CSC - Tieteen tietotekniikan keskus

Samankaltaiset tiedostot
Federoidun identiteetinhallinnan periaatteet

Federoidun identiteetinhallinnan

Tunnistus ja roolipohjainen käyttöoikeuksien hallinta. Inspire-verkoston Yhteistyö-ryhmä

Luottamusverkosto. Shibboleth-asennuskoulutus CSC Tieteen tietotekniikan keskus Oy CSC IT Center for Science Ltd.

Sähköinen tunnistus korkeakouluissa. TieVie-lähiseminaari Mikael Linden Tieteen tietotekniikan keskus CSC

Käyttäjän tunnistus yli korkeakoulurajojen

Käyttäjähallintokoulu Mikael Linden tieteen tietotekniikan keskus CSC

Ajankohtaista identiteetinhallinnassa. IT-päivät Mikael Linden CSC Tieteen tietotekniikan keskus Oy

Virkamiehen tunnistamisen luottamusverkosto Virtu vapauttaa salasanaviidakosta Kotiviraston näkökulma

Keskitetty käyttäjähallinto

Keskitetty käyttäjähallinto. VirtAMK-yhteyshenkilöpäivät Turku Jarmo Sorvari TAMK

Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

Tietoturvan haasteet grideille

GEANT-tietosuojakäytäntö Data Protection Code of Conduct

Valtiokonttori Käyttöönotto 1 (6) suunnitelma Virtu Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

- ADFS 2.0 ja SharePoint 2010

Verkostojen identiteetinhallinta. Haka-seminaari Kehityspäällikkö Sami Saarikoski Opetus- ja kulttuuriministeriö.

Jatkuvan oppimisen tunnistuspalvelu pähkinänkuoressa. Opetus- ja kulttuuriministeriö

HY:n alustava ehdotus käyttäjähallintotuotteesta

Ohje: Identiteetin hallinnan tietoturvatasot (LUONNOS)

HY:n alustava ehdotus käyttäjähallintotuotteesta

Käyttöönottosuunnitelma Virtu-palveluntarjoajalle

Virkamiehen tunnistaminen ja käyttöoikeuksien hallinta hankkeen esitutkimusraportti. Luonnos

Potilastiedot ja tietoturvallisuus Käyttäjähallinta ja tietoturva kertakirjautumisella

Haka mobiilitunnistuspilotti

Pekka Hagström, Panorama Partners Oy

Novell Access Manager ja Novell Cloud Security Service Pekka Lindqvist Markku Wallgren

TeliaSonera. Marko Koukka. IT viikon seminaari Identiteetin hallinta palveluna, Sonera Secure IDM

HY:n alustava ehdotus käyttäjähallintotuotteesta

Avoinyliopisto.fi -verkkopalvelu CSC:n palvelut

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

Puhuja? Avoinyliopisto.fi -verkkopalvelu CSC:n palvelut CSC JA PALVELUT. Avointen yliopistojen neuvottelupäivät Soile Pylsy, CSC

Federointi-investoinnin tehokas hyödyntäminen Haka- ja Virtu-seminaarissa

Kansallinen ORCiD yhdistämispalvelu

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

PILVIPALVELUT. Käyttäjän- ja pääsynhallinnan näkökantoja itsmf.fi aamiasseminaari

Palvelun rekisteröinti Virtu - luottamusverkostoon / testipalveluun

Haka-käyttäjien kokoontuminen Arto Tuomi CSC Tieteen tietotekniikan keskus

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

TKK: Shibboleth toteutuksia ja projekteja. Markus Melin

Maestro Lappeenranta Mannerheiminkatu Lappeenranta. Maestro Helsinki Huopalahdentie Helsinki

Haka-luottamusverkosto - palvelusopimus Liite 1. Tunnistamispalveluun liittyvät keskeiset käsitteet

HY:n ehdotus käyttäjähallintotuotteesta

Ajankohtaista Hakassa

Lähtöoletuksena on, että opiskelijarekisterin henkilötiedot ovat ajantasalla. Opiskelijoille myönnettyjä tunnuksia ei käytetä Haka-palveluissa.

Moderni käyttäjähallinta oppilaitosympäristössä. Korkeakoulujen IT-päivät Petri Karppinen

Eduuni - Sähköisen työskentelyn ja verkostoitumisen palveluympäristö. Kehityspäällikkö Sami Saarikoski

1 Virtu IdP- palvelimen testiohjeet

Grid-hankkeita ja tulevaisuuden näkymiä

Kertakirjautumisella irti salasanojen ryteiköstä

Pääsyn- ja käyttövaltuushallinnan kehittäminen. Kari Peiponen

Potilastiedot ja tietoturvallisuus Tietoturvaselvitykset ja asiantuntijakonsultointi roolipohjaisen käyttäjähallinnan osalta

Kuuleminen henkilötunnuksen uudistamista koskevan työryhmän johtoryhmän väliraportista

Federoitu keskitetty sovellus

HY:n ehdotus käyttäjähallintotuotteesta

IdP SaaS Palveluna Miksi sitä tarvitaan? Mikä se on? Kenelle se on tarkoitettu? 2009 Tieto Corporation 2/5/2010

SSH Secure Shell & SSH File Transfer

Shibboleth-projekti. Tampereen teknillinen yliopisto / Digitaalisen median instituutti / Hypermedialaboratorio

Federoinnin vaikeat käyttötapaukset palveluntarjoajille (SP)

KVH YLEISTILANNE VJ hankkeen- Kick Off Teemu Pukarinen, projektipäällikkö, Vimana. Julkinen

eduroamin käyttöohje Windows

Terveydenhuollon ATK päivät TURKU

Virtu tietoturvallisuus. Virtu seminaari

Mikä on Discovery Service?

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

VIRKAMIEHEN TUNNISTAMINEN JA KÄYTTÖOIKEUKSIEN HALLINTA HANKE

HY:n ehdotus käyttäjähallintotuotteesta

Helsingi yliopiston kevytkäyttäjähallintosovelluksen rajapintakuvaus

Järjestelmäsalkun hallinta TTY:llä

Virtu-luottamusverkostohanke Määrityksistä mennessä saadut kommentit Virtu-hankkeen huomio kommenteista

NELLI-Tunnis. Käyttäjän tunnistus NELLI-tiedonhakuportaalissa yleisissä kirjastoissa. Versio Ere Maijala Kansalliskirjasto

Suorin reitti Virtu-palveluihin

Ohje Emmi-sovellukseen kirjautumista varten

Tietoturvan haasteet grideille

Fairdata PAS-palvelu

Palvelun Asettaminen Virtuun

Ristiinopiskelun kehittäminen -hanke

Julkishallinnon tunnistuksen ohjauspalvelun kehityshanke mitä PoC-vaihe on opettanut? Manne Miettinen, Henri Mikkonen ja Arto Tuomi

Kansalliskirjaston digitaaliset lehtiaineistot vuoteen 2010 asti tutkimus-ja opetuskäyttöön yliopistoille ja korkeakouluille.

Emmi-sovelluksen kirjautumisohje

Maestro Lappeenranta Mannerheiminkatu Lappeenranta. Maestro Helsinki Huopalahdentie Helsinki

TIETOSUOJAILMOITUS. EU:n yleinen tietosuoja-asetus (2016/679), artiklat 13 ja 14. Laatimispäivämäärä:

TOIMINNOT s.5 Kappaleessa käydään läpi yhteyshenkilön käytössä olevat toiminnot ja ohjeet niihin.

Tampereen teknillinen yliopisto. Tietotekniikan laboratorio. Raportti 7 Tampere University of Technology. Laboratory of Pervasive Computing.

Identiteetin- ja pääsynhallinta

IDA-tallennuspalvelun käyttölupahakemus

KATe-hanke. (KokonaisArkkitehtuurin Teknologiataso) Ammattikorkeakoulujen yhteiset IT-palvelut

Palveluinfo Uusi ote ja uudet eväät asiakaspalveluun Palvelunhallintaportaali Pointin demo

Varda varhaiskasvatuksen tietovaranto

Haka-luottamusverkosto Luottamusverkoston jäsenen liittymissopimus

Sähköpostitilin luonti

HY:n ehdotus käyttäjähallintotuotteesta

Active Directory Federation Services 2.0. Panorama Partners Oy Lari Savolainen, vanhempi konsultti Haka- ja Virtu-käyttäjien kokoontuminen, 3.2.

TAY MOODLEEN KIRJAUTUMINEN

1. Käyttäjätietokannan ja perusrekistereiden kytkentä 1.1. Opiskelijarekisteri

Kandipalaute kick off

HR-tieto identiteetinhallinnan (IDM) avaintekijänä. Juha Kunnas, CISA Jukka-Pekka Iivarinen K2 Data Solutions Oy IT Viikko Seminaari 9.10.

Uloskirjautuminen Shibbolethissa

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

OP Tunnistuksen välityspalvelu

Transkriptio:

Federoidun identiteetinhallinnan periaatteet CSC - Tieteen tietotekniikan keskus Valtion omistama osakeyhtiö Non-profit tuottaa keskitettyjä IT-palveluita korkeakouluille, tutkimuslaitoksille ja muille organisaatioille Suurteholaskenta Funet-verkko CSC ja identiteetinhallinta Korkeakoulujen Haka-luottamusverkoston operointi ja koordinointi Valtionhallinnon Virtu-luottamusverkoston operointi 1

Identiteetin ja pääsyn hallinta 1. Henkilötietojen ylläpito (identity) 2. Käyttövaltuudet (authorisation) Palvelun omistaja esim. taloushallinto 3. Identiteetin todentaminen (authentication) 4. Jäljitettävyys/raportointi (audit) 4. Kenellä on oikeus? 3. Käyttäjätunnus Salasana 1. n henkilötiedot viedään järjestelmään Palvelu (esim. matkanhallinta) Nimi: Käyttäjätunnus: eesimerk Rooli: laitosjohtaja esim. Sisäinen tarkastaja Tosielämässä palveluita on useita Naapuri-yo:n Moodle Matkanhallinta SaaS Wiki Sähköposti Windows AD Intranet 2

Osan niistä omistaa n työnantaja, osan joku muu Palvelut joita käyttää työtehtävissään Naapuri-yo:n Moodle Matkanhallinta SaaS n kotiorganisaatio Wiki Sähköposti Windows AD Intranet n tunnukset joka palvelussa tuppaa elämään omaa elämäänsä Palvelut joita käyttää työtehtävissään Naapuri-yo:n Moodle Matkanhallinta SaaS n kotiorganisaatio Wiki Sähköposti Windows AD Intranet Saarekkeinen identiteetinhallinta (isolated IdM) 3

IdM-järjestelmä rationalisoi identiteetinhallintaa organisaation sisällä Palvelut joita käyttää työtehtävissään Naapuri-yo:n Moodle Matkanhallinta SaaS n kotiorganisaatio Wiki Sähköposti IdM-järjestelmä Windows AD Intranet Keskitetty identiteetinhallinta (centralised IdM) Federointi tuo myös talon ulkopuoliset järjestelmät saman identiteetin piiriin Palvelut joita käyttää työtehtävissään Naapuri-yo:n Moodle Matkanhallinta SaaS n kotiorganisaatio Identity Provider Wiki Sähköposti Windows AD IdM-järjestelmä Intranet Federoitu identiteetinhallinta (Federated IdM) 4

Hakan tekniikka: 2.0 1. HTTP Tahdon sisään oppimisalustaan http://moodle.tut.fi/ Service Provider ( ) 5. Username: eskoe Password: 95iEfHw Discovery Service (WAYF) 2. HTTP Mistä olet? 3. HTTP HY:stä TTY:n Moodle (oppimisalusta) Kotiorganisaatio Identity Provider ( ) Tunnistuslähde Helsingin Yliopisto 4. HTTP redirect/ Käyttäjä teidän korkeakoulusta haluaa meidän Moodleen. Tunnistakaa hänet! 6. HTTP POST/ Tahdon sisään oppimisalustaan http://moodle.tut.fi/ HY takaa että olen, Laitoksen X johtaja HY:stä Avataan laitosjohtajan näkymä ja toteutuksille on laaja kaupallinen ja OSS-tarjonta 2.0 on XML-kieli <saml:authnstatement AuthnInstant="2004-12-05T09:22:00Z" SessionIndex="b07b804c-7c29-ea16-7300-4f3d6f7928ac"> <saml:authncontext> <saml:authncontextclassref> urn:oasis:names:tc::2.0:ac:classes:passwordprotectedtransport </saml:authncontextclassref> </saml:authncontext> </saml:authnstatement> <saml:attributestatement> <saml:attribute xmlns:x500="urn:oasis:names:tc::2.0:profiles:attribute:x500" x500:encoding="ldap" NameFormat="urn:oasis:names:tc::2.0:attrname-format:uri" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.1" FriendlyName="eduPersonAffiliation"> <saml:attributevalue xsi:type="xs:string">member</saml:attributevalue> <saml:attributevalue xsi:type="xs:string">staff</saml:attributevalue> </saml:attribute> </saml:attributestatement> OASIS-standardi vuodelta 2005 5

Mitä hyötyä federoinnista? 1. Tietoturvallisuus Tunnusten keskitetty sulkeminen, kun henkilö lähtee Yksi salasana, parempi salasana? Salasanan korvaaminen vahvalla tunnistuksella keskitetysti Identity Providerille lisäsuojaa sijoittamalla se sisäverkkoon Jäljitettävyys ja raportointi helpottuu 2. Tuottavuus Sähläys tunnus/salasana-parien kanssa vähenee (käyttäjä) Salasanojen resetointi vähenee (IT-helpdesk) Päällekkäinen tietojen ylläpito vähenee ja tiedon laatu paranee Palvelunomistaja voi keskittyä palveluunsa, tietohallinto hoitaa tunnukset 3. Uudet toimintatavat Tukee esim. SaaS-palveluiden käyttöä SaaS-palvelut Käyttötilanteet Ostolaskut, matkalaskut, HR-järjestelmät Keskitetyt järjestelmät Korkeakoulukirjastojen portaalit ja palvelut ym CSC:n palvelut (Tutkijan käyttöliittymä, Funet-extra ) Kollaborointi Oppimisalustat ym Ryhmätyöalustat, wikit ym Adobe connect, Funet filesender Tutkimusresurssit 6

Hyödyntämistavat Auktorisointi Myös käyttövaltuudet palvelussa tuodaan federoidusti. Provisiointi Uusien käyttäjien perustaminen palveluun lennosta. Käyttäjätietojen ylläpito. Autentikointi Kirjautuminen kotiorganisaation tunnuksella ja salasanalla. Ei palvelukohtaista käyttäjätunnus/salasana-paria. Kuinka monennelle portaalle haluat palvelusi nostaa? -pään toimintamalleja Organisaatiolla oma -palvelin Kotiorganisaatio Organisaatioilla yhteinen Kotiorganisaatio A Kotiorganisaatio B Kotiorganisaatio C SaaS Kotiorganisaatio A Kotiorganisaatio B Kotiorganisaatio C Oy Yritys Ab 7

-pään toimintamalleja viety suoraan palvelimeen Sovellus Service Provider () erillisessä pääsynvalvontapalvelimessa Hän on /Pääsyn -valvonta LDAP Sovellus 1 Sovellus 2 on hyväksyjäroolissa vastuualueessa x proxyssä, joka on protokollamuunnin Proxy Liberty ID-FF WS- Federation Sovellus 1 Sovellus 2 Johdatus luottamusverkostoihin 8

Federointi on sopimista Tekniset asiat Protokolla (-profiili) Varmenteet Ym Henkilötiedot eli attribuutit Semantiikka Sanastot Luottamus :n käyttäjätietojen laatu Autentikoinnin tukevuus Vaatimustenmukaisuus Henkilötietolaki Tietoturva-asetus Sopimusasiat Oikeudet ja velvollisuudet Miksi luottamusverkosto Sopimukset voivat tietysti olla kahdenvälisiä Mutta niitä tulee tolkuttomasti, jos organisaatioita on paljon esim. nyt Hakassa 43 :tä ja 136 :tä, 43x136=5848 helpommalla pääsee, kun organisaatiot muodostavat yhteisön joka sopii porukalla pelisäännöistä ( policy ) syntyy luottamusverkosto eli federaatio (engl. federation, Circle of Trust) Suomen korkeakoulujen ja tutkimuslaitosten luottamusverkosto on nimeltään Haka Valtion virastojen luottamusverkosto on nimeltään Virtu 9

Haka-luottamusverkosto Kotikorkeakoulut (IT-keskus) Palveluntarjoajat YO1 YO2 YOn AMK1 AMK2 AMKn Korkeakoulun X Moodle-oppimisalusta Kirjastojen Nellitiedonhakuportaali M2-matkahallintajärjestelmä SaaS Opetus- ja kulttuuriministeriön SharePoint 43 :tä 136 :tä CSC:n Funet-extranet (info.funet.fi) Kotikorkeakoulu ylläpitää käyttäjän perustietoja (nimi, yhteystiedot, rooli, opintosuunta ym) Kotikorkeakoulu autentikoi käyttäjän (esim. salasanalla) Kotikorkeakoulu luovuttaa (käyttäjän suostumuksella) henkilötietoja palveluntarjoajalle Palveluntarjoaja päättää henkilötietojen perusteella, millainen näkymä käyttäjälle avautuu palvelussa Luottamusverkosto eli federaatio (CSC operoi) Haka-luottamusverkosto on CSC:n palvelu korkeakouluille Luottamusverkoston operaattori CSC Tieteen tietotekniikan keskus Oy Hakan keskitetyt palvelimet Ohjausryhmä Tekninen ryhmä Palvelu Palvelu Palvelu Palvelu Luottamusverkoston jäsenet Luottamusverkoston kumppanit Hakaan liitytään allekirjoittamalla palvelusopimus CSC:n kanssa 10

CSC:n tehtäviä Haka-operaattorina Ylläpitää luottamusverkoston 2-metatietoa mitä organisaatioita, :tä ja :tä on mitä attribuutteja kukin tarvitsee tekniset yhteystiedot ja henkilöt luotetut varmentajat ym Ylläpitää Discovery Serviceä Tarjoaa testipalvelimet Tarjoaa tukea /-ylläpitäjille Koordinoi viestintää Organisoi ohjausryhmän ja teknisen ryhmän toiminnan Toiminnan suunnittelu ohjausryhmän kanssa Ylläpitää kansainvälisiä yhteyksiä Järjestää koulutusta www.csc.fi/haka Lisätietoa Haka-tiedotus-postilista, postit.csc.fi 11

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute