Nationale federaties bieden een generieke manier voor het verwerken van authenticatie en autorisatie tussen instellingen en aanbieders van clouddiensten. Handig, maar ze zijn vaak nationaal opgezet. Dat maakt het lastig voor partijen uit verschillende landen om elkaar te bereiken op federatieve wijze.

Wat doet een federatie?

Nationale federaties bieden een generieke manier voor het verwerken van authenticatie (= wie ben je) en autorisatie (= wat mag je) tussen instellingen (Identity Providers) en aanbieders van clouddiensten (Service Providers). De federatie zorgt voor gestandaardiseerde afspraken met betrekking tot bijvoorbeeld beveiliging en privacy. Elke deelnemer aan de federatie (Identity Providers en Service Providers) moet hieraan voldoen.

Gebruikers loggen op alle beschikbare diensten in met hun instellingsaccount. Ze hoeven dus niet voor elke dienst apart een account aan te maken. Dit noemen we federatief inloggen.

Gewoonlijk kan federatief inloggen alleen als zowel de Identity Provider van de gebruiker als de Service Provider aangesloten zijn bij dezelfde federatie. Federaties zijn doorgaans op nationaal niveau opgezet (bijvoorbeeld SURFconext in Nederland, SWITCH-AAI in Zwitserland). Dat maakt het lastig voor een Nederlandse gebruiker om gebruik te maken van een Zwitserse dienst of vice versa (een Zwitserse gebruiker die wil inloggen bij een Nederlandse dienst).

Federatie over grenzen heen?

Maar samenwerking vindt steeds vaker plaats over landsgrenzen heen. Onderzoeksgroepen bestaan bijvoorbeeld zelden uit onderzoekers van een universiteit uit 1 land. Gebruikers die een bepaalde dienst willen gebruiken komen steeds vaker uit verschillende landen, en zijn dus aangesloten op verschillende federaties. Daarnaast zijn er steeds meer clouddiensten die weliswaar opereren vanuit één land, maar van toegevoegde waarde zijn voor gebruikers van over de hele wereld.

Om nu die gebruiker uit Nederland toegang te geven tot de Zwitserse dienst, kan de Zwitserse dienst aansluiten op SURFconext. Of kan de Identity Provider van de gebruiker (de instelling waar hij werkt of studeert) aansluiten op SWITCH-AAI, waar de Zwitserse dienst al op is aangesloten. Alle service providers en Identity Providers die internationaal willen samenwerken, moeten dan dit soort 1-op-1-relaties aangaan met federaties. Dat levert veel technische en organisatorische rompslomp op.

Hier komt eduGAIN in beeld. Lees hoe eduGAIN technisch werkt en welke eisen eduGAIN stelt aan deelnemende federaties.

National federations offer a generic approach to handle authentication and authorisation between institutions and providers of cloud services. Although this is very useful, the focus is often on a national level. This makes it more difficult for organisations from different countries to work together federatively.

What is a federation?

National federations offer a generic approach to handle authentication (= who are you) and authorisation (= what are you allowed to do) between institutions (Identity Providers) and providers of cloud services (Service Providers). The federation ensures standardised agreements are made, e.g. with regards to security and privacy. Each participant to the federation (Identity Providers and Service Providers) must adhere to these agreements.

Users (members of Identity Providers) use their institutional account to login to several services. They do not have to create separate credentials for each service they use. This is called federated login.

Traditionally, federated login is only possible if the Identity Provider and the Service Provider are members of the same federation. Most federations are limited by national borders, e.g. SURFconext win the Netherlands and SWITCH-AAI in Switzerland. This makes it hard for a Dutch user to login federatively to a service from the Swiss federation or vice versa (a Swiss user that would like to login to a Dutch service).

Federation across national borders?

But nowadays collaboration in education and research more and more takes place on an international level. For example, research groups rarely consist of only researchers from Universities from a single country. Instead, users more and more originate from different countries, and thus belong to different federations. Besides, some cloud services are of added value for users across the entire world, even if they operate from a single country.

There are several options for a Service Provider to allow users from other federations to login to their service. Suppose you are a Service Provider from Switzerland, and you would like Dutch users to login federatively to your service. One option for you is to join the Dutch federation. Another option is that the (Dutch) Identity Provider joins the Swiss federation. In other words, all Identity Providers and Service Providers who want to collaborate internationally, must become a member of each others' federation. Even without the knowledge that becoming a member of a federation can be very complex and time consuming, it should be clear that this doesn't scale very well.

This is where eduGAIN comes in. Please continue to this page where eduGAIN is explained in more detail.