Een federatie kan opgezet zijn volgens het mesh- of volgens het hub-and-spoke-principe. Bij federaties die gevormd zijn volgens het mesh-model zijn aangesloten partijen zelf verantwoordelijk voor onderlinge verbindingen. Ook eduGAIN werkt volgens het meshprincipe. Partijen die aangesloten zijn op SURFconext, zijn gewend om in een hub-and-spokefederatie te werken. Voor Identity Providers aangesloten op SURFconext verandert er niets in de werkwijze als ze met eduGAIN aan de slag willen. Wil je als op SURFconext aangesloten Service Provider aan de slag met eduGAIN, lees dan wat er voor jou verandert.


Hub-and-spoke-model

In het hub-and-spoke-model heeft de federatie een centraal koppelpunt tussen alle aangesloten Service Providers en Identity Providers. Het belangrijkste voordeel hiervan is dat de Service Providers en Identity Providers maar 1 technische koppeling hoeven te maken: met het centrale koppelpunt van de federatie. Daarnaast kunnen door deze opzet extra functionaliteiten, zoals sterke authenticatie en user consent centraal worden aangeboden. SURFconext is een federatie die zo werkt.

Klik op de bovenstaande afbeelding voor een schematische weer gave van een hub-and-spokefederatie.

Mesh-model

De meeste federaties werken volgens het mesh-principe. In een meshfederatie is er geen centraal punt via welke de koppelingen tussen Identity Providers en Service Providers lopen. In tegenstelling tot een hub-and-spokefederatie, zijn de Identity Providers en Service Providers in een meshfederatie zelf verantwoordelijk voor het leggen van koppelingen met elkaar. Een Identity Provider heeft dus doorgaans connecties met meerdere Service Providers en vice versa.

Kort gezegd vloeit er in een meshfederatie meer werk naar de Identity Providers en de Service Providers, wat anders door de centrale hub gedaan zou kunnen worden. Denk hierbij aan het configureren van de attribuutuitwisseling, het bijhouden van een centrale discovery service (WAYF), het ondersteunen van meerdere protocollen en software en het beheren van de koppelingen tussen Identity Providers en Service Providers.

Klik op de afbeelding voor een schematische weergave van een meshfederatie.

eduGAIN en SURFconext

eduGAIN-koppelingen tussen Service Providers aangesloten op SURFconext en Identity Providers uit andere federaties, worden gemaakt via het mesh-principe. Dit betekent dat op SURFconext aangesloten Service Providers die hun dienst willen openstellen voor Identity Providers uit andere federaties (via eduGAIN), technische aanpassingen moeten doen. Lees wat je als Service Provider moet doen om koppelingen te maken met Identity Providers via eduGAIN.

Wil je als Nederlandse Identity Provider gebruik maken van een dienst uit een andere federatie via eduGAIN, dan hoef je (technisch) niets aan te passen. De Service Providers uit andere federaties worden aan de SURFconext-hub gekoppeld en werken dus volgens het hub-and-spokeprincipe. Lees wat een Identity Provider moet doen om gebruik te maken van een dienst via eduGAIN.

Hieronder worden de verschillende koppelingen schematisch weergegeven.


Boven de stippellijn zie je hoe Identity Providers via de SURFconext-hub met Service Providers koppelen. Onder de stippellijn zie je hoe Identity Providers en Service Providers via een mesh-model met elkaar koppelen. Ook zie je hoe een Nederlandse Service Provider direct moet koppelen met een buitenlandse Identity Provider (buiten de hub om), terwijl een buitenlandse Service Provider wel aan de hub wordt gekoppeld.

  • No labels