Virkamiehen tunnistamisen luottamusverkosto Virtu vapauttaa salasanaviidakosta Kotiviraston näkökulma Jyri Sillanpää Tekes tietotekniikkapalvelut
Mitä Tekes tekee? Tekes on innovaatiopolitiikan suunnittelun ja toteutuksen asiantuntija. Kannustaa yrityksiä haasteelliseen tutkimus- ja kehitystoimintaan Tekes hyväksyy korkeampia riskejä kuin yksityiset rahoittajat Rahoittaa tutkimus- ja kehitystyötä ja innovaatiotoimintaa vuosittainen rahoitus noin 600 miljoonaa euroa Luo verkostoja pienet yritykset suuret yritykset teollisuus tutkimus julkinen yksityinen alueellinen kansallinen globaali
Tekes tietotekniikkapalvelut 12 henkilön sisäinen palveluyksikkö 400 sisäistä käyttäjää, joista 90 eri puolilla Suomea ja muutama ulkomailla Suurin osa toiminnoista on ulkoistettu Esim. työasema- ja palvelintuki sekä valvonta, sovellusten kehitys ja ylläpito Monitoimittajaympäristö IT-kustannukset yhteensä vuonna 2009 n. 5 milj. euroa Kehittämiskustannukset n. 2 milj. euroa Vuosina 2004-2009 kustannukset kaksinkertaistuneet vuositasolla voimakas kehittäminen sähköisen asioinnin mahdollistamiseen paineita myös järjestelmien käytön hallinnan laatuun ja sen kehittämiseen
Tekes IAM kehityksen painopisteet 2005-2011 1. Keskeisten, omassa käytössä olevien sovellusten single sign-on 2. Sisäisten käyttäjien hallinta 3. Ulkoisten käyttäjien hallinnointi ja valtuutus 4. Federoitu tunnistautuminen ulkoisiin palveluihin Tässä esityksessä keskitytään kohtaan 4.
Mitä hyötyä federoinnista? 1. Tietoturvallisuus Tunnusten keskitetty sulkeminen, kun henkilö lähtee Yksi salasana, parempi salasana? Salasanan korvaaminen vahvalla tunnistuksella keskitetysti (VRK:n toimikortti) Jäljitettävyys ja raportointi helpottuu 2. Tuottavuus Sähläys tunnus/salasana-parien kanssa vähenee (käyttäjä) Salasanojen resetointi vähenee (IT-helpdesk) Päällekkäinen tietojen ylläpito vähenee ja tiedon laatu paranee Palvelunomistaja voi keskittyä palveluunsa, tietohallinto hoitaa tunnukset 3. Uudet toimintatavat Tukee esim. SaaS-palveluiden käyttöä Lähde: Mikael Hilden, CSC, http://www.csc.fi/csc/kurssit/arkisto/aineisto/haka-virtu-20110209/periaate
Single Sign On (SSO) 2006 SSO = Kertakirjautuminen
SSO + IdM + eidm 2008 Identity Provider (IdP) = Tunnistus, IdM = Pääsynhallinta, eidm = Extranet pääsynhallinta
SSO + eidm + Virtu + SaaS 2011 Virtu = Virtu-käyttäjätunnistusjärjestelmä
Roadmap (draft) 2011-2014 HAKA = Yliopistojen ja tutkimuslaitosten käyttäjätunnistusjärjestelmä
Tekes kehityspolku Virtu-kotivirastoksi 2006 IdP / kertakirjautumisen sisäiseen käyttöön 2008 Sisäisen käyttäjähallinnan (MS AD) prosessit ja hallintajärjestelmän (IdM) käyttöönotto Ulkoinen käyttäjähallinta (eidm), valtuutus ja verkkoasiointi käyttöönotto 2009 Hallinnonalan puitesopimus VIP:n kanssa 2010 Tietoturvatasojen nykytilakartoitus (KPMG), VIP tietoturvallisuustodistus IdP päivitys Virtu yhteensopivaksi, virtualisointi 2011 Vip sopimukset M2 Virtu kirjautuminen käytössä 28.1.2011 alkaen Federoitu tunnistaminen SaaS-palveluun 01.03. 2011 alkaen
Kirjautumiskustannus (säästö) vuositasolla EUR 120000 100000 450 K x login 20 K x error 80000 60000 Säästö 40000 20000 0 1 2 3 5 8 10 15 30 45 60 Sekuntia Työpäivä 7,25 h, päivähinta 420 eur
Omat kokemukset / huomiot Virtu IdP:n pystyttämisessä IT-osasto taloushallinto palvelukeskus VIP toimittaja ratkaisukonsultti IdP toimittaja CSC infran ulkoistuskumppani Toimitusketju on pitkä, monimutkainen, varaa aikaa projektiin Käyttöönoton tekninen osuus (asennus ja konfigurointi) hoituivat lyhyessä ajassa Kotipesän kuntoon laittaminen, sopimukset, tietoturvallisuustodistus, palveluiden tilaaminen vei eniten aikaa Asiat toimivat vasta kun ne testattu (koskee myös tuotantoympäristöjä)
Demo!
Kiitos! Kysymyksiä? jyri.sillanpaa@tekes.fi
Virtu askelmerkit kotivirastolle Käyttökohteet: tunnistaminen / business case Käyttäjänhallinta: prosessit ja järjestelmä(idm) kuntoon IdP: palveluna / omaan infraan Sopimukset: VIP Auditointi: tietoturvataso (+ tarvittavat toimenpiteet) Käyttöönotto: tilaus, asennus ja konfigurointi Lisätietoja www.valtiokonttori.fi/virtu Virtu-tiedotus-postilista, postit.csc.fi