighet er mennesker som har nær tilknytning til en annen Feide-institusjon enn UiO. Typiske eksempler er ansatte eller studenter ved et annet universitet.
WebID er en tjeneste som gjør det mulig å gi løst tilknyttede personer tilgang til it-tjenester ved UiO. Du kan lese mer om dette på nettstedet for WebID. Merk at kun WebID-brukere som er aktive vil kunne logge inn med Weblogin2. En aktiv WebID-bruker er medlem av minst en WebID-gruppe.

Man kan velge å bruke flere brukergrupper i sin tjeneste. Sluttbrukeren vil da få opp flere knapper i Weblogin2 for de forskjellige brukergruppene, og vil selv kunne velge hvilken av disse som brukes.

Kontaktpunkt

Det må registreres et kontaktpunkt for alle tjenester som skal ha tilgang til Weblogin2. Dette kontaktpunktet vil benyttes for å informere om endringer i Weblogin2 som kan påvirke din tjeneste.

Kontaktpunktet skal være en e-postliste, ikke e-postadresse til en enkeltperson. Folk flytter på seg, men ansvaret flytter sjelden sammen med dem.

Informasjon

Weblogin2 kan gi informasjon om autentiserte brukere til din tjeneste. Hvilken informasjon som er tilgjengelig, vil være avhengig av hvilken brukergruppe brukeren tilhører.

Personer ved UiO: Attributter fra vil være tilgjengelig.
Annen Feide-tilhørighet: Hvilke attributter som er tilgjengelige avhenger av autentiseringsprotokollen.
WebID: For WebID vil kun navn, brukernavn og e-post være tilgjengelig.

En tjeneste bør ikke få tilsendt flere attributter enn den trenger. Ved bestilling må man derfor eksplisitt føre opp hvilke attributt man ønsker overført fra Weblogin2. Det er uproblematisk å endre dette i ettertid dersom tjenesten får behov for mer informasjon.

Merk at forespørsler om sensitive opplysninger kan medføre at kravet må dokumenteres. Om tjenesten ber om sensitiv informasjon, må også kommunikasjonen mellom tjenesten og sluttbruker krypteres (kun være tilgjengelig over HTTPS). Sensitiv informasjon vil typisk være fødselsnummer. Man kan ikke få informasjon om brukerens passord.

Kryptering

All kommunikasjon mellom bruker og Weblogin2 vil alltid skje over HTTPS, for å beskytte brukerens passord.

I tillegg vil alle meldinger fra Weblogin2 til din tjeneste være digitalt signert. Dette forhindrer at meldinger til din tjeneste kan forfalskes, og gjør at din Service Provider kan stole på informasjonen fra Weblogin2.

Informasjonen som utleveres av Weblogin2 til din Service Provider kan i tillegg krypteres, for å hindre innsyn. Dersom du ønsker slik kryptering, må du opplyse om dette i bestillingen, og inkludere en offentlig nøkkel i metadata for din SP.

Dersom meldingene ikke krypteres vil brukerens nettleser ha innsyn i disse dataene. Så lenge kommunikasjon mellom brukeren og din tjeneste er begrenset til HTTPS, er det strengt tatt ingen behov for slik kryptering.

Dersom tjenesten din benytter OpenID Connect (OIDC) er det ikke behov for slik kryptering, ettersom OIDC er basert på OAuth 2.0 rammeverket hvor kryptering er innebygd.

Protokoll

Weblogin2 støtter autentiseringsprotokollene OpenID Connect (OIDC) og SAML 2.0. OIDC er foretrukket av Weblogin2.

Metadata - gjelder dersom du velger protokollen SAML 2.0

Dersom tjenesten din benytter SAML 2.0, må du inkludere metadata for din Service Provider i bestillingen din. Metadata inkluderer en unik identifikator for din SP, samt ressursene som Weblogin sender meldinger til. En SP vil typisk ha to slike ressurser, en for kontroll av innlogging, og en for utlogging.

For å bygge konfigurasjonen som Weblogin2 trenger for å la en tjeneste videresende brukere så trenger vi noen parametre. Under er eksempler på disse parametrene:

<EntityDescriptor entityID="https://foo.uio.no/simplesaml/saml2/sp/metadata.php"/>
<SingleLogoutService Location="https://foo.uio.no/simplesaml/saml2/sp/SingleLogoutService.php"/>
<AssertionConsumerService Location="https://foo.uio.no/simplesaml/saml2/sp/AssertionConsumerService.php"/>

Eksempel på metadata kan du også finne på og . Merk at dette er metadata for en IdP og ikke en SP. Husk at du også må legge inn metadata for Weblogin2 i din SP.

Kontaktpunkt for Weblogin

Kontaktpunktet for alle typer henvendelser er weblogin-kontakt@usit.uio.no.

Publisert 20. sep. 2024 12:09 - Sist endret 3. des. 2024 15:06

̽����ѡ