Vertrouwen in de SURFfederatie: schaalt dat?

Transcriptie

1 Vertrouwen in de SURFfederatie: schaalt dat? Project : SURFworks Projectjaar : 2009 Projectmanager : Remco Poortinga-van Wijnen Auteur(s) : Bob Hulsebosch, Maarten Wegdam, Robert de Groote Opleverdatum : Augustus 2009 Versie : 1.0 Samenvatting De SURFfederatie is een belangrijke dienst voor het delen van identiteitsinformatie tussen universiteiten en service providers. De voordelen zijn navenant en steeds meer partijen willen zich aansluiten bij de federatie. Dat vertrouwen een belangrijke rol speelt in elke federatie is evident. Echter, de complexiteit van het creëren en borgen van vertrouwen tussen alle partijen in de SURFfederatie kan een obstakel voor een (inter)nationale groei van deze dienst zijn. Dit rapport onderzoekt op welke manieren vertrouwen gecreëerd en gemanaged kan worden en hoe vertrouwen schaalbaar gemaakt kan worden om de verdere groei van de SURFfederatie te stimuleren. Voor deze publicatie geldt de Creative Commons Licentie Attribution- Noncommercial- Share Alike 3.0 Netherlands. Meer informatie over deze licentie is te vinden op nc- sa/3.0/nl/

2 Colofon Programmalijn: Onderdeel: Activiteit: Deliverable: Toegangsrechten: Externe partij: SURFworks SURFfederatie PoCs Vertrouwen op grote(re) schaal Rapport Onderzoek naar methoden voor vertrouwen op grote(re) schaal Publiek Novay, Dit project is tot stand gekomen met steun van SURF, de organisatie die ICT vernieuwingen in het hoger onderwijs en onderzoek initieert, regisseert en stimuleert door onder meer het financieren van projecten. Meer informatie over SURF is te vinden op de website (

3 6 dingen die je moet weten over Vertrouwen in de SURFfederatie: Schaalt dat? Context De huidige SURFfederatie is overzichtelijk en bestaat uit een beperkt aantal aansluitingen (van IdPs en SPs) in een homogene samenstelling, wat ervoor zorgt dat het vertrouwen dat de deelnemers er in hebben relatief gemakkelijk is te bewerkstelligen. Wanneer de SURFfederatie (veel) groter gaat worden dan nu het geval is, wat zijn dan de gevolgen voor vertrouwen en wat zijn de mogelijkheden om er voor te zorgen dat het vertrouwen behouden blijft? Wat is het? Een beschrijving van wat vertrouwen nu eigenlijk is, hoe het gemanaged kan worden en wat de verschillende vertrouwensmodellen zijn binnen (andere) federaties. Wat zijn organisatorische en technische oplossingsrichtingen die kunnen helpen bij het behouden van vertrouwen in/binnen de SURFfederatie wanneer deze in de toekomst wordt opgeschaald. Voor wie is het? Voor betrokkenen bij identiteits federaties (zoals de SURFfederatie) die meer willen weten over de vertrouwensaspecten die een rol spelen bij federaties, waarom dit zo belangrijk is en hoe dit ook in de toekomst behouden kan blijven. Hoe werkt het? Er is niet één universeel geldige oplossing voor het behouden van vertrouwen bij het groeien van een federatie; voor de specifieke situatie van de SURFfederatie worden aanbevelingen gedaan voor de mogelijke oplossingsrichtingen (zowel technisch als organisatorisch). Wat kan je ermee? Extra (Bijlagen, Thema, Gerelateerde thema s) Inzicht krijgen in vertrouwen en hoe dit beinvloed wordt door de verschillende organisatorische en technische kenmerken van federaties in het algemeen en de SURFnet federatie in het bijzonder. Geen. Schaalt dat? III

4 Management samenvatting Het creëren van vertrouwen tussen partijen in een federatie is geen sinecure. Vele verschillende elementen dragen bij tot het ontstaan van vertrouwen: beveiliging, betrouwbaarheid, beschikbaarheid, begrijpelijkheid, privacy, wetgeving, etc. Vaak is het opbouwen van vertrouwen een langdurig proces dat bij een enkel incident weer teniet gedaan kan worden. Het is duidelijk dat in een federatie waarin steeds meer partijen participeren, en vooral Service Providers (SPs), er de nodige druk komt te liggen op het creëren en in stand houden van alle vertrouwensrelaties tussen SPs en Identity Providers (IdPs). De centrale vraag van dit onderzoek is: hoe kan binnen de SURFfederatie vertrouwen tussen SPs en IdPs schaalbaar gemaakt worden? Oplossingsrichtingen hiervoor hebben een organisatorisch en technisch karakter. Hierbij dient opgemerkt te worden dat beide typen oplossingsrichtingen niet alleen sterk afhangen van de gekozen (con)federatie strategie, maar ook afhankelijk van elkaar zijn. Een organisatorische oplossingsrichting heeft vaak een technische component. Strategisch heeft de SURFfederatie al een slimme zet gedaan door te kiezen voor een hub & spoke model. De centrale hub in de SURFfederatie schaalt vanuit vertrouwensperspectief stukken beter dan bijvoorbeeld een bilateraal model. Het vertrouwen tussen SPs en IdPs wordt immers vergemakkelijkt als ze vertrouwen hebben in de hub (SURFnet) en de manier waarop deze zorg draagt voor de kwaliteit van het identity management van de verschillende IdPs en de zorgvuldige omgang met deze gegevens door de SPs. Dit komt de schaalbaarheid ten goede. De hub biedt daarnaast een uitstekende mogelijkheid om het organisatorisch vertrouwen verder uit te bouwen. Centraal hierin staat informatievoorziening over de federatie en het gebruik hiervan aan de aangesloten IdPs en SPs. Vertrouwen is immers voor een belangrijk deel gebaseerd op informatie. Diensten die voorzien in informatie over bijvoorbeeld transactiegegevens en privacy policies zijn wenselijk en kunnen via de hub aangeboden worden aan de IdPs en SPs in de federatie. Ook kan aan IdPs en SPs de mogelijkheid geboden worden om controle te krijgen over met wie ze zaken doen in de federatie en welke informatie ze verstrekken (zelfmanagement) zonder dat dit investeringen in software vereist van deze partijen. Door deze transparantie en controle ontstaat vertrouwen en zullen nieuwe partijen sneller geneigd zijn om toe te treden. Een bijkomend voordeel van een toenemend zelfmanagement is dat de verantwoordelijkheid voor de controle meer bij de aangesloten partijen ligt dan bij SURFnet, waardoor SURFnet minder aansprakelijk wordt. IV Vertrouwen in de SURFfederatie

5 Hoewel de focus van dit onderzoek ligt bij het creëren van vertrouwen tussen IdPs en SPs in een federatie of confederatie is de rol van de eindgebruikers ook belangrijk. Als deze geen vertrouwen hebben in de federatie, hoe goed die ook mag schalen voor IdPs en SPs, dan zal er van verdere opschaling weinig komen. Naast het gemak dat ze ervoor terug krijgen is het voor gebruikers belangrijk dat ze begrijpen wat er gebeurt en dat hun privacy gegarandeerd is. Dit kan gedaan worden door de gebruiker user controlled privacy features aan te bieden zoals dit typisch gebeurt bij user-centric identiteitsmanagementoplossingen zoals InfoCards en OpenID 1. De verantwoordelijkheid verschuift dan naar de eindgebruiker, waardoor er tussen de IdPs en de SPs minder vertrouwen geregeld hoeft te worden; wat de schaalbaarheid weer ten goede komt. Een andere organisatorische insteek voor het opschalen van vertrouwen is om niet één hele grote federatie na te streven maar te confederen met andere federaties. Bij het confedereren is het belangrijk dat partijen uit verschillende federaties te weten komen dat ze in dezelfde confederatie zitten en dus elkaar kunnen vertrouwen. In een confederatie spelen transparantie en informatie dus ook een belangrijke rol. Cruciaal hierbij is de confederatie metadata. In deze metadata staan de gegevens van alle aangesloten federaties. Twee aspecten zijn relevant betreffende de metadata: de vindbaarheid en de betrouwbaarheid. De vindbaarheid van de metadata in confederatieverband is gerelateerd aan het centraal of decentraal aanbieden ervan. Een centrale oplossing lijkt de meest eenvoudige maar vaak ontbreekt een partij die dit wil doen. Verder is een centrale metadatafile een aantrekkelijk doelwit voor aanvallen en een potentiële performance bottleneck. Een decentrale oplossing gaat er vanuit de elke partij zijn eigen metadata managed. Dit is minder eenvoudig, vooral vanuit vertrouwensperspectief. Het borgen van de betrouwbaarheid van de metadata is een technisch vraagstuk. Technische oplossingsrichtingen voor het borgen van vertrouwen bestaan uit het beveiligen van de communicatiekanalen tussen de IdPs en SPs en de metadata. Het simpel uitrollen van een PKI is hier geen oplossing; de praktijk heeft immers uitgewezen dat een PKI slecht schaalt (vooral over domeinen heen) en erg kostbaar kan zijn. Het gebruik van self-signed certificaten is hierdoor erg aanlokkelijk maar deze genieten weer een erg lage vertrouwenswaarde. Een benadering die hier gekozen kan worden is deze certificaten onderdeel te maken van de (con)federatiemetadata en deze te laten ondertekenen door de (con)federatie operator. Partijen in de federatie hoeven dan ook niet meer een lijst met certificaten van partners in de federatie bij te houden, de zogenaamde trust anchor list. Een trust anchor list bijhouden is lastig wanneer er steeds nieuwe partijen bijkomen in de federatie en wanneer een certificaat vernieuwd of ingetrokken moet worden. Het opnemen van certificaten in de metadatafile werkt goed als er sprake is van een centrale metadatafile, maar in het geval van gedistribueerde metadata schaalt dit minder goed omdat de (con)federatie operator dan alle metadata files moet ondertekenen. In dat geval kan gedacht worden aan het taggen van metadata door een betrouwbare derde partij, bijvoorbeeld de (con)federatie operator. Door hem ondertekende tags kunnen dan in de metadata opgenomen worden. Een alternatieve manier voor het aanbieden van metadata op een betrouwbare manier zou via DNS en DNSSEC kunnen zijn. Deze aanpak wordt verder in detail uitgewerkt in een volgend document van dit project. 1 Dit is het onderwerp van het gerelateerde SURFfederatie PoCs, User Controlled Privacy project. Schaalt dat? V

6 Samenvattend, stellen we de volgende technische en organisatorische oplossingsrichtingen voor die ervoor zorgen dat vertrouwen in de SURFfederatie op een schaalbare manier geborgd kan worden: Zelfmanagement door IdPs en SPs. Bied via de hub identiteitsdiensten aan waarmee IdPs en SPs zelfmanagement kunnen doen. Afstemmen van privacy policies. Hierdoor wordt duidelijkheid gecreëerd betreffende het uitwisselen van identiteitsinformatie tussen partijen in een federatie of over federaties heen. De contractuele kant verder professionaliseren. Contractuele relaties zijn een grote drempel in het schaalbaar maken van de federatie. Vele factoren waarover overeenstemming bereikt moet worden spelen hierbij een rol en dienen professioneel aangepakt te worden om groei te accomoderen. Heldere aansluitvoorwaarden. Geef helderheid voor wat betreft de aansluitvoorwaarden tot de SURFfederatie. Waaraan moet een IdP of SP voldoen voordat hij toe mag treden tot de federatie. Heldere afspraken geven duidelijkheid en daarmee vertrouwen. User-centric identity. Geef de eindgebruiker meer verantwoordelijkheden: introduceer user-centric identiteitsmanagement. De noodzaak tot federeren neemt hiermee af en dus ook het regelen van het vertrouwen. Efficiënt metadata management. De hub gaat metadata aggregeren en dynamisch communiceren naar de SPs. Door incorporeren van certificaten en tags in de metadata kunnen alle partijen veilig met elkaar communiceren. Trusted directory services zoals DNSSEC kunnen gebruikt worden voor het veilig distribueren van de metadata. Meer aandacht voor confederatie. Het federeren van federaties tot een confederatie is een aantrekkelijke manier om op te schalen. Het centrale hub model van de SURFfederatie biedt mogelijkheden voor een efficiënte opschaling van de federatie en zelfs tot confederatie. In de automotive sector toont Covisint aan dat op deze manier een grote succesvolle federatie kan ontstaan. Toch zien we dat op dit moment in het hoger onderwijs de meeste federatieve koppelingen op bilaterale wijze tot stand komen, waarbij er minder mogelijkheden zijn tot het ondersteunen van schaalbaar vertrouwen. De achterliggende vraag is tot hoe ver een identiteitsfederatie in het hoger onderwijs moet schalen: verwachten we dat enkele tientallen of enkele duizenden SPs een federatieve koppeling met een IdP gaan hebben? Momenteel zijn het vooral kleinschalige federaties waarbij het nog redelijk overzichtelijk is om vertrouwen te managen. Bij veel grootschaligere implementaties belanden we vermoedelijk in een andere wereld waar usercentric identity een grotere rol zal hebben, zodat er minder vertrouwen nodig is tussen SP en IdP. Onafhankelijk van organisatorische en technische maatregelen om de schaalbaarheid te verhogen, zal de uitspraak van Lao Tse blijven gelden: Wie geen vertrouwen stelt in anderen zal ook nimmer het vertrouwen van anderen winnen. VI Vertrouwen in de SURFfederatie

7 Inhoudsopgave 1 Inleiding Glazen plafond Doelstelling en aanpak 1 2 Vertrouwen Wat is vertrouwen? Het managen van vertrouwen Vertrouwensmodellen voor identiteitsfederaties Vertrouwen in bestaande identiteitsfederaties SURFfederatie FEIDE Kalmar confederatie InCommon/Shibboleth Covisint STORK GRID edugain Conclusies 18 3 Organisatorische oplossingsrichtingen Informatie Evaluatie Transparantie en controle User-centric identiteitsmanagement Relatiemanagement Evaluatie Confederaties Evaluatie Reputatiemanagement Evaluatie Identiteitszekerheid Levels of Assurance Liberty Alliance Identity Assurance 28 Schaalt dat? VII

8 NIST LoA in identiteitsfederaties MyID.is Certified Evaluatie Outsourcing Evaluatie Governance Liberty Alliance IGF Evaluatie Samenvatting 33 4 Technische oplossingsrichtingen Metadata uitwisseling Centraal/decentraal Out of band/in band Dynamic SAML / Auto-Connect Metadata tagging Licenties op metadata Automatische metadata down- en upload in MDS Evaluatie Trusted directory services Evaluatie PKI EV Certificaten Evaluatie Samenvatting 45 5 Conclusies 46 6 Aanbevelingen voor de SURFfederatie Aanbevelingen 48 VIII Vertrouwen in de SURFfederatie

9 1 Inleiding De SURFfederatie stelt studenten en werknemers in het hoger onderwijs in staat om op een betrekkelijk eenvoudige en gebruikersvriendelijke manier toegang te krijgen tot online diensten. Door gebruik te maken van een federatieve identiteitsmanagementinfrastructuur hoeft een gebruiker zich slechts één keer te authenticeren om vervolgens toegang te krijgen tot meerdere diensten. De identiteitsmanagementinfrastructuur zorgt ervoor dat identiteitsgegevens op de juiste manier tussen de betrokken partijen worden gecommuniceerd. In de SURFfederatie zijn dit typisch de identiteitsproviders (IdPs) van de gebruikers, de service providers (SPs), eventuele attribuut providers (APs) en de centrale hub bij SURFnet. 1.1 Glazen plafond Een federatieve identiteitsmanagementinfrastructuur biedt tal van voordelen voor de betrokken partijen. Eindgebruikers krijgen op een vriendelijke en efficiënte manier toegang tot tal van diensten en data zonder daarvoor steeds opnieuw in te hoeven loggen. Verder worden persoonlijke gegevens met zorg gecommuniceerd zodat privacy tot op zekere hoogte gewaarborgd is. De SPs hoeven zelf geen authenticatievoorzieningen meer te treffen omdat de IdPs de eindgebruikers authenticeren. Succes lijkt gegarandeerd. Echter, een belangrijke voorwaarde voor een federatieve identiteitsmanagementinfrastructuur is dat er een bepaalde vertrouwensrelatie bestaat tussen de betrokken partijen. Het moge duidelijk zijn dat in een federatie waarin steeds meer partijen gaan participeren, en vooral SPs, er de nodige druk komt te liggen op het creëren en in stand houden van alle vertrouwensrelaties. De vraag is dus of en hoe vertrouwen schaalt in een groeiende identiteitsfederatie als de SURFfederatie. Met andere woorden, is er sprake van een glazen plafond 2 voor federatief identiteitsmanagement, en indien zo, wat zijn oplossingsrichtingen om de schaalbaarheid te verbeteren. 1.2 Doelstelling en aanpak Het voorliggende document probeert een antwoord te geven op deze vragen. In hoofstuk 2 gaan we dieper in op het begrip vertrouwen, en behandelen we hoe vertrouwen geregeld is in verschillende bestaande identiteitsfederaties. Hierna wordt in de hoofdstukken 3 en 4 een inventarisatie gemaakt van mogelijke organisatorische en technische oplossingen voor het schaalbaar maken van vertrouwen. Vervolgens zal in hoofdstuk 5 gekeken worden in hoeverre deze oplossingen toepasbaar zijn voor het oplossen van de vertrouwenskwesties in de SURFfederatie. Enkele aanbevelingen voor het opschalen van vertrouwen zullen geponeerd worden. Hoofdstuk 6 sluit af met een concluderende samenvatting van onze bevindingen. 2 Burton Group gebruikt deze term om schaalbaarheidsproblemen voor identity federatie aan te duiden, e.g., Glass Ceiling for Federation Technologies, podcast, (2007). Schaalt dat? 1

10 2 Vertrouwen In dit hoofdstuk gaan we dieper in op het begrip vertrouwen en hoe je het kan managen, leggen we uit welke modellen er zijn om vertrouwen te creëren in de digitale wereld, en kijken we hoe vertrouwen momenteel geregeld is in enkele bestaande identiteitsfederaties. 2.1 Wat is vertrouwen? Het begrip vertrouwen is niet zo eenvoudig te definiëren. Vertrouwen is een abstract begrip dat vele aspecten, zoals persoonlijke, sociale, economische en zelfs filosofische, kent. Vertrouwen heeft een aantal eigenschappen: Het hangt af van de situatie: een chirurg is wel te vertrouwen in het goed uitvoeren van een hartoperatie maar minder in het aanleggen van een verwarmingsinstallatie. Het is directioneel - heeft een richting: de chirurg kan de loodgieter vertrouwen maar dit hoeft omgekeerd niet het geval te zijn. Is meetbaar: iemand 100% vertrouwen of maar een beetje. Het verandert in de tijd: vertrouwen neemt toe of af in de loop der tijd, met name afhankelijk van ervaringen in het verleden. Het opbouwen van vertrouwen kost vaak veel tijd en inspanning terwijl het verliezen ervan zo gebeurd is. Het kan overdraagbaar zijn: Het lenen van de auto van de broer van je vriendin is vaak geen probleem (delegatie van vertrouwen). Naast bovenstaande meer generieke eigenschappen, zijn er verschillende andere factoren die meer specifiek het vertrouwen in een ICT-dienst op een of andere manier beïnvloeden: Beveiliging: een goed beveiligde ICT-dienst geeft de gebruikers ervan vertrouwen. Betrouwbaarheid: een betrouwbare ICT-dienst geeft de gebruikers ervan vertrouwen. Beschikbaarheid: een ICT-dienst die regelmatig niet beschikbaar is geniet weinig vertrouwen bij de gebruikers ervan. Veiligheid: het veilig kunnen gebruiken van een systeem zal gebruikers gerust stellen. Tijdigheid: een ICT-dienst die niet tijdig antwoord of resultaten geeft is onbetrouwbaar. Onderhoudbaarheid: een lastig te onderhouden systeem zal minder vertrouwen genieten dan een eenvoudig te onderhouden systeem. Traceerbaarheid: het kunnen zien wie wat wanneer gedaan heeft in een systeem biedt bepaalde garanties. Inschatbaarheid: het kunnen inschatten van bijvoorbeeld risico s door de gebruiker tijdens het gebruik van een systeem werkt drempelverlagend. Gebruikersvriendelijkheid: als een gebruiker niet begrijpt wat hij aan het doen is daalt zijn vertrouwen in het systeem. Privacy: als de gebruiker anoniem kan blijven zal hij meer vertrouwen hebben in het systeem. 2 Vertrouwen in de SURFfederatie

11 Wetgeving: de aanwezigheid van een juridisch kader voor de gebruiker om op terug te vallen ten tijde van een calamiteit geeft vertrouwen. Deze elementen dragen allen bij tot het creëren van vertrouwen, of, beter gezegd, dragen bij tot het komen van een afweging om wel of niet gebruik te gaan maken van diensten. Ze zullen daarom in ogenschouw genomen dienen te worden bij het inrichten van een identiteitsfederatie. 2.2 Het managen van vertrouwen Zoals we gezien hebben is vertrouwen een proces en processen dienen gemanaged te worden. Vertrouwen zal opgebouwd, onderhouden en geëvalueerd moeten worden ook in een federatie. Dit zal zowel vanuit technisch als organisatorisch perspectief gedaan moeten worden. Vertrouwensmanagement gaat in op de relaties die bestaan tussen de partijen. In een identiteitsfederatie is het opbouwen van een vertrouwensrelatie in eerste instantie een organisatorisch probleem dat in tweede instantie met technische middelen onderbouwd kan worden. De organisatorische kant betreft het maken van afspraken over hoe partijen met elkaar zaken doen. Deze afspraken bevatten elementen over relatiemanagement, aansprakelijkheid en wetgeving en worden typisch vastgelegd in een contract. Het aangaan van een zakelijke overeenkomst wordt naast de bovengenoemde overwegingen als beschikbaarheid en eerdere ervaringen ook vaak gebaseerd op een risicoafweging. In een identiteitsfederatie hangt deze laatste afweging af van de gevoeligheid van de dienst voor identiteitsfraude en van de persoonlijke informatie die nodig is om toegang te krijgen tot de dienst. Specifieke diensten vereisen vaak specifieke informatie over de eindgebruiker. Afspraken over toegangsrechten tot diensten en (persoonlijke) informatie zijn dus onderdeel van een zakelijke overeenkomst en zijn vaak geënt op juridische procedures (zoals de Wet Bescherming Persoonsgegevens). Centraal in de zakelijke overeenkomst staat dus aansprakelijkheid. Tenzij technologie en wetgeving geregeld zijn ten aanzien van identiteiten is er geen bescherming van identiteitsgegevens. En als er geen bescherming is, dan is er geen aansprakelijkheid. En als er geen aansprakelijkheid is, dan kan dit ten koste gaan van het vertrouwen. Deze afhankelijkheid is weergegeven in de onderstaande Figuur 1. Schaalt dat? 3

12 Trust Aansprakelijkheid Bescherming van gegevens Eigenschappen van een identiteit Figuur 1: Piramide van vertrouwen. De technische aspecten van vertrouwen omvatten grotendeels het managen van de beveiliging van de communicatie-infrastructuur en het garanderen van de authenticiteit en integriteit van identiteitsgegevens. Grotendeels is dit geënt op cryptografische oplossingen. Dit betekent dat sleutelmanagement (sleutellengte, sleutelvalidatie, protocollen) goed geregeld moet zijn. Daarnaast zijn er nog andere technische aspecten zoals back-up voorzieningen, fysieke beveiliging en de kwaliteit van de connectie die van toegevoegde waarde zijn voor het creëren van vertrouwen. In een identiteitsfederatie komt er nog een extra dimensie bij die van belang is voor het vertrouwen: dat zijn de attributen die over de gebruiker gecommuniceerd worden en de betrouwbaarheid daarvan. Vaak komen die bij de IdP vandaan maar soms ook van een AP. Drie deelproblemen voor vertrouwensmanagement zullen aangepakt moeten worden: 1. Het uitdrukken en verifiëren van vertrouwen op een flexibele, schaalbare en verantwoorde manier. 2. Monitoren van vertrouwensrelaties in de tijd zodat misbruik ervan gedetecteerd kan worden. 3. Managen en evalueren van vertrouwensrelaties gebaseerd op automatische detectie van misbruik. De laatste twee deelproblemen zorgen ervoor dat vertrouwensrelaties continue in de gaten gehouden worden zodat bij misbruik ervan de verantwoordelijke simpel en snel terecht gewezen kan worden. Partijen die op een of andere manier misbruik maken van hun vertrouwen zullen uit een identiteitsfederatie verwijderd moeten kunnen worden. 4 Vertrouwen in de SURFfederatie

13 Het proces van het verwijderen of vernieuwen van identiteitsgegevens is een belangrijk element in elke federatie. Als dit proces niet goed ingericht is ontaardt een identiteitsfederatie, waar partijen veel vertrouwen hechten aan de authenticiteit en integriteit van identiteitsgegevens, al snel in een bron van fraude voor identiteitsdiefstal en misbruik van bronnen. Een effectief systeem voor het uitrollen, verifiëren en intrekken van identiteitsgegevens voor partijen die deze aanleveren en gebruiken is daarom essentieel voor een betrouwbare federatie. Voor het schaalbaar maken is delegatie een voor de hand liggende aanpak. Dit delegeren dient wel op basis van aansprakelijkheid te gebeuren. In veel van de huidige identiteitsfederaties worden zogenaamde claims gebruikt om vertrouwen te delegeren. Een claim bevat een aantal elementen (attributen) die iets zeggen over de gebruiker. De IdP bijvoorbeeld beweert dat een gebruiker 18 jaar of ouder is en de SP kan deze claim al dan niet accepteren op grond van een vertrouwensrelatie met de IdP. In grote federaties is het werken met claims niet altijd even eenvoudig: 1. Hoe zit het met de betrouwbaarheid van de claims? Is de uitgever ervan betrouwbaar genoeg? 2. Hoe zorg je ervoor dat de communicatie van claims op een veilige manier gebeurt? De integriteit en authenticiteit van de claims dient geborgd te worden. 3. Hoe zorg je ervoor dat op een goede manier met de informatie in de claims wordt omgegaan? Wordt er niet teveel informatie opgevraagd, wordt deze informatie niet te lang bewaard of doorgegeven aan derden? Om aansprakelijkheid te bepalen moeten de partijen die in de federatie actief zijn (eindgebruiker, zijn IdP, de SP) geïdentificeerd kunnen worden met een bepaalde mate van zekerheid. De eindgebruiker heeft hiervoor vaak een gebruikersnaam en wachtwoord, de IdP en de SP gebruiken veelal een digitaal (X.509) certificaat. Hiermee kan zekerheid gecreëerd worden door identiteitsinformatie op een integere en confidentiële te communiceren en doordat partijen gedane transacties niet meer kunnen ontkennen (non-repudiation). Daarnaast zullen de partijen die participeren in een federatie zich moeten conformeren aan de richtlijnen (policies) voor het gebruik van identiteitsinformatie zoals gespecificeerd door de federatie. Ook tussen federaties onderling zullen deze policies afgestemd moeten worden. Het gemak waarmee dit gedaan kan worden bepaald mede de schaalbaarheid van de federatie. 2.3 Vertrouwensmodellen voor identiteitsfederaties Identiteitsfederaties zijn gebouwd op vertrouwen. Vertrouwen in een identiteitsfederatie wordt enerzijds gekenmerkt door de bereidheid van SPs om een transactie met een eindgebruiker aan te gaan op grond van zijn door de IdP overhandigde identiteitsgegevens en anderzijds door de bereidheid van de IdP om privacy gevoelige informatie prijs te geven. Voor zowel de SP als de IdP is deze bereidheid in eerste instantie een beleidskwestie. Technische kwesties zijn secondair maar dragen zeker bij. De authenticiteit en integriteit van de uit te wisselen identiteitsgegevens dienen immers geborgd te worden. Partijen die in de communicatieketen van de identiteitsgegevens zitten moeten elkaar vertrouwen. Schaalt dat? 5

14 OASIS definieert drie hoog niveau vertrouwensmodellen [1]. Hoewel gericht op SAML, zijn deze generiek toepasbaar op identity federaties in het algemeen. Deze drie zijn: 1. Pairwise: waarbij een directe vertrouwensrelatie bestaat tussen de twee betrokken partijen. IdP SP 2. Brokered: waarbij een derde partij garant staat voor een vertrouwensrelatie tussen twee partijen. De derde partij wordt vaak gezien als vertrouwensmakelaar, ook wel trusted third party (TTP) genoemd. De relatie met de TTP kan direct of indirect zijn. IdP TTP SP 3. Community: waarbij gezamenlijke afspraken en gedeelde belangen zorgen voor een vertrouwensrelatie. Er is hier sprake van een vertrouwensdomein of circle of trust. Bijvoorbeeld het lid zijn van een gemeenschap. Community vertrouwen kan geïmplementeerd worden middels een public key infrastructuur (PKI). IdP SP Feitelijk zijn deze vertrouwensmodellen strategieën voor het inrichten van een federatie. Het moge duidelijk zijn dat een pairwise model in een federatieve context veel minder goed schaalt dan een brokered of community model. Het vertrouwensmodel van de SURFfederatie bevat elementen uit alle modellen. Er is een vertrouwen tussen de SURFfederatie hub en de IdPs, en tussen de hub en de SPs, de hub vormt daarbij dus als een soort TTP voor een indirect vertrouwen tussen de IdPs en de SPs, en in het bijzonder tussen de IdPs is sprake van een community vertrouwen omdat ze allen in het hoger onderwijs opereren. Er is ook sprake van pairwise vertrouwen omdat IdP specifiek kunnen aangeven voor welke SPs ze wel of niet hun gebruikers willen identificeren. 2.4 Vertrouwen in bestaande identiteitsfederaties Om een beter overzicht te krijgen van hoe vertrouwen geregeld is in identiteitsfederaties zullen we in de komende secties een aantal bestaande identiteitsfederaties beschrijven en analyseren. We beginnen met de SURFfederatie zelf. 6 Vertrouwen in de SURFfederatie

15 2.4.1 SURFfederatie De SURFfederatie is een unieke identiteitsfederatie in de zin dat het gebruik maakt van een hub [2]. Alle identiteitsgegevens verlopen via de hub alwaar filtering kan plaatsvinden. De hub wordt door de partners (IdPs en SPs) technisch alswel organisatorisch vertrouwd. Hierdoor is het niet noodzakelijk dat er een directe technische en/of organisatorische vertrouwensrelatie tussen de IdPs en de SPs is. In de praktijk zien we dat er wel een directe organisatorische vertrouwensrelatie bestaat tussen de IdP en de SP omdat beide partijen actief zijn in de onderwijssector. Technisch is er vaak geen vertrouwensrelatie tussen de IdP en SP omdat de hub de handtekening van de IdP openbreekt tijdens het filteren van attributen. Als dit niet gedaan wordt kan er alsnog een directe technische relatie ontstaan. Vanuit aansprakelijkheidsperspectief kan dit gewenst zijn. In principe, echter, zorgt het hub model er voor dat het opbouwen van een federatie stukken makkelijker gaat omdat partijen slechts vertrouwen hoeven te hebben in de hub. Onderstaande Figuur 2 geeft de vertrouwensrelaties in de SURFfederatie weer. IdP Trust Hub Trust Trust Trust Gebruiker SP Figuur 2: Vertrouwensrelaties in de SURFfederatie. Er is een standaard overeenkomst die partijen (in termen van de SURFfederatie: partners en members) kunnen ondertekenen om gebruik te maken van de SURFfederatie dienst. Deze overeenkomst is relatief soft, dat wil zeggen, er wordt uitgegaan van een SLS op basis van best effort en er zijn relatief weinig middelen om te controleren of de overeenkomst nageleefd wordt FEIDE Feide is de Noorse tegenhanger van de SURFfederatie [3]. Feide maakt gebruik van een enkele IdP die een centrale login service biedt. De daadwerkelijke authenticatie van de eindgebruiker wordt door de aangesloten instellingen zelf gedaan. Basistechnologieën die binnen Feide gebruikt worden zijn LDAP en simplesaml. De door Feide gekozen LDAP oplossing zorgt ervoor dat alle wachtwoorden langs een centrale Feide component komen. Dit impliceert dat gebruikers en IdPs een erg groot vertrouwen in Feide als organisatie moeten hebben. Ter vergelijking: in de SURFfederatie worden gebruikersnamen en wachtwoorden direct tussen de IdP en de eindgebruiker uitgewisseld zonder tussenkomst van de SURFfederatie hub. Schaalt dat? 7

16 Tot voor kort moesten SPs een webformulier invullen om zich aan te sluiten bij de Feide federatie. Door gebruik te maken van Dynamic SAML hoeft dit echter niet meer. Metadata wordt nu automatisch uitgewisseld doordat de URL van de metadata gebruikt wordt als zogenaamde entityid. Als de simplesamlphp identiteitssoftware in Feide een inkomend SAML Request of Response krijgt, kijkt het in de opgeslagen metadata van Feide. Als daar geen vermelding is van de betreffende partij, dan kijkt het naar het entityid. Bij Dynamic SAML is dit een URL naar de metadata. De simplesamlphp software zal dan de metadata ophalen om vervolgens te kijken of er een entityid in staat dat overeen komt met het entityid van het SAML Request of Response. Op deze manier kunnen SPs en IdPs met elkaar communiceren zonder enige voorconfiguratie. Technisch schaalt deze oplossing goed maar voor wat betreft vertrouwen zullen nog wat andere maatregelen genomen moeten worden. De oplossing hier ligt in het betrouwbaar maken van het metadatadocument van de federatie. Op dit moment wordt in Feide de metadata nog niet ondertekend waardoor het alleen gebruikt kan worden in open federaties en tests. Voor gesloten federaties zal binnenkort functionaliteit voor het valideren van digitale handtekeningen onder metadata toegevoegd worden. Naast bovenstaande SAML gebaseerde IdP, biedt Feide een experimentele OpenIdP aan waarbij iedere willekeurige SP zich kan aansluiten [4]. Er hoeft hiervoor geen contract ondertekend te worden. Er is geen SLA; de IdP dienst wordt dus als best effort aangeboden. Eindgebruikers kunnen zelf een account registreren bij Feide s OpenIdP. Gastbezoekers van Noorse universiteiten kunnen op deze manier eenvoudig toegang krijgen tot SPs Kalmar confederatie Feide is ook aan het experimenteren met confedereren met het Finse Haka, het Zweedse SWAMID en de WAYFs van Denemarken en IJsland, de zogeheten Kalmar confederatie [5]. Alle partijen hebben hiervoor een memorandum of understanding getekend. Hierin staan o.a. de zakelijke, privacy en security, en technische en operationele voorwaarden beschreven [6]. Extra aandacht is er voor de privacy aspecten van de eindgebruiker. Door slechts de noodzakelijke attributen te delen en de eindgebruiker hiervan te informeren en consent te vragen wordt voldaan aan de Europese richtlijn voor Data Protection. De Kalmar identiteitsmanagement infrastructuur is volledig gebaseerd op SAML2.0 met een centrale SAML2.0 metadata file waarin alle geaggregeerde metadata staat (zie Figuur 3). 8 Vertrouwen in de SURFfederatie

17 Kalmar metadata aggregate FEIDE Univ of Oslo Univ of Bergen IdP SP SP Uninett: Foodle NorduGrid: SLCS FEIDE WAYF Univ of Iceland SP Ordbogen.com WAYF Univ of Copenhagen IdP SP NIAS: AsiaPortal Univ of Aarhus Haka Univ of Helsinki IdP SP CSC: supercomputer Haka Univ of Turku IdP SP NMS in i ICT: Moodle SWAMID Univ of Uppsala IdP SP Univ of Uppsala: LMS SWAMID Univ of Umeå IdP SP Univ of Umeå: wiki Figuur 3: Technische set-up van de Kalmar confederatie (uit [7]). De geaggregeerde metadata file bestaat uit een verzameling van nationale metadata files. Hierin staan de IdP en SP Entity Descriptors. In deze Entity Descriptors zelf zijn weer de eigen certificaten van de deelnemers opgenomen waardoor geen PKIX nodig is (zie Figuur 4). Figuur 4: Nationale metadata file en de Entity Descriptors daarin. Het nadeel van een centrale geaggregeerde metada file is dat het alles of niets is en het lastig wordt om bepaalde informatie voor de andere federaties te verbergen. De Finse federatie mag bijvoorbeeld alleen maar de SPs (de zogenaamde SPEntities) zien en niet de IdPs (IdPEntities). Om dit op te lossen is Feide RnD bezig met het delegeren van subsets van entities naar andere metadata documenten. Hiervoor zijn wel enkele uitbreidingen nodig op het SAML2.0 Metadata Schema [8]. Als Feide hierin slaagt, heeft het een extra vorm van vertrouwensmanagement geïntroduceerd in een confederatie: het kunnen delegeren van federaties in een confederatie naar specifieke metadata waardoor niet iedereen zomaar overal bij kan komen. Andere aandachtspunten voor de Kalmar confederatie op korte termijn zijn het afstemmen van de attributen tussen de leden (verplichte attributen, semantiek en unieke identifiers), het vaststellen van de minimale IdP eisen voor toetreding tot de confederatie, en gebruikersonderzoek. Schaalt dat? 9

18 2.4.3 InCommon/Shibboleth De Amerikaanse federatie voor het hoger onderwijs, InCommon [9], is gebaseerd op Shibboleth technologie [10]. InCommon maakt gebruik van zogenaamde POPs (Participant Operational Practices) waarin beschreven staat waaraan leden van de federatie moeten voldoen. Als hieraan voldaan wordt zal voor toetreding tot de federatie een Participation Agreement (PA) getekend moeten worden. Deze PA kan gezien worden als een lage drempel om toe te treden tot InCommon maar biedt slechts beperkte aansprakelijkheid indien er iets mis gaat. Veel vertrouwen komt uit het feit dat alle partijen uit het hoger onderwijs komen en elkaar dus enigszins kennen. Alle partijen die meedoen in InCommon moeten hiervoor: Een contract ondertekenen waarin gedefinieerd staat hoe de partijen in de federatie samenwerken. Conventies adopteren betreffende de betekenis van attributen. Voldoen aan de eisen voor de beschikbaarheid van deze attributen. Zich conformeren aan de geaccepteerde CAs voor het tekenen van de certificaten of overeenstemming krijgen over het gebruik van self-signed certificaten. Metadata delen. Instemmen met de door de federatie opgelegde levenscyclus van de metadata. Zorgen voor een goed onderhouden Where Are You From dienst voor het lokaliseren van de IdP. Het is de verantwoordelijkheid van elke partij zelf in de federatie om de betrouwbaarheid van de partij waarmee zaken gedaan worden te valideren. Naast het controleren van het certificaat dat gebruikt is voor het opzetten van een veilig communicatiekanaal kan de federatie metadata hierbij helpen (is een bepaalde partij lid van de federatie?). IdPs zijn verantwoordelijk voor het op een goede manier authenticeren van de eindgebruikers; de SPs zijn ervoor verantwoordelijk nooit gebruikersgegevens verzamelen, meer vragen dan nodig is, of gegevens te delen met derden. Zoals gezegd wordt Shibboleth gebruikt als de onderliggende technologie voor de InCommon federatie. In Shibboleth wordt alle metadata informatie op een centrale plaats verzameld. Iedere partij die daar in staat doet mee met de federatie en is te vertrouwen. De federatie metadata wordt ondertekend door InCommon als TTP. Certificaten en CAs zijn onderdeel van de metadata. Alles is gebaseerd op PKIX. Daarnaast wordt extra vertrouwen geput uit het matchen van de sleutel in het certificaat dat gebruikt is voor het opzetten van een veilig communicatiekanaal met de sleutel van het certificaat in de metadata. InCommon gebruikt zijn eigen federatiespecifieke CA als vertrouwensbasis. Dit gemak gaat ten koste van de voordelen die een bestaande, commerciële CA kan aanbieden. Het meenemen van certificaten in de federatie metadata brengt wel een extra last met zich mee voor de federatie coördinator. Deze moet ervoor zorgen dat de juiste certificaten zich in de metadata bevinden. 10 Vertrouwen in de SURFfederatie

19 De ondertekende federatie metadata file wordt dus regelmatig geüpdate om ervoor te zorgen dat de gegevens zo betrouwbaar mogelijk zijn. Vaak is de update frequentie van de metadata file hoger dan dat van de certificaten die erin zitten zodat revocatieproblemen zich niet zo snel zullen voordoen. De huidige metadata file is nog betrekkelijk klein, maar dit kan in de toekomst veranderen waardoor de schaalbaarheid in het geding komt. Mogelijke korte termijn oplossingen om de metadatadistributie beter te laten schalen zijn het opsplitsen naar aparte IdP en SP metadata files, gebruiken van compressietechnologie, of door de federatie op te splitsen in kleinere federatie die met elkaar geconfedereerd zijn. Voor de langere termijn heeft Shibboleth de ambitie om over te gaan op een decentraal systeem voor metadatamanagement. Dit kan door de partijen zelf hun metadata te laten uitgeven. Echter, hierdoor kan de vertrouwensketen onder druk komen te staan. Verder kunnen bepaalde metadata elementen (zoals de lijst van betrouwbare CAs) niet door een individuele partij uitgegeven worden Covisint Covisint is de spin in het wiel van Amerika s grootste federatie in de automobielindustrie [11]. Netwerken van fabrikanten, toeleveranciers en handelaren worden door Covisint aan elkaar geknoopt en ontsloten via SAML. Covisint is dus een TTP voor haar klanten en kan dus ook gezien worden als een hub. Maar dan eentje die nadrukkelijk identiteitsmanagement als een service aanbiedt. Hiermee lijkt Covisint een beetje op de SURFfederatie. Beide federaties houden zich bijvoorbeeld bezig met protocoltranslaties en het algemene management van de federatie. Echter, Covisint biedt een aantal diensten aan die het potentiële gebruikers makkelijker maken om toe te treden en voor participerende partijen een stuk zelfmanagement faciliteren en hun van waardevolle informatie voorzien. Dit soort diensten zijn onder andere: Een interface waarmee de klant zelf zijn connecties met andere partijen in de federatie via de hub kan configureren. Klanten kunnen bijvoorbeeld zelf bepalen of ze vindbaar zijn in de federatie. Bestaande relaties kunnen eenvoudig opgeschort worden via de interface. Nieuwe relaties worden door een request/approval workflow mechanisme beklonken. En alles wordt gelogd. Met andere woorden, taken die in de SURFfederatie nog handmatig verricht worden door SURFnet zijn door Covisint geautomatiseerd en zodanig dat de partijen in de federatie hiervoor zelf verantwoordelijk zijn. Het loggen van in- en uitgaand verkeer is een andere nuttige dienst voor het borgen van vertrouwen. Covisint houdt op transactiebasis precies bij wie wat met wie doet. Samenvattingen en gedetailleerde rapporten zijn beschikbaar via de klantinterface (vorige punt) zodat iedereen op de hoogte is van alle relevante informatie. Partijen kunnen elkaar hiermee verantwoordelijk stellen voor uitgevoerde transacties. Het gebruik van verschillende authenticatieniveaus op grond waarvan partijen de toegang tot hun diensten kunnen controleren. Deze partijen kunnen zelf het gewenste niveau van authenticatie instellen. Covisint biedt het raamwerk van authenticatieniveaus aan zodat iedereen dezelfde taal spreekt. Schaalt dat? 11

20 Doorklikschermen om tot een vertrouwensovereenkomst te komen. Covisint maakt de contractuele aspecten van een federatie zo simpel mogelijk door online template gebaseerde overeenkomsten aan te bieden. Elke partij die zich bij de hub wil aansluiten moet een dergelijke standaard template invullen. Daarnaast heeft elke partij de mogelijkheid om zijn eigen overeenkomsten te uploaden die betrekking hebben op de relaties die aangegaan worden met andere partijen in de federatie. Covisint houdt middels versie- en timestamping een volledig audit record bij van de overeenkomsten tussen alle partijen. Stuk voor stuk zijn dit diensten die bijdragen aan het creëren en schaalbaar maken van vertrouwen. Daarnaast doet Covisint er ook van alles aan om haar status als TTP zo hoog mogelijk te krijgen en te houden, bijvoorbeeld door te laten zien dat ze gecertificeerd is in termen van beschikbaarheid, robuustheid en veiligheid. De vraag is of klanten altijd op basis van vertrouwen in zee gaan met Covisint. Voor sommige (kleinere) klanten is aansluiten bij Covisint de enige manier om te overleven. Een totaaloverzicht van het Covisint Trusted Identity Framework is afgebeeld in Figuur 5. Figuur 5: Covisint Trusted Identity Framework [12]. Recentelijk heeft Covisint, samen met Microsoft, ook haar vleugels uitgeslagen in de zorgsector. Duidelijk is dat een TTP niet noodzakelijkerwijs met een enkel domein geassocieerd hoeft te worden. Ook kijkt Covisint naar steeds meer andere sectoren zoals financieel en overheid. 12 Vertrouwen in de SURFfederatie

21 2.4.5 STORK Bijna elk land in Europa heeft een eigen oplossing voor het identificeren en authenticeren van haar burgers voor e-government diensten. Nederland heeft bijvoorbeeld het op primair gebruikersnaam en wachtwoord gebaseerde DigiD, België en Duitsland hebben een identiteitskaart waarop informatie staat, en in Estland wordt zelfs een met persoonsgegevens verrijkte bankpas gebruikt. a. STORK Probleem b. STORK oplossing: definieer QAA niveaus en mappings Figuur 6: STORK uitdaging. Schaalt dat? 13

22 Het Europese STORK project heeft als doel om interoperabiliteit te creëren tussen de verschillende nationale authenticatie-oplossingen (Figuur 6, [13]). Een Nederlandse burger kan dan bijvoorbeeld zijn DigiD gebruiken voor het aanvragen van een vergunning in Spanje. De Spaanse SP moet dan wel vertrouwen hebben in de Nederlandse oplossing. STORK lost dit op door een Quality Authentication Assurance raamwerk te definiëren. Dit QAA raamwerk biedt de lidstaten de mogelijkheid om hun nationale identificatie- en authenticatie-oplossingen te kwalificeren. Gebaseerd op de mogelijke impact van een foute identiteit zijn vier niveaus van authenticatie gedefinieerd. Bij het laagste niveau is bijna geen zekerheid over de identiteit van de gebruiker; bij het hoogste niveau is zeer veel zekerheid. Een zevental aspecten bepalen de hoogte van het niveau: identificatie van de burger, het uitgifteproces van digitale identiteiten, de betrouwbaarheid van de uitgevende instantie, life-cycle management van identiteiten, authenticatie token type, technische protocollen en het management van claims. Merk op dat de eerste vier aspecten van organisatorisch aard zijn terwijl de laatste drie een sterk technisch karakter hebben. Het STORK QAA raamwerk maakt het mogelijk om niveaus van authenticatie op elkaar te mappen zodat interoperabiliteit ontstaat. Zo kan een Duitse SP STORK niveau vier eisen voor service toegang; een Nederlandse burger zal met zijn DigiD dat in STORK terminologie een niveau twee oplossing is dus nooit toegang krijgen tot deze dienst. De STORK infrastructuur voorziet in functionaliteit voor het op elkaar mappen van authenticatieniveaus (zie Figuur 7). Service Provider requested level National Levels STORK QAA Levels STORK QAA Levels National Levels requested a level Service Providers Figuur 7: Mappen van authenticatieniveaus in STORK. Het niveau van authenticatie geeft de SP dus voldoende zekerheid voor het al dan niet toelaten van burgers uit andere landen tot zijn dienst. Dit is dus een puur technische oplossing. Afspraken over aansprakelijkheid en het monitoren van gedrag in STORK vormen een heet hangijzer en zijn nog niet gemaakt GRID De Euro Grid Policy and Management Authority is een overkoepelend orgaan dat ervoor zorgt dat onderzoekers op een betrouwbare manier toegang krijgen tot Grid resources in Europa [14]. EUGridPMA regelt de trust fabric voor authenticatie in de Europese e-science Grid. Het werkt samen met peers in Azië en Amerika onder de coördinatie van de International Grid Trust Federation [15]. Zoals gebruikelijk in de Grid wereld is het vertrouwen geregeld door middel van een X.509 PKI. Binnen de onderzoekswereld is dit acceptabel maar in identiteitsfederaties waarbinnen commerciële partijen actief zijn ligt deze oplossing minder voor de hand. 14 Vertrouwen in de SURFfederatie

23 2.4.7 edugain Het doel van edugain is om een inter-operabele authenticatie- en autorisatie-infrastructuur te bouwen voor het verbinden van verschillende identiteitsfederaties in het hoger onderwijs [16]. Studenten in een ander land kunnen dan gewoon gebruik maken van hun eigen IdP om toegang te krijgen tot diensten in dat land. Het EU STORK project heeft een soortgelijk doel voor ogen maar dan voor burgers in het algemeen. De edugain infrastructuur zoekt uit tot welke federatie de eindgebruiker behoort (waar zijn IdP staat), vertaalt berichten die uitgewisseld worden tussen federaties (van federatie interne protocollen naar edugain protocollen en vice versa) en borgt het vertrouwen tussen de deelnemende partijen (federaties en hun partners). Om dit doel te bereiken zijn er twee basisdiensten gedefinieerd: de MetaDataService (MDS) voor het uitwisselen van confederatiespecifieke informatie (metadata) en de zogenaamde Bridging Elements (BEs) voor het koppelen van de verschillende federaties in/aan edugain. Federaties kunnen hun metadata via Federation Peering Points (FPPs) publiceren aan de MDS. Hiervoor is een certificaat nodig dat is uitgegeven door een CA die vertrouwd wordt door edugain. De via de FPP geuploade metadata betreft informatie over de locatie van de authenticerende en autoriserende partners (IdPs en SPs en de daaraan gecorreleerde EntityDescriptors) in een federatie. De betreffende authenticatie- en autorisatieverzoeken worden door de BEs zodanig verwerkt dat ze uitkomen bij de eigen IdP van de eindgebruiker. Om het vertrouwen te borgen moeten de EntityDescriptors in de metadata een digitale handtekening en certificaat van de betreffende partner bevatten die beiden gecontroleerd kunnen worden. Daarbovenop wordt de digitale handtekening van de FPP gezet. Dit is weergegeven in Figuur 8. Hierdoor is het mogelijk om op een gecontroleerde manier certificaten in te trekken zonder dat de vertrouwenshiërarchie geschonden wordt (openbreken van handtekeningen). Schaalt dat? 15

24 Figuur 8: Metadata handtekeningen en certificaten constructie in edugain [17]. Een hoog-niveau edugain infrastructuur en de berichtenuitwisseling erin is weergegeven in Figuur 9. Figuur 9: edugain infrastructuur en berichtuitwisseling. De MDS is gebaseerd op REST interfaces voor het transporteren van SAML 2.0 metadata. Metadata wordt gepubliceerd en opgehaald door middel van respectievelijk POST en GET operaties. 16 Vertrouwen in de SURFfederatie

25 In edugain wordt de vertrouwensrelatie tussen twee partijen uit verschillende federaties op een dynamische manier tot stand gebracht. Dit moet wel omdat het onmogelijk is om vooraf alle vertrouwensrelaties op te bouwen; partijen uit verschillende federaties kennen elkaar vaak niet. De metadata verkregen van de MDS wordt dus gebruikt als basis voor het vertrouwen tussen twee uit verschillende federaties interacterende partijen. edugain maakt naast het uitwisselen van metadata gebruik van een PKI voor het opbouwen van dit vertrouwen [18]. De validatieprocedure bestaat uit regulier certificaatvalidatie op grond van trust path evaluatie, handtekeningen en herroeping. Certificaten worden ook gebruikt om TLS connecties op te zetten tussen de infrastructurele componenten (twee-weg validatie is verplicht) en voor de verificatie van ondertekende beweringen. Een component ID wordt gebruikt in de certificaten voor peer identificatie. Belangrijk is dus ook dat alle partijen voldoende vertrouwen hebben in de edugain infrastructuur. In het bijzonder de BEs waar bijvoorbeeld de voor interoperabiliteit benodigde data- en protocoltransformaties plaatsvinden zijn hierin een kritieke factor [19]. De vraag is of het haalbaar is dit vertrouwen te creëren. Wie staat ervoor in als er iets fout gaat bij een BE? Misschien is het beter om eerst af te vragen of de aanwezigheid van BEs wel noodzakelijk is. Door de razendsnelle ontwikkelingen op het gebied van identiteitsfederaties is er onlangs een discussiedocument opgesteld dat de bruikbaarheid van de edugain infrastructuur ter discussie stelt [20]. Omdat steeds meer partijen overgaan op SAML 2.0 als de standaard voor het uitwisselen van identiteitsgegevens is de noodzaak voor BEs steeds minder geworden. Naast het feit dat deze BEs voor nogal wat overhead en complexiteit zorgen, creëren ze ook een extra component waarin vertrouwen gesteld moet worden. Het voorstel pleit er dan ook voor een alternatieve oplossing zonder BEs waarin het vertrouwen uit de metadata gehaald wordt. Een meta-metadata dienst wordt voorgesteld als oplossing (zie Figuur 10). Deze dienst aggregeert in feite alle metadata uit de gekoppelde federaties tot een grote metadata file. Schaalt dat? 17