Keskitetty käyttäjähallinto. VirtAMK-yhteyshenkilöpäivät Turku Jarmo Sorvari TAMK

Keskitetty käyttäjähallinto VirtAMK-yhteyshenkilöpäivät Turku 27.4.2004 Jarmo Sorvari TAMK

Sisältö Motivointia Organisaatiorajat ylittävät palvelut Shibboleth Organisaatioiden välinen luottamus HAKA-projekti, HAKA-infrastruktuuri Käyttäjähallinnon minimivaatimukset KKH:n vaatima työmäärä

Lähtötilanne WebCT tunnus4 salasana4 Winha tunnus5 salasana5 TiimiPosti tunnus3 salasana3 Windows tunnus1 salasana1 UNIX tunnus2 salasana2 ftp Sovellukset tietohallinnollisesti erillisiä saarekkeita Monta tunnus-salasana paria Neljä eri postijärjestelmää Paljon käsityötä tunnustenhallinnassa, tietoja ylläpidettiin monessa systeemissä

TAMKin IT-infrastruktuuri WebCT R5 Generation news Winha salasanasynkronointi Moodle Citrix LDAP hakemisto tunnus salasana intranet posti Windows (AD) Samba UNIX/ Linux Kotihakemistot

Kohti organisaatiorajat ylittävää käyttäjähallintoa Organisaatiorajat ylittävä käyttäjähallinto Organisaatiotason keskitetty käyttäjähallinto Järjestelmäkohtainen käyttäjähallinto [Lähde: Gnomis] Heikko autentikointi Vahva autentikointi

Muita syitä Sisäinen tehokkuus Paljonko käsityötä tehdään? Monen tunnuksen ja salasanan muistaminen Tuttu tuska monelle! Tietoturva Jäävätkö tunnukset roikkumaan?

Organisaatiorajat ylittävät autentikoidut palvelut Organisaatio A tarjoaa palveluja organisaatiolle B Esim. VirtAMK AMK AMK AMK Kirjaston WWW AMK Kuka tekee ja ylläpitää tunnukset Miten luotettavaa toiminta on?

Tapaus VirtuaaliAMK

Miksi palvelun tarjoajan tulisi ylläpitää käyttäjätunnuksia? Taas yksi tunnus-salasana -pari? Tarkkuutta vaaditaan, kun On kyse opintosuorituksista On kyse rahaliikenteestä Missä tulisi hallinnoida rooleja? Siellä missä tieto on!

Shibboleth Palveluntarjoajan (esim. VirtAMK) WWW-sivulla kirjautumislomake Käyttäjän todentaminen ohjataankin kulissien takana kotikorkeakoulunsa systeemiin, jossa salasana tarkastetaan Jos salasana oikein, kotikorkeakoulu palauttaa palveluntarjoajalle tarpeelliset tiedot käyttäjästä (ei välttämättä edes yksilöivää identiteettiä!) Kotikorkeakoulun käyttäjähallinto pitää laittaa ensin kuntoon!

Shibboleth: esim. FinELibartikkelitietokanta 3. Username: mvirtane Password: 95iEfHw HY 1. HTTP Tahdon lukea artikkelin http://www.ebsco.com/ 2. HTTP redirect Kaveri teidän korkeakoulusta haluaa lukea artikkelin meiltä. Ottakaa hänestä selvää. 4. HTTP redirect Tahdon lukea artikkelin http://www.ebsco.com/ Kahvani on F49E4065A 5. SAML SOAP Kertokaa kaverista jonka kahva on F49E4065A 6. SAML SOAP Hän on yhteiskuntatieteiden jatko-opiskelija EBSCO -yksi FinELib:n artikkelitietokantojen tarjoaja -tuotti 27% v. 2001 korkeakouluissa tulostetuista artikkeleista Yht.kuntatieteilijä ja jatko-opiskelija => lasketaan sisälle

Esim. Virtuaaliamk:n e- opintotoimisto www.amk.fi Elli Esimerkki, TAMK VirtAMK e-opintotoimisto Tietokanta: kurssi-ilmoittautumiset Autentikointi: Username:eesimerk Passwd: 29hgE4d Opiskelija 1234567@tpu.fi amiettin@ramk.fi Kurssiilmoittautuminen Markkinointi II (järj. Laurea) Mikrokontrollerit (järj. P-S amk) TAMK Hän on 1234567@tpu.fi

Organisaatioiden välinen luottamus Kotikorkeakoulu on opiskelijan takuumies Miten käyttäjähallintoa hoidetaan korkeakoulussa? Käyttäjätunnuspolitiikka!

Mitä asioita luottamus edellyttää? kotikorkeakoulun pystyttävä autentikoimaan käyttäjänsä henkilötietolakia noudatettava tietojen luovutuksessa käyttäjien henkilötiedot oltava ajantasalla paitsi käyttäjätunnusten sulkeutuminen myös muiden käyttäjätietojen ajantasaisuus (rooli, opintosuunta, yhteystiedot ) käytännössä tämän varmistaminen edellyttää kytkentää perusrekisteriin

Tietojen luotettavuus Mahdollisimman paljon automatiikkaa Tietoja päivitetään vain sen primääriin lähteeseen, yleensä opintosuoritusrekisteriin Winhan/ASIOn/muun käyttötapojen yhtenäistäminen ja laadukkuus todella tärkeää! Käyttäjähallinto ei ole enää korkeakoulujen sisäinen asia!

Intranetin tietohallinto INTRANET Mail Hakemistopalvelin (LDAP) Raporttikanta Winha news Calendar WWW Shibboleth

HAKA-projekti, HAKAinfrastruktuuri Käyttäjähallintokoulu Best practices Skeema datalle Protokollat Tietoturva HAKA-infrastruktuuri Käyttäjähallinnon minimivaatimukset

Sisältö Motivointia Organisaatiorajat ylittävät palvelut Shibboleth Organisaatioiden välinen luottamus HAKA-projekti, HAKA-infrastruktuuri Käyttäjähallinnon minimivaatimukset Mitä tarkoittaa AMKeissa?

Käyttäjähallinnon minimivaatimukset Henkilötietolain noudattaminen Tietojen luovutukseen eksplisiittinen lupa Vain palveluun olennaisesti liittyvää tietoa voi luovuttaa

Käyttäjähallinnon minimivaatimukset Käyttäjähallinnon skeema Mitä dataa tarjotaan ja missä muodossa Teknisten toteuttajien asiaa

Käyttäjähallinnon minimivaatimukset Tietojen oikeellisuus Tunnuksen voimassaolo Opiskelija valmistuu tunnus kiinni määräajassa Roolitietojen ajantasaisuus Koulutusohjelmatiedot Jne.

Käyttäjähallinnon minimivaatimukset Yksikäsitteiset tunnisteet Palveluntarjoajan tunnistettava käyttäjä yksikäsitteisesti sovitulla tavalla Esim. käyttäjätunnus@tamk.fi Käyttäjätunnusta ei saa vaihtaa noin vain

Käyttäjähallinnon minimivaatimukset Lokitietojen säilyttäminen Väärinkäytösten selvittäminen oltava mahdollista jälkeenpäin

Käyttäjähallinnon minimivaatimukset Kuvaus käyttäjähallinnosta Tunnushallintakäytäntöjen kuvaus Saataville muille AMKeille ja palveluntarjoajille

Sisältö Motivointia Organisaatiorajat ylittävät palvelut Shibboleth Organisaatioiden välinen luottamus HAKA-projekti, HAKA-infrastruktuuri Käyttäjähallinnon minimivaatimukset Mitä tarkoittaa AMKeissa?

Mitä AMKeissa? Tähdätään keskitettyyn käyttäjähallintoon Edellytys monien tekniikoiden käyttöönotolle Laadukkaat käytännöt opintorekisterien ylläpidossa laadukas data Opintotoimistoilla tärkeä rooli Tiedot kaikista yhdessä tietokannassa Iso urakka tietohallinnolle! Lopussa kiitos seisoo