dataporten workshop
TRANSCRIPT
Dataporten – sikker og enkel deling av data i UH-sektoren
UNINETT Fagdager 2. mai 2017
[email protected] Åkre Solberg
[email protected] Augdal
Dataporten Workshop 13:00 - 17:00
Deltakerene: noen uten pålogging til Dataporten?
Introduksjon
Om Dataporten
OAuth og OpenID Connect
API-er med mer.
Hva er nytt og hva er planer videre…
Spørsmål, diskusjon med mer underveis.
Hands-on med OAuth, OpenID Connect og API-er.
2
Hva er Dataporten? Dataporten har vært mulig å realisere på grunn av Feide, og bygger videre på plattformen for å dekke nye behov.
Nytt grensesnitt mot tjenesteleverandører som også egner seg for datatilgang. OAuth 2.0 / OpenID Connect.Samme token som utleveres ved autentisering kan brukes til å nå alle datakildene tjenesten har tilgang til. Stort potensial og forenkling for tjenesteutviklere.
Gruppe API. Mer kontekst om brukeren.
Bedre støtte for mobilapplikasjoner
100% selvbetjening. Utviklervennlig. Alle kan opprette tjenester. Ingen betaling kontrakt eller manuell godkjenning. Økt fokus på selvbetjening.
Tilgangsstyring til API-er (også tredjeparts API-er)
Brukergrensesnitt for å forespørre og godkjenne tilgang mellom applikasjoner og datakilder.
Flere autentiseringskilder:
Feide
ID-porten
eduGAIN (Internasjonal pålogging)
Gjestebrukere (openidp.feide.no)
Sosiale nettverk (Facebook, LinkedIn, Twitter)
Testbrukere
OpenID Connect
OAuth 2.0
REST APIHTTP
Dataporten
Autentisering
IDporten gjestereduGAIN
Grupper…
API GatekeeperHTTP
Tjeneste backend Datakilde 1 Datakilde 2
Feide
Tjeneste 2Mobil app
Tjeneste 1Web app
Tjeneste 3
Datakilde 3
Grenseflate 1Tjenester
100% selvbetjening
Grenseflate 2API / Datakilder
100% selvbetjening
Grenseflate 3Autentiseringskilder
5
100% selvbetjening
6
Valg av login providere. Blandt annet ID-porten
Litt mer om ID-portenKrever manuell godkjenning på organisasjonsnivå.
Mulighet for fakturering ved mye bruk.
Fødselsnummer leveres ikke videre til tjenesten by default.
Planer om oppslagstjenester f.eks. mot kontakt og reservasjonsregisteret og/eller folkeregisteret. Må utredes. På planen for i år.
Mulig med uthenting av data fra kilder basert på fødselsnummer uten at tjenesten får utlevert fødselsnummer.
7
8
Åpent for alle Studenter og utviklere
kan også være tjenestetilbydere
9
OAuth 2.0
OAuth 2.0 and Bearer Tokens
Authorization requesthttps://auth.dataporten.no/oauth/authorization?response_type=code&client_id=1234
User logs in
User accept consent
User is redirected back to the service provider with a token (sometimes via temporary code)A token looks like this:f9ab4387-0cf2-457f-b83c-712b0c99e4b9
Service provider uses token when accessing REST APIs, such as the userinfo or groups API:GET /api/something HTTP/1.1Host: api.dataporten.noAuthorization: Bearer f9ab4387-0cf2-457f-b83c-712b0c99e4b9
OpenID Connect
Identity layer on top of OAuth 2.0
Standardises userinfo endpoint
Sends cryptographic signed token with user identity along with the Oauth token.
JWT - JSON Web Token (various signed messages in OpenID Connect)
12
Grupper
13
OpenID Connect
OAuth 2.0
REST APIHTTP
Dataporten
Autentisering
IDporten gjestereduGAIN
Grupper…
API GatekeeperHTTP
Tjeneste backendDatakilde 1
Datakilde 2
Feide
Tjeneste 2Mobil app
Tjeneste 1Web app
Tjeneste 3
Datakilde 3
FSAT Feideorgunit
FeideGO
adhocGroupEngine
UH-AD?
BAS?
OrgOrgunit
undervisnings-gruppe
basisgruppe
kullklasse
studieprogramstudieretning
emner
organisatoriske grupperprosjektermed mer
Gruppemodell
Hent ut gruppene den påloggede brukeren er medlem i.
Gruppe API
GruppetypeGruppe MedlemskapPerson
Andreas medlemsom ansatt i
avdeling for system og mellomvare
organisatorisk grupe
ad-hoc grupper
Alle kan opprette ny grupper, og invitere inn andre medlemmer.
Dataporten + Mobil-apps Studentbevis App FSAT Dataporten gir – støtte for mobil applikasjon – tilgangsstyring til FS semesterdata– gjenbrukbare API-er for semesterdata til andre tjenester
16
Sesjonsvarighet 8 timer eller 2 år OAuth gir mulighet for innlogging via mobil. › In-app browser vs. › System browser + custom url scheme
17
status.dataporten.no Status utrulling av Dataporten i høyere utdanning.
Grunnopplæringa.
for sluttbrukeren
19
Valg av organisasjon
erstatter Feides valg av org.
inkrementell søk
sortering etter avstand. logoer og koordinater.
Legger også til alternative påloggingsvalg: sosiale nett og IDporten.
Introduserer internasjonal pålogging med selektor for land.
Vises veldig skjelden. Kun første gang per bruker per maskin/nettleser
20
Kontovelger
innfører click-trough for SSO
oppmerksomhet rundt hvilken rollen man logger inn på tjenesten som.
I fremtiden kan dette representere rolle-valg.
En variant av det å huske hvilken institusjon man valgte å logge inn med forrige gang, og samtidig holder åpent muligheten for å velge annerledes denne gangen.
21
Samtykke
Erstatter Feides info om overføring av attributter.
Modell for juridisk grunnlag for utlevering av personlige data
To hovedklasser:
Personlig samtykke og frivillig bruk. (ikke barneskole)
Obligatorisk bruk i undervisningen: databehandleravtale med mer.
Disse to klassene bygges inn i Dataporten.
23
Flere datakilder
OpenID Connect
OAuth 2.0
REST APIHTTP
Dataporten
Autentisering
IDporten gjestereduGAIN
Grupper…
API GatekeeperHTTP
Tjeneste backend Datakilde 1 Datakilde 2
Feide
Tjeneste 2Mobil app
Tjeneste 1Web app
Tjeneste 3
Datakilde 3
Grenseflate 1Tjenester
100% selvbetjening
Grenseflate 2API / Datakilder
100% selvbetjening
Grenseflate 3Autentiseringskilder
API Library
Langsiktig mål om et bredt tilbud av API-er som bidrar til å minimere integrasjonskostadene ved oppbygging av nye tjenester – både sektorens egne tjenester og eventuelle kommersielle tredjeparts tjenester.
25
26
Litt om API Gatekeeper
27
Når man får en access token, så kan denne benyttes mot både Dataporten interne APIer, men også mot tredjeparts APIer via API Gatekeeperen.
En access token er knyttet til et sett av scopes. En liste av scopes kan for eksempel være:userinfo, feide, email, gk_mediasite, gk_mediasite_admin
OAuth 2.0 Access Token
28
Klient
API Gatekeeper
En endret IKT-arkitektur – enklere tjenesteutvikling og verdiskapning
Enkelt grensesnitt
Autentisering og datakilder i norsk utdanningssektor
Dataporten
Autentisering
IDporten gjestereduGAIN
Grupper FS Læringsanalyse Open badges
Feide
Tjeneste 2Mobil app
Tjeneste 1Web app
Tjeneste 3
Innholds-leverandør 1LMS Cristin
Tilgang til et stort harmonisert, attraktivt marked med lave eller fraværende integrasjonskostnader
Motivasjon til å gjøre autorative datakilderstandardiserte, gjenbrukbare, tilgjegenlige, forhindre leverandørbindinger
Digital eksamen
IaaSPaaS
Åpne data
Data hos utdanningsinstitusjoner bør deles by default.
Viktig for fremtidig verdiskapning.
Ikke vent på forespørsler eller konkrete behov!
Kan også brukes internt!
Mye enklere å håndtere datasett som ikke behøver aksesskontroll.
30
UtloggingUtlogging i Dataporten.
Applikasjon bør ha en knapp for utlogging som:
Avslutter lokal sesjon,
og deretter videresender brukeren til en utloggingsside hos Dataporten.
Der vil Feide-sesjonen avsluttes, og andre Feidetjenester,
men ikke andre Dataporten-tjenester.
Mobil app, langvarige sesjoner…
31
32
Hva er nytt! og planer videre…
33
Delegering av rettigheter til grupper for en applikasjon eller API
34
International users
35
Pilotering med integrasjon med UH-AD Også aktuelt å eksperimentere med API-er mot BAS:
Cerebrum, nytt felles BAS
Mer samordnet sluttbrukeropplevelseFeide + Dataporten
På kort sikt: loginflyt for sluttbrukere
På lengre sikt: komplett samordning, alt fra kundeportal, styringsmodell, support, finansiering med mer.
36
Grunnopplæringa
Grunnopplæringa var med i piloten.
Ingen dato enda for lansering (enda).
Vil involvere samarbeid med IKT-senteret
37
Signerte tokensØnsker mulighet for å kunne signere tokens med rettigheter for spesifikke formål, som kan sendes og valideres direkte uten å benytte API Gatekeeper.
38
Operasjonelle utvidelser for å øke tilgjengelighet
Multiple datasentre
39
Datasenter 1
AuthEngine Core API
Cassandra Cassandra Cassandra
API Gatekeeper
Group engine
Datasenter 2
AuthEngine Core API
Cassandra Cassandra Cassandra
API Gatekeeper
Group engine
LB LB
TrondheimBergen
OsloTromsø
40
Biblioteker og demokode
Open Source applikasjoner Dataporten + Docker
DokuWiki
MediaWiki
Wordpress
Drupal
Mattermost
GitLab
Redmine
WekanBoard
OwnCloud
Jupyter Notebook
Flarum
Etherpad
Rocket.chat42
Flarum
43Etherpad
Rocket.chat
44
Libraries 45
Docker + Dataporten
Well suited for automation
Well suited for simple configuration using environment variables
46