Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle



Samankaltaiset tiedostot
Valtiokonttori Käyttöönotto 1 (6) suunnitelma Virtu Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

Käyttöönottosuunnitelma Virtu-palveluntarjoajalle

1 Virtu IdP- palvelimen testiohjeet

Ohje: Identiteetin hallinnan tietoturvatasot (LUONNOS)

Uloskirjautuminen Shibbolethissa

Virtu tietoturvallisuus. Virtu seminaari

Luottamusverkosto. Shibboleth-asennuskoulutus CSC Tieteen tietotekniikan keskus Oy CSC IT Center for Science Ltd.

Federoidun identiteetinhallinnan periaatteet

Virkamiehen tunnistamisen luottamusverkosto Virtu vapauttaa salasanaviidakosta Kotiviraston näkökulma

Ajankohtaista Virtu-palvelussa

Tunnistus ja roolipohjainen käyttöoikeuksien hallinta. Inspire-verkoston Yhteistyö-ryhmä

Federoidun identiteetinhallinnan

Palvelun rekisteröinti Virtu - luottamusverkostoon / testipalveluun

Käyttäjähallintokoulu Mikael Linden tieteen tietotekniikan keskus CSC

päiväys tekijä tarkastaja hyväksyjä Muutoshistoria Julkunen (Marja Julkunen)

Haka-käyttäjien kokoontuminen Arto Tuomi CSC Tieteen tietotekniikan keskus

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

NELLI-Tunnis. Käyttäjän tunnistus NELLI-tiedonhakuportaalissa yleisissä kirjastoissa. Versio Ere Maijala Kansalliskirjasto

Kieku-tietojärjestelmä Työasemavaatimukset

Valtiokonttorin tunnistuspalvelu

GEANT-tietosuojakäytäntö Data Protection Code of Conduct

CSC - Tieteen tietotekniikan keskus

Julkishallinnon tunnistuksen ohjauspalvelun kehityshanke mitä PoC-vaihe on opettanut? Manne Miettinen, Henri Mikkonen ja Arto Tuomi

Suorin reitti Virtu-palveluihin

Helsingi yliopiston kevytkäyttäjähallintosovelluksen rajapintakuvaus

Ajankohtaista identiteetinhallinnassa. IT-päivät Mikael Linden CSC Tieteen tietotekniikan keskus Oy

Mikä on Discovery Service?

Sähköinen tunnistus korkeakouluissa. TieVie-lähiseminaari Mikael Linden Tieteen tietotekniikan keskus CSC

Haka mobiilitunnistuspilotti

IdP SaaS Palveluna Miksi sitä tarvitaan? Mikä se on? Kenelle se on tarkoitettu? 2009 Tieto Corporation 2/5/2010

OHJE SENAATTILAN KÄYTTÄJÄKSI REKISTERÖITYMISTÄ VARTEN

Tämä ohje on tehty MPY:n laajakaista-asiakkaiden käytössä olevien sähköpostipalveluiden hallintatyökalu Omahallinta-sivustoa varten.

Kuukauden kuvat kerhon galleriaan lähtien kuukaudenkuvaajan kuvagalleria on siirretty uudelle palvelimelle osoitteeseen:

Kieku-tietojärjestelmä Työasemavaatimukset sla-

Käyttäjän tunnistus yli korkeakoulurajojen

OHJE SENAATTILAN KÄYTTÄJÄKSI REKISTERÖITYMISTÄ VARTEN

HY:n alustava ehdotus käyttäjähallintotuotteesta

Maatiaiskanojen säilyttäjän ohjeet Maatiaiskanat-palvelun käyttöön

OHJE SENAATTILAN KÄYTTÄJÄKSI REKISTERÖITYMISTÄ VARTEN

Hyvä tietää ennen kuin aloitat

Kertakirjautumisella irti salasanojen ryteiköstä

HUOLTAJAN OHJE TIETOJEN PÄIVITTÄMINEN HUOLTAJAKSI ILMOITTAUTUMINEN REKISTERÖITYMINEN

Uutisjärjestelmä. Vaatimusmäärittely. Web-palvelujen kehittäminen. Versio 1.3

Yhteistyökumppanit kirjautuvat erikseen annetuilla tunnuksilla osoitteeseen

Kotiorganisaation käyttäjähallinnon kuvaus. 1. Käyttäjätietokannan ja perusrekistereiden kytkentä

SoleCRIS PIKAOHJE ASIANTUNTIJATEHTÄVIEN JA JULKAISUJEN TALLENTAMISTA VARTEN

Lokitietojen käsittelystä

Virtu-skeema. Sisältö. Virtu-luottamusverkoston yhteiset attribuutit ja attribuuttien muodostamisen ohjeistus

- ADFS 2.0 ja SharePoint 2010

Tähän ohjeeseen on koottu vanhemmille ja johtokunnalle ohjeet pilvipalveluiden käyttämiseen. Tämä ohje on osa koko Tenavakallion IT dokumenttia.

Potilastiedot ja tietoturvallisuus Käyttäjähallinta ja tietoturva kertakirjautumisella

VIRTU ja tietoturvatasot

Lähtöoletuksena on, että opiskelijarekisterin henkilötiedot ovat ajantasalla. Opiskelijoille myönnettyjä tunnuksia ei käytetä Haka-palveluissa.

TeliaSonera. Marko Koukka. IT viikon seminaari Identiteetin hallinta palveluna, Sonera Secure IDM

JOHDANTO Rekisteröityminen Kirjautuminen Sijaisrekisterin harjoittelijaosion välilehdet Omat tiedot...

Valtion yhteisen viestintäratkaisun (Vyvi) Työtila- ja Ryhmä-palvelun kirjautumisohje

Ohjeistus uudesta tunnistuspalvelusta

SÄHKÖPOSTIOHJE. Opiskelijoiden Office 365 for Education -palveluun

VSP webmail palvelun ka yttö öhje

Oskarin avulla kaupungin karttapalvelut kuntoon

Lääkärin Terveyskansio Lähettävän lääkärin ohje

Kansallinen ORCiD yhdistämispalvelu

LAURA TM -rekrytointijärjestelmän tietoturva. Markku Ekblom Teknologiajohtaja Uranus Oy

LUPAHANKKEET RAKENNUSVALVONNAN SAHKÖISESSÄ ASIOINTIPALVELUSSA - KIRJAUTUMINEN

Näin järjestän ohjelmointikurssin, vaikka en ole koskaan ohjelmoinut

Attribuutti-kyselypalvelu

CEREMP-järjestelmän käyttöönotto

Määrittelydokumentti NJC2. Helsinki Ohjelmistotuotantoprojekti HELSINGIN YLIOPISTO Tietojenkäsittelytieteen laitos

Federoinnin vaikeat käyttötapaukset palveluntarjoajille (SP)

HY:n alustava ehdotus käyttäjähallintotuotteesta

LUPAHANKKEET RAKENNUSVALVONNAN SAHKÖISESSÄ ASIOINTIPALVELUSSA - KIRJAUTUMINEN

Maali Esiehdot Toimijat Testitapauksen suoritus ja hyväksytyt lopputilat. Käyttäjä. Käyttäjä. Käyttäjä

Titta-palvelun käyttöohje

Paytrail lisäosa WooCommerce alustalle (c) Webbisivut.org

1. Käyttäjätietokannan ja perusrekistereiden kytkentä 1.1. Opiskelijarekisteri

Käyttöohje palveluntuottajalle

SALIBANDYN PALVELUSIVUSTO

OPISKELIJAN PIKAOPAS

HY:n alustava ehdotus käyttäjähallintotuotteesta

Pilvipalveluiden arvioinnin haasteet

Korkeakoulujen prosessipalvelin: mallintajan palvelinohje Versio 0.2

Sähköisen tunnistamisen järjestäminen julkisessa

Tikon ostolaskujen käsittely

Sisäänkirjaus Uloskirjaus. Yritystieto

TIETOTURVATASOVAATIMUKSET HANKINNOISSA

todenna.fi todenna.fi Käyttöohje Tässä käyttäohjeessa kerrotaan mikä on todenna.fi -kirjautumispalvelu ja miten sitä käytetään.

ENNI-järjestelmällä tehtävä selainennakkoilmoitus

Vahva vs heikko tunnistaminen

Kansallisen audiovisuaalisen instituutin käyttäjähallinnon kuvaus

1. Sähköinen tunnistautuminen KTJ-rekisterinpitosovellukseen

Terveydenhuollon ATK päivät TURKU

CSC-sopimus Tommi Jauhiainen AMKIT- ja Linnea2-konsortioiden yhteiskokous

VETUMA. VErkkoTUnnistus ja MAksaminen. julkishallinnon verkkopalveluihin. B2C PRO päätösseminaari

Mobiilivarmenteen käyttö Helsingin yliopistossa. Ville Tenhunen, Juha Ojaluoma

OHJE SENAATTILAN KÄYTTÄJÄKSI REKISTERÖITYMISTÄ VARTEN

VIP Mobile Windows Phone. Opas asennukseen ja tärkeimpien toimintojen käyttöön

Omavalvonta ja laadunhallintajärjestelmä. Elintarvikkeiden tarjoaminen julkisille keittiöille

SAMLINK VARMENNEPALVELU PALVELUKUVAUS OHJELMISTOTALOILLE

Turun terveyskampus ja rajaamisen sietämätön vaikeus

ULOSKIRJAUTUMINEN SHIBBOLETHISSA. Asko Tontti. Kandidaatintyö

Transkriptio:

Ohje 1 (6) Käyttöönottosuunnitelma -kotiorganisaatiolle

Ohje 2 (6) Asiakirjan muutoshistoria versio päiväys tekijä tarkastaja hyväksyjä Muutoshistoria 1.0 11.12.2009 Mikael Linden käyttöönottohankkeen ohjausryhmä Lisätty n yleiskuvauskappale ja julkaistu. 1.1 12.1.2010 Mikael Linden Päivitetty VIP:n kilpailuttama uusi auditoija 1.2 4.1.2011 Mikael Linden VAHTI 2/2010. Teknisiä asioita (mm. uloskirjautuminen) lukuun 5. Auditoinnin hintaarvio. 1.2.1 12.1.2011 Tapani Puisto Tarkistettu versio 1.2.2 19.1.2011 Tapani Puisto Korjattu palvelumaksu 1.3. 11.2.2011 Mikael Linden Lisätty linkki VRK:n palvelinvarmenteisiin ja CSC:n IdPrekisteröintisivuun 1.4. 5.12.2013 Arto Tuomi Päivitetty CSC:n sivujen osoitteet 1.5 Ilkka Kontio n mukaiset muutokset, tarkennuksia ja päivityksiä Jakelu Nimi Organisaatio

Ohje 3 (6) Käyttöönottosuunnitelma -kotiorganisaatiolle Virkamiehen tunnistuspalvelu () on valtionhallinnon yhteinen käyttäjätunnistusjärjestelmä, jota Valtion tieto- ja viestintätekniikankeskus tarjoaa organisaatiorajojen ylitse käytettävien palveluiden käyttäjätunnistukseen. Virkamiehen käyttäjätunnistuspalvelussa toteutetaan luottamusverkostomainen työnjako, jossa virkamiehen (tai muun palvelussuhteessa olevan henkilön) kotiorganisaatio (ministeriö, virasto, laitos ym.) vastaa virkamiehen käyttäjätietojen (identiteetin) ylläpidosta järjestelmissään ja kirjautumishetkellä todentaa (autentikointi) hänen henkilöllisyytensä. Kotiorganisaatio kytkeytyy -käyttäjätunnistusjärjestelmään ottamalla käyttöön Identity Provider (IdP) palvelimen ja rekisteröimällä se un. Vastaavasti palveluntarjoaja, joka haluaa tukeutua -käyttäjätunnistukseen, niveltää palvelunsa pääsynhallintaan Service Provider (SP) palvelimen, ja rekisteröi sen un. n alihankkijana -luottamusverkoston päivittäisestä teknisestä toiminnasta vastaa -operaattori, joka ylläpitää luetteloa (SAML 2.0 metadata) un rekisteröidyistä Providereista. Tilannetta selkeyttää oheinen kuva. Kotiorganisaatio IdP SP Palveluntarjoaja Kotiorganisaatio IdP SP Palveluntarjoaja Kotiorganisaatio IdP SP Palveluntarjoaja SAML2 metadata -operaattori Tämä dokumentti on yksityiskohtainen käyttöönottosuunnitelma organisaatiolle, joka haluaa rekisteröityä -käyttäjätunnistusjärjestelmään kotiorganisaationa (Identity Provider). Käyttöönotto koostuu seuraavista askeleista: 1. Voiko organisaatiosi n vallitsevan linjauksen puitteissa ylipäätään liittyä kotiorganisaationa un? Tämän hetkinen linjaus on, että un voivat liittyä valtion budjettitalouden piirissä olevat virastot. 2. Mihin ssa mukana oleviin palveluihin (Service Provider) organisaatiostasi todennäköisesti halutaan kirjautua? Luettelo un rekisteröidyistä palveluista löytyy -operaattorin WWW-sivuilta https://confluence.csc.fi/x/9iouag. Kiinnostavien palveluiden tunnistaminen antaa vastauksia mm. seuraaviin kysymyksiin: - kuinka korkeaa auditointitasoa kotiorganisaatiosi tietoturvallisuudelta edellytetään? - mikä joukko organisaatiosi loppukäyttäjistä tulee olla kirjautumisen piirissä? - mitä henkilötietoja eli attribuutteja palvelu odottaa saavansa kirjautuvasta käyttäjästä? - kuinka tukevaa autentikointia (salasana vai vahva tunnistus) loppukäyttäjältä edellytetään?

Ohje 4 (6) Samalla kannattaa myös kartoittaa, kuinka suuria järjestelyjä palvelupäässä tullaan tarvitsemaan. Tarpeen saattaa esimerkiksi olla kuvata ("mäpätä") olemassaolevat käyttäjätunnukset -käyttäjätunnisteiksi. 3. Täyttääko organisaatiosi -kotiorganisaatiolta vaadittavat auditointitasot? Auditointi suoritetaan ennen kuin Identity Provider palvelin rekisteröidään un (kohta 6). On tarkoituksenmukaista, että organisaatiosi arvioi auditointitason toteutumista (gap analysis) ja suorittaa tarpeen mukaan kohentavia toimenpiteitä jo etukäteen. Näin säästät auditointeihin ja uusinta-auditointeihin menevää aikaa ja rahaa. Auditointitason täyttäminen saattaa olla suurempi ponnistus kuin n edellyttämän teknisen ympäristön rakentaminen. Palvelun käyttöönotto edellyttää, että Asiakas on auditoitu VAHTI 2/2010 Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta ohjeen mukaista korotettua tasoa vastaan ja auditoinnissa havaitut vakavat (kriittiset) poikkeamat on hyväksytysti korjattu. Asiakkaan on laadittava toimenpidesuunnitelma muiden kuin vakavien (kriittisten) poikkeamien korjaamiseksi. Lisäksi viraston tulee esittää suunnitelma korotetun tason saavuttamisesta. Vaatimusta tullaan nostamaan perustasolta korotetulle tasolle myöhemmin aikaisintaan lokakuussa 2013, kun perusturvataso asetetaan valtionhallinnolle velvoittavaksi. Joillain ssa mukana olevilla palveluilla (Service Provider) voi olla kuitenkin tätä korkeammat vaatimukset kotiorganisaatioille. 4. Tunnista kotiorganisaatiostasi se käyttäjätietokanta, jota vasten kirjautuminen organisaatiosta un tapahtuisi Käyttäjätietokannassa tulisi olla käyttäjätunnus kaikille loppukäyttäjille, joilla on tarve kirjautua un rekisteröityihin palveluihin (Service Provider). Edelleen käyttäjätietokannassa tulisi olla tarpeelliset attribuutit käyttäjistä. Jotkut Identity Provider -tuotteet tukevat myös attribuuttien keräilyä useastakin eri tietokannasta, mikä toki sekin edellyttää suunnitelmallisuutta. -määrityksiin kuuluva -skeema määrittelee pakolliset attribuutit sekä muita attribuutteja. Pakollinen attribuutti tarkoittaa, että se tulee olla populoituna (so. sillä tulee olla annettuna arvo) jokaiselle loppukäyttäjälle ssa. Lisäksi yksittäisten palveluiden (Service Provider) käyttäminen saattaa edellyttää myös muiden attribuuttien populoimista. Lisätietoa eri palveluiden tarvitsemista attribuuteista on -operaattorin www-sivuilla (https://confluence.csc.fi/x/9iouag). Vahva autentikointi tulisi olla saatavilla, jos ssa mukana olevat palvelut (Service Provider) sitä edellyttävät. 5. Hanki ja ota käyttöön SAML 2.0 Identity Provider -palvelin, ja yhdistä se organisaatiosi käyttäjätietokantaan lta on saatavana IdP kokonaispalveluna. Mikäli sitä ei haluta ottaa on alla muita vaihtoehtoja.

Ohje 5 (6) Vaihtoehtona on ainakin oman SAML 2.0 -tuotteen lisenssin hankkiminen tai Identity Providerin hankkiminen palveluna (IdP SaaS). Markkinoilla on erilaisia IdP SaaS palvelukonsepteja, esim. - palveluntarjoajan IdP-palvelin kytketään kotiorganisaation LDAP-hakemistossaan ylläpitämiin käyttäjätietoihin - palveluntarjoajan IdP-palvelimella on oma käyttäjähakemisto, jota replikoidaan kotiorganisaation LDAP-hakemistosta - palveluntarjoajan IdP-palvelimella on oma käyttäjähakemisto, jossa käyttäjien tilejä ja attribuutteja ylläpitää kotiorganisaation nimeämä pääkäyttäjä. Identity Provider -palvelimen tulee tukea n SAML 2.0 profiilia. Markkinoilla on runsaasti soveltuvia kaupallisia ja open source.-toteutuksia. ei erityisesti anna tuotteille "yhteensopiva" -leimoja. -operaattorille kertyy kuitenkin kokemusta erilaisten tuotteiden yhteensopivuudesta ssa, joita kotiorganisaatiosi voi tiedustella. Identity Provider -palvelimen teknistä ympärstöä suunnitellessa kannattaa huomioida mm. seuraavaa - Voit halutessasi kytkeä Identity Provider palvelimen organisaation kertakirjautumisjärjestelmään, kuten työasemakirjautumiseen. Tällöin esimerkiksi riittäisi, että työntekijä kirjautuu aamulla työasemalleen, ja -palveluihin (Service Provider) mentäessä ei normaalisti enää kysyttäisi salasanaa. Jotkut palvelut saattavat kuitenkin eksplisiittisesti pyytää käyttäjän uudelleenautentikointia (SAML 2.0 Force Authentication). - Sisäänkirjautumiseen nähden käänteinen toimenpide on uloskirjautuminen (SAML 2.0 Single Logout): käyttäjä painaa logout -nappia palvelussa (Service Provider), mikä liipaisee uloskirjautumisen myös Identity Provider ympäristöstä ja edelleen mahdollisesti muista palveluista, joissa käyttäjällä on istunto. Halutaanko Identity Provider ympäristön tukevan uloskirjautumista, ja onko se teknisesti mahdollista? Uloskirjautumisen toteuttaminen voi olla haastavaa esimerkiksi tilanteessa, jossa sisäänkirjautuminen on kytketty työasemakirjautumiseen. -luottamusverkostossa tuki uloskirjautumiselle on vapaaehtoista sekä Identity että Service Providereille. - Voit harkintasi mukaan sijoittaa Identity Provider -palvelimen kokonaan organisaatiosi palomuurin sisäpuolelle, jolloin se on paremmin suojassa ulkoverkosta tulevilta palvelunesto- ja muilta hyökkäyksiltä. Tällöin palomuurin ulkopuolelta kirjautuvan loppukäyttäjän tulee ensin ottaa VPN-yhteys organisaatiosi sisäverkkoon. -operaattori tarjoaa organisaatiosi käyttöön testipalvelimen (Service Provider), jota vasten voit testata Identity Provider -installaatiosi toimintaa (https://confluence.csc.fi/x/eosuag). Virheilmoitusten ja lokien avulla -operaattori voi olla avuksi virheen selvittämisessä, mutta ensisijaisesti organisaatiosi tulisi kuitenkin tukeutua Identity Provider tuotteen toimittajan tarjoamaan tukeen. 6. Ota yhteyttä n -palveluun Identity Provider -ympäristön auditoinnin sopimista varten Lisätietoa auditoinnista on kohdassa 3. 7. Allekirjoita -palvelusopimus -palvelusopimus on liite organisaatiosi ja n väliseen puitesopimukseen n palveluista. Sopimuksen allekirjoittamista varten ota yhteyttä n -palveluun.

Ohje 6 (6) 8. Rekisteröi Identity Provider -palvelimesi un Identity Provider rekisteröidään -luottamusverkostoon -operaattorin WWW-sivuilta (Lisätietoa: http://www.csc.fi/sivut/virtu/tekniikka/ohjeet_ja_suositukset). Rekisteröimisen yhteydessä Identity Provider -palvelimen tekninen toimivuus varmistetaan vielä -operaattorin testipalvelimia vasten. Rekisteröitävältä Identity Provider -palvel imelta edellytetään Väestörekisterikeskuksen palvelinvarmennetta (lisätiedot Väestörekisterikeskuksesta: www.fineid.fi > Varmennepalvelut > Yhteisöille). -operaattori lisää Identity Provider -palvelimesi käyttäjätunnistusjärjestelmän IdP Discovery Service -palveluun ja metadataan, joka julkaistaan operaattorin WWW-sivuilla. 9. Kerro tarpeen mukaan -kirjautumiseen siirtymisestä niille ssa mukana oleville palveluille, joissa haluat -kirjautumisen käyttöön. Jos palvelu (Service Provider) noutaa päivitetyn -metatiedon -operaattorilta säännöllisesti, tunnistaa se myös uudet Identity Providerit automaattisesti. Jos käyttöönottoon kuitenkin liittyy vanhan tunnistustavan korvaaminen -kirjautumisella, tarvitaan tyypillisesti muunnosajo, jossa organisaatiosi olemassa olevat käyttäjätunnukset kuvataan ("mäpätään") n käyttäjistä käyttämiin tunnisteisiin (Lisätietoa -skeemassa). Edelleen kirjautumissivua tarvitsee usein muuttaa niin, että käyttäjätunnuksen kysymisen sijaan käyttäjä ohjataan -kirjautumiseen. On hyvä huomata, että palvelusta ja työn laajuudesta riippuen tästä saattaa syntyä palveluntarjoajalle kustannuksia, jotka se haluaa periä kotiorganisaatiolta. Yksinkertaisimmissa palveluissa muutoksia ei tarvita. 10. Järjestä tuki ja koulutus loppukäyttäjille -käyttäjätunnistusjärjestelmässä tukea loppukäyttäjille antaa aina hänen kotiorganisaationsa IT-tuki.

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute