Federoidun identiteetinhallinnan

Samankaltaiset tiedostot
Federoidun identiteetinhallinnan periaatteet

CSC - Tieteen tietotekniikan keskus

Tunnistus ja roolipohjainen käyttöoikeuksien hallinta. Inspire-verkoston Yhteistyö-ryhmä

Luottamusverkosto. Shibboleth-asennuskoulutus CSC Tieteen tietotekniikan keskus Oy CSC IT Center for Science Ltd.

Virkamiehen tunnistamisen luottamusverkosto Virtu vapauttaa salasanaviidakosta Kotiviraston näkökulma

Käyttäjähallintokoulu Mikael Linden tieteen tietotekniikan keskus CSC

Sähköinen tunnistus korkeakouluissa. TieVie-lähiseminaari Mikael Linden Tieteen tietotekniikan keskus CSC

Ajankohtaista identiteetinhallinnassa. IT-päivät Mikael Linden CSC Tieteen tietotekniikan keskus Oy

Käyttäjän tunnistus yli korkeakoulurajojen

Keskitetty käyttäjähallinto

Tietoturvan haasteet grideille

Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

Keskitetty käyttäjähallinto. VirtAMK-yhteyshenkilöpäivät Turku Jarmo Sorvari TAMK

Ohje: Identiteetin hallinnan tietoturvatasot (LUONNOS)

Verkostojen identiteetinhallinta. Haka-seminaari Kehityspäällikkö Sami Saarikoski Opetus- ja kulttuuriministeriö.

Potilastiedot ja tietoturvallisuus Käyttäjähallinta ja tietoturva kertakirjautumisella

Valtiokonttori Käyttöönotto 1 (6) suunnitelma Virtu Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

TeliaSonera. Marko Koukka. IT viikon seminaari Identiteetin hallinta palveluna, Sonera Secure IDM

HY:n alustava ehdotus käyttäjähallintotuotteesta

Potilastiedot ja tietoturvallisuus Tietoturvaselvitykset ja asiantuntijakonsultointi roolipohjaisen käyttäjähallinnan osalta

HY:n alustava ehdotus käyttäjähallintotuotteesta

Pekka Hagström, Panorama Partners Oy

- ADFS 2.0 ja SharePoint 2010

GEANT-tietosuojakäytäntö Data Protection Code of Conduct

Novell Access Manager ja Novell Cloud Security Service Pekka Lindqvist Markku Wallgren

Federoitu keskitetty sovellus

Käyttöönottosuunnitelma Virtu-palveluntarjoajalle

Oskarin avulla kaupungin karttapalvelut kuntoon

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

Haka mobiilitunnistuspilotti

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

Kertakirjautumisella irti salasanojen ryteiköstä

Haka-käyttäjien kokoontuminen Arto Tuomi CSC Tieteen tietotekniikan keskus

Käyttäjien ja käyttövaltuuksien hallinta terveydenhuollon alueella

Federointi-investoinnin tehokas hyödyntäminen Haka- ja Virtu-seminaarissa

HY:n alustava ehdotus käyttäjähallintotuotteesta

Kokemuksia XDW-piloteista

HY:n ehdotus käyttäjähallintotuotteesta

Avoinyliopisto.fi -verkkopalvelu CSC:n palvelut

Puhuja? Avoinyliopisto.fi -verkkopalvelu CSC:n palvelut CSC JA PALVELUT. Avointen yliopistojen neuvottelupäivät Soile Pylsy, CSC

Identiteettipohjaiset verkkoja tietoturvapalvelut

Virkamiehen tunnistaminen ja käyttöoikeuksien hallinta hankkeen esitutkimusraportti. Luonnos

Pääsyn- ja käyttövaltuushallinnan kehittäminen. Kari Peiponen

Suorin reitti Virtu-palveluihin

Lähtöoletuksena on, että opiskelijarekisterin henkilötiedot ovat ajantasalla. Opiskelijoille myönnettyjä tunnuksia ei käytetä Haka-palveluissa.

Terveydenhuollon ATK päivät TURKU

Moderni käyttäjähallinta oppilaitosympäristössä. Korkeakoulujen IT-päivät Petri Karppinen

Mikä on Discovery Service?

Helsingi yliopiston kevytkäyttäjähallintosovelluksen rajapintakuvaus

KVH YLEISTILANNE VJ hankkeen- Kick Off Teemu Pukarinen, projektipäällikkö, Vimana. Julkinen

Kotiorganisaation käyttäjähallinnon kuvaus. 1. Käyttäjätietokannan ja perusrekistereiden kytkentä

XDW-projektissa rakennetut palvelut

Antti Alila Teknologia-asiantuntija

Jatkuvan oppimisen tunnistuspalvelu pähkinänkuoressa. Opetus- ja kulttuuriministeriö

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

IDA-tallennuspalvelun käyttölupahakemus

Palvelun Asettaminen Virtuun

Federoinnin vaikeat käyttötapaukset palveluntarjoajille (SP)

Federointi kertakirjautumisen mahdollistajana Mika Seitsonen ja Ahti Haukilehto, senior-konsultit Soveltosta

Ajankohtaista Hakassa

Grid-hankkeita ja tulevaisuuden näkymiä

Active Directory Federation Services 2.0. Panorama Partners Oy Lari Savolainen, vanhempi konsultti Haka- ja Virtu-käyttäjien kokoontuminen, 3.2.

Uloskirjautuminen Shibbolethissa

Valtion IT-palvelukeskuksen (VIP) hyödyt valtiokonsernille. Valtio Expo Anna-Maija Karjalainen

Julkishallinnon tunnistuksen ohjauspalvelun kehityshanke mitä PoC-vaihe on opettanut? Manne Miettinen, Henri Mikkonen ja Arto Tuomi

TKK: Shibboleth toteutuksia ja projekteja. Markus Melin

1 Virtu IdP- palvelimen testiohjeet

Virtu-luottamusverkostohanke Määrityksistä mennessä saadut kommentit Virtu-hankkeen huomio kommenteista

TeliaSonera Identity and Access Management

Virtu tietoturvallisuus. Virtu seminaari

Valtion yhteinen identiteetinhallinta

HY:n ehdotus käyttäjähallintotuotteesta

Maestro Lappeenranta Mannerheiminkatu Lappeenranta. Maestro Helsinki Huopalahdentie Helsinki

Potilastiedon turvaaminen ja hoitohenkilöstön työajan säästö Keskiviikkona klo 10:00

IT Service Desk palvelun käyttöönotto palvelukeskuksissa

Valtion IT-palvelukeskuksen (VIP) palvelut. JulkIT Anna-Maija Karjalainen

Valtiokonttorin palvelut ja Virtu. Jouko Junttila projektipäällikkö Hallinnon ohjaus Valtiokonttori

Palveluiden, prosessien ja tietoturvan hallinnointi monitoimittajaympäristössä

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

Identify and Authorize. Enable secure business.

Kommenttipuheenvuoro: AMK-sektorin näkökulma

HY:n ehdotus käyttäjähallintotuotteesta

Kansallinen ORCiD yhdistämispalvelu

Kansallisen audiovisuaalisen instituutin käyttäjähallinnon kuvaus

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

Haka MFA-työpaja

Rondo käyttövaltuudet

Helsingi yliopiston kevytkäyttäjähallintosovellus ATIK projektille

Älykäs verkottuminen ja käyttäjänhallinta. Pekka Töytäri TeliaSonera Finland

Käyttäjähallinnan esittely

IdP SaaS Palveluna Miksi sitä tarvitaan? Mikä se on? Kenelle se on tarkoitettu? 2009 Tieto Corporation 2/5/2010

SOA ja/tai tietoturva?

SSH Secure Shell & SSH File Transfer

Teemu Heikkinen. Identiteetinhallinan käyttöönotto Kainuun ammattiopistossa

Kuntasektorin yhteinen KA Käyttövaltuushallinnan (KVH)- viitearkkitehtuuri. Kurttu seminaari Heini Holopainen, Janne Ollenberg

Kansalliskirjaston digitaaliset lehtiaineistot vuoteen 2010 asti tutkimus-ja opetuskäyttöön yliopistoille ja korkeakouluille.

Salcom Group Oy - osaavimmat ratkaisut IT-infran hallintaan

Kotiorganisaation käyttäjähallinnon kuvaus (Karelia)

Ajankohtaista Virtu-palvelussa

OHJE SENAATTILAN KÄYTTÄJÄKSI REKISTERÖITYMISTÄ VARTEN

Transkriptio:

Federoidun identiteetinhallinnan periaatteet Haka/Virtu-käyttäjien kokoontuminen 3.2.2010 Mikael Linden CSC Tieteen tietotekniikan keskus Oy CSC IT Center for Science Ltd.

CSC - Tieteen tietotekniikan keskus Valtion omistama osakeyhtiö Non-profit Tehtävä tuottaa keskitettyjä IT-palveluita korkeakouluille ja tutkimuslaitoksille Suurteholaskenta Funet-verkko CSC ja identiteetinhallinta Korkeakoulujen Haka-luottamusverkoston operointi ja koordinointi Valtionhallinnon Virtu-luottamusverkoston operointi

Identiteetin ja pääsyn hallinta 1. 2. 3. 4. Henkilötietojen ylläpito (identity) Käyttövaltuudet (authorisation) Identiteetin todentaminen (authentication) Jäljitettävyys/raportointi (audit) Palvelun omistaja esim. taloushallinto 4. Kenellä on oikeus? Esko Esimerkki 3. Käyttäjätunnus Salasana 1. Eskon henkilötiedot viedään järjestelmään Palvelu (esim. matkanhallinta) Nimi: Esko Esimerkki Käyttäjätunnus: eesimerk Rooli: Yksikönjohtaja esim. auditoija

Tosielämässä palveluita on useita Hanselin ekstranet Matkanhallinta ASP Wiki Esko Esimerkki Sähköposti Windows AD Intranet

Osan niistä omistaa Eskon työnantaja, osan joku muu Palvelut joita Esko käyttää työtehtävissään Hanselin ekstranet Matkanhallinta ASP Eskon kotiorganisaatio Wiki Esko Esimerkki Sähköposti Windows AD Intranet

Eskon tunnukset jokaisessa palvelussa tuppaa elämään omaa elämäänsä Palvelut joita Esko käyttää työtehtävissään Hanselin ekstranet Matkanhallinta ASP Eskon kotiorganisaatio Wiki Esko Esimerkki Sähköposti Windows AD Intranet Saarekkeinen identiteetinhallinta (isolated IdM)

Metahakemisto rationalisoi identiteetinhallintaa organisaation sisällä Palvelut joita Esko käyttää työtehtävissään Hanselin ekstranet Matkanhallinta ASP Eskon kotiorganisaatio Wiki Sähköposti metahakemisto Esko Esimerkki Windows AD Intranet Keskitetty identiteetinhallinta (centralised IdM)

Federointi tuo myös talon ulkopuoliset järjestelmät saman identiteetin piiriin Palvelut joita Esko käyttää työtehtävissään Hanselin ekstranet Eskon kotiorganisaatio Identity Provider Matkanhallinta ASP Wiki Esko Esimerkki Sähköposti Windows AD metahakemisto Intranet Federoitu identiteetinhallinta (Federated IdM)

Virtun ja Hakan tekniikka: SAML2.0 5. Username: eskoe Password: 95iEfHw Kotiorganisaatio Identity Provider (SAML ) Tunnistuslähde Helsingin Yliopisto 1. HTTP Tahdon sisään Kotaan http://www.kotaplus.fi/ Discovery Service (WAYF) 2. HTTP Mistä olet? 3. HTTP HY:stä 4. HTTP redirect/saml Käyttäjä teidän korkeakoulusta haluaa Kotaan. Tunnistakaa hänet! 6. HTTP POST/SAML Tahdon sisään Kotaan http://www.kotaplus.fi/ HY takaa että olen Esko Esimerkki, Laitoksen X johtaja HY:stä Service Provider (SAML SP) Kota (OPM:n tulosohjausjärjestelmä korkeakouluille) Avataan laitosjohtajan näkymä SAML ja SP toteutuksille on laaja kaupallinen ja OSS-tarjonta

SAML 2.0 on XML-kieli <saml:authnstatement AuthnInstant="2004-12-05T09:22:00Z" SessionIndex="b07b804c- 7c29-ea16-7300-4f3d6f7928ac"> <saml:authncontext> <saml:authncontextclassref> urn:oasis:names:tc:saml:2.0:ac:classes:passwordprotectedtransport </saml:authncontextclassref> </saml:authncontext> </saml:authnstatement> <saml:attributestatement> <saml:attribute xmlns:x500="urn:oasis:names:tc:saml:2.0:profiles:attribute:x500" x500:encoding="ldap" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.1" FriendlyName="eduPersonAffiliation"> <saml:attributevalue xsi:type="xs:string">member</saml:attributevalue> <saml:attributevalue xsi:type="xs:string">staff</saml:attributevalue> </saml:attribute> </saml:attributestatement> OASIS-standardi vuodelta 2005

Mitä hyötyä federoinnista? 1. Tietoturvallisuus Tunnusten keskitetty sulkeminen, kun henkilö lähtee Yksi salasana, parempi salasana? Salasanan korvaaminen vahvalla tunnistuksella keskitetysti Jäljitettävyys ja raportointi helpottuu 2. Tuottavuus Sähläys tunnus/salasana-parien kanssa vähenee (käyttäjä) Salasanojen resetointi vähenee (IT-helpdesk) Päällekkäinen tietojen ylläpito vähenee ja tiedon laatu paranee Palvelunomistaja voi keskittyä palveluunsa, tietohallinto hoitaa tunnukset 3. Uudet toimintatavat Tukee esim. SaaS-palveluiden käyttöä

Käyttötilanteet SaaS-palvelut Ostolaskut, matkalaskut, HR-järjestelmät Keskitetyt järjestelmät Perusrekisterit (VTJ ym) Korkeakoulukirjastojen palvelut ym Kollaborointi Ryhmätyöalustat, wikit ym Oppimisalustat ym

Hyödyntämistavat Auktorisointi Myös käyttövaltuudet palvelussa tuodaan federoidusti. Provisiointi Uusien käyttäjien perustaminen palveluun lennosta. Käyttäjätietojen ylläpito Autentikointi Kirjautuminen kotiorganisaation tunnuksella ja salasanalla. Ei palvelukohtaista käyttäjätunnus/salasana-paria. Kuinka monennelle portaalle haluat palvelusi nostaa?

Valtuuksien federoitu hallinta A. Perinteinen: valtuudet hallitaan SP-päässä Hän on Esko Esimerkki SP Esko Esimerkki voi hyväksyä matkalaskuja. B. Rooliin perustuva pääsynvalvonta Hän on yksikönjohtaja C. Valtuudet hallitaan -päässä SP Yksikönjohtaja voi hyväksyä matkalaskuja. Hän voi hyväksyä matkalaskuja SP

-pään toimintamalleja Organisaatiolla oma -palvelin Kotiorganisaatio SAML SP Organisaatioilla yhteinen Kotiorganisaatio A Kotiorganisaatio B SAML SP Kotiorganisaatio C Esim. hallinnonala SaaS Kotiorganisaatio A Kotiorganisaatio B SAML SP Kotiorganisaatio C Oy Yritys Ab

SP-pään toimintamalleja SAML SP viety suoraan palvelimeen SAML Sovellus Service Provider (SP) SAML SP erillisessä pääsynvalvontapalvelimessa Hän on Esko Esimerkki SP/Pääsyn valvonta LDAP Sovellus 1 Sovellus 2 Esko Esimerkki on hyväksyjäroolissa vastuualueessa x SAML SP proxyssä, joka on protokollamuunnin SAML Proxy Liberty ID-FF WS- Federation Sovellus 1 Sovellus 2

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute