Danske WAYF er blandt de førende i verden til at håndtere udveksling af identitetsinformation mellem organisationer. Det mener Anil John, der arbejder med forskning og udvikling inden for identitet og privatlivsbeskyttelse for USA’s regering.
Han har derfor inviteret WAYF med i en international erfagruppe for identitetsføderationer.
Gruppen, International Identity Summit, mødtes for nylig i København. Anil John understreger, at de halvårlige møder ikke er formaliserede konferencer. I stedet er der en afslappet atmosfære, hvor deltagerne kan diskutere konkrete praktiske udfordringer med at få teknologien til at virke.
Kontakten mellem WAYF og Anil John opstod, fordi chefen for WAYF, David Simonsen, reagerede på et blogindlæg af Anil John om pseudonymer og samtykke. Det førte til flere samtaler mellem de to.
”På den måde lærte jeg WAYF at kende. Jeg opdagede, at de havde noget unikt. WAYF er foregangsmænd, når det gælder føderation i stor skala med adskillige identitetsudbydere og tjenester. De er også langt fremme med håndtering af samtykker og skrappe krav til, hvilke informationer om brugerne de giver videre til tjenesterne,” siger Anil John.
Hans job i den amerikanske regering går ud på at følge udviklingen inden for identitetsteknologier. Han skal gerne se mindst fem år frem i tiden.
Mæglermodel vinder frem
Anil John ser en række aktuelle tendenser på området. En af dem er, at regeringer verden over foretrækker en mæglermodel frem for netværk med mange en-til-en-integrationer.
”Mæglermodellen er den, WAYF anvender. En identitetsudbyder som for eksempel et universitet behøver kun integrere med mægleren for at kunne udveksle oplysninger med alle de tjenester, der er koblet på. Jo flere man skal integrere med, desto bedre kan mæglermodellen betale sig,” siger han.
Alternativet er såkaldte mesh-netværk, hvor organisationerne integrerer direkte med dem, de vil udveksle data med. Ifølge Anil John har den model været udbredt i uddannelsessektoren.
Private virksomheder indgår
En anden trend handler om, hvem der siger god for en brugers identitet. I Danmark anvender både det offentlige og finansverdenen NemID til den opgave. Men i andre lande er det ikke muligt. Af historiske og kulturelle årsager vil de ikke have et centralt personnummerregister, som vi kender det fra cpr-nummeret.
”USA ønsker at give borgerne frihed til at vælge blandt private virksomheder, hvem der kan sige god for en identitet, når man skal ind på en offentlig hjemmeside. Det kan for eksempel være brugerens bank, der bekræfter identiteten,” siger han.
Styr på samtykker
Når en bruger logger ind via en tjeneste som WAYF, overfører WAYF data om brugeren fra identitetsudbyderen til webtjenesten. Det skal brugeren give samtykke til.
I WAYF-løsningen kan brugeren selv styre sine samtykker: Brugeren kan gemme et samtykke, så det automatisk bruges næste gang, brugeren logger ind på samme tjeneste. Eller det kan blive slettet igen.
”WAYF’s samtykkehåndtering er forbavsende avanceret. Den gør det muligt at styre og tilbagetrække samtykker både på person- og tjenesteniveau. Og det skalerer, så det stadig virker, selvom der kommer flere tjenester og brugere på systemet. Alt det klarer de oven i købet med ganske få ressourcer,” bemærker Anil John.
Andre lande har også opdaget styrkerne ved WAYF. For nogle år siden blev WAYF’s software således kopieret i Estland, som bruger det i dag. Flere andre lande er interesserede.
”Men det handler ikke kun om software. Det er lige så vigtigt, at WAYF kan bidrage med deres praktiske erfaringer fra at drive tjenesten. Hvilke udfordringer løb de ind i, og hvordan håndterede de dem? Andre lande er ikke kun interesserede i softwaren, de vil gerne kopiere alt det, som WAYF har gjort,” siger Anil John.