Ajankohtaista identiteetinhallinnassa IT-päivät 23.10.2008 Mikael Linden CSC Tieteen tietotekniikan keskus Oy
Läpileikkauksen läpileikkaus Identiteetin ja pääsyn hallinta Korkeakoulujen sisäinen identiteetinhallinta Kohti vahvaa autentikointia korkeakouluissa Haka tilanne ja kehityssuuntia Virtu: julkishallinnon luottamusverkosto Kansalaisen tunnistaminen STORK: eurooppalainen tunnistusjärjestelmä
Identiteetin ja pääsyn hallinta (IdM/IAM) 1. 2. Henkilötietojen ylläpito (identity) Käyttövaltuudet (authorisation) Palvelun omistaja esim. taloushallinto 3. 4. Henkilöllisyyden todentaminen (authentication) Jäljitettävyys/raportointi (audit) 4. Kenellä on oikeus? Esko Esimerkki 3. Käyttäjätunnus Salasana 1. Eskon henkilötiedot viedään järjestelmään Palvelu (esim. matkanhallinta) Nimi: Esko Esimerkki Käyttäjätunnus: eesimerk Rooli: laitosjohtaja Auditoija
Korkeakoulujen sisäisen identiteetinhallinnan muutoksia Yliopistot rakensivat kotikutoisia IdM-järjestelmiä 90-luvulla 2000-luvulla tuli kaupallinen IdM-tarjonta metahakemisto synkronoi käyttäjätiedot opiskelija/hlökuntarekisteristä käyttövaltuudet perustuvat rooleihin, joita metahakemisto ylläpitää lisävaltuuksia voidaan hakea sähköisillä lomakkeilla (työvuo/workflow) raportointi- ja jäljitettävyysvälineet tukevat auditoitavuutta voi sisältää myös kertakirjautumis- ja federointituen (SAML2) Yliopistoilla valinta: vaihtaako kotikutoinen kaupalliseen? esim. TY:llä menossa laaja IdM-kilpailutus Osaamista syntynyt myös yksityissektorille IdM-konsultointia saatavana tuotesidonnaisesti tai riippumattomasti Uusin käänne: osta identiteetinhallinta palveluna tarjoajina ainakin: Fujitsu, Insta, Logica, TeliaSonera, TietoEnator
Kohti vahvaa autentikointia korkeakouluissa Opetusministeriön Varmennekorttien käyttö ja ylläpito yliopistoissa työryhmä 8-12/2007 Henkilökunnan vahva PKI-pohjainen tunnistus kortit ulkoisiin palveluihin (Valtiokonttori), luottamuksellisten asiakirjojen ja sähköpostin salaukseen/allekirjoitukseen, valmius- ja viranomaistoimintaan ehdottaa 3-vuotista kehitys- ja pilotointiprojektia loppuraportti menossa painoon OPM:ssä Valtiontalouden tarkastusvirasto kyseenalaistanut ministeriöiden ja VRK:n puitesopimuksen VRK:n varmennekorteista hankinta kilpailutettava uudestaan Mobiilivarmenne: vaihtoehto virkakortille? HY:n hankkeen esitys pe klo 9.30 (Funetin palvelinvarmennekilpailutus vireillä)
Haka: korkeakoulujen yhteinen käyttäjätunnistusjärjestelmä Kotikorkeakoulut (ATK-keskus) Palveluntarjoajat YO1 YO2 YOn AMK1 AMK2 AMKn SP SP SP SP SP Luottamusverkosto eli federaatio (CSC operoi) Kirjastojen Nellitiedonhakuportaali Kirjastojen Voyagerkirjastojärjestelmä Yksittäisen korkeakoulun oppimisympäristö Yliopistojen sähköinen JOO-hakujärjestelmä CSC:n Funet-extranet (info.funet.fi) Kotikorkeakoulu ylläpitää käyttäjän perustietoja (nimi, yhteystiedot, rooli, opintosuunta ym) Kotikorkeakoulu autentikoi käyttäjän (esim. salasanalla) Kotikorkeakoulu luovuttaa (käyttäjän suostumuksella) henkilötietoja palveluntarjoajalle Palveluntarjoaja päättää henkilötietojen perusteella, millainen näkymä käyttäjälle avautuu palvelussa www.csc.fi/haka
Haka - tilanne Käyttöönotto 3.8.2005 Mukana 17/20 yliopistoa ja 16/27 amkia Kattaa 272 000 (83%) tutkinto-opiskelijaa ja työntekijää 27 -palvelinta ja 52 SP-palvelinta Kirjautumismäärät kaksinkertaistuneet vuodessa 434 000 kirjautumista 9/2008 2007: 2,0 miljoonaa kirjautumista 1-9/2008: 2,2 miljoonaa kirjautumista Keskeisimmät palvelut: kirjastot ja oppimisalustat myös: opintoasiainhallinto, henkilöstöhallinto ym
Haka-kirjautumiset syyskuussa 114 393 FinELib/Nelli-tiedonhakuportaali 93 308 TTY/Moodle-oppimisalusta 52 147 TY/Moodle-oppimisalusta 41 651 KY/Moodle-oppimisalusta 23 928 OY/Optima-oppimisalusta 23 767 JyU/Optima-oppimisalusta 17 540 Savonia-amk/Moodle 14 823 JAMK/Optima-oppimisalusta 9 824 HY/Moodle-oppimisalusta 8 710 TTY/A&O-oppimisalusta 5 512 TKK/MatTaFi-matematiikan verkkomateriaalit 4 302 SVYPA/JOOPAS-sähköinen JOO-haku 3 696 Tamk/Tarkka-kirjastotietokanta 3 558 LTY/Wilma-kirjastotietokanta 2 474 Savonia-amk/Asio resurssienhallintaohjelmisto 2 376 Virtuaaliamk-portaali 2 355 TKK/Teemu-kirjastotietokanta 2 340 Piramk/Pirkka-kirjastotietokanta 1 381 TaY/Moodle-oppimisalusta 1 328 JoY/Moodle-oppimisalusta 1 155 TTY/Tutcat-kirjastotietokanta 1 011 Psykonet/Psykoppi-oppimisalusta 561 HY/Hupnet-vierailijaverkko 508 JoY/Joecat-kirjastotietokanta 227 Jamk/WLAN-vierailijaverkko 221 TY/Asio-tilavaraus 171 CSC/Prosessipankki 133 CSC/Tutkijan käyttöliittymä 98 TaY/TYT/Moodle-oppimisalusta 85 HY/Universityadmissions 65 CSC/AAIeye kirjautumistilastot 58 CSC/Attribuuttiluovutuksen testauspalvelu 46 CSC/Funet-extranet 30 OPM/Kota-tulosohjausjärjestelmä MAMK/Mikkelin amkn arkistopalvelut TKK/Wiki TKK/Trakla2-oppimisympäristö ÅA/Moodle KuY/Työterveyslaitos/Moodle ----------------------------------- 433 782 Yhteensä
Haka - kehityssuuntia SAML 2.0 tekniikan käyttöönotto asteittain Tasoittaa tietä yhteentoimivuudelle kaupallisten IAM-tuotteiden kanssa 12/2009: kaikki Hakan SP:t tukevat SAML2.0:aa 12/2010: kaikki Hakan :t tukevat SAML2.0:aa Kaupallisen tarjonnan syntyminen, jotta korkeakoulu voi ostaa markkinoilta as a service ym ostaa markkinoilta ASP-palvelun, jossa SAML2- kirjautuminen Yhteentoimivuus muiden federaatioiden kanssa Kalmarin unioni: Hakan sisarluottamusverkostot pohjoismaissa Euroopan korkeakoulut: edugain-tekniikka ja komission rahoittama GN3/SA3-hanke Virtu-luottamusverkosto: julkishallinnon federaatio virkamiehen tunnistukseen Suomessa
Federations operational in higher education Federation since # of users # of s # of SPs SWITCHaai (ch) 8/2005 260 000 (95%) 35 s 265 SPs DFN (de) 11/2007 26 s 17 SPs CBIC (es) 7/2002 4469 120 s 145 SPs SIR (es) 4/2008 130 000 (20%) 13 s 4 SPs Haka (fi) 8/2005 270 000 (80%) 27 s 52 SPs CRU (fr) 10/2006 640 000 (45%) 42 s 41 SPs GRNET (gr) 1/2007 30 000 (30%) 19 s 4 SPs AAI@edu.hr (hr) 530 000 220 s 70 SPs SurfFederatie (nl) 11/2007 110 000 13 s Feide (no) 5/2003 205 000 (80%) 17 s 50 SPs UK fed (uk) 11/2006 7 000 000 182 s 160 SPs InCommon (us) 1 700 000 53 s 112 SPs IGTF (int) 10/2005 thousands 57 s dozen http://www.rediris.es/wiki/tf-emc2/index.php/federations
Virtu: julkishallinnon luottamusverkosto ValtIT:n Virkamiehen tunnistamisen kärkihanke Julkishallinnon Virtu-luottamusverkoston käyttöönotto 2009 virastot, kunnat, välillinen valtionhallinto Virtun organisointi Valtion IT-palvelukeskuksen palveluksi Virkamiehen kirjautuminen viranomaisten järjestelmiin Väestötietojärjestelmä, kiinteistötietojärjestelmä, ulosottojärjestelmä Valtiokonttorin Rondo, Travel ja Kieku-järjestelmähankinta Virtun ja Hakan yhteentoimivuus? Haka-toimintasuunnitelma 2009 sisältää Virtu-gatewayn rakentamisen www.vm.fi/virtu
Kansalaisen tunnistaminen VETUMA: Verkkotunnistaminen ja -maksaminen Julkishallinnon yhteinen tunnistusjärjestelmä 2005 alkaen Autentikointi 7 pankin tunnuksilla ja HST-kortilla Mm. HY käyttää unohtuneen salasanan vaihtamisessa VETUMA-kehityssuuntia Fujitsu rakentamassa SAML2-tukea VETUMA:an Siirtyy valtion IT-palvelukeskuksen palveluksi Palvelun uusi kilpailutus 2009 Arjen tietoyhteiskuntaohjelman sähköisen tunnistamisen kehittämisryhmä Hakee yhteistä säveltä julkis- ja yksityissektorin tunnistustavoille www.suomi.fi/vetuma
STORK: eurooppalainen tunnistusjärjestelmä Komission rahoittama pilotti ylikansalliseen autentikointiin HR Kansalaiset, organisaatiot, viranomaiset Jatkaa komission IDABC eid Interoperability asiaa Rakentaa yhteentoimivuutta kansallisten tunnistusvälineiden välille Suomi ei ole mukana STORK-pilotissa Seurantaryhmään ollaan liittymässä FR FI VETUMA SP SP STORK SE SP UK www.eid-stork.eu