Keskitetty käyttäjähallinto VirtAMK Yhteyshenkilöpäivät 22.11.2004 Mikael Linden tieteen tietotekniikan keskus CSC
Tieteen tietotekniikan keskus CSC Tehtävä: tutkimuksen ja opetuksen kansalliset IT-palvelut infrastruktuurin kehittäminen Palvelualueet: tieteellisen laskennan asiantuntijapalvelut suurteholaskentapalvelut Funet-verkkopalvelut tieto- ja opetushallinnon tuki Asiakkaat: korkeakoulut ja tutkimuslaitokset Omistaja: opetusministeriö toimii non-profit-periaatteella
Käyttäjän tunnistus (käyttäjähallinto) 1. Henkilötietojen ylläpito 2. Käyttöoikeudet 3. Henkilöllisyyden todentaminen 2. Kaikilla opiskelijoilla on käyttöoikeus Palvelun omistaja esim. oppimiskeskus Esko Esimerkki 3. Käyttäjätunnus Salasana 1. Eskon henkilötiedot viedään järjestelmään Palvelu esim. oppimisalusta Nimi: Esko Esimerkki Käyttäjätunnus: eesimerk E-mail: esko.esimerkki@kk.fi Rooli: opiskelija
Vallitseva toimintatapa Käyttäjä rekisteröityy/rekisteröidään uuteen palveluun ja hän saa palvelua varten käyttäjätunnus/salasana-parin. Ongelmia käyttäjälle: miten muistan uuden käyttäjätunnus/salasanan? käyttäjälle+ylläpidolle: kuinka tietojen ajantasaisuudesta huolehtidaan? ylläpidolle: missä määrin voi mennä takuuseen käyttäjän antamien tietojen oikeellisuudesta? Mitä enemmän palveluja syntyy, sitä suuremmaksi ongelmat kasvavat
Ongelman ratkaisu käyttäjä pääsee palveluun korkeakoulun ATK-keskuksen (tietokonekeskuksen) käyttäjätunnuksella ja salasanalla tarvitsee muistaa vain yksi Tietokonekeskus huolehtii käyttäjätietojen ajantasaisuudesta opiskelija/henkilökuntarekisterin avulla tiedot pysyvät automaattisesti ajantasalla
Saarekkeinen vs keskitetty käyttäjähallinto Korkeakoulu X Korkeakoulu Y W2k Moodle Opiskelija Unix WWW W2k WebCT W2k WLAN W2k Moodle Opiskelija Unix WWW W2k W2k WebCT WLAN Yhden käyttäjätunnuksen Saarekkeinen käyttäjähallinto: käyttäjällä useita kattavuus omaa elämää eläviä käyttäjätunnus/salasanapareja Keskitetty käyttäjähallinto: yksi käyttäjätunnus ja salasana
Käyttäjätietojen pitäminen ajantasalla Henkilökuntarekisteri Opiskelijarekisteri Perusrekisterit Aina ajantasaiset henkilötiedot Keskitetty käyttäjätietokanta (esim. LDAP, relaatiotietokanta, edirectory) Käyttäjätunnukset Salasanat, roolit, muut tiedot push pull W2k AD Unix WebCT Intra- WWW Yksittäiset järjestelmät Käyttöjärjestelmät, sovellukset
Esimerkkitoteutus: Tampereen amk WebCT news eform Winha password synch Citrix LDAP directory username password intranet mail Windows (AD) Samba UNIX/ Linux Home directories
Esimerkkitoteutus: Savonia-amk Opiskelijarekisteri Henkilökuntarek. Kumppanirek. agent agent agent connector space connector space agent connector space Metaverse connector space agent connector space connector space agent MIIS 2003 Microsoft identity integration server Windows AD Sun LDAP etc
Kuka asian omistaa organisaatiossa? Organisaasioyksikkö, jonka tehtävä on nähdä kokonaisuus (henkilö)tietojen hallinnassa organisaation sisällä Tietohallinto? Tietokonekeskus??? Kysymys on tiedon, ei tietojärjestelmän hallinnasta Liittyy läheisesti organisaation toimintaprosesseihin kokonaisuutena Esim. Mitä kaikkea tapahtuu kun taloon tulee uusi työntekijä? Esim. Mitä kaikkea tapahtuu kun opiskelija valmistuu?
Kuka asiasta hyötyy? Tietojärjestelmien ylläpitäjät Unix/Windows-järjestelmät (tunnusten avaus ja sulku) Oppimisympäristöt ja opetuksen tukityökalut (käyttäjäroolit) Intra-WWW (personointi) Kirjastojärjestelmä (lainaajatiedot) Kulunhallinta, avainhallinta, puhelinvaihde
Yhteenveto Sähköisten palveluiden tarjoaminen lähtee siitä, että organisaation pitää tuntea omat käyttäjänsä Ja tunnistaa ne myös verkkopalveluissa Käyttäjähallinnon näkeminen strategisena asiana organisaatiossa Ei pelkästään tietokonekeskuksen juttuja vaan kaikissa palveluissa tarvittavaa korkeakoulun teknistä infrastruktuuria Kehitystyö 1-2 vuoden (pääosin ei-tekninen) projekti CSC tukee järjestämällä koulutusta korkeakouluille käyttäjähallintokoulu
Käyttäjän tunnistus yli korkeakoulurajojen HAKA-infrastruktuuri VirtAMK Yhteyshenkilöpäivät 22.11.2004 Mikael Linden tieteen tietotekniikan keskus CSC
Sisältö 1. Mistä on kysymys? 2. Miten se toimii? 3. Mihin sitä voi käyttää? 4. Mitä reunaehtoja on? 5. Mitä se vaatii? 6. Kohti tuotantokäyttöä: HAKA-infrastruktuuri
Käyttäjän tunnistus yli korkeakoulurajojen: Ongelmanasettelu Korkeakoulu A Paikalliset käyttäjätunnukset Korkeakoulu B esim. Virtuaalikurssin oppimisalusta Paikalliset käyttäjätunnukset Korkeakoulu C WebCT Paikalliset käyttäjätunnukset WWW esim. Virtuaaliamk:n portaali
Käyttäjähallinnon ideologia: korkeakoulun tasolla keskitetty kansallisella tasolla hajautettu eli tunnistaudu paikallisesti, toimi globaalisti
Sisältö 1. Mistä on kysymys? 2. Miten se toimii? 3. Mihin sitä voi käyttää? 4. Mitä reunaehtoja on? 5. Mitä se vaatii? 6. Kohti tuotantokäyttöä: HAKA-infrastruktuuri
Shibboleth-protokolla Yhdysvaltojen yliopistojen Internet2-hanke määrittely ja sen open source toteutus nojaa SAML:iin, SOAP:iin ja XML:ään v 1.0 6/2003, v 1.1 8/2003, v 1.2 5/2004, v1.3 1Q/2005 WWW-ympäristössä (Apache ja Microsoft IIS) Tuotantokäytössä Yhdysvalloissa ja Sveitsissä Pilotissa Iso-Britanniassa ja Australiassa Suurennuslasin alla korkeakouluissa monessa maassa Suomessa HAKA-pilotti HY, TTY, TAMK, KuY SVY:n portaali, HY:n WLAn-verkkovierailu, TTY:n A&Ooppimisalusta
Shibboleth-yleiskuvaus Esko Esimerkki, HY, opiskelija, lääketiede Esko Esimerkki, lääketiede Autentikointi Autentik. palvelin Shibboleth Apache Shibboleth Portaali näyttää Eskolle lääketieteen opiskelijoille tarkoitetut sivut Virtuaaliyoportaali Shibboleth Apache Esko Esimerkki, lääketiede Käyttäjätietokanta (LDAP) Origin site Origin site Yliopisto Y Helsingin yliopisto Target site www.virtuaaliyliopisto.fi
Mitä henkilötietoja Shibboleth voi esim siirtää? käyttäjän yksilöivää tietoa (nimi), sähköpostiosoite, opiskelijanumero, henkilötunnus roolitietoa opiskelija, sähkötekniikan opiskelija, professori, kurssin TE-128732 osallistuja muuta profilointiin liittyvää tietoa äidinkieli oikeastaan mitä vain tietoja, joiden esitystavasta on sovittu (vrt. mikä on opiskelija )
Helsingin yliopiston käyttäjän tunnistus Tampereen teknillisen yliopisto A&O-oppimisalustaan http://ao4.ee.tut.fi/demo 11/24/200
Sisältö 1. Mistä on kysymys? 2. Miten se toimii? 3. Mihin sitä voi käyttää? 4. Mitä reunaehtoja on? 5. Mitä se vaatii? 6. Kohti tuotantokäyttöä: HAKA-infrastruktuuri
Mihin sitä voi käyttää? (1/2) - VirtuaaliAMK-portaali/ e-asiointi - Oppimisalustat - Keskustelualueet - Yhteistyökumppanien palvelut, esim eoppi.net - sähköposti - kirjasto - opiskelijapalaute (kyselyt/lomakkeet) -digi-tv, mobiilipalvelut -liikkuvuus (vierailuluennoijan kirjautuminen verkkoon ym) - Opiskelijaliikkuvuus: Suoritustietojen hakeminen opintosuorituksen antaneesta amk:sta - Opiskelijarekisterit opiskelijajärjestöjen käyttöön - Ay-toiminta - Osaamispankki (eri amk:en henkilökunnan osaamisrekisteri) - Erilaiset materiaalipankit
Mihin sitä voi käyttää? (2/2) - Yhteiset opiskelijapalvelut (opintoneuvonta) - Opiskelijoiden keskinäinen kommunikointi ja materiaalinjako. Yhteisprojektit (esim. Pääsy toisen amk:n extranetiin) - Kaikki palvelut joihin liittyy kirjautuminen/käyttöoikeuden rajaus - Kaikki ylläoleva myös yliopistojen/amkien välillä
Käytön painopisteet (Yhdysvaltojen yliopistot) Kirjastot e-opetus sovellusten ASP (korkeakoulun sisäinen käyttäjätunnistus)
Käyttökohteita kirjastoissa Suomessa Nelli-portaalin käyttäjätunnistus Käyttäjäprofiilien tarjoaminen Nellissä Voyager-kirjastojärjestelmän www-liittymä WebVoyage Varaukset, omien lainojen selaus ym. Sähköisten aineistojen täsmälisensointi palveluntarjoajilta Esim. Tietyn alan opiskelijoille Käyttäjien profiilien taltiointi palveluntarjoajien portaalissa Esim. Elsevier: Sciencedirect
Käyttökohteita e-opetuksessa Suomessa oppimisalustat ja opetuksen tukityökalut, VirtAMK-portaali, verkostojen portaalit ja muut palvelut Käyttäjän autentikointi (ei paikallisia salasanoja) Käyttäjän henkilötietojen tuominen palveluun (nimi, sähköpostiosoite jne) Käyttäjän roolin tuominen palveluun (esim. Käyttäjä on roolissa opiskelija kurssilla fysiikan perusteet, syksyn 2004 toteutus Riippumatta siitä, mistä korkeakoulusta käyttäjä on kotoisin!
Sovellusten ASP Sovellukset, jotka Tarjoaa joku muu kuin korkeakoulu itse Haluavat tunnistaa käyttäjän Esimerkiksi Ostolaskujen kierrätys (Rondo) Matkalaskut (Travel) jne
Sisältö 1. Mistä on kysymys? 2. Miten se toimii? 3. Mihin sitä voi käyttää? 4. Mitä reunaehtoja on? 5. Mitä se vaatii? 6. Kohti tuotantokäyttöä: HAKA-infrastruktuuri
Teknisiä reunaehtoja WWW-ympäristössä avautuvat palvelut tai ainakin sellaiset joissa on web front end (videoneuvottelu) vain sellaisia henkilötietoja voidaan siirtää, jotka kotikorkeakoulu tietää
Henkilötietolaki: Henkilötieto saadaan luovuttaa (shibbolethin yli) 1. jos vastaanottajan toiminta liittyy korkeakoulun toimintaan (Henkilötietolaki 7 ), 2. jos luovutettava henkilötieto on vastaanottajan kannalta tarpeellinen (9 ), ja 3. (lähtökohtaisesti) jos henkilö on antanut siihen suostumuksen (8 ) Lisäksi henkilötietolaki vaatii mm. yleinen suunnittelu- ja huolellisuuusvelvoite virheettömyysvaatimus informointivelvoite ja tarkastusoikeus
Henkilötietolaki: mikä on henkilötieto? Henkilötiedolla tarkoitetaan kaikenlaisia luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi Henkilötietoja on - käyttäjän op.nro on 12345 - käyttäjän sähköpostiosoite on esko.esimerkki@hut.fi - käyttäjä on TKK:n rehtori Henkilötietoja ei ole - käyttäjä on opiskelija - käyttäjä opiskelee tekniikkaa - käyttäjä on lehtori TKK:lla - käyttäjä haluaa palvelua ruotsiksi
Sisältö 1. Mistä on kysymys? 2. Miten se toimii? 3. Mihin sitä voi käyttää? 4. Mitä reunaehtoja on? 5. Mitä se vaatii? 6. Kohti tuotantokäyttöä: HAKA-infrastruktuuri
Mitä se vaatii? Ennen kaikkea: jokaisen korkeakoulun sisäinen keskitetty käyttäjähallinto on hoidettu ryhdikkäästi aikaisemmin käyttäjähallinto oli sisäinen asia korkeakoululle nyt palvelut odottavat, että shibbolethin yli tulevat käyttäjätiedot ovat ajan tasalla erityisesti: valmistuvan opiskelijan käyttäjätunnukset suljetaan Shibboleth origin-palvelimen pystyttämistä liittymistä HAKA-infrastruktuuriin
Sisältö 1. Mistä on kysymys? 2. Miten se toimii? 3. Mihin sitä voi käyttää? 4. Mitä reunaehtoja on? 5. Mitä se vaatii? 6. Kohti tuotantokäyttöä: HAKA-infrastruktuuri
Shibboleth tarvitsee alleen luottamusverkoston Kotikorkeakoulut HY TTY KuY YO n TAMK Stadia OAMK Amk n Palveluntarjoajat Suomen Virtuaaliyliopisto (portaali) Kansallinen elektroninen kirjasto FinELib (portaali) Virtuaaliammattikorkeakoulu (portaali ja e-opintotoimisto) Yksittäinen korkeakoulu (oppimisympäristö) Suomen Akatemia (tutkimusrahoitus) YTHS (opiskelijoiden terveyspalvelut) Kotikorkeakoulu ylläpitää käyttäjän perustietoja (nimi, yhteystiedot, rooli, opintosuunta ym) Kotikorkeakoulu autentikoi käyttäjän (esim. salasanalla) Kotikorkeakoulu luovuttaa (käyttäjän suostumuksella) henkilötietoja palveluntarjoajalle Palveluntarjoaja päättää henkilötietojen perusteella, millainen näkymä käyttäjälle avautuu palvelussa HAKA-infrastruktuuri (luottamusverkosto)
Luottamusverkosto (federation) Luottamusverkosto on korkeakoulujen muodostama yhteisö, joka päättää tehdä yhteistyötä käyttäjien tunnistamiseksi yli korkeakoulurajojen Päättää käyttää siihen esim. shibboleth-tekniikkaa HAKA-infrastruktuuri on Suomen yliopistojen ja ammattikorkeakoulujen perustama luottamusverkosto. Juridisesti HAKA tullee olemaan CSC:n korkeakouluille tarjoama palvelu (kuten Funet-verkko)
Kohti tuotantokäyttöistä HAKA-infrastruktuuria luottamusverkon järjestäytyminen: kuka tekee periaatelinjaukset teknisten komponenttien ylläpito luottamusverkoston metatiedon ylläpito kehitys, koulutus, konsultointi, markkinointi juridiset kysymykset ja sopimukset: millä ehdoilla osapuolten oikeudet ja velvollisuudet taloudelliset kysymykset: kenen rahoilla Tavoite: valmista vuoden vaihteessa ensi vuonna korkeakoulut ja palvelut voivat liittyä tuotantokäyttöiseen HAKA-infrastruktuuriin
Vaiheittainen käyttöönotto Kotikorkeakoulut (origin site) HY, Tamk, TTY, KuY esivaatimus: kotikorkeakoulun (ATK-keskuksen) käyttäjätietojen ja tunnusten on oltava ajan tasalla Palvelut (target site) Virtuaaliyliopistoportaali, (virtuaaliamk-portaali), WLANverkkovierailu, A&O-oppimisalusta lisäksi pilotteja käynnissä: WebCT, Moodle, R5 Generation, OsCU
Kiitos! Lisätietoa: www.csc.fi/suomi/funet/middleware mikael.linden@csc.fi