Etter en stille periode har reiseåret begynt i igjen. Denne uka var det først to dager sammen med veiledningsnodene våre og noen kommuner fra Det Digitale Trøndelag på Gardermoen. Holdt en presentasjon om et par nye teknologiløp som skal kobles mot Feide.

Dagen etter fortsatte turen inn til Oslo med et møte med DIFI og et med Vigo.

Det så ikke helt sånn ut da vi var der...

Så var det rett tilbake til Gardermoen og fly til Flesland. Torsdag var jeg med veiledningsnoden vår i Hordaland inn til Odda hvor vi presenterte Feide for et knippe Hardangerkommuner. Presentasjonen min handlet stort sett om hva identitetsforvaltning er og hva Feide var selvfølgelig.

Torsdags kveld bar det hjemover. Fredag ble en kort arbeidsdag, med et FlashMeeting med Standard Norge og prøve å komme seg gjennom masse e-poster. Backloggen med oppgaver begynner å bli lang nå, men håper å få tømt køa i løpet av neste uke.

Dette er historien om hvordan Tor begynte med fiskeoppdrett. Eventuelt er det historien om hvordan uheldige sikkerhetsvalg fører til uforutsette hendelser. Men mest kanskje om Tor, kompisen Ronny og laksen.

En gang var Tor og Ronny bestevenner. Dessverre endte vennskapet brått sent en lørdagskveld i slutten av første videregående da Lise, Ronnys kjæreste, fant ut hun likte Tor bedre enn Ronny.

De gikk alle tre på Katta og mente selv de hadde strålende karrierer som advokat, lege og IKT-konsulent foran seg. Uheldigvis for Tor var det Ronny som hadde siktet seg inn på IKT-karrieren.

Noen dager etter den skjebnesvangre lørdagskvelden var Tor innom skolebiblioteket for å skrive ut matteleksa fra LMSet. De fem PCene sto på rekke og rad like ved inngangen, under strengt oppsyn av bibliotekaren. Noe beklemt smøg Tor seg ned i stolen foran den eneste ledige maskinen. Beklemt fordi på den ene siden hadde han nå hadde Ronny på PCen til høyre og Lise trippende utålmodig utenfor døra til venstre for seg.

PCen var ferdig innlogget som vanlig så det var bare å fyre opp nettleseren. Firefox, for det var jo sikrere enn de andre. Påpasselig med å huske s'en i https logget han seg inn på LMSet. Etter at lærerne hadde begynt å føre inn karakterer i læringsplattformen måtte de alltid logge inn i to runder. Først brukernavn og passord, og så kom det et engangspassord på mobilen som de måtte skrive inn. Litt irriterende tungvint, men sikrere da. Tor skrev ut leksa på printeren til bibliotekaren, trykket på logout-knappen i LMSet og i tillegg hadde lukket nettleservinduet han hadde åpnet. Raskt rev han med seg papiret og sprintet ut til Lise.

Med et olmt blikk etter de to rullet Ronny bort til PCen som Tor hadde brukt og trykket på noen taster. Et tilfreds glis bredte seg og mens Tor hadde litt kvalitetstid med Lise hadde Ronny litt kvalitetstid han også... Med PCen Tor hadde brukt.

Sommeren ble ikke helt den Tor hadde tenkt seg. Først viste det seg at Lise ikke var helt til å stole på. Når sommerferien hadde begynt reiste hun og noen venninner til Spania, og etter Facebook-bildene å dømme hadde de det veldig... gøy... der nede.

Men i tillegg kom det et par urovekkende meldinger, og et brev han ventet på var sårt savnet. Først dukket det opp et brev fra Kemnerkontoret som påstod at selvangivelsen helt tydelig inneholdt klare feil og mangler. Dette syntes Tor var veldig merkelig i og med at han hadde sett over det han hadde fått tidligere på året og brukt den kjekke "stilltiende samtykke"-funksjonen som nå hadde kommet. Men nå var han altså kalt inn til møte.

Og så fikk Tor SMSen om at han hadde kommet inn på neste trinn på videregående. Han ble noe paff når han skulle gå inn og akseptere tilbudet. Han kunne ikke huske å ha søkt på havbruk på Frøya vgs som sitt første og eneste valg... Og brevet fra lånekassen om at stipend og lån for neste skoleår var i orden hadde jo ikke dukket opp ennå...

Det Tor aldri fant ut av var at når han gikk fra den åpne PCen og trodde han hadde logget ut fra LMSet hadde ikke nettleserprosessen blitt drept. Et annet vindu lå minimert og innloggingssesjonen var fremdeles gyldig og Ronny hadde fritt spillerom til å omforme Tors karriere fra lege til havbruk og lakseoppdretter.

Og moralen i dagens historie... Først av alt: Ikke stikk av med dama til en nerd. Det kan slå hardt tilbake.

Men også:

• Ikke alle funksjoner i en tjeneste er nødvendigvis på samme sikkerhetsnivå. Det kan da være uheldig å bruke samme sikkerhetsnivå på hele tjenesten i og med at en eksponerer alt hele tiden en bruker er innlogget. Om LMSet hadde brukt en sterkere beskyttelse bare de delene av systemet som trenger denne beskyttelsen hadde Tor aldri kommet i dette uføret.
• I et system med Single Sign-on mellom tjenester er det spesielt viktig å skille mellom sikkerhetsnivåer og velge det som er riktig for tjenesten. Bruker en for høyt nivå og det kommer på avveie får man også samtidig tilgang til andre tjenester på samme nivå i SSO-systemet, som her søknadssystemet til videre opplæring, søknad til lånekassen og endring og innlevering av selvangivelsen.
• Ikke alle tjenester bør tillate Single Sign-on. Selv om det er mulig er det enkelte tjenester som ikke bør bruke SSO. En bør selvsagt benytte samme innloggingsmekanisme, men ikke nødvendigvis SSO.
• Global Sign-out er nødvendig! For selv om Tor trykket på logout-knappen i LMSet (som her for illustrasjonens skyld) ikke implementerte global sign-out så var han bare logget ut fra LMSet. I og med at nettleserprosessen overlevde fortsatte SSO-sesjonen å være gyldig. Så Ronny kunne uten videre gå tilbake inn i LMSet som Tor, eventuelt gå til andre tjenester som godtok SSO på samme sikkerhetsnivå.

Vel... Noen tanker sent på kvelden...

To iskalde dager på Hell er fagdagene over for denne gangen. Mange interessante foredrag. Regner med presentasjonene til de andre kommer etterhvert, men mine er i alle fall her.

Equifax har begynt å utstede et "managed information card" som kan bevise at en bruker er over 18, uten at den virkelige alderen sendes til tjenesteleverandøren. På denne måten kan websider faktisk være sikker på at den som har fått utstedt dette kortet er voksen.
The Digital Oracle Comes ‘of age’

Jeg tror dette er den første "praktiske" bruken jeg har sett av infocards, sånn rent uten det å kunne logge inn med samme kort flere steder.

Hadde det ikke vært praktisk om Feide hadde vært en managed information card provider... hmmm...

Den siste uka har blogger og nisjenyhetssider vært full av informasjon om Microsofts inntreden i SAML2-verdenen. Geneva er nå ute i public beta.

Dette ser lovende ut. Native støtte både i IdP-funksjonalitet og SP-funksjonalitet i .NET. Blir spennende å se hvordan det utvikler seg.

Forhåpentligvis vil det bli en lett måte å integrere .NET-applikasjoner inn mot SAML2.0-systemer som Feide, MinID og det kommende samtrafikknavet på den ene siden og å opprette egene IdPer for intern og ekstern bruk i rene Microsoft-miljøer på den andre siden.

• "Geneva" Simplifies User Access to Applications and Services
• Microsoft 'Geneva' Framework Supports SAML 2.0, WS-Federation, and WS-Trust

Standardisering er ikke for utålmodige sjeler. To år etter at vi begynte arbeidet er standarden omsider på plass.

Ny norsk standard effektiviserer integrasjon i utdanningssektoren

Så da er steg 1 tatt, da gjenstår det "bare" for skoleeiere og leverandører å bli enige om hva og hvordan en faktisk skal implementere standarden og få den integrert så mange tjenester som mulig.... bare... :)

Plukket opp av digi:
Ny standard gir billigere skole-IT

Da var Feideskolen over for denne gang. Tror det gikk fint. Presentasjonen fra Rogaland FK som viser livssyklusen til en bruker var veldig bra.

Alle presentasjonene vil bli lagt ut etterhvert på Feide-innføring for Kommune-Norge: Seminar 3.

Holdt tre presentasjoner på slutten av dagen:

• Funksjonalitet i et brukeradministrativt system
• Krav til informasjon i Feide
• Oppbygning av en Feide-LDAP