Een federatie kan opgezet zijn volgens het mesh- of volgens het hub-and-spoke-principe. Bij federaties die gevormd zijn volgens het mesh-model zijn aangesloten partijen zelf verantwoordelijk voor onderlinge verbindingen. Ook eduGAIN werkt volgens het meshprincipe. Partijen die aangesloten zijn op SURFconext, zijn gewend om in een hub-and-spokefederatie te werken. Voor Identity Providers aangesloten op SURFconext verandert er niets in de werkwijze als ze met eduGAIN aan de slag willen. Wil je als op SURFconext aangesloten Service Provider aan de slag met eduGAIN, lees dan wat er voor jou verandert.

Hub-and-spoke-model

In het hub-and-spoke-model heeft de federatie een centraal koppelpunt tussen alle aangesloten Service Providers en Identity Providers. Het belangrijkste voordeel hiervan is dat de Service Providers en Identity Providers maar 1 technische koppeling hoeven te maken: met het centrale koppelpunt van de federatie. Daarnaast kunnen door deze opzet extra functionaliteiten, zoals sterke authenticatie en user consent centraal worden aangeboden. SURFconext is een federatie die zo werkt.

Klik op de bovenstaande afbeelding voor een schematische weer gave van een hub-and-spokefederatie.

Mesh-model

De meeste federaties werken volgens het mesh-principe. In een meshfederatie is er geen centraal punt via welke de koppelingen tussen Identity Providers en Service Providers lopen. In tegenstelling tot een hub-and-spokefederatie, zijn de Identity Providers en Service Providers in een meshfederatie zelf verantwoordelijk voor het leggen van koppelingen met elkaar. Een Identity Provider heeft dus doorgaans connecties met meerdere Service Providers en vice versa.

Kort gezegd vloeit er in een meshfederatie meer werk naar de Identity Providers en de Service Providers, wat anders door de centrale hub gedaan zou kunnen worden. Denk hierbij aan het configureren van de attribuutuitwisseling, het bijhouden van een centrale discovery service (WAYF), het ondersteunen van meerdere protocollen en software en het beheren van de koppelingen tussen Identity Providers en Service Providers.

Klik op de afbeelding voor een schematische weergave van een meshfederatie.

eduGAIN en SURFconext

eduGAIN-koppelingen tussen Service Providers aangesloten op SURFconext en Identity Providers uit andere federaties, worden gemaakt via het mesh-principe. Dit betekent dat op SURFconext aangesloten Service Providers die hun dienst willen openstellen voor Identity Providers uit andere federaties (via eduGAIN), technische aanpassingen moeten doen. Lees wat je als Service Provider moet doen om koppelingen te maken met Identity Providers via eduGAIN.

Wil je als Nederlandse Identity Provider gebruik maken van een dienst uit een andere federatie via eduGAIN, dan hoef je (technisch) niets aan te passen. De Service Providers uit andere federaties worden aan de SURFconext-hub gekoppeld en werken dus volgens het hub-and-spokeprincipe. Lees wat een Identity Provider moet doen om gebruik te maken van een dienst via eduGAIN.

Hieronder worden de verschillende koppelingen schematisch weergegeven.


Boven de stippellijn zie je hoe Identity Providers via de SURFconext-hub met Service Providers koppelen. Onder de stippellijn zie je hoe Identity Providers en Service Providers via een mesh-model met elkaar koppelen. Ook zie je hoe een Nederlandse Service Provider direct moet koppelen met een buitenlandse Identity Provider (buiten de hub om), terwijl een buitenlandse Service Provider wel aan de hub wordt gekoppeld.

A federation can be built according to the hub-and-spoke or mesh principle. In short: in a mesh federation, each entity is responsible for its connections to other entities, whereas in a hub-and-spoke federation, all entities connect to the hub and the hub manages connections between entities on a central location. Within SURFconext, entities are used to this hub-and-spoke principle. However, if a Service Provider wants to participate in eduGAIN, it must follow the mesh principle. These pages describe how a Service Provider connected to SURFconext can participate in eduGAIN.

Hub-and-spoke principle

In a hub-and-spoke federation, a central "hub" exists between all connected Identity Providers and Service Providers. The main advantage of this principle is that all entities only need to create and maintain a single technical connection to a single entity: namely the central hub of the federation. The hub manages and passes through individual connections between entities. Due to this design with a central hub, extra features can be rolled out easily and centrally, such as strong authentication and user consent. SURFconext is an example of a hub-and-spoke federation.

Click the image above for a schematic overview of a hub-and-spoke federation.

Mesh principle

Most federations employ the mesh principle. In a mesh federation, there is no central "hub" through which connections between entities flow. Thus, Identity Providers and Service Providers must create and maintain connections to each other themselves. Contrary to a hub-and-spoke federation, entities typically have multiple technical connections to other entities.

In a mesh federation, Identity Providers and Service Providers must typically do more work themselves that could otherwise be done by the central hub. Examples are configuring attribute release, maintaining a discovery service, supporting multiple protocols and software and managing connections between entities.

Click the image above for a schematic overview of a mesh federation.

eduGAIN and SURFconext

Although SURFconext is a hub-and-spoke federation, Service Providers connected to SURFconext who want to offer their service to Identity Providers from other federations, must use the mesh principle. This means these Service Providers must make some technical changes to their Service Provider setup. These pages describe which changes must be made.

If you are an Identity Providers connected to SURFconext who wants to use a service from another federation through eduGAIN, you don't have to make any technical changes. Service Providers from other federations are connected to the central hub and thus operate according to the hub-and-spoke principle. These pages describe what you must do to use a service through eduGAIN (in Dutch).

The image below depicts how the (technical) connections flow through SURFconext and eduGAIN:

Above the dotted line you can see how Identity Providers and Service Providers connect to each other within SURFconext (hub-and-spoke). Below the dotted line you can see how entities connect within eduGAIN (mesh). You can also see how a Service Provider from SURFconext connects to an Identity Provider from another federation (through eduGAIN), and how a SURFconext Identity Provider connects to a Service Provider from another federation (through the hub).