Open Space sessions VAMP 2013 Notes ¡from ¡the ¡Open ¡Space ¡sessions ¡ ¡ 1 ¡ Open ¡Space ¡sessions ¡VAMP ¡2013 ¡ 1 ¡ Open ¡Space ¡1 ¡ 1 ¡ Account ¡Linking ¡and ¡Mapping ¡(combined ¡notes ¡of ¡Peter ¡& ¡Niels) ¡ 2 ¡ Industry ¡& ¡eduGain ¡(Lukas) ¡ 3 ¡ Getting ¡AAI ¡Wps ¡funded ¡(Ann ¡& ¡Jens) ¡ 5 ¡ AuthN ¡and ¡Incident ¡and ¡response ¡handling ¡(Tommi) ¡ 5 ¡ Open ¡Space ¡2 ¡ 5 ¡ Standards ¡and ¡Collaboration ¡(Michel) ¡ 7 ¡ User ¡Controlled ¡Attribute ¡Values ¡and ¡Release ¡(Lukas) ¡ 8 ¡ Harmonizing ¡Group ¡Information ¡(Niels) ¡ 9 ¡ Contrail ¡(Heather) ¡ ¡ ¡ Open Space 1 Account ¡Linking ¡and ¡Mapping ¡(combined ¡notes ¡of ¡Peter ¡& ¡Niels) ¡ ¡ Open Space on Account Linking (AL) / ORCID Use cases: 1. Two Ids of the same person (-> 5 ids for 1 persons? - Step up authentication) 2. Attributes from different sources - use ¡ID ¡to ¡gether ¡attributes 3. Switching jobs - -> Common at VOs, e.g. Postdocs in Ligo 4. Student mobility: Joint programme with joint activities, what grades did I get with what account - - Joined programmes in education - Need for the SAME ID at the SAME time. 5. Second factor linking (different levels of trust!) 6. SP Linking of different TargetIDs received by a number of Sps within a VO infrastructure One solution would be ORCID, but that would be a single point of failure and they would be in charge of vetting … AL should rather be in a distributed fasion. Topics discused - What happens when unlinking your ID? - LOA problems: how to match LOAs? (LOA = Level of Assurance) - Collab with users outside federation/university Who makes the link? Central service, or done at the SP
There are services that only are allowed for members of Higher ed. Linking Google- IDs here might be a bad idea. Mapping persistentID on the side of the SP works. Map ever new targeted ID that comes in. The linking should be done by the user. Sometimes you don't want privileges go over to a linked Account. Thus Linking priviledges to an ORCID-ID only should be an option but not automatic behaviour. ORCID > 300000 Ids. Essentially a registry to get an ID usually for research (datasets, grants, publication and any other research activity). Already uni's are using this as a scenario for life-long-learning Authentication using an ORCID-ID (password) Scopes using oAuth2 to get Information: CV, Publications, grants (in very near future) many more to come. Most used in US, China. Hundred organisations have hundreds of ORCID users. Self asserted and community policed. ISNI standard is used by ORCID and both co-operate There should be a SAML attribute for the ORCID GÉANT activity on account linking (fedID and google and linkedIn etc.) Could be used for services not wanting to do SAML but using oAuth2 to disclose an ID Use case 6 is just to show how desperately such eInfrastructures need to get eduPersonPrincipleName. What is the actual need for linked accounts? When do you switch and what does that look like for the user and the SP? IS the primary ID changing? ORCID persistent over time ? Yes ePPN should also but in practice isn't. A good practice would be to include a year or so into the EPPN ¡ What ¡is ¡the ¡actual ¡need ¡for ¡linked ¡accounts? ¡When ¡do ¡you ¡switch ¡and ¡what ¡ does ¡that ¡look ¡like ¡for ¡the ¡user ¡and ¡the ¡SP? ¡IS ¡the ¡primary ¡ID ¡changing? ¡ * ¡Do ¡not ¡use ¡email ¡as ¡an ¡identifier ¡* ¡ eppn ¡-‑> ¡uid+date@example.org ¡ ¡ Industry ¡& ¡eduGain ¡(Lukas) ¡ How ¡can ¡commercial ¡companies ¡work ¡in ¡research ¡projects ¡via ¡ federations/eduGAIN? ¡ ¡ -‑ ¡Problem: ¡ ¡ ¡ ¡* ¡Collaborating ¡with ¡commercial ¡companies ¡often ¡requires ¡staff ¡members ¡from ¡ companies ¡accessing ¡services ¡protected ¡by ¡a ¡SAML ¡SP. ¡ ¡ ¡* ¡Company ¡staff ¡members ¡need ¡an ¡identity ¡that ¡allows ¡them ¡accessing ¡services ¡ ¡ ¡* ¡Federations ¡and ¡eduGAIN ¡are ¡operated ¡for ¡higher ¡education ¡and ¡research ¡in ¡ the ¡first ¡line. ¡They ¡don't ¡accept ¡IdPs ¡from ¡companys. ¡ -‑ ¡Option ¡1: ¡ ¡ ¡
¡ ¡Get ¡them ¡an ¡account ¡on ¡Guest ¡IdP ¡(Home ¡for ¡the ¡homeless). ¡ ¡ ¡ ¡Disadvantage ¡that ¡user ¡gets ¡another ¡username/password ¡and ¡some ¡(funding) ¡ companies ¡don't ¡like ¡using ¡a ¡low-‑quality ¡"Guest" ¡login ¡ -‑ ¡Option ¡2: ¡ ¡ ¡ ¡ ¡Ask ¡them ¡to ¡use ¡social ¡login ¡to ¡access ¡service ¡ ¡ ¡ ¡ ¡This ¡is ¡sometimes ¡not ¡appreciated ¡by ¡the ¡companies ¡because ¡they ¡want ¡that ¡ their ¡staff ¡members ¡use ¡the ¡company ¡account. ¡Also ¡for ¡intellectual ¡property ¡right ¡ reasons. ¡ ¡ ¡ -‑ ¡Option ¡3: ¡ ¡ ¡No ¡need ¡for ¡companies ¡to ¡be ¡part ¡of ¡a ¡federation, ¡SP ¡admin ¡can ¡bilaterally ¡ configure ¡IdP. ¡Just ¡add ¡company ¡IdP's ¡metadata ¡to ¡SP ¡configuration ¡and ¡ensure ¡ that ¡the ¡same ¡attributes ¡are ¡used. ¡Creates ¡a ¡mini-‑federation. ¡Because ¡the ¡ companys ¡and ¡the ¡researcher ¡cooperate, ¡they ¡already ¡have ¡an ¡agreement/trust. ¡ ¡ ¡Problem ¡is ¡currently ¡the ¡difficult ¡metadata ¡exchange. ¡No ¡easy ¡interfaces ¡and ¡ processes ¡to ¡add ¡additional ¡metadata. ¡ ¡ ¡Metadata ¡could ¡be ¡loaded ¡from ¡PEER/REAP ¡or ¡an ¡own ¡metadata ¡aggregator ¡ tool ¡could ¡be ¡used ¡to ¡load ¡metadata ¡from ¡different ¡sources. ¡ ¡ ¡ ¡Both ¡alternatives ¡require ¡some ¡efforts ¡from ¡SP ¡admin. ¡Also, ¡not ¡all ¡companies ¡ are ¡able ¡to ¡run ¡a ¡SAML ¡IdP ¡because ¡they ¡are ¡often ¡not ¡familiar ¡with ¡it ¡and ¡need ¡ several ¡months ¡to ¡deploy ¡an ¡IdP. ¡Also, ¡just ¡loading ¡metadata ¡might ¡not ¡be ¡ sufficient, ¡other ¡technical ¡aspects ¡might ¡have ¡to ¡be ¡synchronised ¡in ¡order ¡to ¡ achieve ¡interoperability. ¡ ¡ -‑ ¡Option ¡4: ¡ ¡ ¡Microsoft ¡Azure ¡allows ¡organisations ¡to ¡host ¡their ¡user ¡directory. ¡Easy ¡to ¡create ¡ VOs ¡within ¡Azure, ¡companys ¡can ¡create ¡"Apps" ¡in ¡Azure ¡to ¡easier ¡collaborate. ¡ Research ¡projects ¡could ¡create ¡bridge ¡to ¡Azure ¡or ¡even ¡use ¡Azure ¡directly ¡as ¡ collaboration ¡tool. ¡However, ¡probably ¡many ¡universities ¡would ¡be ¡skeptical ¡and ¡ reluctant ¡to ¡outsorce ¡their ¡user ¡directories ¡to ¡Microsoft ¡or ¡another ¡company. ¡ ¡ ¡ ¡ From ¡eduGAIN/Federation's ¡perspective ¡Options ¡3 ¡and ¡1 ¡probably ¡are ¡the ¡best ¡ way ¡to ¡go ¡currently, ¡depending ¡on ¡the ¡size ¡of ¡the ¡collaboration ¡and ¡the ¡technical ¡ SAML ¡know-‑how ¡of ¡the ¡companies. ¡An ¡alternative ¡to ¡bilaterlly ¡load ¡metadata ¡of ¡ commercial ¡companys ¡or ¡using ¡REAP ¡would ¡also ¡be ¡to ¡create ¡a ¡separate ¡ federation ¡for ¡commercial ¡companies, ¡which ¡then ¡also ¡would ¡allow ¡introducing ¡ some ¡minimal ¡policies ¡and ¡technical ¡standards ¡for ¡company ¡IdPs. ¡This ¡might ¡be ¡ something ¡that ¡PingIdentity ¡or ¡others ¡intend ¡to ¡do. ¡ Getting ¡AAI ¡Wps ¡funded ¡(Ann ¡& ¡Jens) ¡ Why ¡is ¡it ¡a ¡problem? ¡ -‑ ¡Lots ¡of ¡parties ¡involved ¡in ¡end ¡to ¡end ¡service ¡delivery ¡-‑ ¡Entitlements ¡managed ¡ in ¡many ¡contexts. ¡ -‑ ¡Even ¡using ¡existing ¡infrastructure, ¡integration ¡is ¡still ¡important ¡so ¡everyone ¡has ¡ to ¡do ¡some ¡work ¡ -‑ ¡Existing ¡systems ¡still ¡have ¡big ¡gaps ¡ -‑ ¡Funding ¡bodies ¡are ¡averse ¡to ¡“double ¡paying” ¡-‑ ¡Even ¡if ¡this ¡is ¡not ¡double ¡paying! ¡ -‑ ¡Logging ¡into ¡things ¡and ¡getting ¡stuff ¡is ¡not ¡glamorous. ¡ ¡ Contrail ¡Example ¡ Sliding ¡scale ¡of ¡reusability/applicability… ¡(picture ¡omitted) ¡
Recommend
More recommend