eduGAIN en is een vorm van interfederatie. Hierbij verstrekken deelnemende federaties aan eduGAIN informatie (metadata) over partijen uit hun eigen federatie. eduGAIN bundelt deze metadata van alle deelnemende partijen zodat er één centrale plek is waar alle informatie te vinden is.
Interfederatie: metadata uitwisselen
eduGAIN en is een vorm van interfederatie. Hierbij verstrekken deelnemende federaties aan eduGAIN informatie (metadata) over partijen uit hun eigen federatie. eduGAIN bundelt deze metadata van alle deelnemende partijen zodat er één centrale plek is waar alle informatie te vinden is. Zo kunnen Identity Providers en Service Providers uit verschillende federaties aan elkaar gekoppeld worden.
Dankzij interfederatie is het niet nodig dat partijen lid worden van elkaars federatie om toch met elkaar te kunnen koppelen.
eduGAIN verzamelt de metadata van verschillende federaties en voegt deze samen in één bestand. Dit wordt vervolgens door alle federaties uitgelezen, zodat alle partijen elkaar kunnen vinden.
eduGAIN verzamelt de metadata van verschillende federaties en voegt deze samen in één bestand. Dit wordt vervolgens door alle federaties uitgelezen, zodat alle partijen elkaar kunnen vinden.
Technisch werkt dit als volgt:
- Elke deelnemende federatie produceert een zogenaamde 'export metadata aggregate', een bestand dat de metadata bevat van aangesloten Service Providers en Identity Providers die aan eduGAIN deelnemen. Dit zijn dus niet noodzakelijk alle op een federatie aangesloten partijen.
- eduGAIN combineert alle aangeleverde export metadata aggregates en genereert daaruit een “eduGAIN aggregate”: een bestand waarin alle metadata van deelnemende federaties zijn samengebracht.
- Deze eduGAIN aggregate wordt gepubliceerd op internet en is zo voor elke deelnemende federatie beschikbaar.
- Elke federatie bepaalt zelf welke Service Providers en Identity Providers uit de eduGAIN aggregate doorgegeven worden aan de eigen aangesloten Service Providers en Identity Providers. Een federatie kan bijvoorbeeld Service Providers uit de aggregate weglaten die ook in de metadata van de eigen federatie staan. Zo wordt voorkomen dat een Service Provider twee keer voorkomt in de beschikbare metadata.
Belangrijk: eduGAIN zorgt voor de infrastructuur om over grenzen heen partijen aan elkaar te koppelen. Dit betekent echter niet dat een koppeling ook automatisch gerealiseerd wordt als je als Service Provider of Identity Provider deelneemt aan eduGAIN. Een koppeling tussen twee partijen is pas actief als beide partijen hiervoor expliciet toestemming geven.
Eisen aan deelnemende federaties
Aan eduGAIN deelnemende federaties kunnen verschillen als het gaat om technische en beleidsmatige aspecten. Toch hebben ze met eduGAIN een gemeenschappelijke basis om elkaar te vertrouwen en gegevens uit te wisselen.
Hiervoor wordt gezorgd door een aantal eisen waaraan iedere aan eduGAIN deelnemende federatie moet voldoen. Een daarvan is het publiceren van een 'Metadata registration practice statement', waarin staat op welke manier een federatie nieuwe partijen toelaat (zodat dit inzichtelijk is voor andere eduGAIN-deelnemers). Daarnaast zijn er technische eisen, bijvoorbeeld dat de metadata voldoen aan de 'eduGAIN SAML 2.0 Metadata Profile'-specificatie.
Een overzicht van alle policy documenten van eduGAIN, waar onder andere de eisen waar een federatie aan moet voldoen worden genoemd, is beschikbaar op de website van eduGAIN.
Vertrouwen
Dankzij eduGAIN hoeft een partij niet opnieuw lid te worden van een andere federatie om zaken te doen met partijen uit die federatie. Dat scheelt een hoop tijd. Het idee is dat de federaties die meedoen aan eduGAIN elkaar als geheel vertrouwen. Dus: als SWITCH (de Zwitserse federatie voor het hoger onderwijs en onderzoek) de Universiteit van Zurich vertrouwt, vertrouwt SURFnet erop dat SWITCH zijn werk goed heeft gedaan. Dan kan SURFnet de Universiteit van Zurich ook vertrouwen.
Het is hier wel belangrijk om te beseffen wat dit precies betekent. SURFconext stelt met het Juridisch normenkader cloudservices strenge eisen aan Service Providers die onderdeel zijn van SURFconext. Oftewel, alle partijen die lid zijn van SURFconext moeten aan dezelfde, hoge eisen op het gebied van privacy en informatiebeveiliging voldoen. Hierdoor is het basisniveau van vertrouwen hoog.
Partijen die via eduGAIN koppelen behoren niet tot dezelfde federatie. Dat betekent dat een Identity Provider andere eisen kan hanteren dan een Service Provider waarmee gekoppeld wordt. Service Providers uit andere federaties dan SURFconext worden bijvoorbeeld niet gevraagd om aan het Juridisch normenkader te voldoen. Een belangrijke reden hiervoor is dat het Service Providers veel kan kosten om aan de strenge eisen van het normenkader te voldoen. eduGAIN is juist in het leven geroepen om koppelingen tussen partijen op te zetten, zonder extra tijd en geld te investeren. Immers, dan kan de Service Provider net zo goed lid worden van elke afzonderlijke federatie (iets wat ook veel tijd en geld zou kosten).
Dit betekent natuurlijk niet dat Service Providers uit andere federaties niet te vertrouwen zijn. Naast het bovenstaande, namelijk dat binnen eduGAIN federaties elkaar als geheel vertrouwen, heeft eduGAIN ook een Code of Conduct opgesteld. Dit document harmoniseert eisen op het gebied van privacy en informatiebeveiliging op basis van de Europese wetgeving. Lees hier meer over de GÉANT Data Protection Code of Conduct.
Het is ook mogelijk om een Service Provider wel aan het Juridisch normenkader te laten voldoen, terwijl de (technische) koppeling alsnog via eduGAIN loopt. Dit zal dan expliciet met de Service Provider afgesproken moeten worden.
Verschillende federatiemodellen
eduGAIN opereert technische anders dan SURFconext, namelijk volgens een ander federatiemodel. eduGAIN werkt volgens het mesh-principe, SURFconext volgens het hub-and-spokeprincipe. Dit onderscheid is van belang voor de wijze waarop u gebruik kunt maken van partijen in eduGAIN. Lees hier meer over de verschillende federatiemodellen.