Vi gör en begreppsmodell..
Person
Identitet
Konto
Hemlighet
Profil
Intern ID
Men jag sätter:
Konto, profil och internt ID som implementation och Identitet som digital logisk
representation och Person som fysisk.
Det som vi skickar mellan ”system” är identiteter, men för att hålla ihop det behövs konto
både på IdP och lokalt..
Så det skiljer inte jättemycket men lite.
//Ola
Från: Johan Peterson via Atitf <atitf(a)lists.sunet.se>
Skickat: den 11 januari 2023 23:37
Till: atitf(a)lists.sunet.se
Ämne: [Atitf] Re: IAM
Info: Detta mail kommer från en extern avsändare. Iaktta varsamhet!
Tja,
Jag håller med Per, det kan vara tvärt om också! Eller kanske en kombination? 😉
Det är ju diskussioner som är kul jue! Utan diskussiuoner är det som att programmera utan
if-satser. Är det programmering då??
Jag hade en kompis som påstod att programmering uppstår vid första if-satsen. Jag gillar
tanken 😄
Nåja till saken.
Det jag inte håller med dig om är din definition av identitet. Låt mig försöka förklara
hur jag tänker.
Antag att jag skapar en ny cool app, Wohiteboard kan vi kalla den. 😄
* Användare loggar in i min app med federerad inloggning.
* Man behöver inte finnas i förväg, jag tillåter alla i federationen att använda
appen.
* När du skapar en ny wohiteboard skapar jag ett lokalt objekt för den i objektet
finns en plats för eppn där jag skriver in ditt eppn. Nu vet jag vilka wohiteboard:s som
du skapat och kan låta dig och inga andra se dem.
I min app finns inga identiteter påstår jag. Bara data med tillhörande metadata. Ändå har
jag en hård koppling mellan dig och dina wohiteboard:s.
Om jag nu utvecklar appen och skapar en profil åt alla som loggar in? I din profil kan
du...
* ladda upp en bild
* välja nickname m.m.
Wohiteboard:sarna kopplar jag nu till mitt interna ID och låter eppn ligga som ett
attribut på profilobjektet/personobjektet i stället.
Är det nu en identitet? Nej säger jag. Det är ett personobjekt eller ett profilobjekt.
En identitet, enligt mig, uppstår när du loggar in med ett konto - i den inloggade
sessionen. Endast då har vi en levande koppling till personen bakom. Det är SAML biljetten
eller JSON Web Token som är identiteten. Inte personuppgifteri ett system.
Varför tycker jag så? Lugn i stormen, låt mig förklara konto först! 😉
För att en identitet ska kunna uppstå behövs ett konto med en eller flera faktorer
(hemligheter) som bara är kopplade till mig. Det kan vara lösenord men måste inte vara
det. Det kan finnas ett användarnamn men måste inte det. Det kan finnas personuppgifter
men måste inte det. Men utöver faktorn/faktorerna måste det finnas något som gör det unikt
i mitt system, en identifierare.
Varför är inte ett konto en identitet i så fall, och varför är inte ett personobjekt en
identitet?
Om jag startar Excel på min dator, eller varför inte en databas, och skapar en tabell och
lägger in Ola Ljungkrona som namn, ola.ljungkrona@gu.se<mailto:ola.ljungkrona@gu.se>
som eppn och varför inte hitta på ett lösenord också... Det kan ju inte vara en identitet.
Det finns ju ingen som helst koppling till riktiga Ola, bara jag som hittar på ju. Även om
jag skulle råka slumpa samma lösenord som Ola har på GU är det bara död data. I bästa fall
kan man kalla det för ett konto ifall jag kan använda informationen att logga in med, men
så länge det inte är knutet till riktiga Ola tycker inte jag att det är en identitet.
Kanske är detta att dra det onödigt långt, jag kan inte bestämma mig. Ska man vara lite
mer fritolkande kan jag gå med på identitet=konto. Men då måste det finns en hemlighet
kopplad i mitt system som bara jag (systemet) och användaren kan använda. Tänk på vad en
IdP är - Identity Provider. Jag tycker det rimmar med min tolkning.
<<Anledningen till att jag tycker att det här är viktigt att reda ut är att detta är
I:et i IAM.>>
Tänkvärt, om alla personobjekt i Primula skulle vara identiteter innebär det att Primula
blir en Identity Provider. Men jag kan ju inte logga in med mina Primulauppgifter!
Även om Primula innehåller mycket information om mig - och troligtvis är källan för mycket
av det - är den informationen så mycket billigare att hantera än identiteten.
Det är identiteten, eller om man ska extrahera, hemligheten som är det kostsamma.
Mitt namn t.ex. är billigt för det måste inte vara minst 10 tecken, jag behöver inte byta
namn en gång i kvartalet, jag behöver inte ens ha specialtecken i namnet! 😄 Inte nog med
det, jag kan använda samma namn i alla system! Wohoo, enkelt att komma ihåg. Faktum är att
jag kan använda mitt namn utan att behöva en authenticator app på min trasiga telefon....
jaja ni fattar! 😋
Om jag använder en identitet för att skapa ett lokalt konto kommer skapandet att vara
smidigt för både mig och min organisation. Men så fort kontot finns där (=faktorer finns
där) och måste användas flyttas förvaltningskostnaden över till organisationen. Det är
därför jag vill gå så långt att slippa ett lokalt AD.
Eller... egentligen är det inte helt sant. Jag tänkte lite fel på mötet idag angående M365
och AAD. Man kan ju använda en extern IdP för att logga in i M365. De flesta av oss gör ju
alla det. Antingen via ADFS som använder AD eller via Shibb som använder AD/en Kerberos
eller någon annan katalog.
Så länge du inte sätter ett lösenord i AAD utan använder t.ex. eduID för att logga in i
din tenant finns inga identiteter där, inte ens konton, utan bara personer. Personer är
billigt att hantera!
Låt oss filura på detta och diskutera vidare!
Men för att vara tydligt är detta min förvirrade hjärnas tankar som jag inte förankrat
någon annan stans. Jag kan mycket väl tänka fel. Det har hänt förr!! 😋
Med vänlig hälsning
Johan Peterson
IT-Arkitekt
[Linköpings universitet]
IT-Avdelningen
581 83 Linköping
Telefon: 013-28 5730
Mobil: 0703-222 405
Besöksadress: Hus Galaxen
Besök oss gärna på:
www.liu.se<http://www.liu.se/>
________________________________
From: Per Hörnblad <per.hornblad@umu.se<mailto:per.hornblad@umu.se>>
Sent: Wednesday, 11 January 2023 19:37
To: Ola Ljungkrona <ola.ljungkrona@gu.se<mailto:ola.ljungkrona@gu.se>>;
atitf@lists.sunet.se<mailto:atitf@lists.sunet.se>
<atitf@lists.sunet.se<mailto:atitf@lists.sunet.se>>
Subject: [Atitf] Re: IAM
Ja eller tvärt om! 😀Det var bra diskussioner jag känner att vi tog ett steg framåt
ändå!!
/Per
Skickat från Outlook för
iOS<https://eur01.safelinks.protection.outlook.com/?url=https%3A%2F%2Fak…
________________________________
Från: Ola Ljungkrona <ola.ljungkrona@gu.se<mailto:ola.ljungkrona@gu.se>>
Skickat: Wednesday, January 11, 2023 5:41:27 PM
Till: atitf@lists.sunet.se<mailto:atitf@lists.sunet.se>
<atitf@lists.sunet.se<mailto:atitf@lists.sunet.se>>
Ämne: [Atitf] IAM
Hello!
Inte helt nöjd med mig själv idag och det känns som jag komplicerar saker.. Ni måste fatta
ngt som jag inte fattar 😊
Vi ses!
Med vänlig hälsning
OLA LJUNGKRONA
IT-Arkitekt
GÖTEBORGS UNIVERSITET, IT-enheten
Rosenlundsgatan 4
Box 100, 405 30 Göteborg
Tel 031 786 6499, mobil 0730 346407
www.gu.se<https://eur01.safelinks.protection.outlook.com/?url=http%3A%2F…
När du skickar e-post till Göteborgs universitet behandlar vi dina personuppgifter. Mer om
hur dina personuppgifter behandlas hittar du på Göteborgs universitets
webbplats<https://eur01.safelinks.protection.outlook.com/?url=https%3A%2…amp;reserved=0>.
When you send emails to the University of Gothenburg, we process your personal data. To
find out more about the processing of your personal data, visit the University of
Gothenburg
website<https://eur01.safelinks.protection.outlook.com/?url=https%3A%2F%…amp;reserved=0>.