Haka-käyttäjien kokoontuminen Arto Tuomi CSC Tieteen tietotekniikan keskus

Samankaltaiset tiedostot
Uloskirjautuminen Shibbolethissa

Palvelun rekisteröinti Virtu - luottamusverkostoon / testipalveluun

1 Virtu IdP- palvelimen testiohjeet

- ADFS 2.0 ja SharePoint 2010

TKK: Shibboleth toteutuksia ja projekteja. Markus Melin

GEANT-tietosuojakäytäntö Data Protection Code of Conduct

Haka-palveluiden valvonta ja tilastointi AAIEye -työkalun avulla. Mika Suvanto, CSC

Service Provider. Shibboleth-asennuskoulutus Timo Mustonen. CSC Tieteen tietotekniikan keskus Oy CSC IT Center for Science Ltd.

Mikä on Discovery Service?

Luottamusverkosto. Shibboleth-asennuskoulutus CSC Tieteen tietotekniikan keskus Oy CSC IT Center for Science Ltd.

Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

Julkishallinnon tunnistuksen ohjauspalvelun kehityshanke mitä PoC-vaihe on opettanut? Manne Miettinen, Henri Mikkonen ja Arto Tuomi

Haka MFA-työpaja

HY:n alustava ehdotus käyttäjähallintotuotteesta

Javan asennus ja ohjeita ongelmatilanteisiin

IDP:n asennus Shibboleth asennuskoulutus Janne Lauros. CSC Tieteen tietotekniikan keskus Oy CSC IT Center for Science Ltd.

HY:n ehdotus käyttäjähallintotuotteesta

Federoidun identiteetinhallinnan

Käyttöönottosuunnitelma Virtu-palveluntarjoajalle

Valtiokonttori Käyttöönotto 1 (6) suunnitelma Virtu Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

HY:n alustava ehdotus käyttäjähallintotuotteesta

Helsingi yliopiston kevytkäyttäjähallintosovelluksen rajapintakuvaus

Ajankohtaista Hakassa

Käyttäjän tunnistus yli korkeakoulurajojen

Karttaselain Paikannin J2ME

Palvelun Asettaminen Virtuun

Liite 1: KualiKSB skenaariot ja PoC tulokset. 1. Palvelun kehittäjän näkökulma. KualiKSB. Sivu 1. Tilanne Vaatimus Ongelma jos vaatimus ei toteudu

Virkamiehen tunnistamisen luottamusverkosto Virtu vapauttaa salasanaviidakosta Kotiviraston näkökulma

MatTaFi projektin HAKA-pilotti

Haka mobiilitunnistuspilotti

ULOSKIRJAUTUMINEN SHIBBOLETHISSA. Asko Tontti. Kandidaatintyö

Federoidun identiteetinhallinnan periaatteet

Verkostojen identiteetinhallinta. Haka-seminaari Kehityspäällikkö Sami Saarikoski Opetus- ja kulttuuriministeriö.

HY:n alustava ehdotus käyttäjähallintotuotteesta

HY:n ehdotus käyttäjähallintotuotteesta

TermBase NET versio (Beta)

Kansallinen ORCiD yhdistämispalvelu

Sähköinen tunnistus korkeakouluissa. TieVie-lähiseminaari Mikael Linden Tieteen tietotekniikan keskus CSC

Moodlen opetus, projekti- ja intrakäyttö samassa organisaatiossa. Pauliina Veräväinen, TaY

Oskarin avulla kaupungin karttapalvelut kuntoon

- kaksi vuotta amkien yhteisen julkaisuarkiston koordinointia

JulkICTLab projektien tilannekatsaukset 06/2015

HY:n ehdotus käyttäjähallintotuotteesta

Attribuuttipohjainen käyttövaltuuksien hallinta Case Dreamspark Premium

Tikon Ostolaskujenkäsittely/Web-myyntilaskutus versio 6.3.0

Harjoitustyö Case - HelpDesk

XDW-projektissa rakennetut palvelut

Visma Liikkuvan työn ratkaisut Päivitysohje. Pääkäyttäjän opas

Aditro Tikon ostolaskujen käsittely versio SP1

AsioEduERP v12 - Tietoturvaparannukset

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

WWW-PALVELUN KÄYTTÖÖNOTTO LOUNEA OY

JulkICTLab projektin tilannekatsaus

HY:n ehdotus käyttäjähallintotuotteesta

Aditro Tikon ostolaskujen käsittely versio 6.2.0

Tikon Ostolaskujenkäsittely versio SP1

Projektisuunnitelma. KotKot. Helsinki Ohjelmistotuotantoprojekti HELSINGIN YLIOPISTO Tietojenkäsittelytieteen laitos

IdP SaaS Palveluna Miksi sitä tarvitaan? Mikä se on? Kenelle se on tarkoitettu? 2009 Tieto Corporation 2/5/2010

T Hypermediadokumentin laatiminen. Sisältö. Tavoitteet. Mitä on www-ohjelmointi? Arkkitehtuuri (yleisesti) Interaktiivisuuden keinot

Järjestelmäarkkitehtuuri (TK081702) Lähtökohta. Integroinnin tavoitteet

Tikon Ostolaskujenkäsittely/Web-myyntilaskutus versio 6.4.0

Kertakirjautumisella irti salasanojen ryteiköstä

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

Journal.fi-palvelu. Antti-Jussi Nygård Tieteellisten seurain valtuuskunta

Federoinnin vaikeat käyttötapaukset palveluntarjoajille (SP)

MagiCAD 2020 Toimintaympäristö ja yhteensopivuus. MagiCAD Revitille ja AutoCADille

Toimi näin, jos et pääse verkkopankkiin Mozilla Firefox-selaimella

Kandipalaute kick off

Office ohjelmiston asennusohje

Avoinyliopisto.fi -verkkopalvelu CSC:n palvelut

Visma Liikkuvan työn ratkaisut

F-Secure KEY salasanojenhallintaohjelman käyttöönotto Mac -laitteella

LoCCaM Riistakamerasovellus. Dimag Ky dimag.fi

Puhuja? Avoinyliopisto.fi -verkkopalvelu CSC:n palvelut CSC JA PALVELUT. Avointen yliopistojen neuvottelupäivät Soile Pylsy, CSC

KTJkii-rekisterinpitosovellus ja Kunta tiedostosiirto

Tunnistus ja roolipohjainen käyttöoikeuksien hallinta. Inspire-verkoston Yhteistyö-ryhmä

Aditro Tikon ostolaskujen käsittely versio SP1

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

ACCELBIT KARTTASELAIN TRACKER. Karttaselaimen Tracker- sovelluksen käyttöohje versio 1.0 AccelBit Oy

Ohjelmisto on selainpohjaisen käyttöliittymän tarjoava tietokantajärjestelmä merikotkien seurantaan WWF:n Merikotka-työryhmän tarpeisiin.

Käyttöohjeet. Sovellussivusto

Ajankohtaista identiteetinhallinnassa. IT-päivät Mikael Linden CSC Tieteen tietotekniikan keskus Oy

KÄYTTÖÖNOTTO-OHJE

Autentikoivan lähtevän postin palvelimen asetukset

Poista tietokoneessasi olevat Javat ja asenna uusin Java-ohjelma

MagiCAD Toimintaympäristö ja yhteensopivuus MagiCAD AutoCADille ja MagiCAD Revitille

ASIAKASLIITTYMÄ. Erikoiskirjastokokous Ari Rouvari Kansalliskirjasto

Finnish Value Pack Asennusohje Vianova Systems Finland Oy Versio

HP ProBook 430 G5 kannettavien käyttöönotto

Android. Sähköpostin määritys. Tässä oppaassa kuvataan uuden sähköpostitilin käyttöönotto Android Ice Cream Sandwichissä.

1 Visma L7 päivitysaineiston nouto

Lapin AMK extranet Palvelukuvaus

Kieliaineistojen käyttöoikeuksien hallinnan tietojärjestelmä

IFC:n tilanne ja tuotetiedon elinkaaren hallinnan prosessi

Liitäntä AutoFuturista Koivunen Web Shopiin

Hintatiedotus ja tietojen välitys. Loppuraportti

Korkeakoulujen valtakunnallinen tietovaranto. Ilmari Hyvönen

Ylläpitodokumentti. Ohjelmistotuotantoprojektin tietojärjestelmä OhtuTie

Ennakkometadata - ONIX Maarit Huttunen

Arkkitehtuurikuvaus. Ratkaisu ohjelmistotuotelinjan monikielisyyden hallintaan Innofactor Oy. Ryhmä 14

Transkriptio:

Hakan teknisiä kuulumisia Haka-käyttäjien kokoontuminen 20.1.2009 Arto Tuomi CSC Tieteen tietotekniikan keskus

SAML2 siirtymä 1.12.2008 Uudet Hakaan rekisteröitävät palvelut (SP) tukevat SAML 2.0 -tekniikkaa Tänään 1.12.2009 Myös vanhat Haka-palvelut on päivitetty SAML 2.0:aan Kaikki Hakaan rekisteröidyt SP:t päivitetty 31.12.2010 Hakaan rekisteröidyt Identity Provider (IdP) palvelimet tukevat SAML 2.0 tekniikkaa Kaikki Hakaan rekisteröidyt IdP:t päivitetty Aikataulu sovittu kaikille jäsenille avoimessa Hakan teknisen ryhmän kokouksessa 21.8.2008

Mitä saavutetaan SAML2-päivityksellä Yhteensopivuus muiden luottamusverkostojen kanssa Virtu, Kalmar Yhteensopivuus eri SAML2-toteutusten kanssa Novell, Sun, Oracle, Ping, Ubisecure Yhteensopivuus uusien sovellusten kanssa Travel Osa normaalia evoluutiota SAML1.1 SAML2 Lopullinen Hakan SAML2-profiili on vielä auki Shibboleth tukee laajaa valikoimaa SAML2 ominaisuuksia, joten ei kiirettä lyödä lukkoon Suurin mahdollinen yhteensopivuus tavoitteena

Logout Nykyään käytössä yksinkertainen kotitekoinen toteutus Hakalogout Ei tue useasta palvelusta samanaikaisesti uloskirjautumista Korvautuu SAML2 SLO:lla Shibboleth 2 SP tukee Shibboleth 2 IdP seuraavassa versiossa 2.2 Monet muut toteutukset tukevat Tukeminen sovelluksissa voi olla haasteellista Mikäli kaikki logout-ketjun osat eivät toimi halutusti, voi seurata ongelmia Selaimen sulkeminen säilynee suositeltavana toteutuksena

Shibbolethilla SAML2:een Shibboleth nyt versiossa 2.1 Voi suositella käytettäväksi 2.2 roadmap Shibboleth Wikissä Kohtuullisen paljon muutoksia tukitoimintoihin Ei kuitenkaan muutoksia protokollaan tai yhteensopivuuteen kuin korkeintaan uusilla ominaisuuksilla (esim. IdP logout) Asennus tukee oletuksena samanaikaisesti Shibboleth 1.3 ja SAML2 Palveluosoitteet muuttuvat, joten siirrossa katkoja tai järjestelyitä

SP:n päivittäminen SAML2 aikaan 1.3 2 Konfiguraatiotiedostot muuttuneet, joten varauduttava niiden tarkistamiseen Palveluosoitteet pysyvät samoina Uudet protokollat voi lisätä metadataan myöhemmin

IdP:n päivittäminen SAML2 aikaan Kokonaan uusi IdP Entityid uusiksi Rekisteröidään uutena IdP:nä metadataan, voi olla samaan aikaan vanhan kanssa Vaihdetaan WAYF/DS osoittamaan uuteen sovittuna ajankohtana Ongelmat Palvelut, jotka ohjaavat suoraan IdP:iin (vain 20% käyttäjistä menee WAYF/DS:n kautta)

IdP:n päivittäminen SAML2 aikaan Samalle entityid:lle IdP2 Vaihdetaan metadatassa IdP:n vanhan entityid:n alle tiedot Ongelmat Katkoja ennen kuin kaikki SP:t päivittäneet metadatansa Palvelut, jotka eivät käytä WAYF/DS:ia muutokseen ja käyttävät SSOpalvelun osoitteita ohjaamiseen saatava mukaan

IdP:n päivittäminen SAML2 aikaan Samalle entityid:lle IdP2 Vaihdetaan metadatassa IdP:n vanhan entityid:n alle tiedot Ohjataan vanhoja osoitteita käyttävät uudelle Ei katkoa riippumatta SP:n käyttämästä metadatasta Ongelmat Lisätyötä Osattava tehdä oikeanlainen ohjaus Jääkö johonkin SP:iin vanhat tiedot

Muulla kuin Shibbolethilla Hakaan Perinteiset käyttötapaukset ja historia eroavat Shibbolethin ja monen kaupallisen tuotteen välillä Eroja suunnittelun lähtokohdissa Shibboleth alusta asti: monta IdP:ia ja monta 2 SP:ia Protokollatasolla yhteensopivuus hyvä Erot ylläpidossa ja hallinnassa Mahdollista, mutta kannattaa testata kunnolla ja miettiä ylläpito Hakan palvelut elävät koko ajan (metadatat, attribuutit jne.), joten ylläpidon oltava helppoa (automaattista) SimpleSAMLphp Lupaava, lähes valmis Hakaan http://rnd.feide.no/simplesamlphp

Attribuuttien siirron hyväksyntä SWITCH:n kehittämä UApprove Lupa attribuuttien siirtoon kysytään vain ensimmäisellä kerralla Uudelleen mikäli siirrettävissä attribuuteissa tapahtuu muutoksia Omat sisäiset palvelun voidaan mustalistata, jolloin niihin siirtämisessä ei kysellä lupaa

Attribuuttien siirron hyväksyntä UApproven käytöllä voi myös tulevaisuudessa helpottaa attribuuttisääntöjen ylläpitoa SP:den tarvitsemat attribuutit metadataan IdP:ssä tehdään attrbuuttifiltteri, joka sallii attribuuttien luovutuksen metadatan mukaisesti IdP-ylläpidon ei tarvitse ylläpitää attribuuttifiltteriä Attribuuttiluovutusmuutokset voimassa heti metadatan mukaisesti

Attribuuttien siirron hyväksyntä Käyttöönotto varsin suoraviivaista Java-sovellus Tukee sekä Shibbolethin omia että REMOTE_USER-pohjaisia käyttäjätunnistuksia Ulkoasun muokkaaminen Vaatii tietokannan (ihan pienet IdP:t selviävät tekstitiedostolla) Tietokanta tarvitaan IdP:ssä kuitenkin persistent-id:n tallentamiseen Käännös suomeksi ja englanniksi löytyy Ruotsi puuttuu, vapaaehtoisia?

Koulutusta Tarvetta koulutukselle Shibbolethin asennuksesta ja käytöstä? Täyttäkää kyselylomakkeeseen arvio tarpeesta Keväälle ehtisi vielä huhtikuusta kesäkuun alkuun Kaikkea tekniikasta voi kysyä haka@csc.fi

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute