1. Feide ved NTNU
Hvordan og hvorfor NTNU bruker Feide
Samling for erfarne administratorer, 16.10.2014
Kent Overholdt, systemadministrator, NTNU IT
2. 2
Single sign-on (SSO)
• «Lang» tradisjon for SSO ved NTNU
• Det forrige intranettet til NTNU (Innsida 1) tilbydde
allerede fra 1999 en tjeneste som vi kaller InnsidaSSO
• InnsidaSSO tilbyr SSO med det gjeldende intranettet
• InnsidaSSO er en svært enkel SSO-løsning som
omdirigerer fra Innsida til målapplikasjonen med blant
annet brukernavn og en digital signatur som GET-variabler
i URL
• En rekke applikasjoner har tatt i bruk InnsidaSSO opp
gjennom årene
3. 3
InnsidaSSO-brukere
• its learning – LMS’et som NTNU benytter
• IME – fagsider og interne administrative systemer
• Studentorganisasjoner – typisk for å beskytte interne
sider og påmelding til bedriftspresentasjoner
• Studieavdelingen – system for timeregistrering
• Økonomiavdelingen – beskyttelse av nettsider
• NTNU IT – noen applikasjoner som enda ikke er endret
til å benytte Feideogging + noen små applikasjoner som
ikke vil bli endret
4. 4
Feide under Innsida 1
• Feide «konkurrerte» først og fremst med InnsidaSSO,
men også AD, LDAP etc. som autentiseringsløsning
• NTNU anbefalte Feide til applikasjoner der brukere fra
flere institusjoner trengte å logge seg inn
• Viktige applikasjoner som var tidlig ute med å bruke
Feide og som fortsatt bruker Feide:
– Studentweb (studentenes grensesnitt til FS)
– Pagaweb (de ansattes grensesnitt til lønnssystemet PAGA)
– EpN (administrasjon av emner i FS)
5. 5
Program for Basis IT-tjenester
• Startet opp i 2010
• To nøkkelprosjekter med tanke på bruk av Feide
• IAM-prosjektet
• Innsida II-prosjektet
6. 6
IAM-prosjektet
• 20% teknologi og 80% prosess
• Den tekniske delen av prosjektet var å ta i bruk deler av
Oracle IAM-suiten
• OIF (Oracle Identity Federation)
• OAM (Oracle Access Manager)
• Webgate
7. 7
IAM-prosjektet alternativer
1. Bruke Feide og implementere en Feide-wrapper
(wrapper: som gir dagens applikasjoner som benytter
InnsidaSSO, mulighet til å benytte FEIDE for
autentisering)
2. Sette opp OIF som Identity Provider og som en service
provider i FEIDE
3. Bruke løsningen som prosjektet har satt opp dvs. OAM,
OIF og web gates
8. 8
IAM-prosjektet alternativ 1
Fordeler Ulemper
• Oppnår WSSO på alle
webapplikasjoner som i dag bruker
FEIDE eller InnsidaSSO
• Driftes av Uninett
• Vi kjenner kvaliteten
• Benytter åpen standard (SAML 2.0)
• Dagens applikasjoner fra InnsidaSSO
til FEIDE – en overkommelig jobb (i
linja)
• Felles applikasjoner med andre
universitet
• Får ferdige bibliotek og dokumentasjon
• NTNU har god intern kompetanse
• Dekker dagens krav til funksjonalitet
• NTNU blir i større grad avhengig av
FEIDE-org. for tekniske endringer
• Noe potensiell fremtidig funksjonalitet
må implementeres internt ved NTNU
på grunn Feide (for eksempel WNA)
• OAM er foreslått som løsning for
tilgangskontroll av administrasjon i
OIM design. Hvis man ikke benytter
OAM må dette re-designes
• Må utvikle wrapper
9. 9
IAM-prosjektet alternativ 2
Fordeler Ulemper
• Mulighet for implementering av ny
funksjonalitet som WNA, 2-faktor, etc,.
• Benytter åpen standard (SAML 2.0)
• Mulighet til å opparbeide kompetanse
på anskaffet produktportefølje før
behov oppstår
• Bedre kontroll på tekniske endringer,
ikke avhengig av andre.
• Kan implementere WSSO direkte for
interne applikasjoner på web logic
plattform
• Krever høyere intern ressursbruk
• Mangler kompetanse internt
• Oppnår ikke WSSO med FEIDE-applikasjoner
• Må lage samme wrapper som i alt.1
10. 10
IAM-prosjektet alternativ 3
Fordeler Ulemper
• Mulighet for implementering av ny
funksjonalitet som WNA, 2-faktor, etc.
• Mulighet til å opparbeide kompetanse
på anskaffet produktportefølje før
behov oppstår
• Bedre kontroll på tekniske endringer,
ikke avhengig av andre.
• Kan implementere WSSO direkte for
interne applikasjoner på web logic
plattform
• Driftsorganisasjonen mangler tillit til
løsningen
• Web gate er spesielt driftsmessig
utfordrende
• Web gate istedenfor åpen standard
• Krever høyere intern ressursbruk
• Mangler kompetanse
• Ikke WSSO med FEIDE-applikasjoner
11. 11
IAM-prosjektet anbefaling
• Outsourcing av IdP til FEIDE
• Flytting av webapplikasjoner fra InnsidaSSO til FEIDE
(linjeoppgave / men bør koordineres av prosjektet)
• Alle eksterne leverandør må benytte FEIDE
12. 12
Innsida II
• Rullet ut våren 2012 med innlogging via Feide
• Innsida 1 og InnsidaSSO mot Innsida 1 eksisterte i en
overgansperiode samtidig
• InnsidaSSO ble rimelig raskt skrevet om til å bruke Feide
som autentiseringsbackend istedenfor Innsida 1
14. 14
Arbeid i forbindelse med Feide
• Registrering av nye applikasjoner
• Støtte til de som skriver anbudsdokumenter
• Støtte til leverandører som skal implementere
Feidepålogging
• Feilsøking