031216T Wiberg, UmU1 Infraservices (AA Middleware) TREFpunkt, 20—21 oktober 2004 Torbjörn Wiberg CIO, UmU

031216T Wiberg, UmU2 Innan vi börjar: Infraservice? §Infraservice = Infrastrukturell Nättjänst §AA Middleware §AA = Autentisering o Auktorisation §Middleware kan vara mycket mer §Infrastrukturell = av intresse och betydelse för många applikationer §En tjänst för få kan utvecklas till att bli en del av infrastrukturen. §jfr e-post och OH-apparater

031216T Wiberg, UmU3 Några observationer och trender som rör området §Flera IT-system är verksamhetskritiska §datornätet (med DNS), e-postsystemet, webben, §nya: katalogen, autentiseringstjänsten §”Varje” student och ”varje” anställd blir användare i våra system §reseräkning, kalender, lokalbokning §Vi får alltfler ”småsystem” med många användare §Klientdatorerna är servrar §eBusiness är en självklarhet för nya studenter §Dom besitter en hög grad av eReadyness

031216T Wiberg, UmU4 Relevanta IT-strategier §Webben är vår främsta informationskanal §Centralisera för högre effektitet och kvalitet §Inför Informationssamhället på UmU §papper, processer, ärenden mm §Samarbeta organiserat med likasinnade §Använd och jobba med Open Source

031216T Wiberg, UmU5 Relevanta IT-strategier §Interninformation ska spridas genom personliga portaler §uPortal §kalender, webbmail, fillagring §planeringsverktyg §tjänster §Elektroniska identiteter ska införas och användas §EN elektronisk identitet §på objekt och personer

031216T Wiberg, UmU6 Elektroniska identiteter §eFörvaltning  samverkande system §mellan myndigheter och inom (integration) §av säkerhetsskäl måste systemkomponenterna identifiera sig för varandra §servrarna registreras i en Koncernkatalog §SwUPKIs servercertifikat §Personerna i en koncernkatalog §identitet - först användarnamn/lösenord, sen certifikat §effektivitetsvinster i att utnyttja en koncernkatalog

031216T Wiberg, UmU7 Hur arbetar jag med dessa strategier? Ja t.ex §Inför elektroniska identiteter som kan användas i många sammanhang (EN eID) §Se till att de harmonierar/interoperar §... över Sverige, Norden, Europa, Nordamerika §Samverka kring Infraservice software, harmonisering, införande och anpassning av applikationer

031216T Wiberg, UmU8 Sunets uppdrag till UmU §... att verka för att en harmoniserad Infraservice- infrastruktur införs vid svenska högskolor (från ) §helst en som harmonierar med Norden, Europa och USA också §det finns ett scenario som ledstjärna (för övrigt samma scenario som satts som mål i ett delprojekt i GEANT2): §Det finns ett förslag att utöka omfattningen – jag beskriver senare hur jag vill arbeta med det utökade uppdraget

031216T Wiberg, UmU9 Scenarios to Support §It shall be possible for §an employee from UmU visiting Oslo University to be given access to local resources (network, library...) after being authenticated at home. §a student from Oslo University taking a course at UmU to, after registering on the course, automatically be given access to library data bases and be authorised to work in Ping-Pong, our LMS §the members of a cooperative project (between UmU and several other universities) to be authorised to work in our project support software §a newly appointed Prefekt to automatically be authorised to use our business systems in any way our delegation decision implies

031216T Wiberg, UmU10 En förutsättning för framgångsrik samverkan §Jag menar att man, för att vara framgångsrik, enbart ska samverka i projekt §där alla parter är beredda att satsa en del egna pengar §man ska inte ha anspråk på att få tillbaka dessa §resultatet ska vara fritt tillgängligt för oss alla §Två projekt jag drivit på det sättet är §SwUPKI – en PKI för svenska högskolan (driften betalas av medlemmarna) §SPOCP – en policybaserad auktorisationsserver

031216T Wiberg, UmU11 Modell för Sunet-uppdraget §Jobba i projekt flr att realisera scenarierna §Bilda en strategisk allians mellan parter som är beredda att samarbeta långsiktigt enligt modellen och bilda kärnan i projekten. Åtaganden: §Delta i styrgrupp för uppdraget §Delfinansiera projekten §Tillhanda utvecklingsresurser för avrop i projekten §Jobba fram arkitektur och principiella lösningar tillsammans med en grupp av experter

031216T Wiberg, UmU12 Modell för Sunet-uppdraget... §Erbjud övriga högskolor att ingå i projekten, som vanlig part eller som ”early adopters” – med införandestöd från prån projektet §Ordna temadagar där experter och implementörer deltar §Skapa en struktur för långsiktig förvaltning av de anpassningar och produkter som utvecklas §Bland leveranserna ska så småningom en hel infraserviceinfrastruktur ingå. Tanken är att man ska kunna ersätta komponenter med sådana man amvänder för att kunna göra tester

031216T Wiberg, UmU13 Nu till nuläget – vad är på gång §Webbplats på gång § §Katalogdag på Stockholms universitet 25 nov §Ett strategiskt/policyspår o ett tekniskt §Anmälan tidigast fredag på §Arbetsgrupp som ska föreslå unitcf och hitcf en uppsättning standardfunktioner/roller som ej behöver förklaras och som kan användas för enkel auktorisation

031216T Wiberg, UmU14 Elektroniska identiteter §När är det dags för certifikat? §så snart kostnaden är acceptabel §jag tror den är det nu §statskontorets upphandling eller i egen regi §projekt: SU, UmU, UU o kanske GU §En förutsättning för vissa delar av 24h-myndigh §Teknikvalen kommer att begränsas när vi gått in på en sådan väg §Bieffekt – mindre spam §acceptera enbart signerad internpost

031216T Wiberg, UmU15 Externalisation of Infraservice Functionality §I prefer the application perspective on Infraservices (before a network perspective): §The idea of Infraservices (Middleware) is to identify common functionality in applications and to explore the possibilities opened through an externalisation of these functions §Directory Services §Authentication Service §Authorisation Service §Discovery Services §Agents/Proxies §...

031216T Wiberg, UmU16 Components of a Supporting Infrastructure §Issuing of electronic identities – only for servers §PKI – SwUPKI has been up since 2001 §Enterprise Directory – strong harmonisation efforts §Mechanisms of authentication – A few §Local authentication service - Various §Distributed authentication service §Attribute service (”LDAP”) – A few §Access Control service – Distributed Netlogon §Authorisation Service - SPOCP

031216T Wiberg, UmU17 Harmonisation Arenas §Unitcf – the swedish universities’ CIO/CTO network §Codex – swedish code exchange cooperation network §Gnomis – nordic middleware coordination network §Terena – network of national research networks §Eunis – network of campus IT... §Internet2 – US project §NMI – NSF Middleware Initiative §For each problem we are preparing to solve we decide what arenas we shall strive to harmonise with

031216T Wiberg, UmU18 Current Swedish Infraservice Harmonisation Situation § Cooperating servers in distributed systems often have server certificates from SwUPKI § Directory harmonisation is under way in Codex and Gnomis § There are many different Authentication Services § Net-logon – Protocol and service has just been implemented in Codex - cwaa § Authorisation – SPOCP is being deployed § Identity Certificates –a new national procurement just done

031216T Wiberg, UmU19 SwUPKI – The Swedish PKI for Higher Education §One common CP, separate CPSs §It is a club – §started in february 2001 §7 members dec 2003 §Codex Netlogon protocol requires server certificates §Stockholm University is Policy Management Authority §Accepts new members §Carries out inspections §May decide to cross certify with other §Umeå University is Policy CA §Issues certificates to the member CAs §Preparations are made to organise issuance of identity certificates if the current national procurement wont result in usable certificates (for economic or other reasons)

031216T Wiberg, UmU20 Enterprise Directory §More than a telephone book or an directory! §Every person affiliated with the organisation shall be in the directory §Present the list to the dean and say: This is my personnel! §Attributes of relevance for authorisation shall be registered §The maintenance shall reflect the delegation of responsibility §If for ex authority follows with being a chairman, the assignment of that attribute shall be done by those who appointed her §All information in the directory is not available through anonymous LDAP-requests §Question: What attributes shall on what grounds be made available to what application (privacy issue, and organisational security issues)

031216T Wiberg, UmU21 Harmonisation of Directories §Work on Harmonisation of directories has been done in Codex §The instruction is to strive for harmony on the Scandinavian arena §norEduPerson – done §norEduOrg – done §norEduCourse – A proposed schema for courses were discussed in Codex It will be evaluated further with the goal to finalise a Gnomis proposal in march.

031216T Wiberg, UmU22 Swedish Authentication Harmonisation? §We need to decide who to trust §for network and basic service access §for single signon §Many different approaches and mechanisms §Harmonise §levels of strength §Message formats §Build federations §How does it scale §nationally §internationally §Codex has specified a protocol for a Netlogon Service §It is currently being evaluated §It allows different authentication mechanisms at the home authentication service §Each university decides who to trust

031216T Wiberg, UmU23 Authorisation is not only Access Control! §It is easy to mistake Authorisation for just Access Control §We mean that authorisation at least can be ”the right for a Subject to perform an Action on a Resource, an object belonging to some application space”

031216T Wiberg, UmU24 SPOCP - Where do we stand? §We have not found any serious flaws in the approach §the policy language can’t express what is forbidden, only what is permitted §We need to understand better the process of developing a policy §We have some tools for policy management but need more §There are commands that modify the policy but we need powerful tools §We need tools for browsing the authority space §We do not yet have software that supports policy management for those who dont know the policy language

031216T Wiberg, UmU25 SPOCP - Where do we stand? 2 §SPOCP plays a central role in our development of personal portals §the portal channels need to support external authn/authz §We require that new applications can take advantage of authn/authz services §often the first time they have heard this requirement §mail distribution list manager §meeting/classroom reservation system

031216T Wiberg, UmU26 Deployment Status of SPOCP §We are in a deployment with early adopters § It has been/is being deployed in §PAPI – a spanish authorisation system used for authorising users for content providers §by SU as theur general AuthZ system §Ladok på Webb – the swedish national student record system §NyA – the swedish national HigherEd admission system

031216T Wiberg, UmU27 Deployment Status of SPOCP forts §It will be/has been deployed in §Umeå University as its main authorisation system §Karolinska Institutet as the Authorisation System for its LDAP Access §FEIDE (a Norwegian project concerned with management of identities and authentication...) is evaluating it to authorise attribute release from its LDAP directories

031216T Wiberg, UmU28 Identity Certificates in Swedish Higher Education §A couple of large universities are seriously considering to provide identity certificates for their students §citizens certificates or SwUPKI certificates §decision during 2004 probably §25-30% of the swedish student population §for signing and for authentication

031216T Wiberg, UmU29 Infraservices (AA Middleware) TREFpunkt, 20—21 oktober 2004 Torbjörn Wiberg CIO, UmU