Federationer kan vara förvirrande

Lyssnade på några av de vanliga federationsförespråkarna för ett tag sedan och drabbades av (förstärkta) insikter, som nog gäller för köpta tjänster för autentisering med e-legitimation också. Ni som vet hur det funkar kan sluta läsa här.

Federationer typ SAMBI och Skolfederationen säljs in med påståendet att SAML-biljetterna levererar "identitet" (federationerna sägs vara idP, "identity providers") "behörighet" (federationerna har tillgång till kataloger med behörighetsdata) och "SSO".

Men det gör de inte.

De levererar en biljett till anslutna tjänster med information om att användaren som "äger" biljetten har autentiserats (ibland också hur) och med behörighetskatalogdata för användarens konto (ibland redigerade, beroende på anslutna tjänsters behov).

Varje tjänst (varje till federationen ansluten leverantör. alltså) måste forfarande ta ställning till om autentiseringen av användaren är tillräckligt stark och om det är OK att tilldela användarkontot behörighet enligt tjänstens egna regler, här finns inga säkra genvägar. Tjänsten måste också kunna inse att biljetten utfärdats för den tjänst man tillhandahåller, dvs att användaren verkligen vill använda just den specifika tjänsten, och att biljetten utfärdats för den användare som vill in, ingen annan. Biljetthanteringen är således kritisk för förtroendet för federationen.

Federationerna skapar normalt "SSO" genom att biljetten som sådan lite oegentligt kallas för - eller tilldelas egenskapen - "session". Så länge biljetten är giltig sköter federationstjänsten påloggningarna till de tjänster som väljer att lita på biljetten. Detta sker i bakgrunden, utan att användaren själv behöver göra inloggningshandgreppen. Praktiskt för användaren, iofs. Men det är inte riktigt Single SignOn, bara nästan.

Jag tror federationsförespråkarna skulle tjäna på att inte skapa förvirring kring begreppen utan tala om vad federationer faktiskt gör. För federationer kan vara riktigt bra för vissa ändamål.