SlideShare une entreprise Scribd logo

Dataporten Workshop

Andreas Åkre Solberg
Andreas Åkre Solberg

Fra UNINETT Fagdager. 2. mai 2017

Technologie
1  sur  46
Télécharger pour lire hors ligne
Dataporten – sikker og enkel deling av data i UH-sektoren UNINETT Fagdager 2. mai 2017 andreas.solberg@uninett.no Andreas Åkre Solberg sigmund.augdal@uninett.no Sigmund Augdal
Dataporten Workshop 13:00 - 17:00 Deltakerene: noen uten pålogging til Dataporten? Introduksjon Om Dataporten OAuth og OpenID Connect API-er med mer. Hva er nytt og hva er planer videre… Spørsmål, diskusjon med mer underveis. Hands-on med OAuth, OpenID Connect og API-er. 2
Hva er Dataporten? Dataporten har vært mulig å realisere på grunn av Feide, og bygger videre på plattformen for å dekke nye behov. Nytt grensesnitt mot tjenesteleverandører som også egner seg for datatilgang. 
 OAuth 2.0 / OpenID Connect.
 
 Samme token som utleveres ved autentisering kan brukes til å nå alle datakildene tjenesten har tilgang til. Stort potensial og forenkling for tjenesteutviklere. Gruppe API. Mer kontekst om brukeren. Bedre støtte for mobilapplikasjoner 100% selvbetjening. 
 Utviklervennlig. Alle kan opprette tjenester. Ingen betaling kontrakt eller manuell godkjenning. Økt fokus på selvbetjening. Tilgangsstyring til API-er (også tredjeparts API-er) Brukergrensesnitt for å forespørre og godkjenne tilgang mellom applikasjoner og datakilder. Flere autentiseringskilder: Feide ID-porten eduGAIN (Internasjonal pålogging) Gjestebrukere (openidp.feide.no) Sosiale nettverk (Facebook, LinkedIn, Twitter) Testbrukere
OpenID Connect OAuth 2.0 REST API HTTP Dataporten Autentisering IDporten gjestereduGAIN Grupper … API Gatekeeper HTTP Tjeneste backend Datakilde 1 Datakilde 2 Feide Tjeneste 2 Mobil app Tjeneste 1 Web app Tjeneste 3 Datakilde 3 Grenseflate 1 Tjenester 100% selvbetjening Grenseflate 2 API / Datakilder 100% selvbetjening Grenseflate 3 Autentiseringskilder
5 100% 
 selvbetjening
6 Valg av login providere. Blandt annet ID-porten
Litt mer om ID-porten Krever manuell godkjenning på organisasjonsnivå. Mulighet for fakturering ved mye bruk. Fødselsnummer leveres ikke videre til tjenesten by default. Planer om oppslagstjenester f.eks. mot kontakt og reservasjonsregisteret og/eller folkeregisteret. Må utredes. På planen for i år. Mulig med uthenting av data fra kilder basert på fødselsnummer uten at tjenesten får utlevert fødselsnummer. 7
8 Åpent for alle Studenter og utviklere kan også være tjenestetilbydere
9 OAuth 2.0
OAuth 2.0 and Bearer Tokens Authorization request
 https://auth.dataporten.no/oauth/authorization? response_type=code&client_id=1234 User logs in User accept consent User is redirected back to the service provider with a token (sometimes via temporary code)
 A token looks like this:
 f9ab4387-0cf2-457f-b83c-712b0c99e4b9 Service provider uses token when accessing REST APIs, such as the userinfo or groups API:
 
 GET /api/something HTTP/1.1
 Host: api.dataporten.no
 Authorization: Bearer f9ab4387-0cf2-457f-b83c-712b0c99e4b9
OpenID Connect Identity layer on top of OAuth 2.0 Standardises userinfo endpoint Sends cryptographic signed token with user identity along with the Oauth token. JWT - JSON Web Token (various signed messages in OpenID Connect)
12 Grupper
13 OpenID Connect OAuth 2.0 REST API HTTP Dataporten Autentisering IDporten gjestereduGAIN Grupper … API Gatekeeper HTTP Tjeneste backend Datakilde 1 Datakilde 2 Feide Tjeneste 2 Mobil app Tjeneste 1 Web app Tjeneste 3 Datakilde 3 FSAT Feide orgunit Feide GO adhocGroup Engine UH-AD ? BAS ? Org Orgunit undervisnings- gruppe basisgruppe kull klasse studieprogram studieretning emner organisatoriske grupper prosjekter med mer
Gruppemodell Hent ut gruppene den påloggede brukeren er medlem i. Gruppe API GruppetypeGruppeMedlemskapPerson Andreas medlem som ansatt i avdeling for system og mellomvare organisatorisk grupe
ad-hoc grupper Alle kan opprette ny grupper, og invitere inn andre medlemmer.
Dataporten + Mobil-apps Studentbevis App FSAT Dataporten gir – støtte for mobil applikasjon – tilgangsstyring til FS semesterdata
 – gjenbrukbare API-er for semesterdata til andre tjenester 16 Sesjonsvarighet 8 timer eller 2 år OAuth gir mulighet for innlogging via mobil. › In-app browser vs. › System browser + 
 custom url scheme
17 status.dataporten.no Status utrulling av Dataporten i høyere utdanning. Grunnopplæringa.
for sluttbrukeren
19 Valg av organisasjon erstatter Feides valg av org. inkrementell søk sortering etter avstand. logoer og koordinater. Legger også til alternative påloggingsvalg: sosiale nett og IDporten. Introduserer internasjonal pålogging med selektor for land. Vises veldig skjelden. Kun første gang per bruker per maskin/nettleser
20 Kontovelger innfører click-trough for SSO oppmerksomhet rundt hvilken rollen man logger inn på tjenesten som. I fremtiden kan dette representere rolle- valg. En variant av det å huske hvilken institusjon man valgte å logge inn med forrige gang, og samtidig holder åpent muligheten for å velge annerledes denne gangen.
21 Samtykke Erstatter Feides info om overføring av attributter.
Modell for juridisk grunnlag for utlevering av personlige data To hovedklasser: Personlig samtykke og frivillig bruk. (ikke barneskole) Obligatorisk bruk i undervisningen: databehandleravtale med mer. Disse to klassene bygges inn i Dataporten.
23 Flere datakilder
OpenID Connect OAuth 2.0 REST API HTTP Dataporten Autentisering IDporten gjestereduGAIN Grupper … API Gatekeeper HTTP Tjeneste backend Datakilde 1 Datakilde 2 Feide Tjeneste 2 Mobil app Tjeneste 1 Web app Tjeneste 3 Datakilde 3 Grenseflate 1 Tjenester 100% selvbetjening Grenseflate 2 API / Datakilder 100% selvbetjening Grenseflate 3 Autentiseringskilder
API Library Langsiktig mål om et bredt tilbud av API- er som bidrar til å minimere integrasjonskostadene ved oppbygging av nye tjenester 
 – både sektorens egne tjenester og eventuelle kommersielle tredjeparts tjenester. 25
26 Litt om API Gatekeeper
27 Når man får en access token, så kan denne benyttes mot både Dataporten interne APIer, men også mot tredjeparts APIer via API Gatekeeperen. En access token er knyttet til et sett av scopes. En liste av scopes kan for eksempel være:
 userinfo, feide, email, gk_mediasite, gk_mediasite_admin OAuth 2.0 Access Token
28 Klient API Gatekeeper
En endret IKT-arkitektur – enklere tjenesteutvikling og verdiskapning Enkelt grensesnitt Autentisering og datakilder i norsk utdanningssektor Dataporten Autentisering IDporten gjestereduGAIN Grupper FS Læringsanalyse Open badges Feide Tjeneste 2 Mobil app Tjeneste 1 Web app Tjeneste 3 Innholds- leverandør 1 LMS Cristin Tilgang til et stort harmonisert, attraktivt marked med lave eller fraværende integrasjonskostnader Motivasjon til å gjøre autorative datakilder standardiserte, gjenbrukbare, tilgjegenlige, forhindre leverandørbindinger Digital eksamen IaaS PaaS
Åpne data Data hos utdanningsinstitusjoner bør deles by default. Viktig for fremtidig verdiskapning. Ikke vent på forespørsler eller konkrete behov! Kan også brukes internt! Mye enklere å håndtere datasett som ikke behøver aksesskontroll. 30
Utlogging Utlogging i Dataporten. Applikasjon bør ha en knapp for utlogging som: Avslutter lokal sesjon, og deretter videresender brukeren til en utloggingsside hos Dataporten. Der vil Feide-sesjonen avsluttes, og andre Feidetjenester, men ikke andre Dataporten-tjenester. Mobil app, langvarige sesjoner… 31
32 Hva er nytt! og planer videre…
33 Delegering av rettigheter til grupper for en applikasjon eller API
34 International users
35 Pilotering med integrasjon med UH-AD Også aktuelt å eksperimentere med API-er mot BAS: 
 Cerebrum, nytt felles BAS
Mer samordnet sluttbrukeropplevelse
 Feide + Dataporten På kort sikt: loginflyt for sluttbrukere På lengre sikt: komplett samordning, alt fra kundeportal, styringsmodell, support, finansiering med mer. 36
Grunnopplæringa Grunnopplæringa var med i piloten. Ingen dato enda for lansering (enda). Vil involvere samarbeid med IKT-senteret 37
Signerte tokens Ønsker mulighet for å kunne signere tokens med rettigheter for spesifikke formål, som kan sendes og valideres direkte uten å benytte API Gatekeeper. 38
Operasjonelle utvidelser for å øke tilgjengelighet Multiple datasentre 39 Datasenter 1 AuthEngine Core API Cassandra Cassandra Cassandra API Gatekeeper Group engine Datasenter 2 AuthEngine Core API Cassandra Cassandra Cassandra API Gatekeeper Group engine LB LB Trondheim Bergen Oslo Tromsø
40 Biblioteker og demokode
41 docs.dataporten.no
Open Source applikasjoner Dataporten + Docker DokuWiki MediaWiki Wordpress Drupal Mattermost GitLab Redmine WekanBoard OwnCloud Jupyter Notebook Flarum Etherpad Rocket.chat 42
Flarum 43 Etherpad
Rocket.chat 44
Libraries 45
Docker + Dataporten Well suited for automation Well suited for simple configuration
 using environment variables 46

Recommandé

Dataporten for Sigma2, Hell
Dataporten for Sigma2, HellDataporten for Sigma2, Hell
Dataporten for Sigma2, HellAndreas Åkre Solberg
 
Dataporten intro (workshop with Difi)
Dataporten intro (workshop with Difi)Dataporten intro (workshop with Difi)
Dataporten intro (workshop with Difi)Andreas Åkre Solberg
 
UNINETT Feide Connect (Feide fagdag)
UNINETT Feide Connect (Feide fagdag)UNINETT Feide Connect (Feide fagdag)
UNINETT Feide Connect (Feide fagdag)Andreas Åkre Solberg
 
Feide Connect SUHS 2014
Feide Connect SUHS 2014Feide Connect SUHS 2014
Feide Connect SUHS 2014Andreas Åkre Solberg
 
Dataporten for grunnopplæringa - Workshop September 2017
Dataporten for grunnopplæringa - Workshop September 2017Dataporten for grunnopplæringa - Workshop September 2017
Dataporten for grunnopplæringa - Workshop September 2017Andreas Åkre Solberg
 
Dataporten
DataportenDataporten
DataportenAndreas Åkre Solberg
 
Feide connect.
Feide connect. Feide connect.
Feide connect. Senter for IKT i utdanningen, redaksjon
 
Feide Connect for Feide administratorsamling
Feide Connect for Feide administratorsamlingFeide Connect for Feide administratorsamling
Feide Connect for Feide administratorsamlingSnorre Løvås
 

Recommandé

Dataporten for Sigma2, Hell
Dataporten for Sigma2, HellDataporten for Sigma2, Hell
Dataporten for Sigma2, HellAndreas Åkre Solberg
 
Dataporten intro (workshop with Difi)
Dataporten intro (workshop with Difi)Dataporten intro (workshop with Difi)
Dataporten intro (workshop with Difi)Andreas Åkre Solberg
 
UNINETT Feide Connect (Feide fagdag)
UNINETT Feide Connect (Feide fagdag)UNINETT Feide Connect (Feide fagdag)
UNINETT Feide Connect (Feide fagdag)Andreas Åkre Solberg
 
Feide Connect SUHS 2014
Feide Connect SUHS 2014Feide Connect SUHS 2014
Feide Connect SUHS 2014Andreas Åkre Solberg
 
Dataporten for grunnopplæringa - Workshop September 2017
Dataporten for grunnopplæringa - Workshop September 2017Dataporten for grunnopplæringa - Workshop September 2017
Dataporten for grunnopplæringa - Workshop September 2017Andreas Åkre Solberg
 
Dataporten
DataportenDataporten
DataportenAndreas Åkre Solberg
 
Feide connect.
Feide connect. Feide connect.
Feide connect. Senter for IKT i utdanningen, redaksjon
 
Feide Connect for Feide administratorsamling
Feide Connect for Feide administratorsamlingFeide Connect for Feide administratorsamling
Feide Connect for Feide administratorsamlingSnorre Løvås
 
Åpne Standarder - hvor er vi og hvor går vi?
Åpne Standarder - hvor er vi og hvor går vi?Åpne Standarder - hvor er vi og hvor går vi?
Åpne Standarder - hvor er vi og hvor går vi?Heidi Austlid
 
Mellomvare og integrasjon en innføring i bruk av biz talk hos ikt agder iks
Mellomvare og integrasjon en innføring i bruk av biz talk hos ikt agder iksMellomvare og integrasjon en innføring i bruk av biz talk hos ikt agder iks
Mellomvare og integrasjon en innføring i bruk av biz talk hos ikt agder iksAtle Frydenlund
 
Retningslinjer ved tilgjengeliggjøring av offentlige data || Øystein Åsnes
Retningslinjer ved tilgjengeliggjøring av offentlige data || Øystein ÅsnesRetningslinjer ved tilgjengeliggjøring av offentlige data || Øystein Åsnes
Retningslinjer ved tilgjengeliggjøring av offentlige data || Øystein ÅsnesDirektoratet for forvaltning og IKT (Difi)
 
Bits psd2 presentation mobilepulse 30 aug 17
Bits psd2 presentation mobilepulse 30 aug 17Bits psd2 presentation mobilepulse 30 aug 17
Bits psd2 presentation mobilepulse 30 aug 17Bjørn Sloth
 
Connect (UNINETT-konferansen, Tromsø)
Connect (UNINETT-konferansen, Tromsø)Connect (UNINETT-konferansen, Tromsø)
Connect (UNINETT-konferansen, Tromsø)Andreas Åkre Solberg
 
Nye Feide - oversikt for tjenesteleverandorer
Nye Feide - oversikt for tjenesteleverandorerNye Feide - oversikt for tjenesteleverandorer
Nye Feide - oversikt for tjenesteleverandorerSnorre Løvås
 
Notifikasjoner i en asynkron verden
Notifikasjoner i en asynkron verdenNotifikasjoner i en asynkron verden
Notifikasjoner i en asynkron verdenJoar Øyen
 
Feide
FeideFeide
FeideHarald Torbjørnsen
 
Connect – en solid og fleksibel mellomvareplattform 03112015
Connect – en solid og fleksibel mellomvareplattform 03112015Connect – en solid og fleksibel mellomvareplattform 03112015
Connect – en solid og fleksibel mellomvareplattform 03112015Senter for IKT i utdanningen, redaksjon
 
Feide Connect (NOKIOS 2014)
Feide Connect (NOKIOS 2014)Feide Connect (NOKIOS 2014)
Feide Connect (NOKIOS 2014)Andreas Åkre Solberg
 
Sterk autentisering dot net internals
Sterk autentisering dot net internalsSterk autentisering dot net internals
Sterk autentisering dot net internalsSenter for IKT i utdanningen, redaksjon
 
Feide søknad og godkjenningsprosess
Feide søknad og godkjenningsprosessFeide søknad og godkjenningsprosess
Feide søknad og godkjenningsprosessSynneve Bottolfs
 
Distribuert utvikling på net platformen
Distribuert utvikling på net platformenDistribuert utvikling på net platformen
Distribuert utvikling på net platformenRune Sundling
 
Microsoft
MicrosoftMicrosoft
MicrosoftSoftware Innovation Norge
 
Datametrix BusinessCloud - pressepresentasjon
Datametrix BusinessCloud - pressepresentasjonDatametrix BusinessCloud - pressepresentasjon
Datametrix BusinessCloud - pressepresentasjonDatametrix_no
 
Minfeide gruppeinformasjon 13102015
Minfeide gruppeinformasjon 13102015Minfeide gruppeinformasjon 13102015
Minfeide gruppeinformasjon 13102015Senter for IKT i utdanningen, redaksjon
 
Begrepsapparat for åpne data med semantisk web teknologi
Begrepsapparat for åpne data med semantisk web teknologiBegrepsapparat for åpne data med semantisk web teknologi
Begrepsapparat for åpne data med semantisk web teknologiPia Jøsendal
 
Innlegg 27. oktober 2015
Innlegg 27. oktober 2015Innlegg 27. oktober 2015
Innlegg 27. oktober 2015frankfardal
 
Presentasjon more software solutions
Presentasjon more software solutionsPresentasjon more software solutions
Presentasjon more software solutionskimkopperud
 
Frivillig redningstjeneste 2.0
Frivillig redningstjeneste 2.0Frivillig redningstjeneste 2.0
Frivillig redningstjeneste 2.0Kenneth Gulbrandsøy
 
OpenID Connect Federation
OpenID Connect FederationOpenID Connect Federation
OpenID Connect FederationAndreas Åkre Solberg
 
Connect (USIT)
Connect (USIT)Connect (USIT)
Connect (USIT)Andreas Åkre Solberg
 

Contenu connexe

Similaire à Dataporten Workshop

Åpne Standarder - hvor er vi og hvor går vi?
Åpne Standarder - hvor er vi og hvor går vi?Åpne Standarder - hvor er vi og hvor går vi?
Åpne Standarder - hvor er vi og hvor går vi?Heidi Austlid
 
Mellomvare og integrasjon en innføring i bruk av biz talk hos ikt agder iks
Mellomvare og integrasjon en innføring i bruk av biz talk hos ikt agder iksMellomvare og integrasjon en innføring i bruk av biz talk hos ikt agder iks
Mellomvare og integrasjon en innføring i bruk av biz talk hos ikt agder iksAtle Frydenlund
 
Bits psd2 presentation mobilepulse 30 aug 17
Bits psd2 presentation mobilepulse 30 aug 17Bits psd2 presentation mobilepulse 30 aug 17
Bits psd2 presentation mobilepulse 30 aug 17Bjørn Sloth
 
Connect (UNINETT-konferansen, Tromsø)
Connect (UNINETT-konferansen, Tromsø)Connect (UNINETT-konferansen, Tromsø)
Connect (UNINETT-konferansen, Tromsø)Andreas Åkre Solberg
 
Nye Feide - oversikt for tjenesteleverandorer
Nye Feide - oversikt for tjenesteleverandorerNye Feide - oversikt for tjenesteleverandorer
Nye Feide - oversikt for tjenesteleverandorerSnorre Løvås
 
Notifikasjoner i en asynkron verden
Notifikasjoner i en asynkron verdenNotifikasjoner i en asynkron verden
Notifikasjoner i en asynkron verdenJoar Øyen
 
Feide søknad og godkjenningsprosess
Feide søknad og godkjenningsprosessFeide søknad og godkjenningsprosess
Feide søknad og godkjenningsprosessSynneve Bottolfs
 
Distribuert utvikling på net platformen
Distribuert utvikling på net platformenDistribuert utvikling på net platformen
Distribuert utvikling på net platformenRune Sundling
 
Datametrix BusinessCloud - pressepresentasjon
Datametrix BusinessCloud - pressepresentasjonDatametrix BusinessCloud - pressepresentasjon
Datametrix BusinessCloud - pressepresentasjonDatametrix_no
 
Begrepsapparat for åpne data med semantisk web teknologi
Begrepsapparat for åpne data med semantisk web teknologiBegrepsapparat for åpne data med semantisk web teknologi
Begrepsapparat for åpne data med semantisk web teknologiPia Jøsendal
 
Innlegg 27. oktober 2015
Innlegg 27. oktober 2015Innlegg 27. oktober 2015
Innlegg 27. oktober 2015frankfardal
 
Presentasjon more software solutions
Presentasjon more software solutionsPresentasjon more software solutions
Presentasjon more software solutionskimkopperud
 

Similaire à Dataporten Workshop (20)

Åpne Standarder - hvor er vi og hvor går vi?
Åpne Standarder - hvor er vi og hvor går vi?Åpne Standarder - hvor er vi og hvor går vi?
Åpne Standarder - hvor er vi og hvor går vi?
 
Mellomvare og integrasjon en innføring i bruk av biz talk hos ikt agder iks
Mellomvare og integrasjon en innføring i bruk av biz talk hos ikt agder iksMellomvare og integrasjon en innføring i bruk av biz talk hos ikt agder iks
Mellomvare og integrasjon en innføring i bruk av biz talk hos ikt agder iks
 
Retningslinjer ved tilgjengeliggjøring av offentlige data || Øystein Åsnes
Retningslinjer ved tilgjengeliggjøring av offentlige data || Øystein ÅsnesRetningslinjer ved tilgjengeliggjøring av offentlige data || Øystein Åsnes
Retningslinjer ved tilgjengeliggjøring av offentlige data || Øystein Åsnes
 
Bits psd2 presentation mobilepulse 30 aug 17
Bits psd2 presentation mobilepulse 30 aug 17Bits psd2 presentation mobilepulse 30 aug 17
Bits psd2 presentation mobilepulse 30 aug 17
 
Connect (UNINETT-konferansen, Tromsø)
Connect (UNINETT-konferansen, Tromsø)Connect (UNINETT-konferansen, Tromsø)
Connect (UNINETT-konferansen, Tromsø)
 
Nye Feide - oversikt for tjenesteleverandorer
Nye Feide - oversikt for tjenesteleverandorerNye Feide - oversikt for tjenesteleverandorer
Nye Feide - oversikt for tjenesteleverandorer
 
Notifikasjoner i en asynkron verden
Notifikasjoner i en asynkron verdenNotifikasjoner i en asynkron verden
Notifikasjoner i en asynkron verden
 
Feide
FeideFeide
Feide
 
Connect – en solid og fleksibel mellomvareplattform 03112015
Connect – en solid og fleksibel mellomvareplattform 03112015Connect – en solid og fleksibel mellomvareplattform 03112015
Connect – en solid og fleksibel mellomvareplattform 03112015
 
Feide Connect (NOKIOS 2014)
Feide Connect (NOKIOS 2014)Feide Connect (NOKIOS 2014)
Feide Connect (NOKIOS 2014)
 
Sterk autentisering dot net internals
Sterk autentisering dot net internalsSterk autentisering dot net internals
Sterk autentisering dot net internals
 
Feide søknad og godkjenningsprosess
Feide søknad og godkjenningsprosessFeide søknad og godkjenningsprosess
Feide søknad og godkjenningsprosess
 
Distribuert utvikling på net platformen
Distribuert utvikling på net platformenDistribuert utvikling på net platformen
Distribuert utvikling på net platformen
 
Microsoft
MicrosoftMicrosoft
Microsoft
 
Datametrix BusinessCloud - pressepresentasjon
Datametrix BusinessCloud - pressepresentasjonDatametrix BusinessCloud - pressepresentasjon
Datametrix BusinessCloud - pressepresentasjon
 
Minfeide gruppeinformasjon 13102015
Minfeide gruppeinformasjon 13102015Minfeide gruppeinformasjon 13102015
Minfeide gruppeinformasjon 13102015
 
Begrepsapparat for åpne data med semantisk web teknologi
Begrepsapparat for åpne data med semantisk web teknologiBegrepsapparat for åpne data med semantisk web teknologi
Begrepsapparat for åpne data med semantisk web teknologi
 
Innlegg 27. oktober 2015
Innlegg 27. oktober 2015Innlegg 27. oktober 2015
Innlegg 27. oktober 2015
 
Presentasjon more software solutions
Presentasjon more software solutionsPresentasjon more software solutions
Presentasjon more software solutions
 
Frivillig redningstjeneste 2.0
Frivillig redningstjeneste 2.0Frivillig redningstjeneste 2.0
Frivillig redningstjeneste 2.0
 

Plus de Andreas Åkre Solberg

Norsk UH-sektor og økosystemer for identitet og integrasjoner i skyen
Norsk UH-sektor og økosystemer for identitet og integrasjoner i skyenNorsk UH-sektor og økosystemer for identitet og integrasjoner i skyen
Norsk UH-sektor og økosystemer for identitet og integrasjoner i skyenAndreas Åkre Solberg
 
Feide Connect – Standard Norge February 2015
Feide Connect – Standard Norge February 2015Feide Connect – Standard Norge February 2015
Feide Connect – Standard Norge February 2015Andreas Åkre Solberg
 

Plus de Andreas Åkre Solberg (20)

OpenID Connect Federation
OpenID Connect FederationOpenID Connect Federation
OpenID Connect Federation
 
Connect (USIT)
Connect (USIT)Connect (USIT)
Connect (USIT)
 
Connect (Feide fagdag, Gardemoen)
Connect (Feide fagdag, Gardemoen)Connect (Feide fagdag, Gardemoen)
Connect (Feide fagdag, Gardemoen)
 
Norsk UH-sektor og økosystemer for identitet og integrasjoner i skyen
Norsk UH-sektor og økosystemer for identitet og integrasjoner i skyenNorsk UH-sektor og økosystemer for identitet og integrasjoner i skyen
Norsk UH-sektor og økosystemer for identitet og integrasjoner i skyen
 
Feide Connect – Standard Norge February 2015
Feide Connect – Standard Norge February 2015Feide Connect – Standard Norge February 2015
Feide Connect – Standard Norge February 2015
 
Feide Connect TNC2014
Feide Connect TNC2014Feide Connect TNC2014
Feide Connect TNC2014
 
Feide connect tnc2014
Feide connect tnc2014Feide connect tnc2014
Feide connect tnc2014
 
SCIM and VOOT
SCIM and VOOTSCIM and VOOT
SCIM and VOOT
 
Feide Connect (IoU Fagdag)
Feide Connect (IoU Fagdag)Feide Connect (IoU Fagdag)
Feide Connect (IoU Fagdag)
 
Feide Connect
Feide ConnectFeide Connect
Feide Connect
 
Feide Connect
Feide ConnectFeide Connect
Feide Connect
 
OAuth 2.0
OAuth 2.0OAuth 2.0
OAuth 2.0
 
UWAP Tjenesteplattform
UWAP TjenesteplattformUWAP Tjenesteplattform
UWAP Tjenesteplattform
 
UNINETT IoU - UWAP Prototype
UNINETT IoU - UWAP PrototypeUNINETT IoU - UWAP Prototype
UNINETT IoU - UWAP Prototype
 
UNINETT WebApp Park
UNINETT WebApp ParkUNINETT WebApp Park
UNINETT WebApp Park
 
Federation Lab and OpenID Connect
Federation Lab and OpenID ConnectFederation Lab and OpenID Connect
Federation Lab and OpenID Connect
 
Single Logout
Single LogoutSingle Logout
Single Logout
 
SAML2int
SAML2intSAML2int
SAML2int
 
DiscoJuice
DiscoJuiceDiscoJuice
DiscoJuice
 
eduGAIN Federation Lab
eduGAIN Federation LabeduGAIN Federation Lab
eduGAIN Federation Lab
 

Dataporten Workshop

  • 1. Dataporten – sikker og enkel deling av data i UH-sektoren UNINETT Fagdager 2. mai 2017 andreas.solberg@uninett.no Andreas Åkre Solberg sigmund.augdal@uninett.no Sigmund Augdal
  • 2. Dataporten Workshop 13:00 - 17:00 Deltakerene: noen uten pålogging til Dataporten? Introduksjon Om Dataporten OAuth og OpenID Connect API-er med mer. Hva er nytt og hva er planer videre… Spørsmål, diskusjon med mer underveis. Hands-on med OAuth, OpenID Connect og API-er. 2
  • 3. Hva er Dataporten? Dataporten har vært mulig å realisere på grunn av Feide, og bygger videre på plattformen for å dekke nye behov. Nytt grensesnitt mot tjenesteleverandører som også egner seg for datatilgang. 
 OAuth 2.0 / OpenID Connect.
 
 Samme token som utleveres ved autentisering kan brukes til å nå alle datakildene tjenesten har tilgang til. Stort potensial og forenkling for tjenesteutviklere. Gruppe API. Mer kontekst om brukeren. Bedre støtte for mobilapplikasjoner 100% selvbetjening. 
 Utviklervennlig. Alle kan opprette tjenester. Ingen betaling kontrakt eller manuell godkjenning. Økt fokus på selvbetjening. Tilgangsstyring til API-er (også tredjeparts API-er) Brukergrensesnitt for å forespørre og godkjenne tilgang mellom applikasjoner og datakilder. Flere autentiseringskilder: Feide ID-porten eduGAIN (Internasjonal pålogging) Gjestebrukere (openidp.feide.no) Sosiale nettverk (Facebook, LinkedIn, Twitter) Testbrukere
  • 4. OpenID Connect OAuth 2.0 REST API HTTP Dataporten Autentisering IDporten gjestereduGAIN Grupper … API Gatekeeper HTTP Tjeneste backend Datakilde 1 Datakilde 2 Feide Tjeneste 2 Mobil app Tjeneste 1 Web app Tjeneste 3 Datakilde 3 Grenseflate 1 Tjenester 100% selvbetjening Grenseflate 2 API / Datakilder 100% selvbetjening Grenseflate 3 Autentiseringskilder
  • 6. 6 Valg av login providere. Blandt annet ID-porten
  • 7. Litt mer om ID-porten Krever manuell godkjenning på organisasjonsnivå. Mulighet for fakturering ved mye bruk. Fødselsnummer leveres ikke videre til tjenesten by default. Planer om oppslagstjenester f.eks. mot kontakt og reservasjonsregisteret og/eller folkeregisteret. Må utredes. På planen for i år. Mulig med uthenting av data fra kilder basert på fødselsnummer uten at tjenesten får utlevert fødselsnummer. 7
  • 8. 8 Åpent for alle Studenter og utviklere kan også være tjenestetilbydere
  • 10. OAuth 2.0 and Bearer Tokens Authorization request
 https://auth.dataporten.no/oauth/authorization? response_type=code&client_id=1234 User logs in User accept consent User is redirected back to the service provider with a token (sometimes via temporary code)
 A token looks like this:
 f9ab4387-0cf2-457f-b83c-712b0c99e4b9 Service provider uses token when accessing REST APIs, such as the userinfo or groups API:
 
 GET /api/something HTTP/1.1
 Host: api.dataporten.no
 Authorization: Bearer f9ab4387-0cf2-457f-b83c-712b0c99e4b9
  • 11. OpenID Connect Identity layer on top of OAuth 2.0 Standardises userinfo endpoint Sends cryptographic signed token with user identity along with the Oauth token. JWT - JSON Web Token (various signed messages in OpenID Connect)
  • 13. 13 OpenID Connect OAuth 2.0 REST API HTTP Dataporten Autentisering IDporten gjestereduGAIN Grupper … API Gatekeeper HTTP Tjeneste backend Datakilde 1 Datakilde 2 Feide Tjeneste 2 Mobil app Tjeneste 1 Web app Tjeneste 3 Datakilde 3 FSAT Feide orgunit Feide GO adhocGroup Engine UH-AD ? BAS ? Org Orgunit undervisnings- gruppe basisgruppe kull klasse studieprogram studieretning emner organisatoriske grupper prosjekter med mer
  • 14. Gruppemodell Hent ut gruppene den påloggede brukeren er medlem i. Gruppe API GruppetypeGruppeMedlemskapPerson Andreas medlem som ansatt i avdeling for system og mellomvare organisatorisk grupe
  • 15. ad-hoc grupper Alle kan opprette ny grupper, og invitere inn andre medlemmer.
  • 16. Dataporten + Mobil-apps Studentbevis App FSAT Dataporten gir – støtte for mobil applikasjon – tilgangsstyring til FS semesterdata
 – gjenbrukbare API-er for semesterdata til andre tjenester 16 Sesjonsvarighet 8 timer eller 2 år OAuth gir mulighet for innlogging via mobil. › In-app browser vs. › System browser + 
 custom url scheme
  • 17. 17 status.dataporten.no Status utrulling av Dataporten i høyere utdanning. Grunnopplæringa.
  • 19. 19 Valg av organisasjon erstatter Feides valg av org. inkrementell søk sortering etter avstand. logoer og koordinater. Legger også til alternative påloggingsvalg: sosiale nett og IDporten. Introduserer internasjonal pålogging med selektor for land. Vises veldig skjelden. Kun første gang per bruker per maskin/nettleser
  • 20. 20 Kontovelger innfører click-trough for SSO oppmerksomhet rundt hvilken rollen man logger inn på tjenesten som. I fremtiden kan dette representere rolle- valg. En variant av det å huske hvilken institusjon man valgte å logge inn med forrige gang, og samtidig holder åpent muligheten for å velge annerledes denne gangen.
  • 21. 21 Samtykke Erstatter Feides info om overføring av attributter.
  • 22. Modell for juridisk grunnlag for utlevering av personlige data To hovedklasser: Personlig samtykke og frivillig bruk. (ikke barneskole) Obligatorisk bruk i undervisningen: databehandleravtale med mer. Disse to klassene bygges inn i Dataporten.
  • 24. OpenID Connect OAuth 2.0 REST API HTTP Dataporten Autentisering IDporten gjestereduGAIN Grupper … API Gatekeeper HTTP Tjeneste backend Datakilde 1 Datakilde 2 Feide Tjeneste 2 Mobil app Tjeneste 1 Web app Tjeneste 3 Datakilde 3 Grenseflate 1 Tjenester 100% selvbetjening Grenseflate 2 API / Datakilder 100% selvbetjening Grenseflate 3 Autentiseringskilder
  • 25. API Library Langsiktig mål om et bredt tilbud av API- er som bidrar til å minimere integrasjonskostadene ved oppbygging av nye tjenester 
 – både sektorens egne tjenester og eventuelle kommersielle tredjeparts tjenester. 25
  • 27. 27 Når man får en access token, så kan denne benyttes mot både Dataporten interne APIer, men også mot tredjeparts APIer via API Gatekeeperen. En access token er knyttet til et sett av scopes. En liste av scopes kan for eksempel være:
 userinfo, feide, email, gk_mediasite, gk_mediasite_admin OAuth 2.0 Access Token
  • 29. En endret IKT-arkitektur – enklere tjenesteutvikling og verdiskapning Enkelt grensesnitt Autentisering og datakilder i norsk utdanningssektor Dataporten Autentisering IDporten gjestereduGAIN Grupper FS Læringsanalyse Open badges Feide Tjeneste 2 Mobil app Tjeneste 1 Web app Tjeneste 3 Innholds- leverandør 1 LMS Cristin Tilgang til et stort harmonisert, attraktivt marked med lave eller fraværende integrasjonskostnader Motivasjon til å gjøre autorative datakilder standardiserte, gjenbrukbare, tilgjegenlige, forhindre leverandørbindinger Digital eksamen IaaS PaaS
  • 30. Åpne data Data hos utdanningsinstitusjoner bør deles by default. Viktig for fremtidig verdiskapning. Ikke vent på forespørsler eller konkrete behov! Kan også brukes internt! Mye enklere å håndtere datasett som ikke behøver aksesskontroll. 30
  • 31. Utlogging Utlogging i Dataporten. Applikasjon bør ha en knapp for utlogging som: Avslutter lokal sesjon, og deretter videresender brukeren til en utloggingsside hos Dataporten. Der vil Feide-sesjonen avsluttes, og andre Feidetjenester, men ikke andre Dataporten-tjenester. Mobil app, langvarige sesjoner… 31
  • 32. 32 Hva er nytt! og planer videre…
  • 33. 33 Delegering av rettigheter til grupper for en applikasjon eller API
  • 35. 35 Pilotering med integrasjon med UH-AD Også aktuelt å eksperimentere med API-er mot BAS: 
 Cerebrum, nytt felles BAS
  • 36. Mer samordnet sluttbrukeropplevelse
 Feide + Dataporten På kort sikt: loginflyt for sluttbrukere På lengre sikt: komplett samordning, alt fra kundeportal, styringsmodell, support, finansiering med mer. 36
  • 37. Grunnopplæringa Grunnopplæringa var med i piloten. Ingen dato enda for lansering (enda). Vil involvere samarbeid med IKT-senteret 37
  • 38. Signerte tokens Ønsker mulighet for å kunne signere tokens med rettigheter for spesifikke formål, som kan sendes og valideres direkte uten å benytte API Gatekeeper. 38
  • 39. Operasjonelle utvidelser for å øke tilgjengelighet Multiple datasentre 39 Datasenter 1 AuthEngine Core API Cassandra Cassandra Cassandra API Gatekeeper Group engine Datasenter 2 AuthEngine Core API Cassandra Cassandra Cassandra API Gatekeeper Group engine LB LB Trondheim Bergen Oslo Tromsø
  • 42. Open Source applikasjoner Dataporten + Docker DokuWiki MediaWiki Wordpress Drupal Mattermost GitLab Redmine WekanBoard OwnCloud Jupyter Notebook Flarum Etherpad Rocket.chat 42
  • 46. Docker + Dataporten Well suited for automation Well suited for simple configuration
 using environment variables 46