Etter en stille periode har reiseåret begynt i igjen. Denne uka var det først to dager sammen med veiledningsnodene våre og noen kommuner fra Det Digitale Trøndelag på Gardermoen. Holdt en presentasjon om et par nye teknologiløp som skal kobles mot Feide.

Dagen etter fortsatte turen inn til Oslo med et møte med DIFI og et med Vigo.

Det så ikke helt sånn ut da vi var der...

Så var det rett tilbake til Gardermoen og fly til Flesland. Torsdag var jeg med veiledningsnoden vår i Hordaland inn til Odda hvor vi presenterte Feide for et knippe Hardangerkommuner. Presentasjonen min handlet stort sett om hva identitetsforvaltning er og hva Feide var selvfølgelig.

Torsdags kveld bar det hjemover. Fredag ble en kort arbeidsdag, med et FlashMeeting med Standard Norge og prøve å komme seg gjennom masse e-poster. Backloggen med oppgaver begynner å bli lang nå, men håper å få tømt køa i løpet av neste uke.

Dette er historien om hvordan Tor begynte med fiskeoppdrett. Eventuelt er det historien om hvordan uheldige sikkerhetsvalg fører til uforutsette hendelser. Men mest kanskje om Tor, kompisen Ronny og laksen.

En gang var Tor og Ronny bestevenner. Dessverre endte vennskapet brått sent en lørdagskveld i slutten av første videregående da Lise, Ronnys kjæreste, fant ut hun likte Tor bedre enn Ronny.

De gikk alle tre på Katta og mente selv de hadde strålende karrierer som advokat, lege og IKT-konsulent foran seg. Uheldigvis for Tor var det Ronny som hadde siktet seg inn på IKT-karrieren.

Noen dager etter den skjebnesvangre lørdagskvelden var Tor innom skolebiblioteket for å skrive ut matteleksa fra LMSet. De fem PCene sto på rekke og rad like ved inngangen, under strengt oppsyn av bibliotekaren. Noe beklemt smøg Tor seg ned i stolen foran den eneste ledige maskinen. Beklemt fordi på den ene siden hadde han nå hadde Ronny på PCen til høyre og Lise trippende utålmodig utenfor døra til venstre for seg.

PCen var ferdig innlogget som vanlig så det var bare å fyre opp nettleseren. Firefox, for det var jo sikrere enn de andre. Påpasselig med å huske s'en i https logget han seg inn på LMSet. Etter at lærerne hadde begynt å føre inn karakterer i læringsplattformen måtte de alltid logge inn i to runder. Først brukernavn og passord, og så kom det et engangspassord på mobilen som de måtte skrive inn. Litt irriterende tungvint, men sikrere da. Tor skrev ut leksa på printeren til bibliotekaren, trykket på logout-knappen i LMSet og i tillegg hadde lukket nettleservinduet han hadde åpnet. Raskt rev han med seg papiret og sprintet ut til Lise.

Med et olmt blikk etter de to rullet Ronny bort til PCen som Tor hadde brukt og trykket på noen taster. Et tilfreds glis bredte seg og mens Tor hadde litt kvalitetstid med Lise hadde Ronny litt kvalitetstid han også... Med PCen Tor hadde brukt.

Sommeren ble ikke helt den Tor hadde tenkt seg. Først viste det seg at Lise ikke var helt til å stole på. Når sommerferien hadde begynt reiste hun og noen venninner til Spania, og etter Facebook-bildene å dømme hadde de det veldig... gøy... der nede.

Men i tillegg kom det et par urovekkende meldinger, og et brev han ventet på var sårt savnet. Først dukket det opp et brev fra Kemnerkontoret som påstod at selvangivelsen helt tydelig inneholdt klare feil og mangler. Dette syntes Tor var veldig merkelig i og med at han hadde sett over det han hadde fått tidligere på året og brukt den kjekke "stilltiende samtykke"-funksjonen som nå hadde kommet. Men nå var han altså kalt inn til møte.

Og så fikk Tor SMSen om at han hadde kommet inn på neste trinn på videregående. Han ble noe paff når han skulle gå inn og akseptere tilbudet. Han kunne ikke huske å ha søkt på havbruk på Frøya vgs som sitt første og eneste valg... Og brevet fra lånekassen om at stipend og lån for neste skoleår var i orden hadde jo ikke dukket opp ennå...

Det Tor aldri fant ut av var at når han gikk fra den åpne PCen og trodde han hadde logget ut fra LMSet hadde ikke nettleserprosessen blitt drept. Et annet vindu lå minimert og innloggingssesjonen var fremdeles gyldig og Ronny hadde fritt spillerom til å omforme Tors karriere fra lege til havbruk og lakseoppdretter.

Og moralen i dagens historie... Først av alt: Ikke stikk av med dama til en nerd. Det kan slå hardt tilbake.

Men også:

• Ikke alle funksjoner i en tjeneste er nødvendigvis på samme sikkerhetsnivå. Det kan da være uheldig å bruke samme sikkerhetsnivå på hele tjenesten i og med at en eksponerer alt hele tiden en bruker er innlogget. Om LMSet hadde brukt en sterkere beskyttelse bare de delene av systemet som trenger denne beskyttelsen hadde Tor aldri kommet i dette uføret.
• I et system med Single Sign-on mellom tjenester er det spesielt viktig å skille mellom sikkerhetsnivåer og velge det som er riktig for tjenesten. Bruker en for høyt nivå og det kommer på avveie får man også samtidig tilgang til andre tjenester på samme nivå i SSO-systemet, som her søknadssystemet til videre opplæring, søknad til lånekassen og endring og innlevering av selvangivelsen.
• Ikke alle tjenester bør tillate Single Sign-on. Selv om det er mulig er det enkelte tjenester som ikke bør bruke SSO. En bør selvsagt benytte samme innloggingsmekanisme, men ikke nødvendigvis SSO.
• Global Sign-out er nødvendig! For selv om Tor trykket på logout-knappen i LMSet (som her for illustrasjonens skyld) ikke implementerte global sign-out så var han bare logget ut fra LMSet. I og med at nettleserprosessen overlevde fortsatte SSO-sesjonen å være gyldig. Så Ronny kunne uten videre gå tilbake inn i LMSet som Tor, eventuelt gå til andre tjenester som godtok SSO på samme sikkerhetsnivå.

Vel... Noen tanker sent på kvelden...

Equifax har begynt å utstede et "managed information card" som kan bevise at en bruker er over 18, uten at den virkelige alderen sendes til tjenesteleverandøren. På denne måten kan websider faktisk være sikker på at den som har fått utstedt dette kortet er voksen.
The Digital Oracle Comes ‘of age’

Jeg tror dette er den første "praktiske" bruken jeg har sett av infocards, sånn rent uten det å kunne logge inn med samme kort flere steder.

Hadde det ikke vært praktisk om Feide hadde vært en managed information card provider... hmmm...

The ‘cloud’ has become the technological buzzword of the moment, but behind the hype it offers a computing model that has the potential to provide IT services that can be accessed through the internet, based on predictable costs, freeing educational establishments from the need to plan for, maintain, support and replace significant portions of the infrastructure. Most of the issues that remain to be resolved (such as security, reliability, control and continuity) are not unique to cloud-
based services - only the location and relative importance have altered. Cloud computing does pose different levels of risk (especially for mission critical services) so, if considering adoption, the issues around passing control of data to third parties, continuity of service and reliance on connectivity will need to be carefully considered on a case by case basis. Some of the technologies are immature and capacity is still being built, so most institutions are likely to be selective in their choice of available services, depending on strategic priorities, inherent risks and readiness to adopt innovative models.
- Becta’s TechNews. The November 2008 edition

Bectas Technews denne måneden ser på cloud computing, 3D-skjermer og Web2.0 i læring på ungdomstrinnet. Vel verdt å bruke litt tid på.

Når går standarder, standardisering og standardløsninger over fra å være et hjelpemiddel til å bli en tvangstrøye? I mitt daglige arbeid møter jeg på standarder av et eller annet slag hele tiden. Det kan for eksempel være gjennom formell standardisering av grensesnitt og lignende, standardisering av prosesser/aktiviteter av forskjellige slag eller standardisering av maskinvare/programvare. Dessverre virker det som om at de fleste ikke fungerer slik de skal...

Dette kommer jo naturlig nok av den enkle årsaken at standardløsninger og standarder som fungerer for meg har ikke er synlige. Det er sannsynligvis hundrevis, tusenvis av løsninger rundt meg daglig som jeg ikke legger merke til fordi de bare fungerer. De som ikke fungerer derimot irriterer og, om de blir plagsomme nok, blir prøvd omgått på et eller annet vis.

Etter min mening kommer alt ned til om en standard/standardløsning dekker behovet mitt. Mitt behov, ingen andres. Uansett hvor mange logiske og fornuftige forklaringer på hvorfor det er sånn vil det skape irritasjon når noe ikke fungerer for meg.

Dermed er jo egentlig etablering av standardløsninger problematisk fra begynnelsen. En standard løsning skal per definisjon gjelde for flere personer/systemer og alle har forskjellige behov. Og alle blir misfornøyd om behovene ikke dekkes. Så når går en standardløsning fra å være nyttig til å bli en tvangstrøye og uholdbart irritasjonsmoment?

Så hva gjør en da når en prøver å lage en standard/standardløsning? Prøve å dekke alle tenkelige behov? Unionen av behovene til alle de som skal bruke den? Det hadde kanskje vært det ideelle, men rent praktisk blir det umulig om en ikke har full oversikt over de som skal benytte standarden/løsningen. Og om en har full oversikt vil det sannsynligvis bli veldig dyrt å opprette og vedlikeholde. En må også huske at behovene endrer seg over tid, så en god løsning nå er ikke nødvendigvis en god løsning om et år eller to.

En annen måte å tenke på er at en skal dekke alle de behovene som er felles for alle/de fleste som skal bruke resultatet. Snittet av behovene, om en tenker mengder. En kjerne som en har god kontroll over. Dette vil sannsynligvis bli en billig, trygg og stabil løsning. Det innlysende problemet her er at en ender opp med en løsning ingen er fornøyd med da den ikke dekker noens behov. Dette vil være en skikkelig tvangstrøye for de fleste og om trøyen er stram nok vil folk gjøre hva som helst for å komme seg ut av den.

Damned if you do, damned if you don't...

Så mange standarder ender opp en eller annen plass i midten. En prøver å finne en balansegang mellom det å ta høyde for forskjellige behov uten å bli altomfattende. Det sies at en standardiseringsprosess er vellykket om alle som bruker resultatet er litt misfornøyd. Ingen har fått tilfredsstilt alle sine behov på bekostning av andre og alle har fått noen behov dekket. Om nok behov er tatt høyde for vil resultatet kunne bli en suksess.

Men jeg må innrømme at jeg i dagens verden, innen IKT-feltet, forventer mer enn dette. Ganske mye mer. Det er helt nødvendig at en prøver å lage gode standarder/standardløsninger som beskrevet i avsnittene over, men da forventer jeg at om jeg har kompetanse og behov for det skal jeg kunne utvide standarden så den passer meg og de jeg samarbeider med. Gjerne innen et definert rammeverk og måte å gjøre ting på, men det må være mulig. En størrelse passer ikke alle, og med IKT-systemer har vi faktisk muligheten til å tillate dette uten at det blir alt for kostbart.

Så får vi muligheten til å velge. En trygg sikker fellesløsning som er garantert å virke, men bare dekker deler av ens behov. Eller en mer tilpasset versjon der felleskomponentene fungerer sammen med andre, men med egne utvidelser som en selv har ansvaret for og som ikke nødvendigvis vil fungere utover dine egne systemer.

Storforlangende? Ja, kanskje. Men om en har kompetansen og ressursene burde det være mulig. Enten det nå er snakk om grensesnitt, teknologiløsninger, driftsprosesser eller server-/klientdrift. Det gjelder bare å finne riktig nivå å standardisere på. Men mer om det en annen gang tror jeg...

Den siste uka har blogger og nisjenyhetssider vært full av informasjon om Microsofts inntreden i SAML2-verdenen. Geneva er nå ute i public beta.

Dette ser lovende ut. Native støtte både i IdP-funksjonalitet og SP-funksjonalitet i .NET. Blir spennende å se hvordan det utvikler seg.

Forhåpentligvis vil det bli en lett måte å integrere .NET-applikasjoner inn mot SAML2.0-systemer som Feide, MinID og det kommende samtrafikknavet på den ene siden og å opprette egene IdPer for intern og ekstern bruk i rene Microsoft-miljøer på den andre siden.

• "Geneva" Simplifies User Access to Applications and Services
• Microsoft 'Geneva' Framework Supports SAML 2.0, WS-Federation, and WS-Trust

IT-Forum er igjen vel overstått. Denne gangen var det Oslo som huset forumet med personer fra fylkeskommuner og forskjellige leverandører. Bra program og god gjennomføring.

Litt småproblemer med informasjon i forkant av forumet, men...

Til våren er det Møre og Romsdal Fylke som skal arrangere.