eduGAIN en is een vorm van interfederatie. Hierbij verstrekken deelnemende federaties aan eduGAIN informatie (metadata) over partijen uit hun eigen federatie. eduGAIN bundelt deze metadata van alle deelnemende partijen zodat er één centrale plek is waar alle informatie te vinden is.

Interfederatie: metadata uitwisselen

eduGAIN en is een vorm van interfederatie. Hierbij verstrekken deelnemende federaties aan eduGAIN informatie (metadata) over partijen uit hun eigen federatie. eduGAIN bundelt deze metadata van alle deelnemende partijen zodat er één centrale plek is waar alle informatie te vinden is. Zo kunnen Identity Providers en Service Providers uit verschillende federaties aan elkaar gekoppeld worden.

Dankzij interfederatie is het niet nodig dat partijen lid worden van elkaars federatie om toch met elkaar te kunnen koppelen.

eduGAIN verzamelt de metadata van verschillende federaties en voegt deze samen in één bestand. Dit wordt vervolgens door alle federaties uitgelezen, zodat alle partijen elkaar kunnen vinden.

eduGAIN verzamelt de metadata van verschillende federaties en voegt deze samen in één bestand. Dit wordt vervolgens door alle federaties uitgelezen, zodat alle partijen elkaar kunnen vinden.

Technisch werkt dit als volgt:

• Elke deelnemende federatie produceert een zogenaamde 'export metadata aggregate', een bestand dat de metadata bevat van aangesloten Service Providers en Identity Providers die aan eduGAIN deelnemen. Dit zijn dus niet noodzakelijk alle op een federatie aangesloten partijen.
• eduGAIN combineert alle aangeleverde export metadata aggregates en genereert daaruit een “eduGAIN aggregate”: een bestand waarin alle metadata van deelnemende federaties zijn samengebracht.
• Deze eduGAIN aggregate wordt gepubliceerd op internet en is zo voor elke deelnemende federatie beschikbaar.
• Elke federatie bepaalt zelf welke Service Providers en Identity Providers uit de eduGAIN aggregate doorgegeven worden aan de eigen aangesloten Service Providers en Identity Providers. Een federatie kan bijvoorbeeld Service Providers uit de aggregate weglaten die ook in de metadata van de eigen federatie staan. Zo wordt voorkomen dat een Service Provider twee keer voorkomt in de beschikbare metadata.

Eisen aan deelnemende federaties

Aan eduGAIN deelnemende federaties kunnen verschillen als het gaat om technische en beleidsmatige aspecten. Toch hebben ze met eduGAIN een gemeenschappelijke basis om elkaar te vertrouwen en gegevens uit te wisselen.

Hiervoor wordt gezorgd door een aantal eisen waaraan iedere aan eduGAIN deelnemende federatie moet voldoen. Een daarvan is het publiceren van een 'Metadata registration practice statement', waarin staat op welke manier een federatie nieuwe partijen toelaat (zodat dit inzichtelijk is voor andere eduGAIN-deelnemers). Daarnaast zijn er technische eisen, bijvoorbeeld dat de metadata voldoen aan de 'eduGAIN SAML 2.0 Metadata Profile'-specificatie.

Een overzicht van alle policy documenten van eduGAIN, waar onder andere de eisen waar een federatie aan moet voldoen worden genoemd, is beschikbaar op de website van eduGAIN.

Vertrouwen

Dankzij eduGAIN hoeft een partij niet opnieuw lid te worden van een andere federatie om zaken te doen met partijen uit die federatie. Dat scheelt een hoop tijd. Het idee is dat de federaties die meedoen aan eduGAIN elkaar als geheel vertrouwen. Dus: als SWITCH (de Zwitserse federatie voor het hoger onderwijs en onderzoek) de Universiteit van Zurich vertrouwt, vertrouwt SURFnet erop dat SWITCH zijn werk goed heeft gedaan. Dan kan SURFnet de Universiteit van Zurich ook vertrouwen.

Het is hier wel belangrijk om te beseffen wat dit precies betekent. SURFconext stelt met het Juridisch normenkader cloudservices strenge eisen aan Service Providers die onderdeel zijn van SURFconext. Oftewel, alle partijen die lid zijn van SURFconext moeten aan dezelfde, hoge eisen op het gebied van privacy en informatiebeveiliging voldoen. Hierdoor is het basisniveau van vertrouwen hoog.

Partijen die via eduGAIN koppelen behoren niet tot dezelfde federatie. Dat betekent dat een Identity Provider andere eisen kan hanteren dan een Service Provider waarmee gekoppeld wordt. Service Providers uit andere federaties dan SURFconext worden bijvoorbeeld niet gevraagd om aan het Juridisch normenkader te voldoen. Een belangrijke reden hiervoor is dat het Service Providers veel kan kosten om aan de strenge eisen van het normenkader te voldoen. eduGAIN is juist in het leven geroepen om koppelingen tussen partijen op te zetten, zonder extra tijd en geld te investeren. Immers, dan kan de Service Provider net zo goed lid worden van elke afzonderlijke federatie (iets wat ook veel tijd en geld zou kosten).

Dit betekent natuurlijk niet dat Service Providers uit andere federaties niet te vertrouwen zijn. Naast het bovenstaande, namelijk dat binnen eduGAIN federaties elkaar als geheel vertrouwen, heeft eduGAIN ook een Code of Conduct opgesteld. Dit document harmoniseert eisen op het gebied van privacy en informatiebeveiliging op basis van de Europese wetgeving. Lees hier meer over de GÉANT Data Protection Code of Conduct.

Het is ook mogelijk om een Service Provider wel aan het Juridisch normenkader te laten voldoen, terwijl de (technische) koppeling alsnog via eduGAIN loopt. Dit zal dan expliciet met de Service Provider afgesproken moeten worden.

Verschillende federatiemodellen

eduGAIN opereert technische anders dan SURFconext, namelijk volgens een ander federatiemodel. eduGAIN werkt volgens het mesh-principe, SURFconext volgens het hub-and-spokeprincipe. Dit onderscheid is van belang voor de wijze waarop u gebruik kunt maken van partijen in eduGAIN. Lees hier meer over de verschillende federatiemodellen.

eduGAIN is a form of interfederation. Participating federations share information (metadata) about entities from their own federation with eduGAIN. Next, eduGAIN bundles these metadata and publishes it on a central location.

Interfederation: exchanging metadata

eduGAIN is a form of interfederation. Participating federations share information (metadata) about entities from their own federation with eduGAIN. Next, eduGAIN bundles these metadata and publishes it on a central location. All participating federations now have a single location to find information about entities from other federations. Thanks to this information, Identity Providers and Service Providers from different federations can now connect to each other.

With interfederation, it's no longer necessary for entities to join each others' federation when they want to connect to each other.

eduGAIN aggregates metadata from participating federations (metadata service). This aggregate is consumed by all participating federations, such that Identity Providers and Service Providers can find each other.

Technically, this aggregate works as follows:

• Each participating federation produces a so called 'export metadata aggregate'; a file that contains the metadata of local Identity Providers and Service Providers that participate in eduGAIN. Note that this is often a subset of all Identity Providers and Service Providers from that federation.
• eduGAIN combines all export metadata aggregates and generates an "eduGAIN aggregate"; a file that combines all metadata from all participating federations.
• This eduGAIN aggregate is signed by eduGAIN and published on the internet, thereby making it available to all participating federations.
• Each participating federation must consume this eduGAIN aggregate and supply it to their local Identity Providers and Service Providers. A federation can decide to filter out certain entities before making it available locally, e.g. filter out it's own entities, to prevent them from appearing in the metadata twice.

Requirements for participating federations

Federations that participate in eduGAIN are likely to differ from each other technically and policy wise. Even so, with eduGAIN there is a common foundation to trust each other and exchange data.

To accomplish this, each participating federation must adhere to several policies prescribed by eduGAIN. An example of such a policy is the 'Metadata registration practice statement'. Each federation must publish this statement, which describes how new entities are allowed into the federation. By doing so, this process becomes known to all other federations. Another example of a technical policy is the 'eduGAIN SAML 2.0 Metadata Profile' specification, which describes  the SAML-profile every participant must support.

An overview of all policy documents for eduGAIN can be found on the website of eduGAIN.

Trust

Thanks to eduGAIN it's no longer necessary for entities to join each others' federation to enable federated login across national borders. That saves a lot of time. The idea behind eduGAIN is that federations that participate in eduGAIN trust each other as a whole.  So: if SWITCH-AAI (the Swiss federation for higher education and research) trusts the University of Zurich, SURFconext (the Dutch federation for secondary vocational-, higher education and research) trusts this entity as well, since both federation are members of eduGAIN.

Different types of federations

SURFconext and eduGAIN both operate in a different manner, due to their technical setup. SURFconext is a hub-and-spoke federation, whereas eduGAIN is based on the mesh-principle. This difference is important because it influences the way Identity Providers and Service Providers connected to SURFconext can participate in eduGAIN. To understand this difference, please read on to learn about the different federation architectures.