HY:n ehdotus käyttäjähallintotuotteesta

Samankaltaiset tiedostot
HY:n ehdotus käyttäjähallintotuotteesta

HY:n ehdotus käyttäjähallintotuotteesta

HY:n alustava ehdotus käyttäjähallintotuotteesta

HY:n alustava ehdotus käyttäjähallintotuotteesta

HY:n alustava ehdotus käyttäjähallintotuotteesta

HY:n ehdotus käyttäjähallintotuotteesta

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

Helsingi yliopiston kevytkäyttäjähallintosovellus ATIK projektille

Helsingi yliopiston kevytkäyttäjähallintosovelluksen rajapintakuvaus

Keskitetty käyttäjähallinto. VirtAMK-yhteyshenkilöpäivät Turku Jarmo Sorvari TAMK

Helsingin yliopiston wikipalvelu. Esityksen sisältö. Mikä on wiki?

TKK: Shibboleth toteutuksia ja projekteja. Markus Melin

Haka-käyttäjien kokoontuminen Arto Tuomi CSC Tieteen tietotekniikan keskus

Julkishallinnon tunnistuksen ohjauspalvelun kehityshanke mitä PoC-vaihe on opettanut? Manne Miettinen, Henri Mikkonen ja Arto Tuomi

Käyttäjän tunnistus yli korkeakoulurajojen

Luottamusverkosto. Shibboleth-asennuskoulutus CSC Tieteen tietotekniikan keskus Oy CSC IT Center for Science Ltd.

Lähtöoletuksena on, että opiskelijarekisterin henkilötiedot ovat ajantasalla. Opiskelijoille myönnettyjä tunnuksia ei käytetä Haka-palveluissa.

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

1. Käyttäjätietokannan ja perusrekistereiden kytkentä 1.1. Opiskelijarekisteri

Kotiorganisaation käyttäjähallinnon kuvaus (Poliisiammattikorkeakoulu ja Pelastusopisto)

Mobiilivarmenteen käyttö Helsingin yliopistossa. Ville Tenhunen, Juha Ojaluoma

Tiedonsiirto- ja rajapintastandardit

Valtiokonttori Käyttöönotto 1 (6) suunnitelma Virtu Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

Järjestelmäarkkitehtuuri (TK081702)

Kansallinen ORCiD yhdistämispalvelu

Käyttäjähallintokoulu Mikael Linden tieteen tietotekniikan keskus CSC

Tikon Ostolaskujenkäsittely/Web-myyntilaskutus versio 6.3.0

VYPEdit verkkosivualusta SVY-toimijoille

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

Tikon Ostolaskujenkäsittely/Web-myyntilaskutus versio 6.4.0

Uloskirjautuminen Shibbolethissa

Haka-palveluiden valvonta ja tilastointi AAIEye -työkalun avulla. Mika Suvanto, CSC

EMVHost Online SUBJECT: EMVHOST ONLINE CLIENT - AUTOMAATTISIIRROT COMPANY: EMVHost Online Client sovelluksen käyttöohje AUTHOR: DATE:

Keskitetty käyttäjähallinto

VIRTA tiedonsiirtotavan kehittäminen - Eräsiirrosta inkrementaaliseen tiedonsiirtoon

egradu & Muuntaja Ylemmän tutkintovaiheen opinnäytetöiden elektroninen arkistoiminen ja esilletuonti

ZENworks Application Virtualization 11

Haka MFA-työpaja

Pilottipalvelun esittely johtopäätökset

Kotiorganisaation käyttäjähallinnon kuvaus (Karelia)

Keskustelusivusto. Suunnitteludokumentti

Federoidun identiteetinhallinnan

MatTaFi projektin HAKA-pilotti

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

Verkostojen identiteetinhallinta. Haka-seminaari Kehityspäällikkö Sami Saarikoski Opetus- ja kulttuuriministeriö.

Julkaisukanava-hankkeen DSpacen shibbolointi

Tunnistus ja roolipohjainen käyttöoikeuksien hallinta. Inspire-verkoston Yhteistyö-ryhmä

Tietoturvan haasteet grideille

Valppaan asennus- ja käyttöohje

Articles... 3 Käyttäjähallinnon kuvaus... 4 Unohtunut salasana... 6 Tunnusten käyttöönotto... 7 Ohjeita... 8

Palvelun rekisteröinti Virtu - luottamusverkostoon / testipalveluun

IdP SaaS Palveluna Miksi sitä tarvitaan? Mikä se on? Kenelle se on tarkoitettu? 2009 Tieto Corporation 2/5/2010

Ohje kehitysympäristöstä. Dokumentti: Ohje kehitysympäristöstä.doc Päiväys: Projekti : AgileElephant

Sähköinen tunnistus korkeakouluissa. TieVie-lähiseminaari Mikael Linden Tieteen tietotekniikan keskus CSC

Shibboleth-projekti. Tampereen teknillinen yliopisto / Digitaalisen median instituutti / Hypermedialaboratorio

Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

Kotiorganisaation käyttäjähallinnon kuvaus

Kotiorganisaation käyttäjähallinnon kuvaus

Attribuutti-kyselypalvelu

Tietoturvan haasteet grideille

Outlookin konfigurointi. Huoltamosähköposti Sonerahosted

AsioEduERP v12 - Tietoturvaparannukset

Käyttöönottosuunnitelma Virtu-palveluntarjoajalle

Taitaja 2015 Windows finaalitehtävä

Federoidun identiteetinhallinnan periaatteet

Kytkentäopas. Tuetut käyttöjärjestelmät. Tulostimen asentaminen. Kytkentäopas

Virtuaalityöpöydät (VDI) opintohallinnon järjestelmien käyttöympäristönä.

Asio-Exchange-liitännän kuvaus

XPages käyttö ja edut Jarkko Pietikäinen toimitusjohtaja, Netwell Oy

Aditro Tikon ostolaskujen käsittely versio 6.2.0

Sisältö IT Linux 2001:n uudet ominaisuudet IT Linux 2001:n yhteensopivuus Red Hat 7.0:n kanssa Asennuksen valmistelu

Ohje: Identiteetin hallinnan tietoturvatasot (LUONNOS)

Freemover / Visiting student opinto-oikeuden rekisteröiminen

Terveydenhuollon ATK päivät TURKU


EASY PILVEN Myynnin opas - Storage IT

Käyttöohje Planeetta Internet Oy

Päivittäisraportit. Oodi-päivät

Viestit-palvelun viranomaisliittymän ohjelmointiohje. Java-esimerkki

Skosmos 0.6 esittely. Osma Suominen ONKI-projektin laajennetun projektiryhmän kokous

Googlen palvelut synkronoinnin apuna. Kampin palvelukeskus Jukka Hanhinen, Urho Karjalainen, Rene Tigerstedt, Pirjo Salo

Tilaajavastuu.fi. Muutoshistoria. Suomen Tilaajavastuu Oy. Raporttinoutaja Rajapinta yritysten tilaajavastuutietojen tarkistamiseen

Grid-hankkeita ja tulevaisuuden näkymiä

- ADFS 2.0 ja SharePoint 2010

1 Virtu IdP- palvelimen testiohjeet

Veronumero.fi Tarkastaja rajapinta

VMWare SRM kahdennetussa konesalipalvelussa. Kimmo Karhu Kymen Puhelin konserni Optimiratkaisut Oy

Nomis HelpDesk -ohjelmisto on työnohjausjärjestelmä Tukipalvelun liittymä Tapahtumien hallinta ja seuranta Omaisuuden hallinta Raportointi ja

Arkkitehtuuri. Ylätason sovellusarkkitehtuuri

Optime mitä opetushenkilöstön olisi hyvä tietää lukujärjestyssuunnittelusta

Novell Access Manager ja Novell Cloud Security Service Pekka Lindqvist Markku Wallgren

Jatkuvan oppimisen tunnistuspalvelu pähkinänkuoressa. Opetus- ja kulttuuriministeriö

Vaatimusmäärittely Ohjelma-ajanvälitys komponentti

SÄHKÖISET RAHTIKIRJAT - VISMA AUTOTRANSPORT

Turvapaketti Omahallinta.fi ka ytto ohje

Federointi-investoinnin tehokas hyödyntäminen Haka- ja Virtu-seminaarissa

IDP:n asennus Shibboleth asennuskoulutus Janne Lauros. CSC Tieteen tietotekniikan keskus Oy CSC IT Center for Science Ltd.

Transkriptio:

HY:n ehdotus käyttäjähallintotuotteesta (jota sovellettaisiin Teakiin) Versio 0.3 / 12.9.2008 Ismo Aulaskari HY siis aikoo markkinoida pakettia joihin kuuluisi HY:n konesalissaan ylläpitämä, varmuuskopioitu Linux(RHEL 5) -virtuaalipalvelin ja seuraavat HY:n ylläpitämät ohjelmistot (tai vaihtoehtoisesti varmaan ainakin jonkun muun ylläpitämä palvelin ja HY:n ylläpitämät käyttäjähallintoohjelmistot): Ldap-autentikointia tukeva Openldap-käyttäjähakemisto Web-hallinta-/kevytkäyttäjähallinto-automaatti joka ylläpitäisi Openldapin käyttäjätietoja ja tarjoaisi kaksisuuntaisia rajapintoja muiden järjestelmien (Teakin järjestelmät, Oodi) suuntaan (Henkilöstöjärjestelmää ei tarvitse tukea vähäisen henkilöstövaihtuvuuden vuoksi) Asennettujen ohjelmistojen lähdekoodit vähintään paketin hankkineille asiakkaille saataville, jos ei koko maailman nähtäväksi (jolloin ohjelmistopaketti olisi kaikkien saatavissa ilman tukisopimusta) Shibboleth Identity Provider ja HAKA-federaatiota tukeva tietosisältö Optioina autentikointi radiuksesta tai AD:sta attribuuttikyselyt Openldapista Openldapin, Shibbolethin ja käyttäjähallintosovelluksen vikasietoinen kahdennus Oodi opiskelijoiden synkronointi Oodista Openldapiin 2. vaihe Kevytkäyttäjähallintosovellus Rajapintoja -Oodi -muu Teakin AD -attribuuttikysely Shibboleth IDP Openldap -Luo -Muokkaa -Poista -Hae kaikki -Varmuuskopioi Teakin Radius -autentikointi Linux-palvelin

Openldap-hakemisto Openldap 2.3.x (toistaiseksi) Skeema funeteduperson 2.0-ehdot täyttävä (ja täten Shibboleth-yhteensopiva) Tarkistettava mitä attribuutteja halutut palvelut vaativat, ja miten ne Teakin ldapiin saadaan Oodin datan ja käsinsyötetyn varassa Mitä AD:sta saadaan nykyisistä käyttäjistä? HAKA-luottamusverkostojäsenyys asettaa tiukkoja vaatimuksia käyttäjähallinnon prosesseille Rajapinta (Ldap v.3) jonka kautta (jos ldap-autentikointi ohjataan Teakin Radiukseen) TLS-/LDAPS-suojattu simple bind-tunnistus Konfiguroitu slapd.conf-tekstitiedostolla Lokitus säädettävissä, normaalisti ldap-operaation tarkkuudella Ldap-hakemiston monitorointi? (HY:llä esim. Big Sister, Smokeping, Logwatch..) Mahdollisuus kahdentaa Openldap-palvelu Toimii vähin katkoin ilmankin

Shibboleth Identity Provider Shibboleth IDP 2.x FunetEduPerson 2.0 -yhteensopiva tietosisältö Liittymät Autentikointi Radius(tai Openldap/AD) Tietolähteinä ainakin Openldap Käyttäjähallinnon prosessit 2. vaihe Opiskelijoiden synkronointi Oodista Teakin määriteltävä ketkä ovat opiskelijoita Työntekijöiden/ulkopuolisten tunnusten ylläpito käsin? Voimassaolon/roolien valvonta Jos prosessit menevät käyttäjähallintosovelluksen kautta, säilyy kontrolli esim. uniikkeihin tunnuksiin Oodi Automaattinen opiskelijoiden synkronointi AD Kevytkäyttäjähallinto Käsin tehty henkilökunn an tunnusten ylläpito Henkilöstöosasto Massaluonti ADtunnusten pohjalta, myöhemmin toiseen suuntaan?

Kevytkäyttäjähallinto-automaatti J2EE5-alustalle (referenssisovelluspalvelimena Glassfish v2) Automaatti/automaatit joka huolehtii kerran vuorokaudessa vanhentuneiden käyttäjätunnusten poistosta/lukitsemisesta käyttäjätietokannan levylle dumppaamisen varmuuskopiointia varten On konfiguroitavissa tekstitiedostosta ldap-palvelimen ja ylläpitotunnuksen tiedot tuetut käyttäjätiedot käyttäjätunnuksen formaattifunktio/-luokka Periaatteessa kahdennettavissa sovelluspalvelinklusterilla Lokitus säädettävissä, monitorointi sovelluspalvelimella Web-käyttöliittymä sekä ehkä sivutuotteena syntyvä rajapinta (WS-I Basic Profile 1.1 -web service) HTTPS-yhteyden yli, jonka kautta uusien käyttäjätunnusten luonti Ldapiin käyttäjätunnusten tietojen muokkaaminen työsuhdetiedon päivitys, nimet hetu laitos voimassaolo vakanssi henkilönumero? rooli onko tämä kaksivaiheinen niin että henkilöstöjärjestelmästä tulevan tiedon/lisäyspyynnön perusteella luodaan ensin käyttäjä Openldapiin, jonka jälkeen Teakin ylläpito voi luoda sen perinteisin menetelmin AD:hen (ja tehdä autentikointikelpoiseksi)? Jos automaatti poistaa vanhentuneet tunnukset, mikä on prosessi henkilökunnan tietojen virkistämiseksi? Käyttöönoton massaluonti? käyttäjän/käyttäjien tietojen haku, myös kaikki käyttäjät XML-dumppina synkronointitarpeita ajatellen Omien käyttäjätietojen tarkistaminen web-lomakkeella Ylläpitäjänäkymä

Kartoitus attribuuteista LDAP-synkronoinnissa:

Kartoitus TeaK:in AD-hierarkiasta: Massaluonti AD->Openldap ainakin 1. vaiheessa Alla olevassa kuvassa näkyy AD:n rakenne. Normaalitunnukset luodaan haarojen TeaK ja TeaK_VAS alle. Henkilökunta Henkilokunta-haaraan ja opiskelijat Opiskelijat-haaraan. TeaK_VAS:ssa jako opiskelijoiden suhteen on tarkempi ja menee aloitusvuoden mukaan (TEAK00, TEAK01 jne.) Testitunnus oldap (Open Ldap) on TeaK/Henkilokunta-haarassa

Optiona Oodi-rajapinta (Web service, Oodin WS-määritelmien mukaan) seuraavien tietojen synkronointiin: opiskelijan henkilöllisyys nimet hetu opiskelijanumero opinto-oikeuden voimassaolo opintotiedot laitos koulutusohjelma pääaine rooli, Teakin määriteltävä ketkä ovat opiskelijoita tällä hetkellä student/employee-jako AD:n containereiden sisällön perusteella Optiona muu tarvittava organisaatiokohtainen integraatiorajapinta? REST, HTTPS POST? Tarvitaan tarkistuksia/massasynkronointi Teakin käyttölupajärjestelmästä, onko käyttäjä jo siellä olemassa Vierailijakevyttunnukset HY:n kevyttunnuksia, jotka pääsevät HY:n IDP:n kautta Teakin Shibboloituun Hupnetiin

Toteutettava seuraavaksi Käyttäjähallinto-automaatin attribuuttien jälkikäsittelysäännöt Käyttähallintoautomaatin web-käyttöliittymä Lupa aloittaa synkronoinnit Openldapiin Openldap autentikoimaan TeaK:n Radiuksesta Shibboleth-idp:n konfigurointi

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute