Virkamiehen tunnistaminen ja käyttöoikeuksien hallinta hankkeen esitutkimusraportti. Luonnos

Koko: px
Aloita esitys sivulta:

Download "Virkamiehen tunnistaminen ja käyttöoikeuksien hallinta hankkeen esitutkimusraportti. Luonnos"

Transkriptio

1 Virkamiehen tunnistaminen ja käyttöoikeuksien hallinta hankkeen esitutkimusraportti VALTIOVARAINMINISTERIÖ Hallinnon kehittämisosasto Valtion IT-johtamisyksikkö

2 Sivu 2

3 Sivu 3 Tiivistelmä Virkamiehen tunnistaminen ja käyttöoikeuksien hallinta (Virtu) -hankkeen tavoitteena on luoda valtionhallinnolle luottamusverkosto (federaatio) virkamiehen tunnistamiseksi yhteisissä tietojärjestelmissä. Tähän pyritään yhteisillä panostuksilla. Samaan aikaan tuetaan ja ohjataan virastoja järjestämään omat sisäiset järjestelyt samalla tekniikalla, jotta käyttäjillä olisi mahdollisimman vähän tunnuksia ja käyttäjähallinnon kehittämiseen käytetyt resurssit saataisiin mahdollisimman hyvään käyttöön. Tämä yhtenäistäminen parantaa myös tietoturvaa. Alkuvaiheessa Virtu-järjestelmää hyödynnettäisiin kirjautumisen toteuttamisessa esimerkiksi Valtiokonttorin (paperittoman kirjanpidon järjestelmä, matkanhallinta, Kieku-järjestelmähankinta) ja Väestörekisterikeskuksen (Väestötietojärjestelmä) tietojärjestelmissä, joilla on runsaasti virkamieskäyttäjiä muista virastoista. Virtu-järjestelmässä toteutettaisiin työnjako, jolla karsittaisiin virkamiesten käyttäjätietojen päällekkäistä ylläpitotyötä valtion virastoissa. Työnjaossa kukin virasto ottaisi vastuun omien virkamiestensä käyttäjätietojen ylläpidosta viraston keskitetyssä käyttäjähallintojärjestelmässä, johon myös virastorajat ylittävät verkkopalvelut tukeutuisivat. Näin palvelunomistajien resursseja saataisiin vapautettua käyttäjätietojen ylläpidosta ja unohtuneiden salasanojen resetoinnista palvelun sisällön tuottamiseen ja kehittämiseen. Virkamiehen näkökulmasta Virtu-järjestelmä toisi verkkopalvelut yhden käyttäjätunnuksen ja salasanan periaatteen piiriin. Näin Virtu-järjestelmä tukisi itsepalveluperiaatteen leviämistä valtionhallinnon sisäisissä tietojärjestelmissä. Toisaalta Virtu-järjestelmä myös tasoittaisi tietä vahvan tunnistamisen käyttöönotolle, koska järjestelmä tarjoaisi joustavan siirtymäpolun kohti virkavarmenteiden käyttämistä. Hankkeessa ei tunnistamisen vahvuudelle ole asetettu ehdottomia vaatimuksia, vaan tunnistamistapa valitaan käsiteltävän tietoaineiston mukaan. Laatuvarmenteisiin perustuvaa vahvaa tunnistamista tullaan vaatimaan tietyissä yhteisissä palveluissa. Virkamiehelle myönnettyä laatuvarmenetta kutsutaan tässä virkavarmenteeksi erotuksena kansalaiselle myönnettävästä varmenteesta. Tunnistamisen lisäksi virkavarmenteille on näköpiirissä monia muita tarpeita tietojen salaamisessa ja allekirjoittamisessa. Tavoitteena on, että virkavarmenteiden käyttö yleistyy ja sen käyttöönottoa tulee tukea. On myös syytä tarkastella tarvitaanko lainsäädäntöä virkavarmenteiden käytöstä tunnistamiseen. Virastorajat ylittävien palveluiden käyttäjähallinto rakennettaisiin virastokohtaisten käyttäjähallintojärjestelmien varaan. Samalla asetettaisiin myös laatuvaatimuksia käyttäjähallinnon toimintaprosesseille viraston sisällä. Edellytyksenä Virtujärjestelmään liittyville virastoille olisi vähintään perustasoinen käyttäjähallinto, jonka eteen virastojen on syytä alkaa ponnistella välittömästä. Käyttäjähallinnon kehittäminen on luonteeltaan ennen kaikkea hallinnollinen ponnistus, johon sisältyy mm. organisaation toimintaprosessien mallintamista ja yhdenmukaistamista, tietojen, niiden omistajien ja primäärien lähteiden määrittelyä sekä sanastojen ja koodistojen yhtenäistämistä viraston sisällä. Tämä dokumentti on hankkeen esitutkimusraportti. Käyttäjähallinnon käsitteiden jälkeen esitellään Virtu-järjestelmän teknisiä periaatteita ja standardeja, joihin ehdotettu järjestelmä perustuisi. Dokumentissa esitellään luonnos Virtu-järjestelmän osapuoliksi ja heidän tehtävikseen sekä hahmotelmia siitä, millaisia vaihtoehtoja

4 Sivu 4 osapuolilla on valittavanaan Virtu-liittymän toteuttamisessa. Lisäksi esitellään malleja käyttöoikeuksien hallinnan toteuttamiselle Virtu-järjestelmän avulla. Käynnistettäväksi esitettävässä hankkeen toteutusvaiheessa keskityttäisiin kuitenkin pääasiassa virkamiehen tunnistamiseen.

5 Sivu 5 Sisällys Tiivistelmä... 3 Sisällys Yleistä virkamiehen tunnistaminen hankkeesta Taustaa Tavoitteet Tulos Tehtävä Organisaatiorajat ylittäviä sovelluksia valtionhallinnossa Rajauksia ja täsmennyksiä Johdanto käyttäjähallinnon käsitteisiin Identiteetti Tietojärjestelmäkohtainen käyttäjähallinto Viraston keskitetty käyttäjähallinto Virastorajat ylittävä käyttäjähallinto Henkilöllisyyden todentaminen Käyttöoikeudet Käyttäjähallinnon kehittämisen hyötyjä ja haasteita Organisaatiorajat ylittävän käyttäjähallinnon toteutus Tekninen periaate Tekninen tiedonsiirtoprotokolla Siirrettävistä henkilötiedoista Palvelinvarmenteet Virkamiehen tunnistamisen osapuolet ja työnjako Virkamiehen tunnistuksen luottamusverkosto Luottamusverkoston osapuolet ja osapuolten tehtävät Loppukäyttäjä (virkamies) Kotiorganisaatio Palveluntarjoaja Operaattori Koordinaattori ja omistaja VM:n järjestämä keskitetty tunnistuslähde Osapuolten tietoturvatasot Käyttövaltuuksien hallinta luottamusverkostossa Organisaatiorajat ylittävän käyttäjähallinnon hyödyntämistavat... 25

6 Sivu Käyttövaltuudet hallitaan luottamusverkoston ulkopuolella (nollavaihtoehto) Tunnistusseloste sisältää palvelujärjestelmäkohtaisen käyttäjäroolin Tunnistusseloste sisältää työroolin Yhteenveto valtuuttamisesta Esimerkkejä erilaisista Virtu-liittymän toteutustavoista Tunnistuslähteen toteuttaminen Virastolla oma tunnistuslähde Hallinnonalalla yhteinen tunnistuslähde Olemassaoleva luottamusverkosto ketjutetaan Virtuun Kotivirasto ostaa tunnistuslähteen palveluna Palvelun toteuttaminen Palvelu integroituna suoraan sovellukseen Sovelluksen edustalla erityinen pääsynvalvontapalvelin Tunnistuslähteen edustapalvelin (IdP proxy) Keskitetty ominaisuuslähde Kustannusarvioita ja -vertailuja Nykyisen toimintamallin kustannukset Ehdotetun toimintamallin kustannukset Ehdotus jatkotoimenpiteiksi ja niiden vaiheistukseksi Virkamiehen tunnistamisen hankkeen toteutusvaihe Virastojen käyttäjähallinnon kehitystyön tukeminen Myöhemmin toteutettavat laajennukset Käyttövaltuuksien hallinta Kuntien virkamiesten tunnistaminen Viitteet LIITE 1: Käsitteet LIITE 2: Määritys siirrettävistä ominaisuuksista (skeema)... 42

7 Sivu 7 1. Yleistä virkamiehen tunnistaminen hankkeesta Alaluvuissa esitellään virkamiehen tunnistaminen ja käyttöoikeuksien hallinta hankkeen (lyhennettynä Virtu) asettamispäätöksen (VM 113:01/2006) sisältö. Kahdessa viimeisessä alaluvussa esitellään valtionhallinnon sovelluksia, joita valtion virkamiehet käyttävät yli virastorajojen, sekä hankkeessa tehtyjä rajauksia Taustaa Valtioneuvoston periaatepäätös valtionhallinnon IT-toiminnan kehittämisestä ( ) sisältää valtioneuvoston linjaukset ja kehittämisohjelmat valtion yhteisen IT-toiminnan kehittämiseksi vuosina Kehittämisohjelmien kärkihankkeet ovat askeleita kohti periaatepäätöksessä kuvattua pidemmän tähtäimen tavoitetilaa valtionhallinnon IT-toiminnasta. Periaatepäätöksessä esitettyjen tavoitteiden saavuttamiseksi käynnistettiin viisi kehittämisohjelmaa: Asiakaslähtöiset sähköiset palvelut, Yhteentoimivuus (tietohallinnon arkkitehtuurit ja menetelmät), Yhteiset tietojärjestelmät, Yhtenäiset perustietotekniikkapalvelut ja Tietoturvallisuus. Yhteiset tietojärjestelmät -kehittämisohjelma Yhteiset tietojärjestelmät -kehittämisohjelmalla luodaan koko valtionhallinnolle yhteisiä tietojärjestelmiä tai palveluja toimintoihin, joissa virastoilla on samantyyppiset tarpeet ja toimintatavat. Päällekkäistä kehitys- ja ylläpitotyötä vähennetään lisäämällä valtion yhteisten järjestelmien määrää asteittain, silloin kun se on kannattavuuden ja toiminnan näkökulmista perusteltua. Vuosina käynnistettäviä ohjelman kärkihankkeita ovat: - talous- ja henkilöstöhallinnon tietojärjestelmät (KIEKU-hanke) - virkamiehen tunnistaminen ja käyttöoikeuksien hallinta - dokumentinhallinta ja arkistointi Tavoitteet Virkamiehen tunnistaminen ja käyttöoikeuksien hallinta -hankkeen on tarkoitus luoda koko valtionhallinnolle yhteiset toimintamallit ja tekniset ratkaisut virkamiesten henkilöllisyyden todentamiseen, henkilötietojen ylläpitoon sekä käyttöoikeuksien hallintaan. Hankkeen päätavoitteena on mahdollistaa, että virkamiehet voivat käyttää luotettavasti, turvallisesti ja kustannustehokkaasti myös oman organisaation ulkopuolisten osapuolien tarjoamia sähköisiä palveluita. Tämän tavoitteen saavuttamiseksi projektissa tulee: - Luoda valtionhallinnolle yhteinen menetelmä virkamiehen tunnistamiseen ja käyttöoikeuksien hallintaan. - Luoda valtionhallinnolle yhteensopivat järjestelmät virkamiehen tunnistamiseen ja käyttöoikeuksien hallintaan. - Määritellä eri osapuolien vastuut käyttäjän tunnistamisessa ja käyttöoikeuksien hallinnassa. - Luoda toimiva ja kustannustehokas malli virkamiehen tunnistamisen ja käyttöoikeuksien hallintaan.

8 - Parantaa valtionhallinnon ministeriöiden ja virastojen käyttäjätietojen hallinnointikäytäntöjä. Sivu Tulos Hankkeen tuloksena on tämä esitutkimusraportti, jonka perusteella tehdään päätös hankkeen jatkamisesta/toteuttamisesta. liitteineen vastaa kysymyksiin - Määrittely virkamiehen tunnistamiseen liittyvistä käsitteistä. - Kuvaus virkamiehen tunnistamiseen ja käyttöoikeuksien hallintaan liittyvistä osapuolista ja osapuolien roolista. - Kuvaus eri osapuolien vaatimuksista virkamiehen tunnistamiselle ja käyttöoikeuksien hallinnalle. - Selvitys tietojen luottamuksellisvaatimuksista ja tunnistamisen yhteydessä siirrettävistä henkilötiedoista. - Kuvaus protokollaan ja infrastruktuuriin liittyvistä tarpeista sekä hahmotelma teknisistä ratkaisuista. - Kartoitus virastoissa, ministeriöissä sekä tarvittavassa laajuudessa myös kunnissa käytettävistä viranomaisen tunnistamisen ja käyttöoikeushallinnan nykyisistä toimintamalleista ja järjestelmistä. - Tarkennettu hankesuunnitelma toteutusvaiheelle Tehtävä Hankkeessa oli seuraavia tehtäväkokonaisuuksia: - Esiselvitysvaiheen tavoitteiden, tuotosten ja aikataulun täsmentäminen. - Nykyisten toimintamallien ja järjestelmien kartoittaminen. - Sidosryhmien vaatimusten määrittely. - Tietojen luottamuksellisuuteen, siirrettäviin henkilötietoihin, protokollaan ja infrastruktuuriin liittyvien tarpeiden selvittäminen. - Sanaston laatiminen. - Ratkaisuvaihtoehtojen arviointi toteutettavuuden, kustannusten ja hyötyjen, ITarkkitehtuurin sekä hankeriippuvuuksien osalta. - Toteutusvaiheen läpivientisuunnitelman tarkentaminen (ml. toteutusvaiheen organisaation määrittely) Organisaatiorajat ylittäviä sovelluksia valtionhallinnossa Organisaatiorajat ylittävien sovellusten keskeinen omistaja valtionhallinnossa on Valtiokonttori, jonka tehtäviin kuuluu valtion yhteisten talous- ja henkilöstöhallinnon tietojärjestelmien määritteleminen, hankkiminen ja tuotteistaminen, niihin liittyvät palvelut sekä käyttöönoton tuki ja ylläpito. Osaa Valtiokonttorin omistamista sovelluksista käyttää lukumääräisesti suuri joukko virkamiehiä, erityisesti matkanhallintaa (Personec Travel) ja paperittoman kirjanpidon järjestelmää (Rondo). Valtiokonttori ( palvelun omistaja ) on hankkinut matkanhallinnan käyttöpalveluna (Application Service Provider, ASP) Personeciltä ( palvelun tarjoaja ). Rondon käyttöpalvelun tarjoaa TietoEnator.

9 Sivu 9 Lisäksi Valtiokonttorin Kieku-ohjelmassa on käynnissä järjestelmähankinta, joka tuo valtion yhteisen talous- ja henkilöstöhallinnon järjestelmäkokonaisuuden sekä integraatioratkaisun sovelluksia laajaan virkamieskunnan käyttöön. Järjestelmähankintaan sisältyy taloushallinnon osalta mm. menojen maksaminen, tulojen käsitteleminen, kirjanpito ja sisäinen laskenta, sekä henkilöstöhallinnon osalta mm. palvelussuhdeasioiden hallinta, osaamisen hallinta, työajan seuranta, palkkausjärjestelmän (UPJ) hallinta ja resurssisuunnittelu ja seuranta. Muiden virastojen omistamia organisaatiorajat ylittäviä sovelluksia on mm. Väestörekisterikeskuksen Väestötietojärjestelmä ja Ajoneuvohallintokeskuksen rekisterit. Lisäksi joillain hallinnonaloilla, esimerkiksi SM:n ja OM:n hallinnonaloilla, on runsaasti tietojärjestelmien ristiinkäyttöä. Myös muut ValtITkärkihankkeet tulevat tuottamaan yli virastorajojen käytettäviä tietojärjestelmiä, mm. Valtion dokumentinhallinta ja arkistointi hanke ja sähköisen asioinnin alusta hanke Rajauksia ja täsmennyksiä Hankkeessa tarkasteltiin käyttötilannetta, jossa virkamies kirjautuu valtionhallinnon sisäiseen palveluun, ja kirjautumiseen liittyy myös hänen käyttöoikeuksiensa tarkastaminen palvelussa. Dokumenttien tai sähköpostiviestien sähköinen allekirjoitus ei sisältynyt hankkeeseen. Hanke ei myöskään tarkastellut tilannetta, jossa kansalaisella on tarve tunnistaa viranomainen tietoverkossa. Hankkeessa loppukäyttäjän käsite laajennettiin kattamaan virkamiesten lisäksi myös valtioon muunlaisessa palvelussuhteessa olevat henkilöt. Hankkeessa ei tarkasteltu kansalaisten ja yritysten tunnistamista. Niitä varten julkishallinnossa on omat palvelunsa (Vetuma ja KATSO). Hankkeessa keskityttiin organisaatiorajat ylittävien sovellusten käyttäjähallintoon. Organisaatiorajat ylittävällä käytöllä tarkoitetaan sovelluksia, jotka omistaa joku muu taho kuin se virasto, jonka palveluksessa palveluun kirjautuva virkamies on (jatkossa virkamiehen kotivirasto). Organisaatiorajat ylittävällä käytöllä ei niinkään tarkoiteta tilannetta, jossa virasto ulkoistaa omia sisäisiä tietojärjestelmiään esimerkiksi ostamalla tietojärjestelmät käyttöpalveluna, paitsi jos ulkoistetulla järjestelmillä on loppukäyttäjiä myös muista virastoista. Samoja tekniikoita voidaan kuitenkin käyttää myös viraston sisäisten tietojärjestelmien kirjautumisessa. Hankkeessa ei myöskään oteta kantaa virastojen mahdollisesti muodostamiin yhteisiin IT-palvelukeskuksiin, joita on mm. OM:n ja SM:n hallinnonaloilla. Virasto, jonka palveluksessa virkamies on, on hänen kotivirastonsa ja kotiviraston johto on vastuussa työntekijöidensä tehtävänmukaisista käyttövaltuuksista, vaikka hallinnonalan virastot olisivatkin keskittäneet tietotekniikkansa (ml. tietojärjestelmien käyttäjähallinnon teknisen toteuttamisen) yhteiseen palvelukeskukseen. Tässä esitutkimusraportissa esiteltävä järjestelmä voidaan toteuttaa myös palvelukeskuksissa.

10 Sivu Johdanto käyttäjähallinnon käsitteisiin Tässä luvussa esitellään käyttäjähallinnon (engl. user management, identity management, identity&access management) peruskäsitteitä erityisesti organisaatiorajat ylittävästä näkökulmasta. Hankkeeseen liittyviä käsitteitä on määritelty yksityiskohtaisemmin liitteessä (LIITE 1) Identiteetti Identiteetti (henkilöllisyys, engl. identity, digital identity) tarkoittaa joukkoa ominaisuuksia, jotka kuvaavat käyttäjää ja joiden avulla käyttäjä voidaan tunnistaa [VAHT06]. Tietojärjestelmää käyttävälle virkamiehelle syntyy identiteetti, kun hänen tietonsa perustetaan tietojärjestelmän käyttäjätietokantaan. Identiteettiin liittyviä ominaisuuksia (attribuutti, engl. attribute) ovat mm. käyttäjätunnus, tunnistusvälineet (engl. token, esimerkiksi salasana ja varmenne) sekä virkamiehen roolitiedot ja muut tiedot Tietojärjestelmäkohtainen käyttäjähallinto Virkatehtäviä hoitaessaan virkamiehellä on tyypillisesti tarve käyttää useita toisiinsa nähden itsenäisiä tietojärjestelmiä, joista osa sijaitsee hänen kotivirastonsa ulkopuolella. Perinteisesti itsenäisten tietojärjestelmien käyttäjähallinto on ollut toisistaan riippumatonta (Kuva 1). Valtionhallinto 123villev Personec Travel Väestötietojärjestelmä virkav45 Virkamiehen kotivirasto Sähköposti virkamiv Windows AD Ville Virkamies Asianhallinta virkvill virkamiv Intranet Kuva 1. Perinteisesti tietojärjestelmien käyttäjähallinto koostuu itsenäisistä saarekkeista, mikä ilmentyy virkamiehen lukuisina eri käyttäjätunnuksina Käyttäjätunnukset eri järjestelmissä luodaan ja ylläpidetään toisistaan riippumattomasti, ja ylläpidosta vastaavat virastossa jopa eri organisaatioyksiköt (esim. tietohallinto työasematunnusten osalta, taloushallinto matkahallintajärjestelmän tunnusten osalta jne). Loppukäyttäjän suuntaan tämä näkyy mm. suurena muistettavien käyttäjätunnus/salasana-parien määränä Viraston keskitetty käyttäjähallinto Virasto voi kehittää omia sisäisiä toimintojaan ottamalla käyttöön keskitetyn käyttäjähallintojärjestelmän (Kuva 2), jossa käyttäjällä on virastonsa sisällä yksi

11 identiteetti, johon viraston kaikki tai ainakin keskeisimmät tietojärjestelmät tukeutuvat. Sivu 11 Valtionhallinto 123villev Personec Travel Väestötietojärjestelmä Väestötietojärjestelmä virkav45 Virkamiehen kotivirasto Asianhallinta virkamiv Sähköposti Hakemisto Ville Virkamies Windows AD Intranet Kuva 2. Keskitetyssä käyttäjähallinnossa virkamiehellä on oman virastonsa tietojärjestelmissä yksi identieetti. Käyttäjätunnukset luodaan ja suljetaan käyttäjähallintojärjestelmässä keskitetysti, esimerkiksi perusrekistereistä (mm. henkilökuntarekisteristä) saatavan herätteen perusteella. Keskitetty käyttäjähallintojärjestelmä voidaan toteuttaa itse hakemistotuotteiden ja erilaisten skriptien avulla, tai vaihtoehtoisesti se voidaan rakentaa kaupallisen metahakemistotuotteen varaan, joita on tarjoa mm. CA, HP, IBM, Microsoft, Novell, Oracle ja Sun [GART06]. VAHTI-ohje 9/2006 on kuvannut keskitetyn käyttäjähallinnon periaatteita ja hyviä käytäntöjä [VAHT06] Virastorajat ylittävä käyttäjähallinto Valtionhallinto Personec Travel Virkamiehen kotivirasto Asianhallinta virkamiv Sähköposti Hakemisto Ville Virkamies Windows AD Intranet Kuva 3. Hankkeessa luodaan valtionhallinnolle yhteinen menetelmä ja yhteiset järjestelmät virkamiehen tunnistamiseen ja käyttöoikeuksien hallintaan virastorajat ylittävissä palveluissa.

12 Sivu 12 Virkamiehen tunnistaminen ja käyttövaltuuksien hallinta -hankkeen päätavoitteena on, että virkamiehet voivat käyttää luotettavasti, turvallisesti ja kustannustehokkaasti myös oman organisaation ulkopuolisten osapuolien tarjoamia sähköisiä palveluita. Viraston sisäinen keskitetty käyttäjähallinto ei vielä yksin ratkaise virastorajat ylittävää käyttäjätunnistusta (joskin se tullaan tuonnempana luvussa 4.1 kirjaamaan esivaatimukseksi). Hankkeen keskeinen tehtävä onkin luoda menetelmät ja järjestelmät, jotka mahdollistavat virastojen sisäisiin käyttäjähallintojärjestelmiin tukeutumisen myös viraston ulkopuolisiin järjestelmiin kirjauduttaessa. Lähtökohtana on se, että virkamiehellä on yksi identiteetti, jota käytetään viraston sisäisten järjestelmien lisäksi myös virastorajat ylittävissä tietojärjestelmissä (Kuva 3) Henkilöllisyyden todentaminen Käyttäjän henkilöllisyyden todentaminen (autentikointi, engl. authentication) tarkoittaa käyttäjän aitoudesta varmistumista halutulla luottamustasolla. Todentamisessa nojaudutaan johonkin a) jonka käyttäjä tietää, b) joka käyttäjällä on tai c) mikä käyttäjä on [VAHT06]. Usein käytetty termi käyttäjän tunnistus sisältää aina myös käyttäjän henkilöllisyyden todentamisen [VAHT06], joten niitä voitaneen käyttää synonyyminä. Ville Virkamies virkamvi/fk4odgne Sovellus Nimi: Ville Virkamies Käyttäjätunnus: virkamvi Rooli: valmistelija Kuva 4. Todentaessaan henkilöllisyyden sovellus varmistaa halutulla luotettavuustasolla, että kirjautuva käyttäjä on tietty sovelluksen entuudestaan tunnistama henkilö. Esimerkissä todentaminen tapahtuu salasanalla. Virkamiehen henkilöllisyys todennetaan ensimmäisen kerran silloin, kun virkamies saa palvelussuhteensa alussa tunnistamisvälineen palveluihin kirjautumista varten. VAHTI-ohje12/2006:n mukaan todentamiseen tulee sisältyä henkilökohtainen tapaaminen, jossa virkamies esittää virallisen henkilökortin, ajokortin tai passin [VAHT06b, s.19-21]. Kirjautumishetkellä henkilöllisyys voidaan todentaa kevyellä tai vahvalla tavalla. Henkilöllisyyden kevyt todentaminen tapahtuu esimerkiksi salasanalla, vahvaan todentamiseen sisältyy esimerkiksi pankkien TUPAS-tunnistus tai varmenteen tai laatuvarmenteen esittäminen, kun varmenteen aktivoimiseen tarvitaan PIN-koodi tai biometrinen tunnistus [VAHT06b, s. 20]. Palvelun edellyttämä henkilöllisyyden todentamisen vahvuus riippuu palvelun luonteesta, ja ennen kaikkea siinä käsiteltävien tietojen luottamuksellisuustasosta [VAHT06b, s. 29]. Organisaatiorajat ylittävä käyttäjähallinto ei ota teknisesti kantaa siihen, millä tavalla henkilöllisyyden todentaminen tapahtuu, eikä itsessään edellytä salasanoista luopumista ja virkavarmenteisiin siirtymistä. Organisaatiorajat ylittävä käyttäjähallinto kuitenkin tasoittaa tietä virkavarmenteiden käytölle. Käyttäjän varmenne on yksi hänen identiteettiinsä liittyvä tunnistamisväline, jota ylläpidetään hänen kotivirastossaan. Näin virkavarmenteeseen perustuva tunnistaminen saadaan aikaisempaa helpommin sovellusten ulottuville. Viimekädessä sovellus (ja

13 virkamiehen kotivirasto) päättävät, kuinka vahva tunnistus sovellukseen kirjauduttaessa vaaditaan. Sivu 13 Yleisesti ottaen voidaan kuitenkin todeta, että mitä useamman palvelun käyttäjän identiteetti kattaa, sitä suurempi paine kohdistuu henkilöllisyyden vahvan todentamisen käyttöönottoon (Kuva 5): pettäneestä henkilöllisyyden todentamisesta (identiteettivarkaus) seuraa suurempien riskien realisoituminen. Virastorajat ylittävä henkilöllisyys Viraston sisällä keskitetty henkilöllisyys Tietojärjestelmä kohtainen henkilöllisyys Kevyt henkilöllisyyden todentaminen Vahva henkilöllisyyden todentaminen Kuva 5. Henkilöllisyyden kattavuus ja henkilöllisyyden todentamisen luotettavuus. Virastorajat ylittävä käyttäjähallinto luo painetta siirtyä kohti henkilöllisyyden vahvaa todentamista. Toisaalta myös salasanaan perustuva henkilöllisyyden todentamisen luotettavuus voi lisääntyä, koska muistettavien salasanojen määrä vähenee, jolloin jäljelle jääviin salasanoihin voidaan kohdentaa korkeampia laatuvaatimuksia. Salasanatunnistuksen luotettavuutta voidaan kohentaa myös sallimalla salasanakirjautuminen vain viraston sisäverkosta. Tällöin etäkäyttäjien tulisi ensin kirjautua viraston sisäverkkoon esim. VPN-tekniikalla. Kertakirjautumisen käsite (engl. single sign-on) liitetään usein henkilöllisyyden todentamiseen. Kertakirjautuminen tarkoittaa, että käyttäjältä pyydetään salasana tai PIN-koodi vain kerran istunnon alussa. Kirjautuminen muihin sovelluksiin tapahtuu sen jälkeen automaattisesti Käyttöoikeudet Käyttöoikeudella eli käyttövaltuudella tarkoitetaan todennetulle käyttäjälle annettua lupaa tietyn tiedon, suojattavan kohteen tai muun palveluelementin käyttöön [VAHT06]. Käyttöoikeuksien tarkistamista kutsutaan pääsynvalvonnaksi, ja se tapahtuu, kun käyttäjä on kirjautumassa järjestelmään ja hänen henkilöllisyytensä on todennettu. Käyttäjän käyttöoikeudet riippuvat tietojärjestelmästä ja ne on tyypillisesti niputettu palvelujärjestelmäkohtaisiksi käyttäjärooleiksi [VAHT06, s. 18]. Esimerkiksi matkanhallintajärjestelmässä käyttäjällä voi olla muun muassa oikeus tehdä matkalaskuja (käyttäjärooli matkustaja) tai hyväksyä muiden tekemiä matkalaskuja (käyttäjärooli hyväksyjä). Virkatehtäviä suorittavan virkamiehen käyttöoikeudet tietojärjestelmissä seuraavat tyypillisesti hänen toimenkuvaansa. Käyttöoikeuksien hallitsemiseksi käyttäjille

14 annetaan työrooleja, jotka kuvataan edelleen palvelujärjestelmäkohtaisiksi käyttäjärooleiksi [VAHT06, s. 18]. Sivu 14 käyttäjät työroolit palveluj.koht. käyttäjäroolit esimies työntekijä hyväksyjä matkustaja palvelujärjestelmä Matkanhallintajärjestelmä Kuva 6. Esimerkki työrooliin perustuvasta käyttöoikeuksien hallinnasta. Oheisessa kuvassa (Kuva 6) on hahmoteltu esimerkki matkanhallintajärjestelmän työrooleihin perustuvasta käyttöoikeuksienhallinnasta. Esimerkissä on lähdetty oletuksesta, että kaikki virkamiehet voivat tehdä virkamatkoja. Esimiestehtävissä olevat hyväksyvät alaistensa virkamatkaesitykset sekä matkalaskut. Lisäksi tarvitaan vielä kieltolistoja ja muita järjestelyjä vaarallisten työyhdistelmien estämiseksi. Yksityiskohdissaan työnjako vaihtelee kuitenkin virastoittain ja on vahvasti kytköksissä viraston säädösympäristöön sekä ohjesääntöihin, työnjakoon, toimintaprosesseihin jne. Organisaatiorajat ylittävien järjestelmien osalta palvelujärjestelmäkohtaiset käyttäjäroolit määrittelee tyypillisesti palvelun omistaja, kun taas virkamiesten toimenkuvista seuraavat työroolit tunnetaan parhaiten virkamiehen kotivirastossa. Organisaatiorajat ylittävässä käyttövaltuuksienhallinnassa keskeiseksi haasteeksi nousee työroolien kuvaaminen palvelujärjestelmäkohtaisiksi käyttäjärooleiksi Käyttäjähallinnon kehittämisen hyötyjä ja haasteita Tähän lukuun on koottu käyttäjähallinnon kehittämisellä saavutettavia hyötyjä ja toisaalta haasteita, joita kehittämiseen liittyy. Hyödyt ja haasteet koskevat sekä viraston sisäisen käyttäjähallinnon kehittämistä (luku 2.1.2) että organisaatiorajat ylittävää käyttäjähallintoa (luku 2.1.3). Loppukäyttäjälle eli järjestelmää käyttävälle virkamiehelle koituvia hyötyjä on, että palvelut saadaan yhdellä tunnistusvälineellä tapahtuvan kirjautumisen taakse, jolloin muistettavien käyttäjätunnusten ja salasanojen määrä vähenee. Koska uuden tietojärjestelmän käyttöönotto ei enää automaattisesti edellytä uuden käyttäjätunnuksen ja salasanan opettelua, myös uusien palvelujen käyttöönottokynnys alenee. Palvelun omistava organisaatio/organisaatioyksikkö vapautuu ainakin osaksi palvelunsa käyttäjähallinnosta ja voi sen sijaan keskittyä omaan erityisosaamiseensa eli palvelun sisältöön ja palveluntuotantoon. Palvelun omistaja voi tukeutua (virkamiehen kotiviraston) tietohallinnon virkamiehille antamiin erivahvuisiin tunnistamisvälineisiin ja tietohallinnon virkamiehistä ylläpitämiin käyttäjätietoihin, joista on apua myös käyttövaltuuksien hallinnassa. Jos loppukäyttäjä on unohtanut salasanansa tai hänellä on muita käyttäjätunnukseen liittyviä ongelmia, hän kääntyy (kotivirastonsa) tietohallinnon puoleen, eikä rasita palvelun omistajaa. Palvelun omistajan näkökulmasta käyttäjähallinnon keskittäminen tarkoittaa käyttäjähallinnon ulkoistamista pois sovelluksesta, jolloin käyttäjätietojen päällekkäinen ylläpitotyö vähenee.

15 Sivu 15 Viraston tietohallinto puolestaan voi keskittyä omien prosessiensa tehostamiseen ja palvelun omistajien parempaan palvelemiseen. Tämä tapahtuu rakentamalla automatisoituja välineitä virkamiestensä käyttäjätietojen ylläpitoon muun muassa viraston henkilökuntarekisterin avulla. Käyttöönotettavat uudet tunnistusvälineet saadaan keskitetyn käyttöoikeushallinnan kautta palvelemaan laajemmin jo olemassa olevia palveluja. Myös käyttöoikeuksien hakemista voidaan tehostaa työroolien tai sähköisten käyttöoikeuksien hakujärjestelmien kautta. Tietoturvallisuus kasvaa usealla tavalla: - Koska käyttäjällä on vain yksi käyttäjätunnus/salasana-pari, on sen muistaminen helpompaa, ja siihen voidaan kohdistaa tiukemmat laatuvaatimukset, jotka koskevat esimerkiksi salasanan vaihtamista, pituutta ja sen sisältämiä merkkejä. - Henkilökuntarekisterikytkennän ansiosta virkamiesten käyttäjätunnukset saadaan suljettua palvelussuhteen päättyessä. Tällöin keskitetyn käyttäjähallinnon kautta tunnuksen sulkeutuminen toteutuu kaikissa sen piirissä olevissa järjestelmissä. - Uusien tunnistamisvälineiden ja mahdollisesti vahvan todentamisen käyttöönotto helpottuu, kun se saadaan keskitetyn käyttäjähallinnon kautta kerralla suureen joukkoon palveluita. - Keskitetty näkymä käyttäjän identiteetistä ja käyttöoikeuksista tietojärjestelmissä tukee jäljitettävyys- (engl. audit) ja raportointitoimintoja. Käyttäjähallinnon kehittämisen haaste on se, että kehitysprojekti ei ole pelkästään tekninen ponnistus, vaan se on vahvasti sidoksissa organisaation toimintaan. Jotta tekniset edellytykset käyttäjähallinnon kehittämiseen olisi olemassa, organisaation on ensin tyypillisesti mallinnettava ja yhdenmukaistettava toimintaprosessejaan, määriteltävä omistajia ja primäärejä lähteitä organisaatiossa olevalle tiedolle, sekä määriteltävä ja yhdenmukaistettava tietoon liittyviä sanastoja (koodistoja) ja sanastojen merkityksiä. Keskitetyn ja organisaatiorajat ylittävän käyttäjähallinnon haasteisiin ja riskeihin kuuluu se, että keskitetyt tunnistuspalvelimet itsessään muodostavat potentiaalisen pullonkaulan saatavuuden, suorituskyvyn ja tietoturvallisuuden kannalta. Virkamiehen tunnistaminen hankkeessa riskejä pyritään hallitsemaan pyrkimällä valtionhallinnon tasolla hajautettuun ratkaisuun, jolla minimoidaan keskitettyjen palveluiden määrä.

16 Sivu Organisaatiorajat ylittävän käyttäjähallinnon toteutus Virkamiehen organisaatiorajat ylittävä tunnistus voidaan toteuttaa useilla tavoilla. Virastojen käyttäjätietokantoja voidaan synkronoida jokaisen palvelun kanssa. Tällöin kussakin virastossa jouduttaisiin toteuttamaan erikseen liittymä kuhunkin palveluun, mikä olisi työlästä. Keskitetyssä mallissa virkamiesten käyttäjätiedot koottaisiin valtiontason keskitettyyn käyttäjähakemistoon, johon palveluille avattaisiin pääsy esim. LDAP-protokollan avulla. Tätä kevyemmässä toteutuksessa kullakin virastolla olisi edelleen oma käyttäjähakemistonsa, jotka koottaisiin yhdeksi loogiseksi hakemistoksi keskitetyn virtuaalihakemiston avulla. Viimevuosina on alkanut yleistymään ns. federoitu käyttäjähallintomalli, joka perustuu organisaatioiden väliseen löyhään liitokseen. Federoidussa käyttäjähallinnossa organisaatiot vaihtavat käyttäjiin ja käyttäjätunnistukseen liittyviä sanomia ns. tunnistusselosteina (engl. assertion). Tunnistusselosteet pohjautuvat SAML-määritykseen (Security Assertion Mark-up Language), joka on avoin XML-pohjainen kieli ja protokolla, jonka kansainvälinen OASIS-konsortio on määritellyt. SAML-pohjaisia käyttäjähallinnon toteutuksia on käytössä julkishallinnossa ulkomailla mm. Australiassa, Belgiassa, Ranskassa, Islannissa, Italiassa, Yhdysvalloissa, Uudessa Seelannissa, Norjassa, Portugalissa, Iso-Britanniassa ja Ruotsissa [LIBE07]. Suomessa yliopistot ja ammattikorkeakoulut ovat käyttäneet SAML-pohjaista Shibboleth-tekniikkaa korkeakoulurajat ylittävissä palveluissa vuodesta 2005 alkaen [CSC07]. Verohallinnon ja Kelan KATSOorganisaatiotunnistus perustuu SAML-tekniikkaan, samoin Kelan, työministeriön ja Verohallinnon tunnistus.fi. Lisäksi yksittäisillä virastoilla on sisäisessä käytössään SAML-yhteensopivia järjestelmiä. Tämä esitutkimusraportti esittää valtionhallinnon organisaatiorajat ylittävän käyttäjähallinnon toteuttamista nimenomaan federoidun toimintamallin pohjalta Tekninen periaate Perustilanteessa organisaatiorajat ylittävässä käyttäjähallinnossa on kaksi teknistä toimijaa: virkamiehen kotiorganisaatio (kotivirasto) ja palveluntarjoaja. Kotiorganisaatio vastaa virkamiehen identiteetin hallinnasta, identiteettiin liittyvistä ominaisuuksista (engl. attribute) sekä virkamiehen henkilöllisyyden todentamisesta. Kotiorganisaatio asettaa SAML-tunnistuslähteen (Identity Provider, IdP), joka kokoaa virkamiehen ominaisuuksista SAML-tunnistusselosteen, joka välitetään salatun tiedonsiirtokanavan yli palveluntarjoajalle. Palveluntarjoaja on asettanut SAML-palvelun (Service Provider, SP), joka vastaanottaa tunnistusselosteen ja todentaa siinä olevan digitaalisen allekirjoituksen. Tunnistusselosteeseen sisältyvien ominaisuuksien avulla palvelu päättelee, onko loppukäyttäjällä oikeus palvelun käyttämiseen. SAML-pohjainen käyttäjätunnistus on tehty lähtökohtaisesti WWW-ympäristössä käytettäviä sovelluksia varten. Kirjautuvalla virkamiehellä edellytetään olevan käytettävissä tavanomainen WWW-selain.

17 Sivu 17 Ville Virkamies Helsingin yliopisto, Laitosjohtaja, fysiikan laitos 2. Ville Virkamies, Laitosjohtaja, fysiikan laitos 1.Henkilöllisyyden todentaminen Tunnistuslähde (Identity Provider) tunnistusseloste 4. Ville pääsee hyväksymään fysiikan laitoksen henkilökunnan matkalaskuja Personec Travel Palvelu (Service Provider) 3. Ville Virkamies, laitosjohtaja, fysiikka Käyttäjätietokanta Kotiorganisaatio Helsingin yliopisto Palveluntarjoaja esim. Personec Kuva 7. SAML-tekniikkaa hyödyntävän organisaatiorajat ylittävän käyttäjähallinnon periaate. Oheinen kuva (Kuva 7) selventää organisaatiorajat ylittävän käyttäjähallinnon periaatetta ja mahdollisuuksia. Loppukäyttäjä haluaa kirjautua Personec Travel matkanhallintaohjelmistoon, jolloin seuraa seuraavanlainen tapahtumaketju: 1. Palveluntarjoaja esittää loppukäyttäjän kotiviraston tunnistuslähteelle tunnistuspyynnön (engl. SAML authentication request). Tunnistuslähde huolehtii käyttäjän henkilöllisyyden todentamisesta jollain käytettävissä olevista, palveluun nähden riittävän luotettavista tunnistusvälineistä. 2. Tunnistuslähde hakee loppukäyttäjän käyttäjätietoja viraston käyttäjätietokannasta ja muodostaa niistä tunnistusselosteen. Tunnistusseloste voi esimerkiksi sisältää virkamiehen nimen ja yksilöivän tunnisteen, hänen yhteystietojaan (puhelinnumero, sähköpostiosoite, toimipaikan osoite) ja tietoa hänen työrooleistaan (organisaatioyksikkö, tehtävänimike ja asema) ja palvelujärjestelmäkohtaisista käyttäjärooleistaan. Tunnistusseloste sisältää myös tietoa henkilöllisyyden todentamisajankohdasta ja tavasta (engl. authentication context), sekä tunnistuslähteen laatiman digitaalisen allekirjoituksen. 3. Tunnistusseloste siirretään salattua HTTPS-kanavaa käyttämällä palveluun, joka purkaa sanoman ja todentaa sen allekirjoituksen. Käyttäjän ominaisuudet tarjotaan sovellukselle. 4. Sovellus päättää käyttäjän ominaisuuksien perusteella, minkälainen rooli käyttäjälle voidaan antaa sovelluksessa. Apuna voidaan käyttää myös sovelluksen sisäistä käyttäjätietokantaa ja käyttäjän sinne kirjattuja käyttöoikeuksia. Kuvan esimerkissä sovellettiin työrooliin perustuvaa pääsynvalvontaa; loppukäyttäjälle annettiin hyväksyjärooli matkahallinnossa sen perusteella, että hän on laitosjohtajan roolissa omassa kotivirastossaan. Alkuvaiheessa tunnistusselosteita hyödynnettäneen kuitenkin lähinnä loppukäyttäjän tunnistamiseen, ja käyttöoikeudet ylläpidetään sovelluksen sisällä. Käyttöoikeuksien hallintaan palataan luvussa 5. Organisaatiorajat ylittävässä käyttäjähallinnossa käyttäjän henkilöllisyyden todentaminen on siis sälytetty yksinomaan kotiviraston tehtäväksi. Käytettävissä

18 Sivu 18 oleville tunnistusvälineille voidaan laatia järjestys kevyimmästä vahvimpaan, ja kirjautumishetkellä palvelu esittää tunnistuslähteelle vaatimuksen käyttäjän tunnistuksen vahvuustasosta. Uusien tunnistusvälineiden käyttöönotto kotivirastoissa ei edellytä muutoksia palveluihin, sillä niiden tarvitsee vain tukea SAML-tekniikkaa ja osata määritellä vaatimuksensa henkilöllisyyden todentamisen vahvuudelle. Kukin kotivirasto voi sitten valita omien tarpeidensa mukaiset tunnistusvälineet, joilla palvelun edellyttämä käyttäjän henkilöllisyyden todentaminen toteutetaan Tekninen tiedonsiirtoprotokolla Virkamiehen tunnistamisen ja käyttöoikeuksien hallinnan järjestelmässä (jatkossa Virtu-järjestelmä) esitetään käyttäväksi SAML-määrityksen versiota 2.0, joka vahvistettiin maaliskuussa SAML 2.0:n mukaisia toteutuksia tarjoavat useat toimittajat, mm IBM, Sun, Novell, Oracle ja Ping Identity. Liberty Alliance suorittaa SAML2.0-tuotteiden yhteensopivuuden testauksia; tällä hetkellä Liberty Interoperable luokituksen on saanut 11 tuotetta [LIBE07b]. Liberty Alliance Liberty ID-FF /2003 OASIS SAML ver 1.1 9/2003 SAML ver 2.0 3/2005 Internet2 Shibboleth 1.x 6/2003-7/2005 Kuva 8. Liberty Alliancen, OASIS:n ja Internet2:n määrittelyjen keskinäiset suhteet. Kuva 8 selventää OASIS:n SAML-määritysten suhdetta Liberty Alliancen ja Internet2:n määrityksiin. SAML-määrityksen aikaisempi versio 1.1 otettiin pohjaksi Yhdysvaltojen yliopistoista koostuvan Internet2:n ja toisaalta Liberty Alliance konsortion määritystyölle. Tällä hetkellä käytössä on vielä runsaasti Liberty ID-FF 1.2-pohjaisia toteutuksia. Toisaalta korkeakoulumaailmassa käytetään Shibbolethprotokollaa, jotka molemmat perustuvat SAML 1.1:een. SAML 2.0, joka ei ole taaksepäin yhteensopiva SAML 1.1:n kanssa, sai vaikutteita sekä Liberty Alliancen että Internet2:n määrittelyistä, ja tullee vähitellen korvaamaan ne. SAML2.0:n lisäksi Liberty Alliance edistää ID-WSF-tekniikan käyttöä, joka sovittaa SAMLtunnistusselosteet Web Services palveluihin. Merkittävimmän vaihtoehdon SAML-määrityksille muodostavat IBM:n ja Microsoftin koordinoima määritystyö, johon kuuluvat keskeisimpinä määrityksinä WS-Security, WS-Federation ja WS-Trust. Useat saatavilla olevat tuotteet tukevat sekä SAML että WS-sarjan määrityksiä. Työryhmä esittää, että virkamiehen tunnistuksen tekniikaksi valitaan SAML 2.0. Tunnistuslähteiden vähimmäisvaatimus on SAML 2.0 Conformance määrityksen mukainen IdP Lite ja palveluiden vähimmäisvaatimus SP Lite. Jatkossa ollaan avoimia myös muille kehittyville tekniikoille Siirrettävistä henkilötiedoista Tunnistuslähde ja palvelu vaihtavat tietoa virkamiesten ominaisuuksista tunnistuspyyntöjen ja -selosteiden välityksellä, joten kotiorganisaatiolla ja

19 palveluntarjoajalla tulee olla yhtenevä näkemys ominaisuuksien syntaksista (rakenteesta) ja semantiikasta (merkityksestä). Sivu 19 Tunnetuissa ja yleisesti hyväksytyissä määrityksissä on jo kiinnitetty useimmat sellaiset ominaisuudet, joita myös Virtu-järjestelmä tarvitsee. Tällaisia määrityksiä on mm. Internet-standardit Person, OrgPerson ja InetOrgPerson. Lisäksi Liberty Alliance on määritellyt profiilin työntekijöiden ominaisuuksille [KELL05]. Olemassa olevien määritysten pohjalta hankkeessa laadittiin määritys siirrettävistä virkamiehen ominaisuuksista (LIITE 2). Henkilötietolain mukaan henkilötiedolla tarkoitetaan kaikenlaisia luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi. Virkamiesten käyttäjätiedot muodostavat henkilörekisterin, jonka rekisterinpitäjä on hänen kotiorganisaationsa. Tunnistuslähde käsittelee henkilötietoja todentaessaan käyttäjän henkilöllisyyden ja muodostaessaan tunnistussanoman. Myös palveluntarjoaja on henkilörekisterinpitäjä, jos tunnistussanoma yhdessä palveluntarjoajan käyttäjästä keräämien muiden tietojen kanssa täyttää henkilötiedon määritelmän. Henkilötietolaista rekisterinpitäjälle seuraavat velvoitteet, kuten huolellisuusvelvoite, suunnitteluvelvoite, informointivelvoite ja virheettömyysvaatimus täytyy huomioida myös Virtu-järjestelmässä. Tarpeellisuusvaatimuksesta seuraa, että tunnistuslähde saa luovuttaa palvelulle vain sellaisia henkilötietoja, joita palvelu tarvitsee. Käyttötarkoitussidonnaisuudesta johtuu, että tunnistuslähde saa luovuttaa henkilötietoja vain sellaisiin palveluihin, joissa henkilötietojen käsittelyn tarkoitus ei ole ristiriidassa virkamiehen henkilötietojen kotivirastossa tapahtuvan käsittelyn kanssa. Informointivelvoitteesta seuraa henkilötietolaissa mainituin poikkeuksin, että kotiviraston tulee viimeistään silloin, kun henkilötietoja ensi kerran luovutetaan, informoida virkamiestä luovutuksen saajasta, henkilötietojen käsittelytarkoituksesta ja luovutuksesta edelleen sekä siitä, kuinka rekisteröity voi käyttää oikeuksiaan Palvelinvarmenteet SAML-määrityksen mukaisten tunnistuspyyntöjen ja tunnistusselosteiden aitous ja eheys varmistetaan digitaalisilla allekirjoituksilla ja luottamuksellisuus SSL/TLStekniikalla tai salaamalla tunnistusselosteet vastaanottajan julkisella avaimella. Tämä edellyttää, että SAML-tunnistuslähteellä ja -palvelulla on käytettävissään vastapuolen julkinen avain. Lisäksi Virtu-järjestelmässä virkamiehet käyttävät palvelua www-selaimella salattujen https-yhteyksien yli. Https-yhteydet edellyttävät, että palvelimella on luotetun palveluntarjoajan antaman varmenne. Työryhmä esittää, että virkamiehen tunnistamisen järjestelmässä SAMLtunnistuslähteet ja -palvelut käyttävät Väestörekisterikeskuksen VRK CA for Service Providers varmentajan myöntämiä palvelinvarmenteita, ellei julkista hankintaa koskevista säädöksistä johdu muuta. Virkamiehen selaimella avautuvissa httpsyhteyksissä voidaan lisäksi käyttää yleisimpien selaimien tuntemia palvelinvarmenteita.

20 Sivu Virkamiehen tunnistamisen osapuolet ja työnjako Edellisessä luvussa käytiin läpi Virtu-järjestelmän teknisiä periaatteita. Tässä luvussa esitetään, kuinka toimijoista muodostetaan yhteisö, jossa osapuolten tehtävistä ja vastuista on sovittu Virkamiehen tunnistuksen luottamusverkosto Luottamusverkosto (engl. Circle of Trust, federation) tarkoittaa joukkoa palveluntarjoajia ja kotiorganisaatioita, joiden kanssa käyttäjät voivat asioida turvallisesti kuin yhdessä ympäristössä [VAHT06]. Luottamusverkosto voi perustua palveluntarjoajien ja kotiorganisaatioiden kahdenvälisiin sopimuksiin, mutta valtionhallinnon muodostamassa toimintaympäristössä, jossa kotiorganisaatioita ja palveluntarjoajia on kymmeniä tai satoja, on edullista sopia luottamusverkoston pelisäännöistä keskitetysti. Kuva 9. Virkamiehen tunnistamisen ja käyttöoikeuksien hallinnan luottamusverkosto ja sen osapuolet. Oheinen kuva (Kuva 9) esittelee Virkamiehen tunnistamisen ja käyttöoikeuksien hallinnan luottamusverkoston eli federaation (jatkossa Virtu-luottamusverkosto) osapuolet, jotka ovat - loppukäyttäjä (virkamies) - kotiorganisaatio - palveluntarjoaja - operaattori - koordinaattori ja omistaja - valtiovarainministeriön järjestämä keskitetty tunnistuslähde 4.2. Luottamusverkoston osapuolet ja osapuolten tehtävät Loppukäyttäjä (virkamies) Virtu-luottamusverkostossa loppukäyttäjä on henkilö, joka kirjautuu Virtujärjestelmään rekisteröityihin palveluihin. Loppukäyttäjä on saanut kotiorganisaatiostaan käyttäjätunnuksen ja sitoutunut kotiorganisaationsa käyttösääntöihin.

21 Sivu 21 Valtion virkamieslaki määrittelee virkamiehen virkasuhteessa olevaksi henkilöksi. Virkamiehen tunnistaminen ja käyttöoikeuksien hallinta hankkeessa loppukäyttäjän käsite laajennettiin kuitenkin tarkoittamaan myös henkilöitä, jotka ovat muunlaisissa palvelussuhteissa, esimerkiksi työsuhteessa tai suorittamassa siviilipalvelusta. Lisäksi loppukäyttäjä voi olla kotiorganisaation alihankkijan palveluksessa (esimerkiksi ulkoistetut vahtimestari- tai ravintolapalvelut). Kotiorganisaatio vastaa myös heidän käyttäjätietojensa ja tunnustensa ylläpidosta Virtuluottamusverkostossa. Virtu-kirjautumisen kulun kannalta virkasuhteessa olevat loppukäyttäjät eivät eroa muunlaisessa palvelussuhteessa olevista loppukäyttäjistä. Tässä dokumentissa sanalla virkamies viitataan myös heihin. Tarvittaessa loppukäyttäjän palvelussuhteen tyyppi voidaan päätellä sitä varten määritellystä ominaisuudesta (engl. attribute). Voidaan esittää kysymys, pitäisikö Virtu-järjestelmän yhteydessä puhua lainkaan virkamiehen tunnistamisesta, jos loppukäyttäjien joukossa on muitakin kuin virkamiehiä. Työryhmän mielestä viittauksella virkamieheen saadaan kuitenkin tehtyä selkeä ero julkishallinnon muihin tunnistamispalveluihin, kuten kansalaisen tunnistamiseen (Vetuma) ja organisaation tunnistamiseen (KATSO) Kotiorganisaatio Kotiorganisaatio on virkamiehen kotivirasto. Kotiorganisaation tehtäviin kuuluu - virkamiehen identiteetin ja ominaisuuksien ylläpito. Kotiorganisaatio huolehtii identiteettien antamisesta uusille virkamiehille, kun he aloittavat palvelussuhteen virastossa, virkamiesten ominaisuuksien päivittämisestä virkamiehen virkauran mukaisesti sekä virkamiesten identiteettien sulkemisesta, kun palvelussuhde päättyy. - uuden virkamiehen henkilöllisyyden todentaminen, kun hänelle annetaan tunnistusväline (esimerkiksi salasana tai virkavarmenne). Kotiorganisaatio huolehtii siitä, että virkamiehen henkilöllisyys todennetaan kasvotusten ja samalla häntä pyydetään esittämään passi, ajokortti tai virallinen henkilökortti, tai luotettavuudeltaan siihen rinnastuvalla tavalla. - virkamiehen henkilöllisyyden todentaminen kirjautumishetkellä. Kotiorganisaatio todentaa virkamiehen henkilöllisyyden tunnistusvälineen avulla, kun hän kirjautuu palveluun. Henkilöllisyyden todentamiseen tulee käyttää luotettavuudeltaan vähintään niin vahvaa tunnistusvälinettä kuin mitä palveluntarjoaja on tunnistuspyynnössä vaatinut. Halutessaan kotiorganisaatio voi käyttää vahvaa todentamista (esimerkiksi virkavarmennetta) silloinkin, kun tunnistuspyyntö ei sitä nimenomaan edellytä. - SAML-tunnistuslähteen (Identity Provider) asettaminen. Tunnistuslähde antaa tunnistusselosteita palveluille, kun virkamies kirjautuu palveluun. Jotta palvelu pystyy ohjaamaan virkamiehen oikeaan tunnistuslähteeseen, tulee viraston kaikkien loppukäyttäjien käyttää samaa tunnistuslähdettä. - tukipalvelupisteen järjestäminen loppukäyttäjälle. Jos virkamies unohtaa salasanansa tai hänellä on muita kirjautumiseen liittyviä ongelmia, hän ottaa yhteyttä kotivirastonsa tukipalveluun.

22 Sivu 22 Kotiorganisaatio voi toteuttaa tehtävänsä itse tai ulkoistaa ne. Edelleen kotiorganisaatio voi esiintyä itsenäisenä toimijana, tai muodostaa parhaaksi katsomiaan yhteistyörakenteita esimerkiksi hallinnonalan muiden virastojen kanssa. Erilaisia vaihtoehtoja käydään läpi luvussa Virhe. Viitteen lähdettä ei löytynyt.. Kotiorganisaation tulee huolehtia kaikkien niiden ominaisuuksien ajantasaisuudesta, joita tunnistuslähde sisällyttää tunnistusselosteisiin. Virkamiehen muuttuneet tiedot tulee päivittää sekä päättyneiden palvelussuhteiden haltijoiden käyttäjätiedot sulkea tai roolitiedot päivittää yhden vuorokauden kuluessa siitä, kun muutos astuu voimaan. Kun virasto rekisteröityy Virtu-luottamusverkostoon, virasto suorittaa luottamusverkoston operaattorin ohjauksessa ja valvonnassa itseauditoinnin, jonka avulla pyritään varmistamaan vaatimusten täyttyminen Palveluntarjoaja Palveluntarjoaja - asettaa SAML-palvelun (Service Provider) ja niveltää sen sovellukseen. Erilaisia toteutustapoja käydään läpi luvussa määrittelee virkamiehen käyttöoikeudet palvelussa ja suorittaa palvelun pääsynvalvontaa. Käyttöoikeudet voivat nojata ainakin osaksi tunnistusselosteeseen sisältyviin virkamiestä kuvaaviin ominaisuuksiin. - määrittelee, kuinka vahvasti loppukäyttäjän henkilöllisyys on todennettava, ja pyytää tarpeen mukaan kotivirastoa suorittamaan henkilöllisyyden todentamisen esimerkiksi virkavarmenteella. - määrittelee palvelun kannalta tarpeelliset virkamiehen ominaisuudet ja laatii palvelun tietosuojaselosteen Operaattori Operaattori vastaa luottamusverkoston päivittäisestä toiminnasta ja teknisistä asioista koordinaattorin laatimien ohjeiden puitteissa. Osana tätä tehtävää operaattori - pitää kirjaa luottamusverkostoon metatiedoista, joka sisältää luettelon rekisteröidyistä tunnistuslähteistä ja palveluista ja niiden teknisistä osoitteista ja yhteystiedoista, sekä palveluiden tarvitsemista ominaisuuksista - ohjaa ja valvoo kotiorganisaation käyttäjähallinnon itseauditointia, jonka päämääränä on varmistaa, että organisaatio täyttää kotiorganisaatiolle asetettavat vaatimukset, sekä rekisteröi uudet tunnistuslähteet luottamusverkoston metatietoon - rekisteröi uudet palvelut luottamusverkoston metatietoon - rekisteröimisen yhteydessä koestaa uudet tunnistuslähteet ja palvelut, päämääränä varmistaa kirjautumisen toimivuus ja ominaisuuksien välittyminen oikeanlaisina - asettaa luottamusverkoston metatiedot tunnistuslähteiden ja palveluiden saataville - tarjoaa tukea teknisten ongelmien selvittelyssä kotiorganisaatioille ja palveluntarjoajille tai sellaisiksi aikoville

23 - tarjoaa testipalvelimia kotiorganisaatioille ja palveluntarjoajille tai sellaisiksi aikoville - ylläpitää luottamusverkoston keskitettyjä palvelimia, jos sellaisia tarvitaan (mm. tunnistuslähteen päättelypalvelu, engl. IdP discovery service) - tarkkailee luottamusverkoston tunnistuslähteiden ja palveluiden saatavuutta, jos tarpeen - alistaa toimintakäytäntönsä koordinaattorin järjestämään auditointiin - osallistuu luottamusverkoston toiminnan kehittämiseen yhdessä koordinaattorin kanssa Koordinaattori ja omistaja Luottamusverkoston koordinaattori Sivu 23 - määrittelee, mitkä organisaatiot (valtion virastot, liikelaitokset, kunnat, yksityissektorin toimijat) luottamusverkostoon voivat liittyä kotiorganisaationa ja/tai palvelunomistajana, ja minkälainen muodollisuusvaatimus liittymiseen sisältyy (ohje, sopimus jne) - määrittelee luottamusverkoston toimintakäytänteet (engl. policy), sisältäen mm. vähimmäisvaatimukset luottamusverkoston osapuolille ja vähimmäisvaatimusten toteutumisen auditoinnin - valitsee luottamusverkoston operaattorin ja laatii operaattorin kanssa sopimuksen operaattorin palveluista - järjestää rahoituksen luottamusverkoston operaattorin toiminnalle - edistää luottamusverkoston tunnettavuutta valtionhallinnon sisällä - vastaa luottamusverkoston toiminnan kehittämisestä operaattorin avulla (mm. uudet tekniikat, määritykset siirrettäville ominaisuuksille) - verkostoituu ja tekee yhteistyötä muiden maiden vastaavien toimijoiden kanssa ja koordinoi mahdollisia hankkeita, jotka tähtäävät ylikansalliseen yhteentoimivuuteen Luottamusverkoston omistaja - päättää kotiorganisaatioiden tai palveluiden sulkemisesta pois luottamusverkostosta Luottamusverkoston omistajaksi esitetään valtiovarainministeriötä. Lisäksi esitetään, että valtiovarainministeriö nimeää perustettavan ValtIT-palvelukeskuksen luottamusverkoston koordinaattoriksi VM:n järjestämä keskitetty tunnistuslähde Edellä luvussa 4.2 kotiorganisaatioille esitettiin osin haastaviakin vaatimuksia, jotka edellyttävät paitsi kotiorganisaatioiden sisäistä prosessityötä, myös laitteisto- ja ohjelmistoinvestointeja. Osa virastoista täyttänee vaatimukset itse tai yhdessä hallinnonalansa kanssa ja rekisteröi oman tunnistuslähteen luottamusverkostoon. On kuitenkin oletettavaa, että kaikki virastot eivät ole valmiita oman tunnistuslähteen asettamiseen. Siksi esitetään, että valtiovarainministeriö järjestää näille virastoille keskitetyn tunnistuslähteen ja tarjoaa sen maksullisena erillispalveluna

Käyttäjähallintokoulu 12.11.2007 Mikael Linden tieteen tietotekniikan keskus CSC

Käyttäjähallintokoulu 12.11.2007 Mikael Linden tieteen tietotekniikan keskus CSC Käyttäjähallinnon käsitteitä ja periaatteita Käyttäjähallintokoulu 12.11.2007 Mikael Linden tieteen tietotekniikan keskus CSC Tieteen tietotekniikan keskus CSC Valtion omistama non-profit-osakeyhtiö OPM

Lisätiedot

VIRKAMIEHEN TUNNISTAMINEN JA KÄYTTÖOIKEUKSIEN HALLINTA HANKE

VIRKAMIEHEN TUNNISTAMINEN JA KÄYTTÖOIKEUKSIEN HALLINTA HANKE VALTIOVARAINMINISTERIÖ HANKESUUNNITELMA Hallinnon kehittämisosasto Olli-Pekka Rissanen 25.8.2006 VIRKAMIEHEN TUNNISTAMINEN JA KÄYTTÖOIKEUKSIEN HALLINTA HANKE 1 Yhteenveto Virkamiehen tunnistamista ja käyttöoikeuksien

Lisätiedot

Federoidun identiteetinhallinnan periaatteet

Federoidun identiteetinhallinnan periaatteet Federoidun identiteetinhallinnan periaatteet CSC - Tieteen tietotekniikan keskus Valtion omistama osakeyhtiö Non-profit tuottaa keskitettyjä IT-palveluita korkeakouluille, tutkimuslaitoksille ja muille

Lisätiedot

Luottamusverkosto. Shibboleth-asennuskoulutus 16-17.3.2010. CSC Tieteen tietotekniikan keskus Oy CSC IT Center for Science Ltd.

Luottamusverkosto. Shibboleth-asennuskoulutus 16-17.3.2010. CSC Tieteen tietotekniikan keskus Oy CSC IT Center for Science Ltd. Luottamusverkosto Shibboleth-asennuskoulutus 16-17.3.2010 CSC Tieteen tietotekniikan keskus Oy CSC IT Center for Science Ltd. CSC Tieteen tietotekniikan keskus Oy Valtion omistama osakeyhtiö Non-profit

Lisätiedot

Tunnistus ja roolipohjainen käyttöoikeuksien hallinta. Inspire-verkoston Yhteistyö-ryhmä

Tunnistus ja roolipohjainen käyttöoikeuksien hallinta. Inspire-verkoston Yhteistyö-ryhmä Tunnistus ja roolipohjainen käyttöoikeuksien hallinta Inspire-verkoston Yhteistyö-ryhmä 17.1.2013 Mikael.Linden@csc.fi CSC - Tieteen tietotekniikan keskus Valtion omistama osakeyhtiö Non-profit tuottaa

Lisätiedot

Federoidun identiteetinhallinnan

Federoidun identiteetinhallinnan Federoidun identiteetinhallinnan periaatteet Haka/Virtu-käyttäjien kokoontuminen 3.2.2010 Mikael Linden CSC Tieteen tietotekniikan keskus Oy CSC IT Center for Science Ltd. CSC - Tieteen tietotekniikan

Lisätiedot

Ohje: Identiteetin hallinnan tietoturvatasot (LUONNOS)

Ohje: Identiteetin hallinnan tietoturvatasot (LUONNOS) Ohje: Identiteetin hallinnan tietoturvatasot (LUONNOS) Harmaalla pohjalla oleva teksti on valmisteluvaiheen informatiivistä osuutta ja poistetaan lopullisesta ohjeesta. Tämä dokumentti on ohje identiteetin

Lisätiedot

Valtiokonttori Käyttöönotto 1 (6) suunnitelma Virtu Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

Valtiokonttori Käyttöönotto 1 (6) suunnitelma Virtu Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle Valtiokonttori Käyttöönotto 1 (6) Käyttöönotto -kotiorganisaatiolle Valtiokonttori Käyttöönotto 2 (6) Asiakirjan muutoshistoria versio päiväys tekijä tarkastaja hyväksyjä Muutoshistoria 1.0 11.12.2009

Lisätiedot

CSC - Tieteen tietotekniikan keskus

CSC - Tieteen tietotekniikan keskus Federoidun identiteetinhallinnan periaatteet CSC - Tieteen tietotekniikan keskus Valtion omistama osakeyhtiö Non-profit tuottaa keskitettyjä IT-palveluita korkeakouluille, tutkimuslaitoksille ja muille

Lisätiedot

Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle Ohje 1 (6) Käyttöönottosuunnitelma -kotiorganisaatiolle Ohje 2 (6) Asiakirjan muutoshistoria versio päiväys tekijä tarkastaja hyväksyjä Muutoshistoria 1.0 11.12.2009 Mikael Linden käyttöönottohankkeen

Lisätiedot

Käyttöönottosuunnitelma Virtu-palveluntarjoajalle

Käyttöönottosuunnitelma Virtu-palveluntarjoajalle Ohje 1 (8) Käyttöönottosuunnitelma -palveluntarjoajalle Ohje 2 (8) Asiakirjan muutoshistoria versio päiväys tekijä tarkastaja hyväksyjä Muutoshistoria 1.0 11.12.2009 Mikael Linden käyttöönottohankkeen

Lisätiedot

Sähköinen tunnistus korkeakouluissa. TieVie-lähiseminaari 12.1.2007 Mikael Linden Mikael.Linden@csc.fi Tieteen tietotekniikan keskus CSC

Sähköinen tunnistus korkeakouluissa. TieVie-lähiseminaari 12.1.2007 Mikael Linden Mikael.Linden@csc.fi Tieteen tietotekniikan keskus CSC Sähköinen tunnistus korkeakouluissa TieVie-lähiseminaari 12.1.2007 Mikael Linden Mikael.Linden@csc.fi Tieteen tietotekniikan keskus CSC Tieteen tietotekniikan keskus CSC Opetusministeriön omistama non-profit-osakeyhtiö

Lisätiedot

Käyttäjän tunnistus yli korkeakoulurajojen

Käyttäjän tunnistus yli korkeakoulurajojen Käyttäjän tunnistus yli korkeakoulurajojen VirtuaaliAMK-seminaari 29.10.2003 Mikael Linden, mikael.linden@csc.fi Tieteen tietotekniikan keskus CSC HAKA-projekti VirtAMK-seminaari 29.10.2003 1 Tieteen tietotekniikan

Lisätiedot

Kertakirjautumisella irti salasanojen ryteiköstä

Kertakirjautumisella irti salasanojen ryteiköstä Virtuttaako? Kertakirjautumisella irti salasanojen ryteiköstä Johtava asiantuntija Jouko Junttila Valtion tieto- ja viestintätekniikkakeskus Valtori Valtio Expo 2014 Mikä on Kertakirjautumisratkaisu Virtu?

Lisätiedot

Julkishallinnon tunnistuksen ohjauspalvelun kehityshanke mitä PoC-vaihe on opettanut? 16.12.2014 Manne Miettinen, Henri Mikkonen ja Arto Tuomi

Julkishallinnon tunnistuksen ohjauspalvelun kehityshanke mitä PoC-vaihe on opettanut? 16.12.2014 Manne Miettinen, Henri Mikkonen ja Arto Tuomi Julkishallinnon tunnistuksen ohjauspalvelun kehityshanke mitä PoC-vaihe on opettanut? 16.12.2014 Manne Miettinen, Henri Mikkonen ja Arto Tuomi PoC arkkitehtuuri Asiointipalvelu Elisa MSSP VTJ Mobile Login

Lisätiedot

Virkamiehen tunnistamisen luottamusverkosto Virtu vapauttaa salasanaviidakosta Kotiviraston näkökulma

Virkamiehen tunnistamisen luottamusverkosto Virtu vapauttaa salasanaviidakosta Kotiviraston näkökulma Virkamiehen tunnistamisen luottamusverkosto Virtu vapauttaa salasanaviidakosta Kotiviraston näkökulma Jyri Sillanpää Tekes tietotekniikkapalvelut Mitä Tekes tekee? Tekes on innovaatiopolitiikan suunnittelun

Lisätiedot

Ajankohtaista identiteetinhallinnassa. IT-päivät 23.10.2008 Mikael Linden CSC Tieteen tietotekniikan keskus Oy

Ajankohtaista identiteetinhallinnassa. IT-päivät 23.10.2008 Mikael Linden CSC Tieteen tietotekniikan keskus Oy Ajankohtaista identiteetinhallinnassa IT-päivät 23.10.2008 Mikael Linden CSC Tieteen tietotekniikan keskus Oy Läpileikkauksen läpileikkaus Identiteetin ja pääsyn hallinta Korkeakoulujen sisäinen identiteetinhallinta

Lisätiedot

Verkostojen identiteetinhallinta. Haka-seminaari Kehityspäällikkö Sami Saarikoski Opetus- ja kulttuuriministeriö.

Verkostojen identiteetinhallinta. Haka-seminaari Kehityspäällikkö Sami Saarikoski Opetus- ja kulttuuriministeriö. Verkostojen identiteetinhallinta Haka-seminaari 14.2.2013 Kehityspäällikkö Sami Saarikoski Opetus- ja kulttuuriministeriö Lähtötilanne Yliopistojen ja korkeakoulujen kesken on laajalti omaksuttu verkostomainen

Lisätiedot

1 Virtu IdP- palvelimen testiohjeet

1 Virtu IdP- palvelimen testiohjeet Versio Päivämäärä Muutoshistoria 1.0 5.9.2011 1.1 2.3.2012 Päivitetty metadataosoite 1.2. 24.2.2015 Päivitetty testipalvelinohjeen osoite 1 Virtu IdP- palvelimen testiohjeet Virtuun liitettävää IdP- palvelinta

Lisätiedot

Keskitetty käyttäjähallinto. VirtAMK-yhteyshenkilöpäivät Turku Jarmo Sorvari TAMK

Keskitetty käyttäjähallinto. VirtAMK-yhteyshenkilöpäivät Turku Jarmo Sorvari TAMK Keskitetty käyttäjähallinto VirtAMK-yhteyshenkilöpäivät Turku 27.4.2004 Jarmo Sorvari TAMK Sisältö Motivointia Organisaatiorajat ylittävät palvelut Shibboleth Organisaatioiden välinen luottamus HAKA-projekti,

Lisätiedot

TIETOHALLINTOLAKI (LUONNOS) Korkeakoulujen IT-päivät Erityisasiantuntija Olli-Pekka Rissanen

TIETOHALLINTOLAKI (LUONNOS) Korkeakoulujen IT-päivät Erityisasiantuntija Olli-Pekka Rissanen TIETOHALLINTOLAKI (LUONNOS) 13.10.2010 Korkeakoulujen IT-päivät Erityisasiantuntija Olli-Pekka Rissanen Keskeisenä tavoitteena Toteuttaa eduskunnan 7.12.2009 tekemä päätös, että hallituksen tulisi valmistella

Lisätiedot

Uloskirjautuminen Shibbolethissa

Uloskirjautuminen Shibbolethissa Uloskirjautuminen Shibbolethissa Tunnistaminen Internetissä Asko Tontti 7. - 9.12.2010 kandidaatinseminaari Johdanto Johdanto Palvelut ja sovellukset siirtyvät kiihtyvää vauhtia Internetiin Tunnistautumisesta

Lisätiedot

HELSINGIN KAUPUNKI MUISTIO Numero 1 TALOUS- JA SUUNNITTELUKESKUS Tietotekniikkaosasto 13.11.2012

HELSINGIN KAUPUNKI MUISTIO Numero 1 TALOUS- JA SUUNNITTELUKESKUS Tietotekniikkaosasto 13.11.2012 HELSINGIN KAUPUNKI MUISTIO Numero 1 13.11.2012 HELMI-EXTRANET-KÄYTTÖPOLITIIKKA SISÄLTÖ 1 Extranet-tunnuksen käyttöpolitiikka 2 Käyttäjätunnusten myöntöperusteet 3 Salasanat Käyttäjätunnuksen hyväksyttävä

Lisätiedot

Valtiokonttorin hankkeiden esittely - erityisesti KIEKU-ohjelma. ValtIT:n tilaisuus 22.5.2007

Valtiokonttorin hankkeiden esittely - erityisesti KIEKU-ohjelma. ValtIT:n tilaisuus 22.5.2007 Valtiokonttorin hankkeiden esittely - erityisesti KIEKU-ohjelma ValtIT:n tilaisuus 22.5.2007 Valtiokonttori ja Hallinnon ohjaus toimiala valtiotasoisten hankkeiden toteuttajana Valtiokonttori on palveluvirasto,

Lisätiedot

Haka-käyttäjien kokoontuminen Arto Tuomi CSC Tieteen tietotekniikan keskus

Haka-käyttäjien kokoontuminen Arto Tuomi CSC Tieteen tietotekniikan keskus Hakan teknisiä kuulumisia Haka-käyttäjien kokoontuminen 20.1.2009 Arto Tuomi CSC Tieteen tietotekniikan keskus SAML2 siirtymä 1.12.2008 Uudet Hakaan rekisteröitävät palvelut (SP) tukevat SAML 2.0 -tekniikkaa

Lisätiedot

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

1. Käyttäjätietokannan ja perusrekistereiden kytkentä Kotiorganisaation käyttäjähallinnon kuvaus Versio Tekijä Päiväys 0.1 Timo Leipold 5.3.2009 0.2 Timo Leipold 11.3.2010 0.3 Timo Leipold 12.3.2010 0.4 Timo Leipold 10.5.2010 0.5 Timo Leipold 12.7.2010 Tässä

Lisätiedot

Valtion IT-palvelukeskuksen perustaminen: 69 päivää. Yliopistojen IT 2008- päivät 23.10.2008 / Lasse Skog

Valtion IT-palvelukeskuksen perustaminen: 69 päivää. Yliopistojen IT 2008- päivät 23.10.2008 / Lasse Skog Valtion IT-palvelukeskuksen perustaminen: 69 päivää Yliopistojen IT 2008- päivät 23.10.2008 / Lasse Skog Valtion IT- toiminnan volyymejä Valtion IT-toiminnan johtamisyksikkö 11/11/08 11/11/08 2 Tietohallintotyön

Lisätiedot

HY:n ehdotus käyttäjähallintotuotteesta

HY:n ehdotus käyttäjähallintotuotteesta HY:n ehdotus käyttäjähallintotuotteesta (jota sovellettaisiin Teakiin) Versio 0.3 / 12.9.2008 Ismo Aulaskari HY siis aikoo markkinoida pakettia joihin kuuluisi HY:n konesalissaan ylläpitämä, varmuuskopioitu

Lisätiedot

HY:n alustava ehdotus käyttäjähallintotuotteesta

HY:n alustava ehdotus käyttäjähallintotuotteesta HY:n alustava ehdotus käyttäjähallintotuotteesta (jota sovellettaisiin Atikiin) Versio 1.0 / 21.5.2008 Ismo Aulaskari HY siis aikoo markkinoida pakettia joihin kuuluisi HY:n konesalissaan ylläpitämä, varmuuskopioitu

Lisätiedot

Valtion IT-palvelukeskus (VIP) Anna-Maija Karjalainen

Valtion IT-palvelukeskus (VIP) Anna-Maija Karjalainen Valtion IT-palvelukeskus (VIP) Anna-Maija Karjalainen Sisältö > VIP:n toimintamalli > VIP:n palvelut Valtioneuvoston IT palvelut Suomi.fi ValtIT kärkihankkeet Valtiokonttorin sisältä siirtyvät yhteiset

Lisätiedot

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA LIIKENNE- JA VIESTINTÄMINISTERIÖ Muistio Liite 1 Viestintäneuvos 27.10.2015 Kreetta Simola LUONNOS VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA Taustaa Vuoden

Lisätiedot

Sähköisen tunnistamisen kehittäminen Suomessa

Sähköisen tunnistamisen kehittäminen Suomessa Sähköisen tunnistamisen kehittäminen Suomessa 2008-2009 Kirsi Miettinen Neuvotteleva virkamies, viestintäpolitiikan osasto 1 Askelmerkit 2008-2009 1) Vahvan sähköisen tunnistamisen kansalliset linjaukset

Lisätiedot

Emmi-sovelluksen kirjautumisohje

Emmi-sovelluksen kirjautumisohje Emmi-sovelluksen kirjautumisohje - päivitetty 5.9.2017- Sisällys 1. Yleistä Emmi-kirjautumisesta... 2 2. Yleistä PPSHP tunnuspalvelusta... 2 3. Yleistä tunnuksen hallinnasta... 2 4. Tunnuksen luominen...

Lisätiedot

Potilastiedot ja tietoturvallisuus Käyttäjähallinta ja tietoturva kertakirjautumisella

Potilastiedot ja tietoturvallisuus Käyttäjähallinta ja tietoturva kertakirjautumisella Potilastiedot ja tietoturvallisuus Käyttäjähallinta ja tietoturva kertakirjautumisella Terveydenhuollon atk-päivät 19-20.5.2008, Redicom Oy jukka.koskinen@redicom.fi Käyttäjähallinta (IDM) Salasanahallinta

Lisätiedot

IdP SaaS Palveluna Miksi sitä tarvitaan? Mikä se on? Kenelle se on tarkoitettu? 2009 Tieto Corporation 2/5/2010

IdP SaaS Palveluna Miksi sitä tarvitaan? Mikä se on? Kenelle se on tarkoitettu? 2009 Tieto Corporation 2/5/2010 IdP SaaS Palveluna Miksi sitä tarvitaan? Mikä se on? Kenelle se on tarkoitettu? 1 Tunnistuslähde (IdP) palveluna - Miksi? Trendi Sovellukset eivät todenna (autentikoi) käyttäjiä itse. Todentamisen tulisi

Lisätiedot

LAURA TM -rekrytointijärjestelmän tietoturva. Markku Ekblom Teknologiajohtaja Uranus Oy

LAURA TM -rekrytointijärjestelmän tietoturva. Markku Ekblom Teknologiajohtaja Uranus Oy LAURA TM -rekrytointijärjestelmän tietoturva Markku Ekblom Teknologiajohtaja Uranus Oy 17.1.2014 Toimintaympäristö Uranus on Suomessa perustettu, Suomessa toimiva ja suomalaisessa omistuksessa oleva yritys.

Lisätiedot

OHJE SENAATTILAN KÄYTTÄJÄKSI REKISTERÖITYMISTÄ VARTEN 2.10.2015

OHJE SENAATTILAN KÄYTTÄJÄKSI REKISTERÖITYMISTÄ VARTEN 2.10.2015 OHJE SENAATTILAN KÄYTTÄJÄKSI REKISTERÖITYMISTÄ VARTEN 2.10.2015 SISÄLLYSLUETTELO Senaattilan käyttäjäksi rekisteröityminen (sivut 3-24) Sähköpostiosoitteella rekisteröityminen Virtu-tunnistautumisella

Lisätiedot

Henkilötietojen käsittely sähköisen tunnistamisen luottamusverkostossa

Henkilötietojen käsittely sähköisen tunnistamisen luottamusverkostossa Suositus Henkilötietojen käsittely sähköisen tunnistamisen luottamusverkostossa n suosituksen liite Suositus 1 (9) Sisältö 1 Johdanto... 3 2 LUOTTAMUSVERKOSTO JA SEN TOIMINTA... 3 2.1 Luottamusverkosto...

Lisätiedot

Kansallinen palveluarkkitehtuuri TUNNISTUSPALVELU INFO

Kansallinen palveluarkkitehtuuri TUNNISTUSPALVELU INFO Kansallinen palveluarkkitehtuuri TUNNISTUSPALVELU INFO 29.9.2015 Palvelulupauksemme Tarjoamme julkishallinnolle mahdollisuuden Suomen ja EU-kansalaisen sähköiseen tunnistamiseen tietoturvallisesti eri

Lisätiedot

Kieku-hanke osana valtion talousja henkilöstöhallinnon uudistamista. Tomi Hytönen Valtiovarainministeriö

Kieku-hanke osana valtion talousja henkilöstöhallinnon uudistamista. Tomi Hytönen Valtiovarainministeriö Kieku-hanke osana valtion talousja henkilöstöhallinnon uudistamista Tomi Hytönen Valtiovarainministeriö Kieku numeroina Yhteinen Kieku-tietojärjestelmä korvaa vanhat (yli 100 kpl) talousja henkilöstöhallinnon

Lisätiedot

Ohje Emmi-sovellukseen kirjautumista varten

Ohje Emmi-sovellukseen kirjautumista varten 1 Ohje Emmi-sovellukseen kirjautumista varten Ohjetta päivitetty 2.9.2017. 1. Yleistä Emmi-kirjautumisesta Kirjautuminen Emmi-sovellukseen vaatii voimassa olevan käyttäjätunnuksen sekä hyväksytyn käyttöoikeuden

Lisätiedot

- ADFS 2.0 ja SharePoint 2010

- ADFS 2.0 ja SharePoint 2010 Haka- ja Virtu -seminaari 9.2.2011 - ADFS 2.0 ja SharePoint 2010 CASE: Eduuni-työtilat - opetus- ja kulttuuriministeriön toimialan yhteinen sähköisen työskentelyn ja verkostoitumisen alusta. Kehityspäällikkö

Lisätiedot

TeliaSonera. Marko Koukka. IT viikon seminaari 11.10. 2007 Identiteetin hallinta palveluna, Sonera Secure IDM

TeliaSonera. Marko Koukka. IT viikon seminaari 11.10. 2007 Identiteetin hallinta palveluna, Sonera Secure IDM TeliaSonera Marko Koukka IT viikon seminaari 11.10. 2007 Identiteetin hallinta palveluna, Sonera Secure IDM Sisällysluettelo Identiteetinhallinta operaattorin näkökulmasta Identiteetinhallinnan haasteet

Lisätiedot

Potilastiedot ja tietoturvallisuus Tietoturvaselvitykset ja asiantuntijakonsultointi roolipohjaisen käyttäjähallinnan osalta

Potilastiedot ja tietoturvallisuus Tietoturvaselvitykset ja asiantuntijakonsultointi roolipohjaisen käyttäjähallinnan osalta Potilastiedot ja tietoturvallisuus Tietoturvaselvitykset ja asiantuntijakonsultointi roolipohjaisen käyttäjähallinnan osalta Terveydenhuollon atk-päivät 26.-27.5.2009, Redicom Oy jukka.koskinen@redicom.fi

Lisätiedot

Palvelun rekisteröinti Virtu - luottamusverkostoon / testipalveluun

Palvelun rekisteröinti Virtu - luottamusverkostoon / testipalveluun 1 Resurssirekisteri :: Käyttöohje Palvelun rekisteröinti Virtu - luottamusverkostoon / testipalveluun Tässä ohjeessa kerrotaan, miten lisäät uuden Service Provider (SP) palvelun Virtu - luottamusverkostoon

Lisätiedot

Valtion IT-palvelukeskuksen (VIP) palvelut. JulkIT 27.5.2009 Anna-Maija Karjalainen

Valtion IT-palvelukeskuksen (VIP) palvelut. JulkIT 27.5.2009 Anna-Maija Karjalainen Valtion IT-palvelukeskuksen (VIP) palvelut JulkIT 27.5.2009 Anna-Maija Karjalainen Sisältö > VIP:n toimintamalli > Tilanne tänään > Odotukset toimittajille Valtion IT-palvelukeskuksen toimintamalli VIP

Lisätiedot

Suorin reitti Virtu-palveluihin

Suorin reitti Virtu-palveluihin Suorin reitti Virtu-palveluihin Haka- ja Virtu-seminaari 9.2.2011 Hannu Kasanen, Secproof Finland Secproof Finland Noin 15 hengen konsultointi- ja asiantuntijapalveluita tarjoava yritys Perustettu vuonna

Lisätiedot

Terveydenhuollon ATK päivät 29. 30.05.2007 TURKU

Terveydenhuollon ATK päivät 29. 30.05.2007 TURKU Ari Pätsi Tietohallintopäällikkö Aulikki Hautsalo Johtava tietojärjestelmäsuunnittelija Terveydenhuollon ATK päivät 29. 30.05.2007 TURKU Terveydenhuoltopiiristä lyhyesti Terveydenhuoltopiiri (Sosteri)

Lisätiedot

Jatkuvan oppimisen tunnistuspalvelu pähkinänkuoressa. Opetus- ja kulttuuriministeriö

Jatkuvan oppimisen tunnistuspalvelu pähkinänkuoressa. Opetus- ja kulttuuriministeriö Jatkuvan oppimisen tunnistuspalvelu pähkinänkuoressa Opetus- ja kulttuuriministeriö Miksi MPASSid on oikea valinta? Oppilaan ja opettajan näkökulma: Vähemmän muistettavia käyttäjätunnuksia, sujuvammat

Lisätiedot

OHJE SENAATTILAN KÄYTTÄJÄKSI REKISTERÖITYMISTÄ VARTEN 29.5.2015

OHJE SENAATTILAN KÄYTTÄJÄKSI REKISTERÖITYMISTÄ VARTEN 29.5.2015 OHJE SENAATTILAN KÄYTTÄJÄKSI REKISTERÖITYMISTÄ VARTEN 29.5.2015 SISÄLLYSLUETTELO Senaattilan käyttäjäksi rekisteröityminen sivut 3-25 Sähköpostiosoitteella rekisteröityminen sivut 7-14 Virtu-tunnistautumisella

Lisätiedot

Kansallinen palveluarkkitehtuuri ja maksaminen. Julkisen hallinnon ICT-toiminto Yksikön päällikkö Riku Jylhänkangas 19.5.2014. Miksi?

Kansallinen palveluarkkitehtuuri ja maksaminen. Julkisen hallinnon ICT-toiminto Yksikön päällikkö Riku Jylhänkangas 19.5.2014. Miksi? Kansallinen palveluarkkitehtuuri ja maksaminen ICT-toiminto Yksikön päällikkö Riku Jylhänkangas 19.5.2014 Miksi? Taloudellinen tilanne synkkä Osaaminen on Suomen vahvuus, sitä on hyödynnettävä kaikin tavoin

Lisätiedot

Sisäasianministeriön toimenpiteet henkilöstöhallinnon yhtenäistämiseksi

Sisäasianministeriön toimenpiteet henkilöstöhallinnon yhtenäistämiseksi Sisäasiainministeriön hallinnonalan Kieku-tietojärjestelmähanke Sisäasianministeriön toimenpiteet henkilöstöhallinnon yhtenäistämiseksi Kieku-info 23.9.2011 Sirpa Joensuu, projektipäällikkö Lähtötilanne

Lisätiedot

Articles... 3 Käyttäjähallinnon kuvaus... 4 Unohtunut salasana... 6 Tunnusten käyttöönotto... 7 Ohjeita... 8

Articles... 3 Käyttäjähallinnon kuvaus... 4 Unohtunut salasana... 6 Tunnusten käyttöönotto... 7 Ohjeita... 8 KÄYTTÄJÄTUNNUKSET Table of Contents Articles... 3 Käyttäjähallinnon kuvaus... 4 Unohtunut salasana... 6 Tunnusten käyttöönotto... 7 Ohjeita... 8 Articles Page 3 Käyttäjähallinnon kuvaus 1. Käyttäjätietokanta

Lisätiedot

KuntaIT Mikä muuttuu kunnan tietotekniikassa? Terveydenhuollon Atk-päivät Mikkeli Heikki Lunnas

KuntaIT Mikä muuttuu kunnan tietotekniikassa? Terveydenhuollon Atk-päivät Mikkeli Heikki Lunnas KuntaIT Mikä muuttuu kunnan tietotekniikassa? Terveydenhuollon Atk-päivät Mikkeli 29.5.2006 Heikki Lunnas KuntaTIMEn keihäänkärjet 1. Julkisen hallinnon tietohallinnon ohjausmekanismien kehittäminen 2.

Lisätiedot

VTJ-YLLÄPITO. Käyttäjän ohje Kunnat

VTJ-YLLÄPITO. Käyttäjän ohje Kunnat VTJ-YLLÄPITO Käyttäjän ohje Kunnat KÄYTTÄJÄN OHJE 2 (8) Sisällysluettelo 1 Yleistä VTJ-ylläpidon käytöstä...3 1.1 Kuvaukset ja ohjeet...3 1.2 Hallintapalvelut...3 1.3 Roolit...3 1.4 Henkilökohtaiset käyttäjätunnukset

Lisätiedot

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA 1 S i v u Kokkolan kaupungin tietoturvapolitiikka 1. JOHDANTO Tietojenkäsittely tukee Kokkolan kaupungin palvelujen tuottamista ja palveluiden tehokkuus riippuu

Lisätiedot

Ohjeistus uudesta tunnistuspalvelusta

Ohjeistus uudesta tunnistuspalvelusta Ohjeistus uudesta tunnistuspalvelusta Kirjautuminen 6.3.2009 Sivu 1 Tahti-järjestelmän tunnistuspalvelu on vaihtunut. Tämä tarkoittaa sitä, että Tahtin tunnistuspalvelun osoite muuttuu. Muutoksesta johtuen

Lisätiedot

Asetus valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä

Asetus valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä Asetus valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä JUHTA 12.12.2013 Lainsäädäntöneuvos Sami Kivivasara LAIN KÄSITTELYN TILANNE (HE 150/2013 vp) Hallintovaliokunta antoi mietintönsä

Lisätiedot

MITÄ TIETOHALLINTOLAKI TUO TULLESSAAN? Mikael Kiviniemi Julkisen hallinnon ICT-toiminto

MITÄ TIETOHALLINTOLAKI TUO TULLESSAAN? Mikael Kiviniemi Julkisen hallinnon ICT-toiminto MITÄ TIETOHALLINTOLAKI TUO TULLESSAAN? Mikael Kiviniemi Julkisen hallinnon ICT-toiminto 3.5.2011 Laki julkisen hallinnon tietohallinnon ohjauksesta Lain tavoitteena on luoda toimivalta ja ohjausmalli,

Lisätiedot

Tietoturvan haasteet grideille

Tietoturvan haasteet grideille Tietoturvan haasteet grideille Arto Teräs Suomen Unix-käyttäjäin yhdistys FUUG ry:n kevätristeily 20.3.2006 Tietoturvan haasteet grideille / Arto Teräs 2006-03-20 Kalvo 1(14) Grid Tietoturvan

Lisätiedot

-kokemuksia ja näkemyksiä

-kokemuksia ja näkemyksiä Varmenne ja PKI-toteutuksen suuntaviivat huomioitavat tekijät -riskit-hyödyt -kokemuksia ja näkemyksiä Risto Laakkonen, HUS Tietohallinto 1 Varmenne ja PKI-toteutuksen suuntaviivat Sisältö lainsäädännön

Lisätiedot

Lähtöoletuksena on, että opiskelijarekisterin henkilötiedot ovat ajantasalla. Opiskelijoille myönnettyjä tunnuksia ei käytetä Haka-palveluissa.

Lähtöoletuksena on, että opiskelijarekisterin henkilötiedot ovat ajantasalla. Opiskelijoille myönnettyjä tunnuksia ei käytetä Haka-palveluissa. Tässä dokumentissa ollaan kiinnostuneita käyttäjätietokannan ja sen tietojen ajantasaisuuden toteutuksen yleisistä periaatteista sellaisella tasolla, joka antaa riittävät tiedot käyttäjätietojen laadun

Lisätiedot

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

HY:n kevytkäyttäjähallintosovellus ATIK-projektille HY:n kevytkäyttäjähallintosovellus ATIK-projektille Versio 1.7/ 6.3.2009 Ismo Aulaskari HY.n kevytkäyttäjähallintosovellus toimii ATIK-järjestelmän käyttäjätunnistuspalveluna käyttäjän perustietojen sijaintipaikkana

Lisätiedot

HY:n alustava ehdotus käyttäjähallintotuotteesta

HY:n alustava ehdotus käyttäjähallintotuotteesta HY:n alustava ehdotus käyttäjähallintotuotteesta (jota sovellettaisiin Atikiin) Versio 1.2 / 26.8.2008 Ismo Aulaskari HY siis aikoo markkinoida pakettia joihin kuuluisi HY:n konesalissaan ylläpitämä, varmuuskopioitu

Lisätiedot

Aloite Onko asioiden esittämistapa riittävän selkeä ja kieleltään ymmärrettävä?

Aloite Onko asioiden esittämistapa riittävän selkeä ja kieleltään ymmärrettävä? Aloite 08.02.2017 1 (3) VVC VM036:00/2015 Lausunto luonnoksesta valtion riskienhallintopolitiikkamalliksi Yleistä Onko aineistokokonaisuus, jossa on riskienhallinnan järjestämistä koskevia ohjeita,

Lisätiedot

Varmennekuvaus. Väestörekisterikeskuksen varmentajan varmenteita varten. v1.2

Varmennekuvaus. Väestörekisterikeskuksen varmentajan varmenteita varten. v1.2 Varmennekuvaus Väestörekisterikeskuksen varmentajan varmenteita varten v1.2 1 (5) 1. Johdanto Tämä dokumentti kuvaa yleisellä tasolla, kuinka juurivarmentajana toimiva Väestörekisterikeskus toimii myöntäessään

Lisätiedot

Käytönvalvonnan yhtenäistäminen ja tehostaminen organisaation ja kansalaisen kannalta

Käytönvalvonnan yhtenäistäminen ja tehostaminen organisaation ja kansalaisen kannalta Käytönvalvonnan yhtenäistäminen ja tehostaminen organisaation ja kansalaisen kannalta Kehittämispäällikkö Anna Kärkkäinen, THL Sosiaali- ja terveydenhuollon tietosuojaseminaari, Lahti 16.11.2016 Esityksen

Lisätiedot

Kemikaalitieto yhdestä palvelusta

Kemikaalitieto yhdestä palvelusta Kemikaalitieto yhdestä palvelusta Juho Voutila, Tukes 14.2.2019 Esityksen sisältö Rekisteröityminen ja kirjautuminen KemiDigiin Suomi.fi menetelmä Käyttäjätunnus / salasana menetelmä KemiDigin käytön vastuun

Lisätiedot

Voiko valtionhallinnon tietojärjestelmien nykytilaa kuvata? Aki Siponen Valtiovarainministeriö

Voiko valtionhallinnon tietojärjestelmien nykytilaa kuvata? Aki Siponen Valtiovarainministeriö Voiko valtionhallinnon tietojärjestelmien nykytilaa kuvata? 5.12.2006 Aki Siponen Valtiovarainministeriö Voiko valtionhallinnon tietojärjestelmien nykytilaa kuvata? Tavoitteena yhtenäinen toiminnan ja

Lisätiedot

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 1 (6) 25.11.2015 Lappeenrannan kaupungin tietoturvapolitiikka 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0

Lisätiedot

TIETOSUOJASELOSTE KERADUR SERVICE OY. 1. Rekisterinpitäjä. Keradur Service Oy Y-tunnus: Osoite: Kampinkuja 2, Helsinki

TIETOSUOJASELOSTE KERADUR SERVICE OY. 1. Rekisterinpitäjä. Keradur Service Oy Y-tunnus: Osoite: Kampinkuja 2, Helsinki TIETOSUOJASELOSTE KERADUR SERVICE OY 1. Rekisterinpitäjä Keradur Service Oy Y-tunnus: 2315098-4 Osoite: Kampinkuja 2, 00100 Helsinki 2. Yhteyshenkilö rekisteriä koskevissa asioissa Tietosuojavastaava:

Lisätiedot

Julkisen hallinnon ICT. Hallinnon kehittämisosasto 1.11.2010

Julkisen hallinnon ICT. Hallinnon kehittämisosasto 1.11.2010 Julkisen hallinnon ICT Hallinnon kehittämisosasto 1.11.2010 Sisällysluettelo Julkishallinnon ICT:n tunnuslukuja Valtion IT hallintotapa Valtion tietohallinto IT-strategia 2006-2011 Julkisen hallinnon ICT-menestystarinoita

Lisätiedot

Keskitetty käyttäjähallinto

Keskitetty käyttäjähallinto Keskitetty käyttäjähallinto VirtAMK Yhteyshenkilöpäivät 22.11.2004 Mikael Linden tieteen tietotekniikan keskus CSC Tieteen tietotekniikan keskus CSC Tehtävä: tutkimuksen ja opetuksen kansalliset IT-palvelut

Lisätiedot

Taipuuko Kansalaisten asiointitili terveydenhuoltoon

Taipuuko Kansalaisten asiointitili terveydenhuoltoon Taipuuko Kansalaisten asiointitili terveydenhuoltoon Valtiovarainministeriö Neuvotteleva virkamies Riku Jylhänkangas Sisällysluettelo Kansalaisten asiointitilin toteuttaminen Asiointitilin toiminta Asiointitili

Lisätiedot

Henkilötietojesi käsittelyn tarkoituksena on:

Henkilötietojesi käsittelyn tarkoituksena on: 1 (5) TIETOSUOJASELOSTE 1 YKSITYISYYTESI SUOJAAMINEN 2 REKISTERINPITOA KOSKEVAT YLEISET TIEDOT 3 TIETOJEN KÄYTTÖTARKOITUS Yksityisyytesi on meille tärkeää. Veho sitoutuu suojaamaan yksityisyyttäsi ja noudattamaan

Lisätiedot

Tietoturvapolitiikka

Tietoturvapolitiikka Valtiokonttori Ohje 1 (6) Tietoturvapolitiikka Valtion IT -palvelukeskus Valtiokonttori Ohje 2 (6) Sisällysluettelo 1 Johdanto... 3 2 Tietoturvallisuuden kattavuus ja rajaus Valtion IT-palvelukeskuksessa...

Lisätiedot

Kansallinen palveluarkkitehtuuri Mistä laissa on tarkoitus säätää?

Kansallinen palveluarkkitehtuuri Mistä laissa on tarkoitus säätää? Kansallinen palveluarkkitehtuuri Mistä laissa on tarkoitus säätää? 17.2.2016 Ohjelmapäällikkö Maria Nikkilä @VM_MariaNikkila Tiedon hallinnan ja tietohallinnon yleislainsäädäntö Hallinnon yhteisten ICT-palvelujen

Lisätiedot

Pekka Hagström, 11.10.2007 Panorama Partners Oy

Pekka Hagström, 11.10.2007 Panorama Partners Oy Pekka Hagström, 11.10.2007 Panorama Partners Oy Identiteetin hallinnan osa-alueet Näkemys organisaatioiden nykyisistä IdM haasteista Katse eteenpäin - Identiteetin hallinnan Roadmap Identiteetinhallinnan

Lisätiedot

ACCOUNTOR FINAGO OY:N TIKON TALOUSHALLINTOPALVELU SELOSTE KÄSITTELYSTÄ

ACCOUNTOR FINAGO OY:N TIKON TALOUSHALLINTOPALVELU SELOSTE KÄSITTELYSTÄ Sivu 1(5) ACCOUNTOR FINAGO OY:N TIKON TALOUSHALLINTOPALVELU 1 TIETOJEN KÄSITTELIJÄ JA REKISTERINPITÄJÄ Toimittaja / Tietojen käsittelijä Accountor Finago Oy, Keilaranta 8, 02150 Espoo (Y-tunnus 0836922-4)

Lisätiedot

VALDA-tietojärjestelmän j versio 1

VALDA-tietojärjestelmän j versio 1 VALDA-tietojärjestelmän j versio 1 Mitä palveluita tarjotaan VALDA-tietojärjestelmän ensimmäisestä versiosta? Mitä hyötyä saat tästä organisaatiollesi? IBM, Helsinki 14.5.2009 Hankepäällikkö Toini Salmenkivi

Lisätiedot

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

HY:n kevytkäyttäjähallintosovellus ATIK-projektille HY:n kevytkäyttäjähallintosovellus ATIK-projektille Versio 1.6/ 5.3.2009 Ismo Aulaskari LDAP-autentikointia tukeva Openldap-käyttäjähakemisto Kevytkäyttäjähallinto-automaatti joka ylläpitäisi Openldapin

Lisätiedot

Sonera ID. huippukätevä sähköinen henkilötodistus omassa matkapuhelimessasi

Sonera ID. huippukätevä sähköinen henkilötodistus omassa matkapuhelimessasi Sonera ID huippukätevä sähköinen henkilötodistus omassa matkapuhelimessasi 2 Joko sinulla on henkilöllisyystodistus matkapuhelimessasi? Sonera ID -mobiilivarmenne on uudenlainen sähköinen henkilötodistus,

Lisätiedot

Yhteentoimivuusalusta: Miten saadaan ihmiset ja koneet ymmärtämään toisiaan paremmin?

Yhteentoimivuusalusta: Miten saadaan ihmiset ja koneet ymmärtämään toisiaan paremmin? Yhteentoimivuusalusta: Miten saadaan ihmiset ja koneet ymmärtämään toisiaan paremmin? Avoin verkkoalusta ihmisen ja koneen ymmärtämien tietomääritysten tekemiseen Riitta Alkula 20.3.2019 Esityksen sisältö

Lisätiedot

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään? TIETOSUOJASELOSTE Yleistä Jotta voimme palvella sinua parhaamme mukaan, edellyttää se että keräämme ja käsittelemme joitakin sinua koskevia tietoja. Arvostamme kuitenkin yksityisyyttäsi ja olemme sitoutuneet

Lisätiedot

SUOMEN MAKSUNEUVOSTON EHDOTTAMAT TOIMENPITEET - MAKSAMISEN NYKYTILA JA TRENDIT 2014

SUOMEN MAKSUNEUVOSTON EHDOTTAMAT TOIMENPITEET - MAKSAMISEN NYKYTILA JA TRENDIT 2014 SUOMEN MAKSUNEUVOSTON EHDOTTAMAT TOIMENPITEET - MAKSAMISEN NYKYTILA JA TRENDIT 2014 1 TUNNISTAMINEN JA MAKSAMINEN VERKOSSA TÄYDENTÄÄ DIGITALISAATIOTA Dirty Money Banknotes are contaminated with an average

Lisätiedot

Ajankohtaista Virtu-palvelussa

Ajankohtaista Virtu-palvelussa Ajankohtaista Virtu-palvelussa Haka- ja Virtu -seminaari 9.2.2011 Tapani Puisto, Valtion IT-palvelukeskus Keitä olemme? Mikä on Valtion IT-palvelukeskus? Mitä palveluja tarjoamme? - Valtion IT-palvelukeskus

Lisätiedot

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään? TIETOSUOJASELOSTE Yleistä Jotta voimme palvella sinua parhaamme mukaan, edellyttää se että keräämme ja käsittelemme joitakin sinua koskevia tietoja. Arvostamme kuitenkin yksityisyyttäsi ja olemme sitoutuneet

Lisätiedot

HY:n alustava ehdotus käyttäjähallintotuotteesta

HY:n alustava ehdotus käyttäjähallintotuotteesta HY:n alustava ehdotus käyttäjähallintotuotteesta (jota sovellettaisiin Atikiin) Versio 1.3 / 27.9.2008 Ismo Aulaskari HY siis aikoo markkinoida pakettia joihin kuuluisi HY:n konesalissaan ylläpitämä, varmuuskopioitu

Lisätiedot

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

HY:n kevytkäyttäjähallintosovellus ATIK-projektille HY:n kevytkäyttäjähallintosovellus ATIK-projektille Versio 1.9/ 3.6.2009 Ismo Aulaskari HY.n kevytkäyttäjähallintosovellus toimii ATIK-järjestelmän käyttäjätunnistuspalveluna käyttäjän perustietojen sijaintipaikkana

Lisätiedot

Helsingi yliopiston kevytkäyttäjähallintosovelluksen rajapintakuvaus

Helsingi yliopiston kevytkäyttäjähallintosovelluksen rajapintakuvaus Helsingi yliopiston kevytkäyttäjähallintosovelluksen rajapintakuvaus Sisällysluettelo 1Johdanto...2 2ATIKin ja kevytkäyttäjähallinnon välinen rajapinta...3 Shibboleth 2-tunnistus...3 Web service-rajapinta,

Lisätiedot

HY:n ehdotus käyttäjähallintotuotteesta

HY:n ehdotus käyttäjähallintotuotteesta HY:n ehdotus käyttäjähallintotuotteesta (jota sovellettaisiin Atikiin) Versio 1.5 / 27.2.2009 Ismo Aulaskari HY aikoo markkinoida pakettia joihin kuuluisi HY:n konesalissaan ylläpitämä, varmuuskopioitu

Lisätiedot

Pyyntö OKM Nimeämispyyntö Kieku-tietojärjestelmähankkeen organisointi OKM:n hallinnonalalla

Pyyntö OKM Nimeämispyyntö Kieku-tietojärjestelmähankkeen organisointi OKM:n hallinnonalalla Pyyntö OKM/35/040/2011 31.03.2014 Jakelussa mainituille Viite Asia OKM058:00/2011 OKM Nimeämispyyntö Kieku-tietojärjestelmähankkeen organisointi OKM:n hallinnonalalla Opetus- ja kulttuuriministeriön hallinnonala

Lisätiedot

2.1 Yhteispalveluna tarjottavat avustavat asiakaspalvelutehtävät

2.1 Yhteispalveluna tarjottavat avustavat asiakaspalvelutehtävät 1 LOMAKE: YHTEISPALVELUSOPIMUS 9.2.2007; LUONNOS 1. Sopimusosapuolet 1.1. Toimeksisaaja(t) 1.2. Toimeksiantajat 1 2 3 4 5 6 2. Yhteispalveluntehtävät 2.1 Yhteispalveluna tarjottavat avustavat asiakaspalvelutehtävät

Lisätiedot

Julkinen sanomarajapinta. 4.9. ja 11.9.2009

Julkinen sanomarajapinta. 4.9. ja 11.9.2009 4.9. ja 11.9.2009 1 Asiakkaiden nykyiset sanomaliikenneyhteydet Tulliin Nykytilassa sanomaliikenneyhteydet Tullin asiakkaiden tietojärjestelmistä Tullin sovelluksiin välillä hoidetaan operaattoreiden kautta,

Lisätiedot

HELSINGIN KAUPUNKI REKISTERISELOSTE 1 (5) LIIKUNTAVIRASTO Helsingin kaupungin liikuntaviraston varaus- ja ilmoittautumisjärjestelmä

HELSINGIN KAUPUNKI REKISTERISELOSTE 1 (5) LIIKUNTAVIRASTO Helsingin kaupungin liikuntaviraston varaus- ja ilmoittautumisjärjestelmä HELSINGIN KAUPUNKI REKISTERISELOSTE 1 (5) HELSINGIN KAUPUNGIN N VARAUS- JA ILMOITTAUTUMISJÄRJESTELMÄN REKISTERISELOSTE 1 REKISTERIN NIMI Helsingin kaupungin liikuntaviraston varaus- ja ilmoittautumisjärjestelmä

Lisätiedot

TIETOSUOJASELOSTE. Yleistä. Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään? Mitä henkilötietoja minusta kerätään ja mistä lähteistä?

TIETOSUOJASELOSTE. Yleistä. Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään? Mitä henkilötietoja minusta kerätään ja mistä lähteistä? TIETOSUOJASELOSTE Yleistä Jotta voimme palvella sinua parhaamme mukaan, edellyttää se, että keräämme ja käsittelemme joitakin sinua koskevia tietoja. Arvostamme kuitenkin yksityisyyttäsi ja olemme sitoutuneet

Lisätiedot

Asiakkaan tunteminen - miksi pankki kysyy?

Asiakkaan tunteminen - miksi pankki kysyy? Asiakkaan tunteminen - miksi pankki kysyy? Pankit ovat velvollisia tuntemaan asiakkaansa Suomen lainsäädännön mukaan pankkien tulee tunnistaa ja tuntea asiakkaansa. Pankilla tulee olla asiakkaan henkilötietojen

Lisätiedot

HY:n ehdotus käyttäjähallintotuotteesta

HY:n ehdotus käyttäjähallintotuotteesta HY:n ehdotus käyttäjähallintotuotteesta (jota sovellettaisiin Teakiin) Versio 0.4 / 16.10.2008 Ismo Aulaskari HY siis markkinoi pakettia joihin kuuluisi HY:n konesalissaan ylläpitämä, varmuuskopioitu Linux(RHEL

Lisätiedot

SÄHKÖISEN TUNNISTAMISEN PALVELU KANSALLISESSA PALVELUARKKITEHTUURISSA

SÄHKÖISEN TUNNISTAMISEN PALVELU KANSALLISESSA PALVELUARKKITEHTUURISSA SÄHKÖISEN TUNNISTAMISEN PALVELU KANSALLISESSA PALVELUARKKITEHTUURISSA KUNTAMARKKINAT 09.09.2015 JARKKO LESKINEN @VRK.FI Aikataulu 2015 2016 2017 2018 -> Hanke 2015 2016 2017 Palvelunäkymät Beta.suomi.fi

Lisätiedot

TIETOJA ASIAKKUUKSIIN LIITTYVIEN HENKILÖTIETOJEN KÄSITTELYSTÄ

TIETOJA ASIAKKUUKSIIN LIITTYVIEN HENKILÖTIETOJEN KÄSITTELYSTÄ TIETOSUOJASELOSTE 1 TIETOJA ASIAKKUUKSIIN LIITTYVIEN HENKILÖTIETOJEN KÄSITTELYSTÄ Rekisterinpitäjä Tämä seloste sisältää EU:n yleisen tietosuoja-asetuksen 13 ja 14 artiklan edellyttämiä tietoja henkilötiedoista,

Lisätiedot