HY:n ehdotus käyttäjähallintotuotteesta

Samankaltaiset tiedostot
HY:n ehdotus käyttäjähallintotuotteesta

HY:n ehdotus käyttäjähallintotuotteesta

HY:n alustava ehdotus käyttäjähallintotuotteesta

HY:n alustava ehdotus käyttäjähallintotuotteesta

HY:n alustava ehdotus käyttäjähallintotuotteesta

HY:n ehdotus käyttäjähallintotuotteesta

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

Helsingi yliopiston kevytkäyttäjähallintosovellus ATIK projektille

Helsingi yliopiston kevytkäyttäjähallintosovelluksen rajapintakuvaus

Helsingin yliopiston wikipalvelu. Esityksen sisältö. Mikä on wiki?

Keskitetty käyttäjähallinto. VirtAMK-yhteyshenkilöpäivät Turku Jarmo Sorvari TAMK

TKK: Shibboleth toteutuksia ja projekteja. Markus Melin

Haka-käyttäjien kokoontuminen Arto Tuomi CSC Tieteen tietotekniikan keskus

Julkishallinnon tunnistuksen ohjauspalvelun kehityshanke mitä PoC-vaihe on opettanut? Manne Miettinen, Henri Mikkonen ja Arto Tuomi

Käyttäjän tunnistus yli korkeakoulurajojen

Luottamusverkosto. Shibboleth-asennuskoulutus CSC Tieteen tietotekniikan keskus Oy CSC IT Center for Science Ltd.

Lähtöoletuksena on, että opiskelijarekisterin henkilötiedot ovat ajantasalla. Opiskelijoille myönnettyjä tunnuksia ei käytetä Haka-palveluissa.

1. Käyttäjätietokannan ja perusrekistereiden kytkentä 1.1. Opiskelijarekisteri

EMVHost Online SUBJECT: EMVHOST ONLINE CLIENT - AUTOMAATTISIIRROT COMPANY: EMVHost Online Client sovelluksen käyttöohje AUTHOR: DATE:

Järjestelmäarkkitehtuuri (TK081702)

Mobiilivarmenteen käyttö Helsingin yliopistossa. Ville Tenhunen, Juha Ojaluoma

Kotiorganisaation käyttäjähallinnon kuvaus (Poliisiammattikorkeakoulu ja Pelastusopisto)

Uloskirjautuminen Shibbolethissa

Haka-palveluiden valvonta ja tilastointi AAIEye -työkalun avulla. Mika Suvanto, CSC

Tiedonsiirto- ja rajapintastandardit

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

Käyttäjähallintokoulu Mikael Linden tieteen tietotekniikan keskus CSC

VIRTA tiedonsiirtotavan kehittäminen - Eräsiirrosta inkrementaaliseen tiedonsiirtoon

egradu & Muuntaja Ylemmän tutkintovaiheen opinnäytetöiden elektroninen arkistoiminen ja esilletuonti

Tikon Ostolaskujenkäsittely/Web-myyntilaskutus versio 6.3.0

VYPEdit verkkosivualusta SVY-toimijoille

Haka MFA-työpaja

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

Tikon Ostolaskujenkäsittely/Web-myyntilaskutus versio 6.4.0

Keskustelusivusto. Suunnitteludokumentti

Kansallinen ORCiD yhdistämispalvelu

Keskitetty käyttäjähallinto

Valtiokonttori Käyttöönotto 1 (6) suunnitelma Virtu Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

Tietoturvan haasteet grideille

Julkaisukanava-hankkeen DSpacen shibbolointi

ZENworks Application Virtualization 11

Pilottipalvelun esittely johtopäätökset

Federoidun identiteetinhallinnan

Attribuutti-kyselypalvelu

MatTaFi projektin HAKA-pilotti

Kotiorganisaation käyttäjähallinnon kuvaus (Karelia)

Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

Verkostojen identiteetinhallinta. Haka-seminaari Kehityspäällikkö Sami Saarikoski Opetus- ja kulttuuriministeriö.

AsioEduERP v12 - Tietoturvaparannukset

Tunnistus ja roolipohjainen käyttöoikeuksien hallinta. Inspire-verkoston Yhteistyö-ryhmä

Articles... 3 Käyttäjähallinnon kuvaus... 4 Unohtunut salasana... 6 Tunnusten käyttöönotto... 7 Ohjeita... 8

Valppaan asennus- ja käyttöohje

Tietoturvan haasteet grideille

Palvelun rekisteröinti Virtu - luottamusverkostoon / testipalveluun

IdP SaaS Palveluna Miksi sitä tarvitaan? Mikä se on? Kenelle se on tarkoitettu? 2009 Tieto Corporation 2/5/2010

Asio-Exchange-liitännän kuvaus

Googlen palvelut synkronoinnin apuna. Kampin palvelukeskus Jukka Hanhinen, Urho Karjalainen, Rene Tigerstedt, Pirjo Salo

Käyttöohje Planeetta Internet Oy

Pilvi 9.0. Arkkitehtuuri. Esimerkki arkkitehtuurit

Ohje kehitysympäristöstä. Dokumentti: Ohje kehitysympäristöstä.doc Päiväys: Projekti : AgileElephant

Inspire-prosessin tilannekatsaus 01 / 2012

Aalto yliopiston sähköisen asioinnin ja asiankäsittelyn alusta eage-järjestelmä

Sisältö IT Linux 2001:n uudet ominaisuudet IT Linux 2001:n yhteensopivuus Red Hat 7.0:n kanssa Asennuksen valmistelu

VMWare SRM kahdennetussa konesalipalvelussa. Kimmo Karhu Kymen Puhelin konserni Optimiratkaisut Oy

Sähköinen tunnistus korkeakouluissa. TieVie-lähiseminaari Mikael Linden Tieteen tietotekniikan keskus CSC


OP Tunnistuksen välityspalvelu

Shibboleth-projekti. Tampereen teknillinen yliopisto / Digitaalisen median instituutti / Hypermedialaboratorio

Veronumero.fi Tarkastaja rajapinta

Rajapintapalveluiden toteutusvaihtoehdot ja tilaaminen. Kunnat ja Inspire koulutus Jani Kylmäaho

1 Virtu IdP- palvelimen testiohjeet

Outlookin konfigurointi. Huoltamosähköposti Sonerahosted

Käyttöönottosuunnitelma Virtu-palveluntarjoajalle

StudentaPluS. AIKE Oy. Opiskelijahallinnosta toiminnanohjaukseen, raportoinnista prosessien ohjaukseen

Jatkuvan oppimisen tunnistuspalvelu pähkinänkuoressa. Opetus- ja kulttuuriministeriö

Objective Marking. Taitaja 2014 Lahti. Skill Number 205 Skill Tietokoneet ja verkot Competition Day 1. Competitor Name

Federoidun identiteetinhallinnan periaatteet

Arkkitehtuuri. Ylätason sovellusarkkitehtuuri

Taitaja 2015 Windows finaalitehtävä

Palvelemme arkisin klo. 08:00-17:00

Virtuaalityöpöydät (VDI) opintohallinnon järjestelmien käyttöympäristönä.

Kytkentäopas. Tuetut käyttöjärjestelmät. Tulostimen asentaminen. Kytkentäopas

XPages käyttö ja edut Jarkko Pietikäinen toimitusjohtaja, Netwell Oy

Aditro Tikon ostolaskujen käsittely versio 6.2.0

Ohje: Identiteetin hallinnan tietoturvatasot (LUONNOS)

Netvisor matkalaskuliittymä

Freemover / Visiting student opinto-oikeuden rekisteröiminen

Palvelun Asettaminen Virtuun

VTJkysely-palvelu. Sovelluskyselyiden rajapintakuvaus

Käyttäjähallintapalvelun REST-rajapinnat

EASY PILVEN Myynnin opas - Storage IT

Skosmos 0.6 esittely. Osma Suominen ONKI-projektin laajennetun projektiryhmän kokous

Päivittäisraportit. Oodi-päivät

Järjestelmäraportti. X-Road.eu versio 5.x. Tiedoston nimi Järjestelmäraportti X-RoadEU.docx Tekijä. Mikael Puusa Hyväksyjä. Tuula Kanerva Tila

Facta Kuntarekisteri. Facta 4.0 asennus testiin ja tuotantoon. Helsingin kaupunki

Kurssien lukulistojen ylläpito Nellissä ja siirto Moodleen

Transkriptio:

HY:n ehdotus käyttäjähallintotuotteesta (jota sovellettaisiin Teakiin) Versio 0.4 / 16.10.2008 Ismo Aulaskari HY siis markkinoi pakettia joihin kuuluisi HY:n konesalissaan ylläpitämä, varmuuskopioitu Linux(RHEL 5) -virtuaalipalvelin ja seuraavat HY:n ylläpitämät ohjelmistot (tai vaihtoehtoisesti varmaan ainakin jonkun muun ylläpitämä palvelin ja HY:n ylläpitämät käyttäjähallintoohjelmistot): Web-hallinta-/kevytkäyttäjähallinto-automaatti joka ylläpitäisi Openldapin käyttäjätietoja ja tarjoaisi alussa yksisuuntaisia, myöhemmin mahdollisesti kaksisuuntaisia rajapintoja muiden järjestelmien (Teakin järjestelmät, Oodi) suuntaan (Henkilöstöjärjestelmää ei tarvitse tukea vähäisen henkilöstövaihtuvuuden vuoksi) Asennettujen ohjelmistojen lähdekoodit saatetaan vähintään paketin hankkineille asiakkaille saataville, jos ei koko maailman nähtäväksi (jolloin ohjelmistopaketti olisi kaikkien saatavissa ilman tukisopimusta) Shibboleth Identity Provider ja HAKA-federaatiota tukeva tietosisältö Optioina autentikointi Radiuksesta attribuuttikyselyt Openldapista Openldapin, Shibbolethin ja käyttäjähallintosovelluksen vikasietoinen kahdennus, tällä hetkellä palvelut ei kahdennettuna mutta vikasietoisessa virtuaalikoneympäristössä Oodi opiskelijoiden synkronointi Oodista Openldapiin 2. vaihe Ldap-autentikointia ja Radiusautentikointiin kytkeytymistä tukeva Openldapkäyttäjähakemisto Kevytkäyttäjähallintosovellus Rajapintoja -Oodi -AD -Webliittymä Teakin AD -attribuuttikysely Shibboleth IDP (HAKA) Openldap -Luo -Muokkaa -Poista -Hae kaikki -Varmuuskopioi Teakin Radius -autentikointi Linux-palvelin

Openldap-hakemisto Openldap 2.3.x (toistaiseksi) Skeema funeteduperson 2.0-ehdot täyttävä (ja täten Shibboleth-yhteensopiva) Tarkistettava mitä attribuutteja halutut palvelut vaativat, ja miten ne Teakin ldapiin saadaan Oodin datan ja käsinsyötetyn varassa Mitä AD:sta saadaan nykyisistä käyttäjistä HAKA-luottamusverkostojäsenyys asettaa tiukkoja vaatimuksia käyttäjähallinnon prosesseille Rajapinta (Ldap v.3) jonka kautta TLS-/LDAPS-suojattu simple bind-tunnistus tavallisten käyttäjien LDAP-autentikointi ohjataan Teakin Radiukseen Konfiguroitu slapd.conf-tekstitiedostolla Lokitus säädettävissä, normaalisti ldap-operaation tarkkuudella Ldap-hakemiston monitorointi? (HY:llä esim. Big Sister, Smokeping, Logwatch..) HY:n ylläpitämä Mahdollisuus kahdentaa Openldap-palvelu Toimii vähin katkoin ilmankin

Shibboleth Identity Provider Shibboleth IDP 2.x FunetEduPerson 2.0 -yhteensopiva tietosisältö Liittymät Autentikointi Openldap Tietolähteinä ainakin Openldap HY:n ylläpitämä Käyttäjähallinnon prosessit 2. vaihe Opiskelijoiden synkronointi Oodista Teakin määriteltävä ketkä ovat opiskelijoita Työntekijöiden/ulkopuolisten tunnusten ylläpito käsin/webliittymällä Voimassaolon/roolien valvonta vuorokausittain Jos prosessit menevät käyttäjähallintosovelluksen kautta, säilyy kontrolli esim. uniikkeihin tunnuksiin Oodi Automaattinen opiskelijoiden synkronointi 2. vaihe AD Kevytkäyttäjähallinto Käsin tehty henkilökunn an tunnusten ylläpito Henkilöstöosasto Massaluonti ADtunnusten pohjalta, myöhemmin toiseen suuntaan?

Kevytkäyttäjähallinto-automaatti J2EE5-alustalle (referenssisovelluspalvelimena Glassfish v2) Automaatti/automaatit joka huolehtii kerran vuorokaudessa vanhentuneiden käyttäjätunnusten poistosta/lukitsemisesta käyttäjätietokannan levylle dumppaamisen varmuuskopiointia varten On konfiguroitavissa tekstitiedostosta ldap-palvelimen ja ylläpitotunnuksen tiedot tuetut käyttäjätiedot käyttäjätunnuksen formaattifunktio/-luokka HY:n ylläpitämä Periaatteessa kahdennettavissa sovelluspalvelinklusterilla Lokitus säädettävissä, monitorointi sovelluspalvelimella Web-käyttöliittymä sekä ehkä sivutuotteena syntyvä rajapinta (WS-I Basic Profile 1.1 -web service) HTTPS-yhteyden yli, jonka kautta uusien käyttäjätunnusten luonti Ldapiin käyttäjätunnusten tietojen muokkaaminen työsuhdetiedon päivitys, nimet hetu laitos voimassaolo vakanssi henkilönumero? rooli onko tämä kaksivaiheinen niin että henkilöstöjärjestelmästä tulevan tiedon/lisäyspyynnön perusteella luodaan ensin käyttäjä Openldapiin, jonka jälkeen Teakin ylläpito voi luoda sen perinteisin menetelmin AD:hen (ja tehdä autentikointikelpoiseksi)? Jos automaatti poistaa vanhentuneet tunnukset, mikä on prosessi henkilökunnan tietojen virkistämiseksi? Käyttöönoton massaluonti? käyttäjän/käyttäjien tietojen haku, myös kaikki käyttäjät XML-dumppina synkronointitarpeita ajatellen Omien käyttäjätietojen tarkistaminen web-lomakkeella Ylläpitäjänäkymä

Kartoitus attribuuteista LDAP-synkronoinnissa:

Kartoitus TeaK:in AD-hierarkiasta: Massaluonti AD->Openldap ainakin 1. vaiheessa Alla olevassa kuvassa näkyy AD:n rakenne. Normaalitunnukset luodaan haarojen TeaK ja TeaK_VAS alle. Henkilökunta Henkilokunta-haaraan ja opiskelijat Opiskelijat-haaraan. TeaK_VAS:ssa jako opiskelijoiden suhteen on tarkempi ja menee aloitusvuoden mukaan (TEAK00, TEAK01 jne.) Testitunnus oldap (Open Ldap) on TeaK/Henkilokunta-haarassa. Tunnukset synkronoidaan Openldapiin litteään hierarkiaan uniikkina avaimena samaccountname-attribuutti, duplikaattien tapauksessa tietoja yhdistellen.

Optiona Oodi-rajapinta (Web service, Oodin WS-määritelmien mukaan) seuraavien tietojen synkronointiin: opiskelijan henkilöllisyys nimet hetu opiskelijanumero opinto-oikeuden voimassaolo opintotiedot laitos koulutusohjelma pääaine rooli, Teakin määriteltävä ketkä ovat opiskelijoita tällä hetkellä member/student/employee-jako AD:n containereiden sisällön perusteella, mutta tarkemmat kyselyt voivat olla mahdollisia Optiona muu tarvittava organisaatiokohtainen integraatiorajapinta? REST, HTTPS POST? Tarvitaan tarkistuksia/massasynkronointi Teakin käyttölupajärjestelmästä, onko käyttäjä jo siellä olemassa Vierailijakevyttunnukset HY:n kevyttunnuksia, jotka pääsevät HY:n IDP:n kautta Teakin Shibboloituun Hupnetiin

Toteutettu testaus-/tuotannon aloittamisvalmiuteen Käyttäjähallinto-automaatin attribuuttien jälkikäsittelysäännöt Käyttähallintoautomaatin web-käyttöliittymä Lupa aloittaa synkronoinnit Openldapiin Openldap autentikoimaan TeaK:n Radiuksesta Shibboleth-idp:n konfigurointi Kunhan saadaan TeaKin käyttäjien henkilötunnukset järjestelmään, on IDP jo paljon monikäyttöisempi Seuraavassa vaiheessa Oodi-rajapinnan toteuttaminen

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute