Federering och federerade identiteter

En federation i ett identitetssammanhang kan sägas vara en sammanslagning av organisationer som har enats om hur man ska hantera identiteter över organisationsgränserna.

Grundidén är att en given användare som autentiserat sig hos en organisation kan med automatik bli autentiserad hos en annan organisation som ingår i federationen, det vill säga en single sign-on som överskrider organisations- gränserna. Man säger då att användarens identitet är federerad.

Vid praktisk tillämpning av federerade identiteter är en av grundstenarna ett tillitsförhållande mellan de organisationer som ingår i federationen. Tilliten ligger i att en organisation litar på att en annan organisation genomfört autentisering – identifiering + verifiering – på ett korrekt sätt och att den genomförs i en kontrollerad och tillförlitlig IT-miljö.

En federation består av olika aktörer där respektive organisation som ingår i federationen kan vara olika aktör beroende på kontext och interaktion.

Aktörerna som ingår i en federation är:

• Identity Provider (IdP)
Ansvarar för autentisering av användare och utfärdar identitetsbevis för användarens identitet till övriga intressenter i federationen. Det är Identity Provider som är källan till att autentiseringar kan återanvändas i form av organisationsöverskridande single sign-on. En Identity Provider kan dessutom utfärda annan information om användaren till exempel identitetsattribut (namn, adress, e-post, etc.) och auktorisationsinformation (roll, rättighetsattribut, etc.), denna information utfärdas antingen direkt i identitetsbeviset eller som svar på frågor som ställs av intressenterna efter att de mottagit identitetsbeviset.

• Service Provider (SP)
Erbjuder tjänster som nyttjas av användare. Tjänsterna är skyddade och kräver inloggning och i förekommande fall även behörighetskontroll. En
Service Provider är intressent till de identitetsbevis, identitetsattribut och auktorisationsinformation som utfärdas av Identity Provider för respektive användare.

• User Agent (UA)
Användare som autentiseras hos en Identity Provider och tillåter att identiteten federeras till en Service Provider där användarens nyttjar en tjänst.

Autentiseringsprocessen hos Identity Providerns resulterar i en styrkt identitet för användaren. Denna identitet är användarens primära identitet för den session som Identity Providern skapar för användaren också som ett resultat av autentiseringsprocessen. En session etableras genom att Identity Providern sätter en cookie i användarens webbläsare, i typiska implementationer är cookien endast giltig under en begränsad tid och endast så länge samma instans av webbläsaren körs.

Användarens primära identitet är dock inte alltid den som är aktuell att federera till en Service Provider. Ett exempel på detta är en användare som kontaktar en Service Provider i rollen som representant för ett företag och där Service Providern förväntar sig ett organisations¬nummer som användaridentitet. Lösningen för detta användningsfall är identitetsmappning.

Identitetsmappning hanteras av Identity Providern som då mappar användarens primära identitet till en identitet som är aktuell och relevant för den Service Provider som användaren ska nyttja tjänster hos. Det vill säga en federerad identitet behöver inte vara användarens primära identitet.

Processen för identitetsmappning styrs av ett regelverk (policy) hos Identity Providern som i sin tur kan erbjuda sina användare möjligheten att styra regelverket. På så sätt kan en användare bestämma hur dess primära identitet skall mappas till olika Service Providers.

Vi har tagit fram och arbetat med många olika federeringslösningar. Kontakta oss så berättar vi mer. Vi har också skrivit en bok om federering. En teknik demonstration som använder federering hittar du på e-Köping.