Feide ved NTNU

Hvordan og hvorfor NTNU bruker Feide

Samling for erfarne administratorer, 16.10.2014

Kent Overholdt, systemadministrator, NTNU IT

2

Single sign-on (SSO)

• «Lang» tradisjon for SSO ved NTNU

• Det forrige intranettet til NTNU (Innsida 1) tilbydde

allerede fra 1999 en tjeneste som vi kaller InnsidaSSO

• InnsidaSSO tilbyr SSO med det gjeldende intranettet

• InnsidaSSO er en svært enkel SSO-løsning som

omdirigerer fra Innsida til målapplikasjonen med blant

annet brukernavn og en digital signatur som GET-

variabler i URL

• En rekke applikasjoner har tatt i bruk InnsidaSSO opp

gjennom årene

3

InnsidaSSO-brukere

• its learning – LMS’et som NTNU benytter

• IME – fagsider og interne administrative systemer

• Studentorganisasjoner – typisk for å beskytte interne

sider og påmelding til bedriftspresentasjoner

• Studieavdelingen – system for timeregistrering

• Økonomiavdelingen – beskyttelse av nettsider

• NTNU IT – noen applikasjoner som enda ikke er endret

til å benytte Feideogging + noen små applikasjoner som

ikke vil bli endret

4

Feide under Innsida 1

• Feide «konkurrerte» først og fremst med InnsidaSSO,

men også AD, LDAP etc. som autentiseringsløsning

• NTNU anbefalte Feide til applikasjoner der brukere fra

flere institusjoner trengte å logge seg inn

• Viktige applikasjoner som var tidlig ute med å bruke

Feide og som fortsatt bruker Feide:

– Studentweb (studentenes grensesnitt til FS)

– Pagaweb (de ansattes grensesnitt til lønnssystemet PAGA)

– EpN (administrasjon av emner i FS)

5

Program for Basis IT-tjenester

• Startet opp i 2010

• To nøkkelprosjekter med tanke på bruk av Feide

• IAM-prosjektet

• Innsida II-prosjektet

6

IAM-prosjektet

• 20% teknologi og 80% prosess

• Den tekniske delen av prosjektet var å ta i bruk deler av

Oracle IAM-suiten

• OIF (Oracle Identity Federation)

• OAM (Oracle Access Manager)

• Webgate

7

IAM-prosjektet alternativer

1. Bruke Feide og implementere en Feide-wrapper

(wrapper: som gir dagens applikasjoner som benytter

InnsidaSSO, mulighet til å benytte FEIDE for

autentisering)

2. Sette opp OIF som Identity Provider og som en service

provider i FEIDE

3. Bruke løsningen som prosjektet har satt opp dvs. OAM,

OIF og web gates

8

IAM-prosjektet alternativ 1

Fordeler Ulemper

• Oppnår WSSO på alle webapplikasjoner som i dag bruker FEIDE eller InnsidaSSO

• Driftes av Uninett• Vi kjenner kvaliteten• Benytter åpen standard (SAML 2.0)• Dagens applikasjoner fra InnsidaSSO

til FEIDE – en overkommelig jobb (i linja)

• Felles applikasjoner med andre universitet

• Får ferdige bibliotek og dokumentasjon• NTNU har god intern kompetanse• Dekker dagens krav til funksjonalitet

• NTNU blir i større grad avhengig av FEIDE-org. for tekniske endringer

• Noe potensiell fremtidig funksjonalitet må implementeres internt ved NTNU på grunn Feide (for eksempel WNA)

• OAM er foreslått som løsning for tilgangskontroll av administrasjon i OIM design. Hvis man ikke benytter OAM må dette re-designes

• Må utvikle wrapper

9

IAM-prosjektet alternativ 2

Fordeler Ulemper

• Mulighet for implementering av ny funksjonalitet som WNA, 2-faktor, etc,.

• Benytter åpen standard (SAML 2.0)• Mulighet til å opparbeide kompetanse

på anskaffet produktportefølje før behov oppstår

• Bedre kontroll på tekniske endringer, ikke avhengig av andre.

• Kan implementere WSSO direkte for interne applikasjoner på web logicplattform

• Krever høyere intern ressursbruk• Mangler kompetanse internt• Oppnår ikke WSSO med FEIDE-

applikasjoner • Må lage samme wrapper som i alt.1

10

IAM-prosjektet alternativ 3

Fordeler Ulemper

• Mulighet for implementering av ny funksjonalitet som WNA, 2-faktor, etc.

• Mulighet til å opparbeide kompetanse på anskaffet produktportefølje før behov oppstår

• Bedre kontroll på tekniske endringer, ikke avhengig av andre.

• Kan implementere WSSO direkte for interne applikasjoner på web logicplattform

• Driftsorganisasjonen mangler tillit til løsningen

• Web gate er spesielt driftsmessig utfordrende

• Web gate istedenfor åpen standard• Krever høyere intern ressursbruk• Mangler kompetanse• Ikke WSSO med FEIDE-applikasjoner

11

IAM-prosjektet anbefaling

• Outsourcing av IdP til FEIDE

• Flytting av webapplikasjoner fra InnsidaSSO til FEIDE

(linjeoppgave / men bør koordineres av prosjektet)

• Alle eksterne leverandør må benytte FEIDE

12

Innsida II

• Rullet ut våren 2012 med innlogging via Feide

• Innsida 1 og InnsidaSSO mot Innsida 1 eksisterte i en

overgansperiode samtidig

• InnsidaSSO ble rimelig raskt skrevet om til å bruke Feide

som autentiseringsbackend istedenfor Innsida 1

13

14

Arbeid i forbindelse med Feide

• Registrering av nye applikasjoner

• Støtte til de som skriver anbudsdokumenter

• Støtte til leverandører som skal implementere

Feidepålogging

• Feilsøking

15

Spørsmål?