Oj, det här var mycket och svårt.
Både diskussionen och det som skrivits nedan är både bra och dåligt.
* Bra eftersom vi alla verkligen får tänka till och fundera över detta och inser (i
alla fall jag) att detta inte på långa vägar är utrett.
* Dåligt eftersom det inte ens för oss är fullkomligt solklart och barnsligt uppenbart
vilket det i den bästa av världar borde vara.
Jag vet att jag såg någon bregreppsmodell för detta way back then så den är troligtvis
inte relevant längre men den var oerhört omfattande med många lager och kopplingar. Men
frågan är om det finns något nyare man kan utgå ifrån, jag vet själv inte om någon och jag
vill inte att det skall vara någon amerikansk smörja där checkar och transaktioner får
identiteter och där man hackar upp allt i mikroskopiska delar som knappt går att
särskilja.
Jag skall inte ännu ge mig in i diskusen då jag inte är på det klara med vad jag tycker så
jag gör som Yoda ”meditate on this I will”.
Men jag tror att vi komplicerar det hela för mycket, jag gillade det vi gjorde sist på
wohiteboarden när vi började lägga olika saker i olika lådor.
Det här kommer ni säkert att lösa på kvällen i Umeå nästa vecka 😉
/Mikael
C. M. Wettercrantz | Arkitekt och strateg
UF/ITA | Karolinska Institutet
Nobels väg 5 | 171 77 Stockholm
08-524 868 98
ki.se<http://ki.se/start>
______________________________________
Karolinska Institutet – ett medicinskt universitet
From: Ola Ljungkrona <ola.ljungkrona(a)gu.se>
Sent: Friday, 13 January 2023 16:00
To: Per-Olof Andersson <pelle.andersson(a)uu.se>se>; Johan Peterson
<johan.peterson(a)liu.se>se>; atitf(a)lists.sunet.se
Subject: [Atitf] Re: IAM
Hej,
Mycket bra Pelle! Håller med dig – mycket bättre än vad jag själv kan uttrycka det! Det
kanske är jag som gör det svårt som jag sa. Jag har läst mycket noga nu och ser inte ngt
som jag inte håller med och börjar undra vad det är vi diskuterade om egentligen! 😊 Några
kommentarer.
Pelle: Det som krävs är att det finns tillit till den digitala identitet man väljer att
använda och att det finns attribut som unikt knyter samman identiteterna:
Exakt! Referensintegritet mellan system kallar jag det – detta sker ofta med
systemintegration. Provisionering kan ske vid första inlogg men efter det krävs
livscykelhantering eller har jag fel!?
Pelle: Är det då digitala identiteter i t ex Primula? Johan hävdar att det inte är så och
jag håller med. Primula innehåller personuppgifter som gör att vi unikt kan identifiera
personer men eftersom det inte finns någon mekanism för att de registrerade personerna ska
kunna nyttja informationen för att med trovärdighet visa för Primula eller någon annan att
”titta det här är jag, släpp in mig” så är det inte en digital identitet. Släng på ett
internt lösenord i Primula och en mekanism för att logga in med det så är det plötsligt en
digital identitet men intern för systemet ifråga.
Exakt! Jag måste uttrycka mig väldigt dåligt… Dvs Primula är ett register i första hand.
Men ett register vi litar på och använder för att skapa ”konton”, precis som Johan
skriver.
Johan skriver:
hemligheten som är det kostsamma.
Tycker nog att det är livscykel och behörigheter baserat på verksamhetsregler är det dyra
samt att bedöma tillit på en identitet, alltså processen för att släppa på och att vetting
är dyrt.
Ha en go helg!
Ola
Från: Per-Olof Andersson
<pelle.andersson@uu.se<mailto:pelle.andersson@uu.se>>
Skickat: den 13 januari 2023 10:24
Till: Ola Ljungkrona <ola.ljungkrona@gu.se<mailto:ola.ljungkrona@gu.se>>;
Johan Peterson <johan.peterson@liu.se<mailto:johan.peterson@liu.se>>;
atitf@lists.sunet.se<mailto:atitf@lists.sunet.se>
Ämne: Re: [Atitf] Re: IAM
Hej!
Jag håller nästan med. När vi pratar identitet i detta sammanhang så menar vi digital
identitet vilket inte är riktigt samma sak som bara identitet. Person och digital
identitet är olika saker och inte olika representationer av samma sak. En digital
identitet kan representera en person, men behöver inte göra det. Den kan också
representera en maskin, en applikation eller något annat som entydigt behöver
identifieras. En person kan representeras av flera olika digitala identiteter. T ex har
jag två digitala identiteter på UU (anställd och student) samt digitala identiteter hos
företag som Microsoft, Google och Facebook och digitala identiteter direkt i en massa
webbtjänster.
Digitala identiteter kan ha olika former. T ex är många digitala identiteter konton, men
mitt BankID är också en digital identitet som representerar mig.
Den digitala identiteten har ett eller flera attribut som identifierar den unikt inom en
viss kontext. T ex är min identifierare vid UU peroande och unik inom lärosätet.
Kompletteras den till peroande@user.uu.se<mailto:peroande@user.uu.se> blir det en
identifierare som är unik inom kontexten Swamid. Digitala identiteter som har mitt
personnummer som attribut identifierar mig unikt inom Sverige (för de som väljer att lita
på den digitala identiteten ifråga).
För att den eller det som representeras av den digitala identiteten ska kunna styrka
rätten att agera som identiteten behövs något som bevisar ägandet av identiteten. Det kan
vara ett lösenord, ett certifikat, biometrisk data eller något annat. Men kan du ha en
digital identitet utan att det direkt finns något som bevisar ditt ägande av den? Det
hävdar jag att det gör. Det går nämligen att använda en digital identitet för att bevisa
ägandet av en annan. Det som krävs är att det finns tillit till den digitala identitet man
väljer att använda och att det finns attribut som unikt knyter samman identiteterna, t ex
ett personnummer. Jag skulle kunna välja att skapa digitala identiteter vid UU utan
lösenord och utnyttja e-legitimation för autentiseringen. Min IdP litar på den identitet
som kommer från e-legitimationen och mappar den till en UU-identitet som är den som
förmedlas till tjänsten som begärt uppgifterna.
Är det då digitala identiteter i t ex Primula? Johan hävdar att det inte är så och jag
håller med. Primula innehåller personuppgifter som gör att vi unikt kan identifiera
personer men eftersom det inte finns någon mekanism för att de registrerade personerna ska
kunna nyttja informationen för att med trovärdighet visa för Primula eller någon annan att
”titta det här är jag, släpp in mig” så är det inte en digital identitet. Släng på ett
internt lösenord i Primula och en mekanism för att logga in med det så är det plötsligt en
digital identitet men intern för systemet ifråga.
Begreppsmodell:
Person eller sak har en eller flera digitala identiteter som representerar dem
En digital identitet har minst en identifierare som unik i en viss kontext. Den har också
godtyckligt antal attribut som beskriver personen eller saken den representerar.
Till den digitala identiteten behöver knytas en hemlighet (lösenord) eller något som
innehavaren av identiteten äger (t ex biometridata) om innehavaren av identiteten ska
kunna använda den autentisering.
/Pelle
From: Ola Ljungkrona <ola.ljungkrona@gu.se<mailto:ola.ljungkrona@gu.se>>
Date: Thursday, 12 January 2023 at 10:07
To: Johan Peterson <johan.peterson@liu.se<mailto:johan.peterson@liu.se>>,
"atitf@lists.sunet.se<mailto:atitf@lists.sunet.se>"
<atitf@lists.sunet.se<mailto:atitf@lists.sunet.se>>
Subject: [Atitf] Re: IAM
Vi gör en begreppsmodell..
Person
Identitet
Konto
Hemlighet
Profil
Intern ID
Men jag sätter:
Konto, profil och internt ID som implementation och Identitet som digital logisk
representation och Person som fysisk.
Det som vi skickar mellan ”system” är identiteter, men för att hålla ihop det behövs konto
både på IdP och lokalt..
Så det skiljer inte jättemycket men lite.
//Ola
Från: Johan Peterson via Atitf
<atitf@lists.sunet.se<mailto:atitf@lists.sunet.se>>
Skickat: den 11 januari 2023 23:37
Till: atitf@lists.sunet.se<mailto:atitf@lists.sunet.se>
Ämne: [Atitf] Re: IAM
Info: Detta mail kommer från en extern avsändare. Iaktta varsamhet!
Tja,
Jag håller med Per, det kan vara tvärt om också! Eller kanske en kombination? 😉
Det är ju diskussioner som är kul jue! Utan diskussiuoner är det som att programmera utan
if-satser. Är det programmering då??
Jag hade en kompis som påstod att programmering uppstår vid första if-satsen. Jag gillar
tanken 😄
Nåja till saken.
Det jag inte håller med dig om är din definition av identitet. Låt mig försöka förklara
hur jag tänker.
Antag att jag skapar en ny cool app, Wohiteboard kan vi kalla den. 😄
* Användare loggar in i min app med federerad inloggning.
* Man behöver inte finnas i förväg, jag tillåter alla i federationen att använda
appen.
* När du skapar en ny wohiteboard skapar jag ett lokalt objekt för den i objektet
finns en plats för eppn där jag skriver in ditt eppn. Nu vet jag vilka wohiteboard:s som
du skapat och kan låta dig och inga andra se dem.
I min app finns inga identiteter påstår jag. Bara data med tillhörande metadata. Ändå har
jag en hård koppling mellan dig och dina wohiteboard:s.
Om jag nu utvecklar appen och skapar en profil åt alla som loggar in? I din profil kan
du...
* ladda upp en bild
* välja nickname m.m.
Wohiteboard:sarna kopplar jag nu till mitt interna ID och låter eppn ligga som ett
attribut på profilobjektet/personobjektet i stället.
Är det nu en identitet? Nej säger jag. Det är ett personobjekt eller ett profilobjekt.
En identitet, enligt mig, uppstår när du loggar in med ett konto - i den inloggade
sessionen. Endast då har vi en levande koppling till personen bakom. Det är SAML biljetten
eller JSON Web Token som är identiteten. Inte personuppgifteri ett system.
Varför tycker jag så? Lugn i stormen, låt mig förklara konto först! 😉
För att en identitet ska kunna uppstå behövs ett konto med en eller flera faktorer
(hemligheter) som bara är kopplade till mig. Det kan vara lösenord men måste inte vara
det. Det kan finnas ett användarnamn men måste inte det. Det kan finnas personuppgifter
men måste inte det. Men utöver faktorn/faktorerna måste det finnas något som gör det unikt
i mitt system, en identifierare.
Varför är inte ett konto en identitet i så fall, och varför är inte ett personobjekt en
identitet?
Om jag startar Excel på min dator, eller varför inte en databas, och skapar en tabell och
lägger in Ola Ljungkrona som namn, ola.ljungkrona@gu.se<mailto:ola.ljungkrona@gu.se>
som eppn och varför inte hitta på ett lösenord också... Det kan ju inte vara en identitet.
Det finns ju ingen som helst koppling till riktiga Ola, bara jag som hittar på ju. Även om
jag skulle råka slumpa samma lösenord som Ola har på GU är det bara död data. I bästa fall
kan man kalla det för ett konto ifall jag kan använda informationen att logga in med, men
så länge det inte är knutet till riktiga Ola tycker inte jag att det är en identitet.
Kanske är detta att dra det onödigt långt, jag kan inte bestämma mig. Ska man vara lite
mer fritolkande kan jag gå med på identitet=konto. Men då måste det finns en hemlighet
kopplad i mitt system som bara jag (systemet) och användaren kan använda. Tänk på vad en
IdP är - Identity Provider. Jag tycker det rimmar med min tolkning.
<<Anledningen till att jag tycker att det här är viktigt att reda ut är att detta är
I:et i IAM.>>
Tänkvärt, om alla personobjekt i Primula skulle vara identiteter innebär det att Primula
blir en Identity Provider. Men jag kan ju inte logga in med mina Primulauppgifter!
Även om Primula innehåller mycket information om mig - och troligtvis är källan för mycket
av det - är den informationen så mycket billigare att hantera än identiteten.
Det är identiteten, eller om man ska extrahera, hemligheten som är det kostsamma.
Mitt namn t.ex. är billigt för det måste inte vara minst 10 tecken, jag behöver inte byta
namn en gång i kvartalet, jag behöver inte ens ha specialtecken i namnet! 😄 Inte nog med
det, jag kan använda samma namn i alla system! Wohoo, enkelt att komma ihåg. Faktum är att
jag kan använda mitt namn utan att behöva en authenticator app på min trasiga telefon....
jaja ni fattar! 😋
Om jag använder en identitet för att skapa ett lokalt konto kommer skapandet att vara
smidigt för både mig och min organisation. Men så fort kontot finns där (=faktorer finns
där) och måste användas flyttas förvaltningskostnaden över till organisationen. Det är
därför jag vill gå så långt att slippa ett lokalt AD.
Eller... egentligen är det inte helt sant. Jag tänkte lite fel på mötet idag angående M365
och AAD. Man kan ju använda en extern IdP för att logga in i M365. De flesta av oss gör ju
alla det. Antingen via ADFS som använder AD eller via Shibb som använder AD/en Kerberos
eller någon annan katalog.
Så länge du inte sätter ett lösenord i AAD utan använder t.ex. eduID för att logga in i
din tenant finns inga identiteter där, inte ens konton, utan bara personer. Personer är
billigt att hantera!
Låt oss filura på detta och diskutera vidare!
Men för att vara tydligt är detta min förvirrade hjärnas tankar som jag inte förankrat
någon annan stans. Jag kan mycket väl tänka fel. Det har hänt förr!! 😋
Med vänlig hälsning
Johan Peterson
IT-Arkitekt
[Image removed by sender. Linköpings universitet]
IT-Avdelningen
581 83 Linköping
Telefon: 013-28 5730
Mobil: 0703-222 405
Besöksadress: Hus Galaxen
Besök oss gärna på:
www.liu.se<https://eur01.safelinks.protection.outlook.com/?url=http%3A%2…
________________________________
From: Per Hörnblad <per.hornblad@umu.se<mailto:per.hornblad@umu.se>>
Sent: Wednesday, 11 January 2023 19:37
To: Ola Ljungkrona <ola.ljungkrona@gu.se<mailto:ola.ljungkrona@gu.se>>;
atitf@lists.sunet.se<mailto:atitf@lists.sunet.se>
<atitf@lists.sunet.se<mailto:atitf@lists.sunet.se>>
Subject: [Atitf] Re: IAM
Ja eller tvärt om! 😀Det var bra diskussioner jag känner att vi tog ett steg framåt
ändå!!
/Per
Skickat från Outlook för
iOS<https://eur01.safelinks.protection.outlook.com/?url=https%3A%2F%2Fak…
________________________________
Från: Ola Ljungkrona <ola.ljungkrona@gu.se<mailto:ola.ljungkrona@gu.se>>
Skickat: Wednesday, January 11, 2023 5:41:27 PM
Till: atitf@lists.sunet.se<mailto:atitf@lists.sunet.se>
<atitf@lists.sunet.se<mailto:atitf@lists.sunet.se>>
Ämne: [Atitf] IAM
Hello!
Inte helt nöjd med mig själv idag och det känns som jag komplicerar saker.. Ni måste fatta
ngt som jag inte fattar 😊
Vi ses!
Med vänlig hälsning
OLA LJUNGKRONA
IT-Arkitekt
GÖTEBORGS UNIVERSITET, IT-enheten
Rosenlundsgatan 4
Box 100, 405 30 Göteborg
Tel 031 786 6499, mobil 0730 346407
www.gu.se<https://eur01.safelinks.protection.outlook.com/?url=http%3A%2F…
När du skickar e-post till Göteborgs universitet behandlar vi dina personuppgifter. Mer om
hur dina personuppgifter behandlas hittar du på Göteborgs universitets
webbplats<https://eur01.safelinks.protection.outlook.com/?url=https%3A%2…amp;reserved=0>.
When you send emails to the University of Gothenburg, we process your personal data. To
find out more about the processing of your personal data, visit the University of
Gothenburg
website<https://eur01.safelinks.protection.outlook.com/?url=https%3A%2F%…amp;reserved=0>.
VARNING: Klicka inte på länkar och öppna inte bilagor om du inte känner igen avsändaren
och vet att innehållet är säkert.
CAUTION: Do not click on links or open attachments unless you recognise the sender and
know the content is safe.
När du skickar e-post till Karolinska Institutet (KI) innebär detta att KI kommer att
behandla dina personuppgifter. Här finns information om hur KI behandlar
personuppgifter<https://ki.se/medarbetare/integritetsskyddspolicy>.
Sending email to Karolinska Institutet (KI) will result in KI processing your personal
data. You can read more about KI’s processing of personal data
here<https://ki.se/en/staff/data-protection-policy>.