Federerad wisum

Wisum skiljer sig ifrån en vanlig applikation som deltar i en federation eftersom den behöver tillgång till information om mottagare av varor och fakturor. Denna information behöver finnas tillgänglig för wisum även när ingen är inloggad vilket gör det svårt att passa in i den vanliga modellen för federerad identitetshantering då en IdP skickar information till en SP i form av attribut som antas ha en giltighet som inte överstiger någon slags normalt sessionsbegrepp. Samtidigt finns det information som kan hanteras som vanliga attribut associerade med en session - tex personaliseringsinformation (tex namn, epost, etc) och information om vilka roller användaren kan anta. Wisum har definerat dessa roller i termer av GMAI-roller som binder en applikations-specifik roll till en organisation och en identitet (person).

Wisum behöver alltså ha information som normalt finns i LDAP-katalogen hos organisationen som äger IdP:n. Detta är ett problem eftersom alla skolor tenderar att ha ganska vitt skilda sätt att strukturera sina LDAP-kataloger. En enkel lösning på detta problem är att införa ett schema som bara modellerar den information som wisum (och liknande system) behöver. Istället för att arbeta mot ett schema för organisationer får wisum arbeta mot ett schema för adresserbara platser - dvs fysiska och logiska platser som kan adresseras tex med leveransadresser eller fakturaadresser.

Motiveringen till att flytta fokus från organisationer till adresserbara platser är att detta gör det möjligt att bygga ett sk auxiliärt LDAP-schema som kan samexistera med existerande schemata utan att wisum behöver ställa krav på hur en LDAP-katalog måste vara strukturerad eller hur organisations-information ska representeras. Detta är i linje med etablerade principer för IT-arkitektur som säger att väl avgränsade gränssnitt/APIer bidrar till stabil arkitektur.

Här följer en illustration av hur en inloggning till wisum kan bindas till information om leveransadresser och fakturaadresser.