Kontosynk

Kontosynk är ett samlingsnamn inom Skolfederation för infrastruktur som med säker maskin-till-maskinautentisering möjliggör enhetlig och automatiserad livscykelhantering av användare och grupper, med mera, över organisationsgränser.

Kontosynk är en separat teknisk federation från SAML-federationen som Skolfederation tillhandahåller, men Skolfederations roll är densamma: hantering av medlemmar och det aggregerade metadata med medlemmars anslutna noder. Federationen är under uppbyggnad och teknisk information om Kontosynk uppdateras löpande och befintlig information kan komma att ändras över tid.

Överblick

Nedan är en överblick av Kontosynk och dess komponenter:

Teknisk skiss över Kontosynks komponenter inom Skolfederation

Kontosynk innefattar ett centralt Metadataregister, baserat på specifikation för federerad TLS (Utkast på GitHub: Federated TLS Authentication). Metadataregistret innehåller information om alla tekniskt anslutna parter i Kontosynk. Metadataregistret hjälper medlemmar att identifiera och autentisera andra medlemmar, och innehåller även den information som krävs för att etablera teknisk anslutning till parter. Metadatahanteringen är oberoende av underliggande teknik. Det innebär i praktiken att Skolfederations metadata för Kontosynk är neutral när det kommer till underliggande teknik som används för livscykelhantering av objekt, så länge de federativa parterna autentiserar varandra enligt Mutual TLS baserat på de uppgifter som finns i metadatat. Medlemmar registrerar sitt eget metadata i Metadataregistret genom Skolfederations kommande självbetjäningsgränssnitt för metadatahantering.

Attributspecifikationen och API-specifikationen är direkta delmängder av SIS standard SS12000 men kan även komma att profileras i egna dokument. Attributspecifikationen definierar hur medlemmar utformar de Objekt som kommuniceras mellan Client och Server inom Kontosynk. API-specifikationen beskriver på vilket sätt medlemmar kommunicerar objekten. Enligt SS 12000 v1 används standarden SCIM (System for Cross-domain Identity Management) för denna kommunikation. I takt med att nya versioner av SS 12000 släpps kommer eventuella profileringar för Attributspecifikationen och API-specifikationen anpassas i nya versioner för att stödja eventuella diskrepanser mellan SS 12000-versionerna.

En Client/Klient är den tekniska tillämpningen på typiskt skolhuvudmannasidan som ansluter till en Server för att hantera ett objekt enligt CRUD (Create, Read, Update, Delete) hos Förlitande Part. Detta gäller exempelvis skapande av användarkonton, uppdatering av elevgrupper, läsa ut vilka användare som finns registrerade i tjänsten, eller ta bort användare efter avslutad skolgång. Ett exempel på en sådan tillämpning är EgilSCIMClient som tagits fram av Föreningen Sambruk i projektet EGIL. Alla Skolfederations medlemmars Klienter och Servrar som uppfyller krav för metadatahantering och kommunicerar objekt enligt SS 12000 kan anslutas till Kontosynk.

Testmiljö

Är du intresserad av att testa Kontosynk och få åtkomst till uppladdning av metadata? Kontakta info@skolfederation.se.

Testmiljön bygger för närvarande på version av metadataschema specificerad här:

zip: tls-fed-auth
tar.gz: tls-fed-auth.tar

Validering mot andra schemaversioner, exempelvis senaste versionen publicerad på GitHub, kommer sannolikt att innebära fel i validering för denna miljös metadata.

För att ladda upp metadata: https://fedscim-poc.skolfederation.se
Metadata: https://fedscim-poc.skolfederation.se/md/skolfederation-fedscim-0_1.json
Publik nyckel: https://fedscim-poc.skolfederation.se/jwks

Kontakt

För frågor gällande Kontosynk och Skolfederation, kontakta info@skolfederation.se
För tekniska frågor gällande implementation av EgilSCIMClient, kontakta Bengt Wällstedt: bengt.wallstedt@engelholm.se

Läs mer

Mer om utformning av metadata: Federated TLS Authentication
Mer om SS12000 här
Mer om projektet EGIL kan läsas på Sambruks webbplats
Teknisk information om EgilSCIMClient finns på GitHub