Tunnistus ja roolipohjainen käyttöoikeuksien hallinta. Inspire-verkoston Yhteistyö-ryhmä

Transkriptio

1 Tunnistus ja roolipohjainen käyttöoikeuksien hallinta Inspire-verkoston Yhteistyö-ryhmä

2 CSC - Tieteen tietotekniikan keskus Valtion omistama osakeyhtiö Non-profit tuottaa keskitettyjä IT-palveluita korkeakouluille, tutkimuslaitoksille ja muille organisaatioille Suurteholaskenta Funet-verkko CSC ja identiteetinhallinta Korkeakoulujen Haka-luottamusverkoston operointi ja koordinointi Valtionhallinnon Virtu-luottamusverkoston operointi VIP:n toimeksiannosta

3 Sisällys Identiteetin ja pääsyn hallinta Federoitu identiteetinhallinta Haka- ja Virtu-luottamusverkostot Federoidun identiteetinhallinnan hyödyntämistavat Valtuuden myöntämisen peruste Käyttövaltuuksien hallinnan teknisen työnjaon vaihtoehdot Ehdotus roolipohjaisesta valtuushallinnasta Sopivia olemassaolevia rooliattribuutteja

4 Identiteetin ja pääsyn hallinta Henkilötietojen ylläpito (identity) Käyttövaltuudet (authorisation) Identiteetin todentaminen (authentication) Jäljitettävyys/raportointi (audit) Palvelun omistaja esim. taloushallinto 4. Kenellä on oikeus? Esko Esimerkki 3. Käyttäjätunnus Salasana 1. Eskon henkilötiedot viedään järjestelmään Palvelu (esim. matkanhallinta) Nimi: Esko Esimerkki Käyttäjätunnus: eesimerk Rooli: Yksikönjohtaja esim. Sisäinen tarkastaja

5 Federoitu identiteetinhallinta Tunnus ja salasana Identity Provider, Henkilötiedot esim. nimi, rooli Palvelu Service Provider, Kotiorganisaatio Palveluntarjoaja Kotiorganisaatio vastaa käyttäjätiedoista ja todentaa käyttäjän identiteetin Kotiorganisaatio luovuttaa käyttäjätietoja (attribuutteja) palveluntarjoalalle Palveluntarjoaja päättää pääseekö käyttäjä palveluun Tällä hetkellä pääasiassa WWW-ympäristössä

6 Haka- ja Virtu-luottamusverkostot Kotiorganisaatiot Palveluntarjoajat Org1 Org2 Org3 SaaS-palvelut (mm. taha/heha) Kollaborointivälineet (wiki, sharepoint ) Keskitetyt palvelut Kotiorganisaatioita korkeakoulut, tutkimuslaitokset ym. Palveluntarjoajia lisäksi näille palveluita tarjoavat organisaatiot 43 kotiorganisaatiota, 136 palvelua, n käyttäjää (100% OKM-korkeakouluista) CSC:n palvelu Org4 Lisensoidut aineistot (mm. tutkimusartikkelit) Org5 Org n Luottamusverkosto eli federaatio Verkko-opetus Kotiorganisaatioita ja palveluntarjoajia valtion virastot Kotiorganisaationa 5 virastoa ja 1 hallinnonala (n. 25% virkamiehistä) Palveluntarjoajia 8 Valtion IT-palvelukeskuksen palvelu, CSC pyörittää tekniikkaa

7 Federoidun identiteetinhallinnan hyödyntämistavat Auktorisointi Myös käyttövaltuudet palvelussa tuodaan federoidusti. Provisiointi Uusien käyttäjien perustaminen palveluun lennosta. Käyttäjätietojen ylläpito. Autentikointi Kirjautuminen kotiorganisaation tunnuksella ja salasanalla. Ei palvelukohtaista käyttäjätunnus/salasana-paria. Kuinka monennelle portaalle haluat palvelusi nostaa?

8 Valtuuden myöntämisen peruste 0. Palvelu on kaikille avoin 1. Palvelu avautuu kaikille, joilla tietty rooli Esim. henkilö on yliopiston työntekijä Tässä federoitu tunnistus voi tulla avuksi 2. Palvelu avautuu kaikille, jotka sitoutuvat käyttöehtoihin (lisenssiin) 3. Palvelu edellyttää henkilökohtaista käyttölupaa Hakemuksen täyttämistä ja käsittelyä 4. Tai mikä vain edellisten yhdistelmä

9 Käyttövaltuuksien hallinnan teknisen työnjaon vaihtoehdot hallinnoi valtuudet - Perinteinen - Ei vaadi paljoa -päässä Hän on Esko Esimerkki Eskolla on käyttövaltuus hallinnoi valtuudet - Vaativa -päässä - Luottamus? Hänellä on käyttövaltuus (ja hän on Esko Esimerkki) hallinnoi roolin, roolille kuuluvan valtuuden - Vaivaton, jos vain mahdollinen Hän on meillä töissä tutkijana Tutkijoilla on käyttövaltuus Voi olla että tarvitaan useita rinnakkaisia malleja -pään kypsyydestä riippuen.

10 Mahdollista myös kolmiodraama AP Eskolla on käyttövaltuus Hän on Esko Esimerkki AP (Attribute provider) hallinnoi valtuudet - Usea voi nojata AP:n ylläpitämiin valtuuksiin

11 Ehdotuksia roolipohjaisesta valtuushallinnasta Käyttövaltuus annetaan Kaikille tunnistetuille käyttäjille Kaikille tietyn organisaation tunnistetuille käyttäjille Kaikille tunnistetuille käyttäjille joilla on tietty rooli Esim. opetus- ja tutkimushenkilökuntaa korkeakoulussa (edupersonaffiliation=faculty) Esim. valtion virkamies Virtussa (virtuemployeetype)

12 Sopivia olemassaolevia rooliattribuutteja? Haka: edupersonaffiliation faculty = opetus- ja tutkimushenkilökunta staff = hallintohenkilökunta student = läsnäoleva tutkinto-, vaihto- tai JOO-opiskelija member = kaikki edelliset + pätevöitymis/täydennyskoulutuksen opiskelija aritykset/funetedupersonskeema Virtu: VirtuEmployeeType virkamies = virkasuhteessa tyontekija = työsuhteessa siviilipalvelus = sivari alihankkija = alihankkijan palveluksessa muu ka/maaritykset