HY:n alustava ehdotus käyttäjähallintotuotteesta

Samankaltaiset tiedostot
HY:n alustava ehdotus käyttäjähallintotuotteesta

HY:n alustava ehdotus käyttäjähallintotuotteesta

HY:n ehdotus käyttäjähallintotuotteesta

HY:n ehdotus käyttäjähallintotuotteesta

HY:n ehdotus käyttäjähallintotuotteesta

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

HY:n ehdotus käyttäjähallintotuotteesta

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

Helsingi yliopiston kevytkäyttäjähallintosovellus ATIK projektille

Helsingi yliopiston kevytkäyttäjähallintosovelluksen rajapintakuvaus

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

1. Käyttäjätietokannan ja perusrekistereiden kytkentä 1.1. Opiskelijarekisteri

Kansallisen audiovisuaalisen instituutin käyttäjähallinnon kuvaus

Federoidun identiteetinhallinnan

Luottamusverkosto. Shibboleth-asennuskoulutus CSC Tieteen tietotekniikan keskus Oy CSC IT Center for Science Ltd.

Haka-käyttäjien kokoontuminen Arto Tuomi CSC Tieteen tietotekniikan keskus

Lähtöoletuksena on, että opiskelijarekisterin henkilötiedot ovat ajantasalla. Opiskelijoille myönnettyjä tunnuksia ei käytetä Haka-palveluissa.

Julkishallinnon tunnistuksen ohjauspalvelun kehityshanke mitä PoC-vaihe on opettanut? Manne Miettinen, Henri Mikkonen ja Arto Tuomi

Keskitetty käyttäjähallinto. VirtAMK-yhteyshenkilöpäivät Turku Jarmo Sorvari TAMK

Tunnistus ja roolipohjainen käyttöoikeuksien hallinta. Inspire-verkoston Yhteistyö-ryhmä

TKK: Shibboleth toteutuksia ja projekteja. Markus Melin

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

Käyttäjän tunnistus yli korkeakoulurajojen

Federoidun identiteetinhallinnan periaatteet

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

Kotiorganisaation käyttäjähallinnon kuvaus (Poliisiammattikorkeakoulu ja Pelastusopisto)

Käyttäjähallinta liiketoiminnan selkärankana. Ratkaisuna LDAP-hakemistot

Kotiorganisaation käyttäjähallinnon kuvaus (Karelia)

Maestro Lappeenranta Mannerheiminkatu Lappeenranta. Maestro Helsinki Huopalahdentie Helsinki

Käyttäjähallintokoulu Mikael Linden tieteen tietotekniikan keskus CSC

Kotiorganisaation käyttäjähallinnon kuvaus

CSC - Tieteen tietotekniikan keskus

Maestro Lappeenranta Mannerheiminkatu Lappeenranta. Maestro Helsinki Huopalahdentie Helsinki

Shibboleth-projekti. Tampereen teknillinen yliopisto / Digitaalisen median instituutti / Hypermedialaboratorio

Kotiorganisaation käyttäjähallinnon kuvaus. 1. Käyttäjätietokannan ja perusrekistereiden kytkentä

Mobiilivarmenteen käyttö Helsingin yliopistossa. Ville Tenhunen, Juha Ojaluoma

Helsingin yliopiston wikipalvelu. Esityksen sisältö. Mikä on wiki?

Haka-palveluiden valvonta ja tilastointi AAIEye -työkalun avulla. Mika Suvanto, CSC

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

Kotiorganisaation käyttäjähallinnon kuvaus

Kotiorganisaation käyttäjähallinnon kuvaus

VYPEdit verkkosivualusta SVY-toimijoille

Tiedonsiirto Primus-oppilashallintojärjestelmästä Sanoma Prolle

AINA PALVELUPORTAALI

Valtiokonttori Käyttöönotto 1 (6) suunnitelma Virtu Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

Valppaan asennus- ja käyttöohje

Sähköinen tunnistus korkeakouluissa. TieVie-lähiseminaari Mikael Linden Tieteen tietotekniikan keskus CSC

Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

Verkostojen identiteetinhallinta. Haka-seminaari Kehityspäällikkö Sami Saarikoski Opetus- ja kulttuuriministeriö.

Veronumero.fi Tarkastaja rajapinta

1 Virtu IdP- palvelimen testiohjeet

AsioEduERP v12 - Tietoturvaparannukset

Tietoturvan haasteet grideille

funeteduperson-skeeman päivittäminen

Aineistosiirron testauksen aloituksen ohje Trafin sopimuskumppaneille

Keskustelusivusto. Suunnitteludokumentti

Kansallinen ORCiD yhdistämispalvelu

Rajapintapalveluiden toteutusvaihtoehdot ja tilaaminen. Kunnat ja Inspire koulutus Jani Kylmäaho

Järjestelmäarkkitehtuuri (TK081702)

Articles... 3 Käyttäjähallinnon kuvaus... 4 Unohtunut salasana... 6 Tunnusten käyttöönotto... 7 Ohjeita... 8

Sähköiset palvelut - Isäntä ja renki

SHAMAN-sovellusprojektin 4. viikkopalaveri

Energiatodistusrekisteri ja laatijan rooli

Tietoturvan haasteet grideille

Attribuutti-kyselypalvelu

Ajankohtaista identiteetinhallinnassa. IT-päivät Mikael Linden CSC Tieteen tietotekniikan keskus Oy

Energiapeili-raportointipalveluun rekisteröityminen kuluttaja-asiakkaana

Kemikaalitieto yhdestä palvelusta

Terveydenhuollon ATK päivät TURKU

Käyttöönottosuunnitelma Virtu-palveluntarjoajalle

Tikon Ostolaskujenkäsittely/Web-myyntilaskutus versio 6.4.0

NELLI-Tunnis. Käyttäjän tunnistus NELLI-tiedonhakuportaalissa yleisissä kirjastoissa. Versio Ere Maijala Kansalliskirjasto

VIRTA tiedonsiirtotavan kehittäminen - Eräsiirrosta inkrementaaliseen tiedonsiirtoon

Keskitetty käyttäjähallinto

Rajapintapalveluiden toteutuksessa huomioitavaa. Rajapinnat tehokäyttöön Jani Kylmäaho

Uloskirjautuminen Shibbolethissa

Joonas Mäkinen. Käyttäjähallinnan esittely

IDP:n asennus Shibboleth asennuskoulutus Janne Lauros. CSC Tieteen tietotekniikan keskus Oy CSC IT Center for Science Ltd.

Jatkuvan oppimisen tunnistuspalvelu pähkinänkuoressa. Opetus- ja kulttuuriministeriö

Turvapaketti Omahallinta.fi ka ytto ohje

WinOodin käyttö VDI-ympäristössä

Energiapeili-raportointipalveluun rekisteröityminen yritysasiakkaana

VTJ-YLLÄPITO. Vastuukäyttäjän ohje

SilvaToiminta Versio 1.0. SilvaToiminta. Pikaohje Versio Oy Silvadata Ab Pikaohje 1

Julkaisukanava-hankkeen DSpacen shibbolointi

RUOTSALAISTEN HENKILÖLUOTTOTIETOJEN TARKISTAMINEN EDELLYTTÄÄ VAHVAA TUNNISTAUTUMISTA

Energiapeili-raportointipalveluun rekisteröityminen kuluttaja-asiakkaana

TIETOKONEET JA VERKOT v.1.4

Opas administraattori-tason käyttäjille. MANAGERIX -ohjelman esittely... 2 Kirjautuminen... 2

Kemikaalitieto yhdestä palvelusta

VirtuaaliAMK ajankohtaista Yhteyshenkilöpäiv

Tilaajavastuu.fi. Muutoshistoria. Suomen Tilaajavastuu Oy. Raporttinoutaja Rajapinta yritysten tilaajavastuutietojen tarkistamiseen

Tikon Ostolaskujenkäsittely/Web-myyntilaskutus versio 6.3.0

VTJkysely-palvelu. Sovelluskyselyiden rajapintakuvaus

Uutisjärjestelmä. Vaatimusmäärittely. Web-palvelujen kehittäminen. Versio 1.3

Federoitu keskitetty sovellus

Tiedonsiirto- ja rajapintastandardit

Transkriptio:

HY:n alustava ehdotus käyttäjähallintotuotteesta (jota sovellettaisiin Atikiin) Versio 1.2 / 26.8.2008 Ismo Aulaskari HY siis aikoo markkinoida pakettia joihin kuuluisi HY:n konesalissaan ylläpitämä, varmuuskopioitu Linux(Centos 5) -virtuaalipalvelin ja seuraavat HY:n ylläpitämät ohjelmistot (tai vaihtoehtoisesti varmaan ainakin jonkun muun ylläpitämä palvelin ja HY:n ylläpitämät käyttäjähallintoohjelmistot): Ldap-autentikointia tukeva Openldap-käyttäjähakemisto Kevytkäyttäjähallinto-automaatti joka ylläpitäisi Openldapin käyttäjätietoja ja tarjoaisi kaksisuuntaisia rajapintoja muiden järjestelmien (kuten Atik, korkeakoulujen järjestelmät, Oodi) suuntaan Asennettujen ohjelmistojen lähdekoodit vähintään paketin hankkineille asiakkaille saataville, jos ei koko maailman nähtäväksi (jolloin ohjelmistopaketti olisi kaikkien saatavissa ilman tukisopimusta) Optioina Shibboleth Identity Provider ja HAKA-federaatiota tukeva tietosisältö Ldapin kahdennus (Shibbolethin kahdennusta ei ole HY:llä testattu mutta teoriassa se on mahdollista) -luo uusi -hae -muokkaa Rajapintoja -Oodi -muu ATIK -autentikoi -hae Kevytkäyttäjähallintosovellus Yliopiston autentikointijärjestelmä -Poista -Hae kaikki -? Openldap / Shibboleth IDP Linux-palvelin

Yhden tunnuksen politiikan toteuttaminen? Antaako Atik käyttäjän valita Atik-tunnuksen ja kotiorganisaation tunnuksen välillä? Sikäli kun tunnuksen valinnan toiminnallisuus on toteutettu Atikissa itsessään eivät seuraavat kohdat ole merkittävässä asemassa: Jos Atik kutsuu käyttäjätunnistusta Ldap-protokollalla voidaan hyödyntää referraaleja tunnistuksen ohjaamisessa kevytkäyttäjähallinnon Ldapista organisaation Ldapiin Jos Atik on Shibboleth Service Provider ja kevytkäyttäjähallinto on Shibboleth IDP, voidaan tarvittaessa hyödyntää IDP:n DataConnectorin FailOverDependency-optiota käyttäjän etsimiseen sekä kevytkäyttäjähallinnon että organisaation Ldaphakemistosta Openldap-hakemisto Skeematuki vähintään attribuuteille uid (käyttäjätunnus) cn (koko nimi muodossa etunimet sukunimi) userpassword (käyttäjän salasanatiiviste) käyttäjän roolit jos tieto on Atik-järjestelmästä saatavilla onko opinto-oikeutta voimassa tarkempia rooleja, esim. Virkailijastatus eduperson-roolit (esim. Vetuma 2.1 VTJ-kyselyn avulla): hetu sähköposti givenname (etunimet) sn (sukunimi) voimassaolon loppupvm luontipvm muut tarvittavat tiedot (rajaus Atikin ja käyttölupajärjestelmän välillä) Laskutus? opinnot/ilmoittautumiset? opinto-oikeuden pituus? Näitä tuskin tarvitaan käyttäjähallintosovelluksessa, paitsi jos halutaan käyttää niitä rooleina hienojakoiseen auktorisointiin Skeema laajennettavissa funeteduperson 2.0-ehdot täyttäväksi (ja täten Shibboleth-yhteensopivaksi)

Mahdollinen HAKA-luottamusverkostojäsenyys asettaa tiukkoja vaatimuksia käyttäjähallinnon prosesseille Mahdollisuus kahdentaa Openldap-palvelu vikasiedon/kuormantasauksen kannalta Toimii vähin katkoin ilmankin Mahdollisuus Shibboleth Identity Providerin asentamiseen Tarvitaan tuki Shibboleth-autentikointiin Rajapinta (Ldap v.3) jonka kautta TLS-/LDAPS-suojattu simple bind-tunnistus käyttäjätunnus menee (ainakin tilapäisesti) lukkoon liian monen epäonnistuneen yrityksen jälkeen yksittäisen käyttäjän tietojen haku (joissain rajatapauksissa on mahdollista sallia koko tietokannan haku Ldap-protokollan yli, tätä ei kuitenkaan suositella) esim. Käyttäjän roolin kysely teoriassa voitaisiin sallia käyttäjien luonti ja muokkaaminen Ldap-protokollan yli, ohi käyttölupa-automaatin, salasanaresetointi nämä kuitenkin parempi toteuttaa käyttäjähallintosovelluksen kautta Konfiguroitu tekstitiedostolla Lokitus säädettävissä, normaalisti ldap-operaation tarkkuudella Ldap-hakemiston monitorointi? (HY:llä esim. Big Sister, Smokeping, Logwatch..)

Kevytkäyttäjähallinto-automaatti J2EE5-alustalle (referenssisovelluspalvelimena Glassfish v2) Automaatti/automaatit joka huolehtii kerran vuorokaudessa vanhentuneiden käyttäjätunnusten poistosta/lukitsemisesta käyttäjätietokannan levylle dumppaamisen varmuuskopiointia varten On konfiguroitavissa tekstitiedostosta ldap-palvelimen ja ylläpitotunnuksen tiedot tuetut käyttäjätiedot käyttäjätunnuksen formaattifunktio/-luokka Periaatteessa kahdennettavissa sovelluspalvelinklusterilla Lokitus säädettävissä, monitorointi sovelluspalvelimella Rajapinta (WS-I Basic Profile 1.1 -web service) HTTPS-yhteyden yli, jonka kautta uusien käyttäjätunnusten luonti Ldapiin käyttäjätunnusten tietojen muokkaaminen roolin (opiskelija/ei-opiskelija) päivitys salasanan resetointi? käyttäjän/käyttäjien tietojen haku käyttäjän rooli(e)n kysely myös kaikki käyttäjät XML-dumppina synkronointitarpeita ajatellen Optiona Oodi-rajapinta (Web service, Oodin WS-määritelmien mukaan) seuraavien tietojen synkronointiin: opiskelijan vanhojen opiskelutietojen katselu ei ilmeisesti kuulu käyttäjähallintosovelluksen piiriin vaan Atikiin Optiona muu tarvittava organisaatiokohtainen integraatiorajapinta? REST, HTTPS POST? Tarvitaan tarkistuksia yliopiston käyttölupajärjestelmästä, onko käyttäjä jo siellä olemassa Optiona web-liittymä käyttäjätietojen ylläpitoon (liittyy tuotteen muihin käyttömahdollisuuksiin) tarpeita voi tulla myöhemmin virkailijaroolien ylläpito pitäisi olla hoidettavissa Atikin puolelta

oliko tämä toteutettava tällä puolella virkailijakäyttöliittymänä niitä henkilöitä varten jotka eivät kykene Vetuma-tunnistautumaan ilmeisesti se tulee Atikiin Omien käyttäjätietojen tarkistaminen web-lomakkeella -Atikin ominaisuus muokkausmahdollisuus myös Atikissa Optiona voi olla myös Vetuma-autentikointi-osion toteuttaminen Luvan luonti Salasanaresetointi Tunnistuksen edessä käyttämäärän valvonta Käyttäjä yrittää luoda tunnusta, jos tunnus jo olemassa ohjataan salasanaresetointiin Miniversio kevytkäyttäjähallinnosta ilman rajapintoja, käyttöliittymiä voisi olla cronissa pyörivä perl-skripti joka osaisi vain varmuuskopioinnin ja vanhentuneiden tunnusten poiston

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute