HY:n alustava ehdotus käyttäjähallintotuotteesta

Samankaltaiset tiedostot
HY:n alustava ehdotus käyttäjähallintotuotteesta

HY:n alustava ehdotus käyttäjähallintotuotteesta

HY:n ehdotus käyttäjähallintotuotteesta

HY:n ehdotus käyttäjähallintotuotteesta

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

HY:n ehdotus käyttäjähallintotuotteesta

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

Helsingi yliopiston kevytkäyttäjähallintosovellus ATIK projektille

HY:n ehdotus käyttäjähallintotuotteesta

Helsingi yliopiston kevytkäyttäjähallintosovelluksen rajapintakuvaus

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

Lähtöoletuksena on, että opiskelijarekisterin henkilötiedot ovat ajantasalla. Opiskelijoille myönnettyjä tunnuksia ei käytetä Haka-palveluissa.

Tunnistus ja roolipohjainen käyttöoikeuksien hallinta. Inspire-verkoston Yhteistyö-ryhmä

Vianova Systems Finland Oy:n Novapoint käytön tuki

1. Käyttäjätietokannan ja perusrekistereiden kytkentä 1.1. Opiskelijarekisteri

Keskitetty käyttäjähallinto. VirtAMK-yhteyshenkilöpäivät Turku Jarmo Sorvari TAMK

Julkishallinnon tunnistuksen ohjauspalvelun kehityshanke mitä PoC-vaihe on opettanut? Manne Miettinen, Henri Mikkonen ja Arto Tuomi

Energiapeili-raportointipalveluun rekisteröityminen kuluttaja-asiakkaana

Rekisteröityminen, tilojen varaaminen ja maksaminen WebTimmi varausjärjestelmässä

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

3. Kirjaudu sisään Pelipaikkaan jo olemassa olevilla tai äsken luoduilla tunnuksillasi

Kansallisen audiovisuaalisen instituutin käyttäjähallinnon kuvaus

Ajankohtaista tietoa LähiTapiolan verkkopalvelun pääkäyttäjille

Federoidun identiteetinhallinnan

Kotiorganisaation käyttäjähallinnon kuvaus (Poliisiammattikorkeakoulu ja Pelastusopisto)

Energiapeili-raportointipalveluun rekisteröityminen kuluttaja-asiakkaana

Käyttäjän tunnistus yli korkeakoulurajojen

Articles... 3 Käyttäjähallinnon kuvaus... 4 Unohtunut salasana... 6 Tunnusten käyttöönotto... 7 Ohjeita... 8

Kemikaalitieto yhdestä palvelusta

Haka-käyttäjien kokoontuminen Arto Tuomi CSC Tieteen tietotekniikan keskus

Opas administraattori-tason käyttäjille. MANAGERIX -ohjelman esittely... 2 Kirjautuminen... 2

Energiapeili-raportointipalveluun rekisteröityminen yritysasiakkaana

Luottamusverkosto. Shibboleth-asennuskoulutus CSC Tieteen tietotekniikan keskus Oy CSC IT Center for Science Ltd.

Maestro Lappeenranta Mannerheiminkatu Lappeenranta. Maestro Helsinki Huopalahdentie Helsinki

Federoidun identiteetinhallinnan periaatteet

Navigator ja Siemens ID

Keskustelusivusto. Suunnitteludokumentti

Verkostojen identiteetinhallinta. Haka-seminaari Kehityspäällikkö Sami Saarikoski Opetus- ja kulttuuriministeriö.

VTJ-YLLÄPITO. Vastuukäyttäjän ohje

AINA PALVELUPORTAALI

OHJE SENAATTILAN KÄYTTÄJÄKSI REKISTERÖITYMISTÄ VARTEN

TKK: Shibboleth toteutuksia ja projekteja. Markus Melin

Maestro Lappeenranta Mannerheiminkatu Lappeenranta. Maestro Helsinki Huopalahdentie Helsinki

Valtiokonttori Käyttöönotto 1 (6) suunnitelma Virtu Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

Lohtu-projekti. Testaussuunnitelma

Mobiilivarmenteen käyttö Helsingin yliopistossa. Ville Tenhunen, Juha Ojaluoma

OHJE SENAATTILAN KÄYTTÄJÄKSI REKISTERÖITYMISTÄ VARTEN

Sähköinen tunnistus korkeakouluissa. TieVie-lähiseminaari Mikael Linden Tieteen tietotekniikan keskus CSC

Veronumero.fi Tarkastaja rajapinta

Kemikaalitieto yhdestä palvelusta

VETUMA rekisteröityminen

Energiapeili-raportointipalveluun rekisteröityminen yritysasiakkaana

AsioEduERP v12 - Tietoturvaparannukset

Kotiorganisaation käyttäjähallinnon kuvaus. 1. Käyttäjätietokannan ja perusrekistereiden kytkentä

Terveydenhuollon ATK päivät TURKU

Kotiorganisaation käyttäjähallinnon kuvaus (Karelia)

Kotiorganisaation käyttäjähallinnon kuvaus

Kotiorganisaation käyttäjähallinnon kuvaus

Käyttäjähallintokoulu Mikael Linden tieteen tietotekniikan keskus CSC

VTJ-YLLÄPITO. Käyttäjän ohje Kunnat

CSC - Tieteen tietotekniikan keskus

Kaislanet-käyttöohjeet

Shibboleth-projekti. Tampereen teknillinen yliopisto / Digitaalisen median instituutti / Hypermedialaboratorio

PalloVerkko. PalloVerkon käyttöohje

Opas Logitech Harmony 525 asennusohjelmistoon

Käyttäjähallintapalvelun REST-rajapinnat

Haka-palveluiden valvonta ja tilastointi AAIEye -työkalun avulla. Mika Suvanto, CSC

Kotiorganisaation käyttäjähallinnon kuvaus

OnniSMS Rajapintakuvaus v1.1

Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

Turvapaketti Omahallinta.fi ka ytto ohje

Käyttöohje. Visy Access Net UPM

PALVELUKUVAUS OHJELMISTOTALOILLE SAMLINK VARMENNEPALVELU

Helsingin yliopiston wikipalvelu. Esityksen sisältö. Mikä on wiki?

Käyttöohje. Ticket Inspector. Versio 1.0. Sportum Oy

Ajankohtaista identiteetinhallinnassa. IT-päivät Mikael Linden CSC Tieteen tietotekniikan keskus Oy

OPAS KULTA2 -JÄRJESTELMÄN KÄYTTÖÖN

WinhaWille-opas opiskelijoille

Käyttöohje Suomen Pankin DCS2-järjestelmään rekisteröityminen

Sähköisen asioinnin demo

Valtiokonttorin tunnistuspalvelu

opiskelijan ohje - kirjautuminen

Sopimuslomake Net. Rakennus ja kiinteistöalan lomakepalvelu. 1. Rekisteröityminen kannattaa aina

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

1 Asiakastilin rekisteröiminen Väestörekisterikeskuksen

LUPAHANKKEET RAKENNUSVALVONNAN SAHKÖISESSÄ ASIOINTIPALVELUSSA

Keskitetty käyttäjähallinto

Opinajan käytön aloittaminen koulussa/oppilaitoksessa

Tikon Ostolaskujenkäsittely/Web-myyntilaskutus versio 6.4.0

Tiedonsiirto Primus-oppilashallintojärjestelmästä Sanoma Prolle

Käyttäjähallinta liiketoiminnan selkärankana. Ratkaisuna LDAP-hakemistot

ARVI -järjestelmän ohje koulutuksen järjestäjän pääkäyttäjälle Jaakko Okkeri

Kansallinen ORCiD yhdistämispalvelu

YLEISIÄ ASIOITA PALVELUN KÄYTÖSTÄ

Virkamiehen tunnistamisen luottamusverkosto Virtu vapauttaa salasanaviidakosta Kotiviraston näkökulma

Uudistettu käyttöliittymä osoitteessa

Turvapaketti Asennusohje

Transkriptio:

HY:n alustava ehdotus käyttäjähallintotuotteesta (jota sovellettaisiin Atikiin) Versio 1.3 / 27.9.2008 Ismo Aulaskari HY siis aikoo markkinoida pakettia joihin kuuluisi HY:n konesalissaan ylläpitämä, varmuuskopioitu Linux(RHEL 5) virtuaalipalvelin ja seuraavat HY:n ylläpitämät ohjelmistot (tai vaihtoehtoisesti varmaan ainakin jonkun muun ylläpitämä palvelin ja HY:n ylläpitämät käyttäjähallintoohjelmistot): Ldap autentikointia tukeva Openldap käyttäjähakemisto Kevytkäyttäjähallinto automaatti joka ylläpitäisi Openldapin käyttäjätietoja ja tarjoaisi kaksisuuntaisia rajapintoja muiden järjestelmien (kuten Atik, korkeakoulujen järjestelmät, Oodi) suuntaan Asennettujen ohjelmistojen lähdekoodit vähintään paketin hankkineille asiakkaille saataville, jos ei koko maailman nähtäväksi (jolloin ohjelmistopaketti olisi kaikkien saatavissa ilman tukisopimusta) Optioina (jotka nyt Atikin yhteydessä käytetään) Web käyttöliittymä kevytkäyttäjähallintoautomaatille Vetuma pohjainen tunnistus, käyttäjän rekisteröinti ja salasanan uusiminen, joka on irrallinen moduuli Atik järjestelmästä Perustason käyttäjä ja virkailijaroolien hallinta kevytkäyttähallintoautomaatissa (irrallinen Atik järjestelmästä) Muina optioina (jotka eivät ole välttämättömiä) Shibboleth Identity Provider ja HAKA federaatiota tukeva tietosisältö Ldapin kahdennus (Shibbolethin kahdennusta ei ole HY:llä testattu mutta teoriassa se on mahdollista)

ATIK luo uusi hae muokkaa Rajapintoja Web liitymä LDAP massatuonti esim. Oodista tai käyttölupajär jestelmästä autentikoi hae käyttäjä Kevytkäyttäjähallintosovellus Openldap / Shibboleth IDP Poista Hae kaikki Muokkaa Yliopiston autentikointijärjestelmä Linux palvelin

Yhden tunnuksen politiikan toteuttaminen Ajateltu tässä versiossa tehdä niin että kaikki tunnistukset menevät Openldapin kautta, ja yliopiston tunnusten autentikointi ohjataan openldapista yliopiston Radiukseen, LDAPiin tai muuhun toteutettavaan rajapintaan, käyttäen Openldapkotitekoinen perl demoni siltaa joka on HY:llä tuotantokäytössä Yliopiston olemassaolevista tunnuksista luodaan kopio ATIK tietokantaan saman käyttäjän ATIK tunnukseksi Osaako ATIK ohjata käyttäjän Openldapin kohtaan riippuen siitä onko kysessä yliopiston tunnus, vai toteutetaanko tuki tälle ohjaukselle Openldapiin? Openldap hakemisto Jälkimmäinen vaihtoehto mahdollistaa käyttäjähallinnon helpomman kytkennän ATIK järjestelmään ja voidaan toteuttaa esim. Ldap attribuutin joka jakaa käyttäjät ATIK käyttäjiin ja yliopiston käyttäjiin avulla Skeematuki vähintään attribuuteille uid (käyttäjätunnus) cn (koko nimi muodossa etunimet sukunimi) userpassword (käyttäjän salasanatiiviste) käyttäjän roolit jos tieto on Atik järjestelmästä saatavilla onko opinto oikeutta voimassa tarkempia rooleja, esim. Virkailijastatus eduperson roolit (esim. Vetuma 2.1 VTJ kyselyn avulla): hetu sähköposti givenname (etunimet) sn (sukunimi) voimassaolon loppupvm luontipvm muut tarvittavat tiedot (rajaus Atikin ja käyttölupajärjestelmän välillä) Laskutus? opinnot/ilmoittautumiset? opinto oikeuden pituus? Näitä tuskin tarvitaan käyttäjähallintosovelluksessa, paitsi jos halutaan käyttää niitä rooleina hienojakoiseen auktorisointiin

Skeema laajennettavissa funeteduperson 2.0 ehdot täyttäväksi (ja täten Shibboleth yhteensopivaksi) Mahdollinen HAKA luottamusverkostojäsenyys asettaa tiukkoja vaatimuksia käyttäjähallinnon prosesseille Mahdollisuus kahdentaa Openldap palvelu vikasiedon/kuormantasauksen kannalta Toimii vähin katkoin ilmankin Mahdollisuus Shibboleth Identity Providerin asentamiseen Tarvitaan tuki Shibboleth autentikointiin Rajapinta (Ldap v.3) jonka kautta TLS /LDAPS suojattu simple bind tunnistus käyttäjätunnus menee (ainakin tilapäisesti) lukkoon liian monen epäonnistuneen yrityksen jälkeen yksittäisen käyttäjän tietojen haku (joissain rajatapauksissa on mahdollista sallia koko tietokannan haku Ldap protokollan yli, tätä ei kuitenkaan suositella) esim. Käyttäjän roolin kysely teoriassa voitaisiin sallia käyttäjien luonti ja muokkaaminen Ldap protokollan yli, ohi käyttölupa automaatin, salasanaresetointi nämä kuitenkin parempi toteuttaa käyttäjähallintosovelluksen kautta Konfiguroitu tekstitiedostolla Lokitus säädettävissä, normaalisti ldap operaation tarkkuudella Ldap hakemiston monitorointi? (HY:llä esim. Big Sister, Smokeping, Logwatch..)

Kevytkäyttäjähallinto automaatti J2EE5 alustalle (referenssisovelluspalvelimena Glassfish v2) Automaatti/automaatit joka huolehtii kerran vuorokaudessa vanhentuneiden käyttäjätunnusten poistosta/lukitsemisesta käyttäjätietokannan levylle dumppaamisen varmuuskopiointia varten On konfiguroitavissa tekstitiedostosta ldap palvelimen ja ylläpitotunnuksen tiedot tuetut käyttäjätiedot käyttäjätunnuksen formaattifunktio/ luokka Periaatteessa kahdennettavissa sovelluspalvelinklusterilla Lokitus säädettävissä sovelluspalvelimella, monitorointi sovelluspalvelimella Rajapinta (WS I Basic Profile 1.1 web service) HTTPS yhteyden yli, jonka kautta uusien käyttäjätunnusten luonti Ldapiin käyttäjätunnusten tietojen muokkaaminen roolin (opiskelija/ei opiskelija, virkailija) päivitys salasanan resetointi? käyttäjän/käyttäjien tietojen haku käyttäjän rooli(e)n kysely myös kaikki käyttäjät XML dumppina synkronointitarpeita ajatellen Optiona Oodi rajapinta (Web service, Oodin WS määritelmien mukaan) seuraavien tietojen synkronointiin: opiskelijan vanhojen opiskelutietojen katselu ei ilmeisesti kuulu käyttäjähallintosovelluksen piiriin vaan Atikiin Optiona muu tarvittava organisaatiokohtainen integraatiorajapinta? REST, HTTPS POST? Tarvitaan tarkistuksia yliopiston käyttölupajärjestelmästä, onko käyttäjä jo siellä olemassa

Optiona web liittymä käyttäjätietojen ylläpitoon (liittyy tuotteen muihin käyttömahdollisuuksiin) tarpeita voi tulla myöhemmin käyttäjät jotka eivät voi VETUMA tunnistautua, rekisteröinti, tietojen muuttaminen? käyttäjä/virkailijaroolien ylläpito rooleja rajallinen, harvoin muuttuva joukko, joita kontrolloidaan käyttäjähallinnon puolella ldapissa yksinkertaisuussyistä? Käyttäjän rooleja säilytetään käyttäjähallinnon puolella ATIKkäyttäjäobjekteissa Ldapissa käyttäjällä voi olla monta roolia roolien muokkamiset ws rajapinnan kautta Omien käyttäjätietojen tarkistaminen web lomakkeella Atikin ominaisuus muokkausmahdollisuus myös Atikissa Optiona Vetuma autentikointi osion toteuttaminen Luvan luonti openldapiin Salasanaresetointi (vain Atik tunnuksille, ei yliopiston) Tunnistuksia rajattu määrä/viikko/hetu/ip? Kirjautumiskäyttöliittymä tarjoaa vaihtoehdot: kirjautuminen yliopiston tunnuksilla kirjautuminen ATIK tunnuksilla unohtunut tunnus/unohtunut salasana/uuden tunnuksen rekisteröinti Kun käyttäjä yrittää luoda tunnusta, jos Atik tunnus jo olemassa kerrotaan käyttäjälle käyttäjätunnus, jos ei muista ohjataan salasanaresetointiin Tarkistus onko käyttäjällä tunnusta kotiyliopistossa, henkilötunnuksen perusteella Vetuma tunnistamisen jälkeen ei tarvitse luoda käyttäjälle sessiota ATIKjärjestelmään, vaan on ok että käyttäjä kirjautuu ATIKiin saatuaan VETUMAlla tunnuksen ja salasanan.

Atik käyttölupajärjestelmän prosessit (löyhä hahmotelma) Kevytkäyttäjähallinnon tarjoamat kutsutyypit ja vastaukset: Käyttäjä yrittää kirjautua(tunnus, salasana) ok palautetaan ok väärä tunnus tai salasana palautetaan epäonnistuminen, Atikin tarjottava käyttäjälle linkit seuraaviin: Tunnus olemassa(sukunimi, hetu) Rekisteröidy Ei tunnusta Rekisteröidy Rekisteröidy(sukunimi, hetu) Vetuma tunnistus saadaan varmistettu hetu, Luodaan tunnus palautetaan käyttäjätunnus, tarjotaan opastusta tunnuksista Käyttäjä yrittää kirjautua uudestaan tarjotaan Salasanan resetointia Luodaan tunnus(varmennettu hetu, etunimi, sukunimi, rooli, voimassaolon loppupvm, mail?) palauttaa luodun käyttäjätunnuksen Tunnus olemassa(sukunimi,hetu) palauttaa tunnuksen tai ilmoituksen sen puuttumisesta Salasanan resetointi Vetuma tunnistus varmennetulla hetulla etsitään käyttäjän tunnus, ja annetaan vaihtaa sen salasana Muokkaa tunnusta(tunnus, rooli, henkilötiedot) Poista tunnus(tunnus) Hae tunnuksia(ldap kysely) Roolien kysely(tunnus)

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute