TKK: Shibboleth toteutuksia ja projekteja Markus Melin 24.11.2006
Sisältö Shibbolethin käyttö TKK:lla TKK:n shibboloidut palvelut Shibboloituja palveluita tarkemmin Grouper Halli etkk - Markus Melin 2
TKK:n shibboleth käyttö TKK:lla on heterogeninen atk-ympäristö Ei kokonaisvaltaista identiteetinhallintaa (vielä) Tarve saada salasanojen määrä eri järjestelmissä pysymään kohtuullisena Shibboleth otetaan kirjautumismenetelmäksi kaikkiin uusiin www-pohjaisiin palveluihin sekä järkeviltä osiltaan toteutetaan myös vanhoihin järjestelmiin Oma luottamusverkosto HAKA-federaation lisäksi TKK:n IdP kytketty kahteen luottamusverkostoon (Haka, TKK) etkk - Markus Melin 3
TKK:n palvelut TKK-luottamusverkoston palvelut eage, https://eage-test.tkk.fi/ Grouper, https://lupa.hut.fi/ Matta, https://matta.hut.fi/ WebOodi, https://oodi.tkk.fi/ UPJ, https://upj.tkk.fi/ Halli, https://halli.tkk.fi/ TKK wiki, https://wiki.hut.fi/ HAKA-luottamusverkoston palvelut Teemu (kirjaston webvoyager) SVY:n palvelut etkk - Markus Melin 4
Tulevia palveluita TKK:n luottamusverkoston palvelut TKK:n Optima, https://optima.tkk.fi/ TKK:n tilavarausjärjestelmä, http://tilavaraus.tkk.fi Käyttäjän omat tiedot lupapalveluissa, https://oma.tkk.fi/ Loput etkk järjestelmät etkk - Markus Melin 5
Mikä on Grouper Työkalu ryhmien hallintaan Valmis tuki (loader) LDAP:iin 1.0 versiosta alkaen Web-käyttöliittymä ja komentorivituki Muokattavissa, Java-koodia Internet2:n projekti, integroituu shibboleth & signetiin etkk - Markus Melin 6
Grouper Vaatimukset J2EE-sovellus, joka vaatii tomcatin (tai vastaavan), apachen (Shibboleth login) ja tietokannan (Oracle/PostgreSQL/MySQL/...) Mahdollistaa HR-järjestelmistä tunnukset ja ryhmiä/rooleja www-sovelluksen kautta ylläpidettäviä ryhmiä/rooleja www-ylläpitoliittymään saadaan haluttaessa erilainen käyttöliittymä erityyppisille käyttäjille ryhmien/roolien ylläpito on delegoitavissa nykyisen lupajärjestelmän korvaamisen (halutulla) korkean tason identiteetinhallintajärjestelmällä siten, että se on transparenttia grouperin www-ylläpitoliittymän käyttäjille shibboleth-integroinnin mahdollistaa myös komentorivikäyttöliittymän Työmäärä TKK:lla on jo olemassa kokemusta shibboleth service provider -asennuksista ja www-sovellusten shibboleth-integroinnista nykyisen lupajärjestelmän käyttämiä menetelmiä kerätä (loader) ja levittää (provisioning connector) tietoa voidaan käyttää myös grouperin kanssa (windaemon) etkk - Markus Melin 7
Käyttöskenarioita Käyttäjäryhmien, joita käyttäjä pääsee itse hallinnoimaan, web-käyttöliittymä (unix/linux // windows) Eri www-pohjaisten järjestelmien ryhmien hallinnoinnin hajauttaminen yksiköiden pääkäyttäjille etkk - Markus Melin 8
Halli Halli on TKK:lle hankittava projektinhallintajärjestelmä, jolla tuetaan TKK:n tutkimustoimintaa kaikilla organisaation tasoilla. Halli rakennetaan vaiheittain ja valmiina se tarjoaa seuraavia toiminnallisuuksia: Projektisuunnittelu: henkilöresurssit, budjetointi, tehtävät ja tavoitteet, aikataulu,... Budjetinhallinta: toteumat, ennusteet, henkilöstökulut,... Dokumenttien hallinta: yhteinen työtila projektin dokumenteille, sisältäen versionhallinnan; dokumenttien jakaminen ja kierto TKK:n sisällä Raportointi ulkopuolisille rahoittajille ja TKK:n sisällä Sähköinen arkisto projektissa tuotetulle, arkistoitavalle materiaalille Projektin tilanne Järjestelmän toimittaa Culmentor (Reportronic) etkk - Markus Melin 9
Reportronic.NET 2.0 sovellus IIS 6.0 Windows Server 2003 MS SQL Server 2005 etkk - Markus Melin 10
Toteutus TKK:lla Reportroniciin uusi kirjautumistapa Käyttäjät luodaan sovellukseen automaattisesti Shibboleth-kirjautumisen yhteydessä. Shibboleth-käyttäjät saavat oletuksena työkirjausoikeudet. Tietyille käyttäjille nostetaan oikeuksia erillisen käyttäjätunnuslistan mukaan. IdP:ltä tarvitaan Reportronicille attribuutit Käyttäjätunnus (uid) T-tunnus (employeenumber) Kutsumanimi (displayname) etkk - Markus Melin 11
Kiitos Yhteystietoja Markus Melin, markus.melin@tkk.fi, p. 09-451 2998 Asko Tontti, asko.tontti@tkk.fi, 09-451 4334 http://etkk.tkk.fi/ etkk - Markus Melin 12