Identitetsforvaltning

Jeg lurer på hvorfor alle tjenester vil vite hvem brukeren er. For veldig mange tjenester burde dette være helt uinteressant. Er det fordi de har et faktisk behov jeg ikke ser, de tror de trenger det, eller vet de bare ikke bedre?

I dag fikk vi et av de “vanlige” spørsmålene til Feide. Lettere omskrevet kan det summeres opp i “Hvor ofte må passord byttes?”

Hva skal en svare på dette? Det mest riktige og definitivt minst hjelpsomme svaret vil være “Det kommer an på”. Litt bedre er “Så ofte tjenesten trenger det for å tilfredstille sikkerhetsbehovet, og så sjelden at brukeren ikke begynner å skrive ned passordet eller lager gjennomskuelige passordmønstre ved påtvunget skifte.”

Professor Eugene Spafford ved Center for Education and Research in Information Assurance and Security (CERIAS) skrev for noen år siden et par blogginnlegg som fremdeles er veldig interessante i denne sammenhengen. Begge innleggene bør leses i sin helhet, men under gjengir jeg noen oppsummeringer og et par egne tanker.

Jeg tenker på informasjon som mat. En del informasjonselementer er hermetikk og varer nesten evig, noen har en bestemt varighet og er ubrukelige etter en bestemt dato, mens en del er ferskvare som etter en periode blir sur og råtner.

Finnes det noen måte for den som mottar informasjon å si om den er spiselig eller ikke?
 

Feides nye versjon av innloggingstjenesten er nå oppe i pilot og sett fra brukersiden vil dette bli en stor endring. Brukergrensesnittet endres totalt, og alle tilbakemeldinger vi har fått tyder på at det har blitt til det bedre.

Omleggingen vil også gi oss muligheten til å gjøre flere tilpasninger i bakkant enn det vi har hatt muligheten til tidligere.

 JISC har publisert en rapport om OpenID. James Farnhill oppsummerer rapporten slik:

- General findings were that OpenID is not a technology that can currently be used within UK HE and FE as SPs are unwilling to support it due to a number of flaws around assurance;

 

Feides kundeportal er nå oppdatert med informasjon om hvilke tjenester som trenger egne avtaler med tjenesteleverandørene og hvilke som er fritt tilgjengelige for alle.

 

Dette er historien om hvordan Tor begynte med fiskeoppdrett. Eventuelt er det historien om hvordan uheldige sikkerhetsvalg fører til uforutsette hendelser. Men mest kanskje om Tor, kompisen Ronny og laksen. En gang var Tor og Ronny bestevenner. Dessverre endte vennskapet brått sent en lørdagskveld i slutten av første videregående da Lise, Ronnys kjæreste, fant ut hun likte Tor bedre enn Ronny. De gikk alle tre på Katta og mente selv de hadde strålende karrierer som advokat, lege og IKT-konsulent foran seg. Uheldigvis for Tor var det Ronny som hadde siktet seg inn på IKT-karrieren.

To iskalde dager på Hell er fagdagene [lenke endret - siden eksisterer ikke lenger] over for denne gangen. Mange interessante foredrag. Regner med presentasjonene til de andre kommer etterhvert, men mine er i alle fall her.

Den siste uka har blogger og nisjenyhetssider vært full av informasjon om Microsofts inntreden i SAML2-verdenen. Geneva er nå ute i public beta. Dette ser lovende ut. Native støtte både i IdP-funksjonalitet og SP-funksjonalitet i .NET. Blir spennende å se hvordan det utvikler seg. Forhåpentligvis vil det bli en lett måte å integrere .NET-applikasjoner inn mot SAML2.0-systemer som Feide, MinID og det kommende samtrafikknavet på den ene siden og å opprette egene IdPer for intern og ekstern bruk i rene Microsoft-miljøer på den andre siden.