HY:n ehdotus käyttäjähallintotuotteesta

Samankaltaiset tiedostot
HY:n alustava ehdotus käyttäjähallintotuotteesta

HY:n alustava ehdotus käyttäjähallintotuotteesta

HY:n alustava ehdotus käyttäjähallintotuotteesta

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

HY:n ehdotus käyttäjähallintotuotteesta

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

Helsingi yliopiston kevytkäyttäjähallintosovellus ATIK projektille

HY:n ehdotus käyttäjähallintotuotteesta

HY:n ehdotus käyttäjähallintotuotteesta

Helsingi yliopiston kevytkäyttäjähallintosovelluksen rajapintakuvaus

Keskitetty käyttäjähallinto. VirtAMK-yhteyshenkilöpäivät Turku Jarmo Sorvari TAMK

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

Federoidun identiteetinhallinnan

Käyttäjän tunnistus yli korkeakoulurajojen

Luottamusverkosto. Shibboleth-asennuskoulutus CSC Tieteen tietotekniikan keskus Oy CSC IT Center for Science Ltd.

Lähtöoletuksena on, että opiskelijarekisterin henkilötiedot ovat ajantasalla. Opiskelijoille myönnettyjä tunnuksia ei käytetä Haka-palveluissa.

Julkishallinnon tunnistuksen ohjauspalvelun kehityshanke mitä PoC-vaihe on opettanut? Manne Miettinen, Henri Mikkonen ja Arto Tuomi

Verkostojen identiteetinhallinta. Haka-seminaari Kehityspäällikkö Sami Saarikoski Opetus- ja kulttuuriministeriö.

Federoidun identiteetinhallinnan periaatteet

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

Tunnistus ja roolipohjainen käyttöoikeuksien hallinta. Inspire-verkoston Yhteistyö-ryhmä

Kansallisen audiovisuaalisen instituutin käyttäjähallinnon kuvaus

Ajankohtaista tietoa LähiTapiolan verkkopalvelun pääkäyttäjille

1. Käyttäjätietokannan ja perusrekistereiden kytkentä 1.1. Opiskelijarekisteri

Articles... 3 Käyttäjähallinnon kuvaus... 4 Unohtunut salasana... 6 Tunnusten käyttöönotto... 7 Ohjeita... 8

Rekisteröityminen, tilojen varaaminen ja maksaminen WebTimmi varausjärjestelmässä

3. Kirjaudu sisään Pelipaikkaan jo olemassa olevilla tai äsken luoduilla tunnuksillasi

Keskitetty käyttäjähallinto

Haka-käyttäjien kokoontuminen Arto Tuomi CSC Tieteen tietotekniikan keskus

Maestro Lappeenranta Mannerheiminkatu Lappeenranta. Maestro Helsinki Huopalahdentie Helsinki

Sähköinen tunnistus korkeakouluissa. TieVie-lähiseminaari Mikael Linden Tieteen tietotekniikan keskus CSC

Terveydenhuollon ATK päivät TURKU

Vianova Systems Finland Oy:n Novapoint käytön tuki

Kotiorganisaation käyttäjähallinnon kuvaus (Poliisiammattikorkeakoulu ja Pelastusopisto)

TKK: Shibboleth toteutuksia ja projekteja. Markus Melin

Maestro Lappeenranta Mannerheiminkatu Lappeenranta. Maestro Helsinki Huopalahdentie Helsinki

Kotiorganisaation käyttäjähallinnon kuvaus

Kotiorganisaation käyttäjähallinnon kuvaus

Kemikaalitieto yhdestä palvelusta

Käyttäjähallintokoulu Mikael Linden tieteen tietotekniikan keskus CSC

Energiapeili-raportointipalveluun rekisteröityminen kuluttaja-asiakkaana

AsioEduERP v12 - Tietoturvaparannukset

Virkamiehen tunnistamisen luottamusverkosto Virtu vapauttaa salasanaviidakosta Kotiviraston näkökulma

CSC - Tieteen tietotekniikan keskus

Kotiorganisaation käyttäjähallinnon kuvaus. 1. Käyttäjätietokannan ja perusrekistereiden kytkentä

Opas administraattori-tason käyttäjille. MANAGERIX -ohjelman esittely... 2 Kirjautuminen... 2

Mobiilivarmenteen käyttö Helsingin yliopistossa. Ville Tenhunen, Juha Ojaluoma

Energiapeili-raportointipalveluun rekisteröityminen kuluttaja-asiakkaana

Käyttöohje. Ticket Inspector. Versio 1.0. Sportum Oy

Helsingin yliopiston wikipalvelu. Esityksen sisältö. Mikä on wiki?

VTJ-YLLÄPITO. Vastuukäyttäjän ohje

Valtiokonttori Käyttöönotto 1 (6) suunnitelma Virtu Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

Kemikaalitieto yhdestä palvelusta

Navigator ja Siemens ID

Lohtu-projekti. Testaussuunnitelma

VirtuaaliAMK ajankohtaista Yhteyshenkilöpäiv

Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

VTJ-YLLÄPITO. Käyttäjän ohje Kunnat

Keskustelusivusto. Suunnitteludokumentti

Kansallinen ORCiD yhdistämispalvelu

Tikon Ostolaskujenkäsittely/Web-myyntilaskutus versio 6.4.0

Veronumero.fi Tarkastaja rajapinta

Kotiorganisaation käyttäjähallinnon kuvaus (Karelia)

Energiapeili-raportointipalveluun rekisteröityminen yritysasiakkaana

ARVI -järjestelmän ohje koulutuksen järjestäjän pääkäyttäjälle Jaakko Okkeri

OHJE SENAATTILAN KÄYTTÄJÄKSI REKISTERÖITYMISTÄ VARTEN

Käyttöohje. Visy Access Net UPM

Kotiorganisaation käyttäjähallinnon kuvaus

PALVELUKUVAUS OHJELMISTOTALOILLE SAMLINK VARMENNEPALVELU

Wilman huoltajatunnus. Tunnuksen tekeminen

OHJE SENAATTILAN KÄYTTÄJÄKSI REKISTERÖITYMISTÄ VARTEN

WinhaWille-opas opiskelijoille

VETUMA rekisteröityminen

Käyttöohje Suomen Pankin DCS2-järjestelmään rekisteröityminen

Käyttäjähallintapalvelun REST-rajapinnat

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

Haka-palveluiden valvonta ja tilastointi AAIEye -työkalun avulla. Mika Suvanto, CSC

Uloskirjautuminen Shibbolethissa

Tässä ohjeessa kerrotaan, miten alkaen käyttöönotettavaan AIPAL aikuiskoulutuksen palautejärjestelmään myönnetään käyttöoikeuksia.

Ajankohtaista identiteetinhallinnassa. IT-päivät Mikael Linden CSC Tieteen tietotekniikan keskus Oy

Palvelun Asettaminen Virtuun

1 Virtu IdP- palvelimen testiohjeet

Kaislanet-käyttöohjeet

Potilastiedot ja tietoturvallisuus Käyttäjähallinta ja tietoturva kertakirjautumisella

Turvapaketti Omahallinta.fi ka ytto ohje

Yliopiston sähköiset järjestelmät

OnniSMS Rajapintakuvaus v1.1

Jatkuvan oppimisen tunnistuspalvelu pähkinänkuoressa. Opetus- ja kulttuuriministeriö

PalloVerkko. PalloVerkon käyttöohje

Liite 1: KualiKSB skenaariot ja PoC tulokset. 1. Palvelun kehittäjän näkökulma. KualiKSB. Sivu 1. Tilanne Vaatimus Ongelma jos vaatimus ei toteudu

AINA PALVELUPORTAALI

Tietoturvan haasteet grideille

Tiedonsiirto Primus-oppilashallintojärjestelmästä Sanoma Prolle

Opas Logitech Harmony 525 asennusohjelmistoon

Sähköpostitilin luonti

Energiapeili-raportointipalveluun rekisteröityminen yritysasiakkaana

Ohje Emmi-sovellukseen kirjautumista varten

Transkriptio:

HY:n ehdotus käyttäjähallintotuotteesta (jota sovellettaisiin Atikiin) Versio 1.5 / 27.2.2009 Ismo Aulaskari HY aikoo markkinoida pakettia joihin kuuluisi HY:n konesalissaan ylläpitämä, varmuuskopioitu Linux(RHEL 5) -virtuaalipalvelin ja seuraavat HY:n ylläpitämät ohjelmistot (tai vaihtoehtoisesti varmaan ainakin jonkun muun ylläpitämä palvelin ja HY:n ylläpitämät käyttäjähallintoohjelmistot, tai pelkkä ohjelmistokokonaisuus jonka jokainen saa itse ylläpitää omalla tavallaan): Ldap-autentikointia tukeva Openldap-käyttäjähakemisto Kevytkäyttäjähallinto-automaatti joka ylläpitäisi Openldapin käyttäjätietoja ja tarjoaisi kaksisuuntaisia rajapintoja muiden järjestelmien (kuten Atik, korkeakoulujen järjestelmät, Oodi) suuntaan Asennettujen ohjelmistojen lähdekoodit vähintään paketin hankkineille asiakkaille saataville, jos ei koko maailman nähtäväksi (jolloin ohjelmistopaketti olisi kaikkien saatavissa ilman tukisopimusta) Ohjelmistokokonaisuus on mahdollista asentaa Linux-palvelimelle tavallisena käyttäjänä ja ajaa tavallisen käyttäjän oikeuksin Optioina (jotka nyt Atikin yhteydessä käytetään) Web-käyttöliittymä kevytkäyttäjähallintoautomaatille Vetuma-pohjainen tunnistus, käyttäjän rekisteröinti ja salasanan uusiminen, joka on irrallinen moduuli Atik-järjestelmästä Perustason käyttäjä- ja virkailijaroolien hallinta kevytkäyttäjähallintoautomaatissa (irrallinen Atik-järjestelmästä) Muina optioina (jotka eivät ole välttämättömiä) Shibboleth Identity Provider ja HAKA-federaatiota tukeva tietosisältö(olisi hyvä jos Atik-järjestelmä olisi Shibboleth Service Provider-suojattu) Ldapin kahdennus (Shibbolethin kahdennusta ei ole HY:llä testattu mutta teoriassa sekin on mahdollista) Kevytkäyttäjähallinnon www-littymän kahdennus onnistuu, jos kuorma käy yhdelle sovelluspalvelimelle liian raskaaksi

ATIK Kevytkäyttäjähallintosovellus WSrajapinta -autentikoi -luo uusi -hae -muokkaa Rajapintoja - Web-liitymä -LDAP -massatuonti esim. Oodista tai käyttölupajärj estelmästä LDAP / SAML2 -autentikoi -hae käyttäjä -Poista -Hae kaikki -Muokkaa Openldap / Shibboleth IDP Yliopiston autentikointijärjestelmä Linux-palvelin

Yhden tunnuksen politiikan toteuttaminen Ajateltu tässä versiossa tehdä niin että kaikki tunnistukset menevät Openldapin kautta, ja yliopiston tunnusten autentikointi ohjataan openldapista yliopiston Radiukseen, LDAPiin tai muuhun toteutettavaan rajapintaan, käyttäen Openldapkotitekoinen perl-demoni-siltaa joka on HY:llä tuotantokäytössä Yliopiston olemassaolevista tunnuksista luodaan kopio ATIK-tietokantaan saman käyttäjän ATIK-tunnukseksi sitä mukaa kun käyttäjiä pyrkii ATIKiin, salasanoja ei synkronoida Osaako ATIK ohjata käyttäjän Openldapin kohtaan riippuen siitä onko kysessä yliopiston tunnus, vai toteutetaanko tuki tälle ohjaukselle Openldapiin? HY-integraatiohahmotelma Jälkimmäinen vaihtoehto mahdollistaa käyttäjähallinnon helpomman kytkennän ATIK-järjestelmään ja voidaan toteuttaa esim. Ldap-attribuutin joka jakaa käyttäjät ATIK-käyttäjiin ja yliopiston käyttäjiin avulla HY:n keskitetyn tunnistuksen vaativat palvelut ATIK Shibboleth LDAP Radius Atikkäyttäjähallinto AD Unix Opiskelijarekisteri HY IDM

Miksi? Atik:in ja yliopistojen järjestelmien välille tarvitaan integraatiota 1. tarjouskilpailu Atik-2.0-järjestelmästä epäonnistui koska yliopistot eivät kyenneet määrittelemään yhteistä integraatiorajapintaa Atikiin ja toimittajat hinnoittelivat useiden eri integraatiovaihtoehtojen toteuttamisen, sekä käyttäjien tunnistukseen ja käyttäjähallintoon (vahva verkkotunnistus, salasana- ja roolihallinto) liittyvät toiminnot liian kalliiksi tämän takia ryhdyttiin suunnittelemaan yhtä standardoitua integraatiorajapintaa jota tarjota toimittajille ja toteuttaa sen yliopistopuoli eri integraatioineen halvemmalla HY:n projektina kaikkien käyttöön Yliopistojenvälisen yhteisen käyttäjähallinnon toteuttamisen syy potentiaaliset kustannushyödyt, ylläpidossa ja Tupas/Vetuma-sopimuksissa HY itse aikoo käyttää kevytkäyttäjähallintoa sopivalla tavalla olemassaolevaan käyttäjähallintoonsa integroituna, ei sen korvaajana merkittävä osa koodipohjasta on jo tehty ja tuotantokäytössä Teatterikorkeakoulun HAKA-käyttäjähallintona yhteistoiminta kustannussyistä oli Atik 2.0-projektin kantava idea Kevytkäyttäjähallintotuotteessa oma tunnusvarasto ja käyttäjähallintotoiminnot jotta voidaan säilyttää Atik-tunnuksia jossain silloin kun yliopiston käyttäjähallintoon ei pääse kuin opiskelijarekisterin kautta Atikissa luodaan tunnuksia jo ennen käyttäjien ilmoittautumista kursseille, kurssi-ilmoittautumiset kirjataan opiskelijarekisteriin kuka tahansa kadunmies voi luoda tunnuksen eli niitä on potentiaalisesti paljon yliopistojen ei tarvitse välttämättä antaa Atikille pääsyä yliopiston käyttäjähallintoon/opiskelijarekisteriin Samalla voitaisiin tarjota kevyttunnushallinto sitä tarvitseville Tarkoitus olisi tarjota integraatiorajapintoja myös kevytkäyttäjähallinnolle tulleitten kutsujen välittämiseen yliopiston järjestelmille Kevytkäyttäjähallinnon lokaalit tunnukset voidaan myös verkkotasolla pitää erossa esim. lisenssoiduista aineistoista

Openldap-hakemisto Skeematuki vähintään attribuuteille uid (käyttäjätunnus) cn (koko nimi muodossa etunimet sukunimi) userpassword (käyttäjän salasanatiiviste, jos paikallinen salasana) käyttäjän roolit jos tieto on Atik-järjestelmästä saatavilla onko opinto-oikeutta voimassa tarkempia rooleja, esim. Virkailijastatus eduperson-roolit (esim. Vetuma 2.1 VTJ-kyselyn avulla, tai käyttäjän itse syöttämänä): hetu sähköposti givenname (etunimet) sn (sukunimi) voimassaolon loppupvm luontipvm muut tarvittavat tiedot (rajaus Atikin ja käyttölupajärjestelmän välillä) Laskutus? opinnot/ilmoittautumiset? opinto-oikeuden pituus? Näitä tuskin tarvitaan käyttäjähallintosovelluksessa, paitsi jos halutaan käyttää niitä rooleina hienojakoiseen auktorisointiin Skeema laajennettavissa funeteduperson 2.0-ehdot täyttäväksi (ja täten Shibboleth-yhteensopivaksi) Mahdollinen HAKA-luottamusverkostojäsenyys asettaa tiukkoja vaatimuksia käyttäjähallinnon prosesseille Mahdollisuus kahdentaa Openldap-palvelu vikasiedon/kuormantasauksen kannalta Toimii vähin katkoin ilmankin Mahdollisuus Shibboleth Identity Providerin asentamiseen Tarvitaan tuki Shibboleth-autentikointiin Rajapinta (Ldap v.3) jonka kautta TLS-/LDAPS-suojattu simple bind-tunnistus käyttäjätunnus menee (ainakin tilapäisesti) lukkoon liian monen epäonnistuneen yrityksen jälkeen

yksittäisen käyttäjän tietojen haku (joissain rajatapauksissa on mahdollista sallia koko tietokannan haku Ldap-protokollan yli, tätä ei kuitenkaan suositella) esim. Käyttäjän roolin kysely teoriassa voitaisiin sallia käyttäjien luonti ja muokkaaminen Ldap-protokollan yli, ohi käyttölupa-automaatin, salasanaresetointi nämä kuitenkin parempi toteuttaa käyttäjähallintosovelluksen kautta Konfiguroitu tekstitiedostolla Lokitus säädettävissä, normaalisti ldap-operaation tarkkuudella Ldap-hakemiston monitorointi? (HY:llä esim. Big Sister, Smokeping, Logwatch..)

Kevytkäyttäjähallinto-automaatti J2EE5-alustalle (referenssisovelluspalvelimena Glassfish v2) Automaatti/automaatit joka huolehtii kerran vuorokaudessa vanhentuneiden käyttäjätunnusten poistosta/lukitsemisesta käyttäjätietokannan levylle dumppaamisen varmuuskopiointia varten On konfiguroitavissa tekstitiedostosta ldap-palvelimen ja ylläpitotunnuksen tiedot tuetut käyttäjätiedot käyttäjätunnuksen formaattifunktio/-luokka Periaatteessa kahdennettavissa sovelluspalvelinklusterilla Lokitus säädettävissä sovelluspalvelimella, monitorointi sovelluspalvelimella Rajapinta (WS-I Basic Profile 1.1 -web service) HTTPS-yhteyden yli, jonka kautta uusien käyttäjätunnusten luonti ATIKista Ldapiin käyttäjätunnusten tietojen muokkaaminen ATIK-järjestelmän opintotietojen perusteella roolin (opiskelija/ei-opiskelija, virkailija) päivitys käyttäjän/käyttäjien tietojen haku käyttäjän rooli(e)n kysely tarvittaessa myös kaikki käyttäjät XML-dumppina synkronointitarpeita ajatellen Optiona Oodi-rajapinta (Web service, Oodin WS-määritelmien mukaan) seuraavien tietojen synkronointiin: opiskelijan vanhojen opiskelutietojen katselu ei ilmeisesti kuulu käyttäjähallintosovelluksen piiriin vaan ATIKiin Optiona muu tarvittava organisaatiokohtainen integraatiorajapinta? REST, HTTPS POST? Tarvitaan tarkistuksia yliopiston käyttölupajärjestelmästä, onko käyttäjä jo siellä olemassa

Optiona web-liittymä käyttäjätietojen ylläpitoon (liittyy tuotteen muihin käyttömahdollisuuksiin) tarpeita voi tulla myöhemmin käyttäjät jotka eivät voi VETUMA-tunnistautua, rekisteröinti, tietojen muuttaminen? käyttäjä/virkailijaroolien ylläpito rooleja rajallinen, harvoin muuttuva joukko, joita kontrolloidaan kevytkäyttäjähallinnon puolella ldapissa yksinkertaisuussyistä Käyttäjän rooleja säilytetään kevytkäyttäjähallinnon puolella ATIKkäyttäjäobjekteissa Ldapissa käyttäjällä voi olla monta roolia roolien muokkamiset ws-rajapinnan kautta Omien käyttäjätietojen tarkistaminen web-lomakkeella -Atikin ominaisuus(?) muokkausmahdollisuus myös Atikissa(?) Optiona Vetuma-autentikointi-osion toteuttaminen Luvan luonti openldapiin Salasanaresetointi (vain Atik-tunnuksille, ei yliopiston) Tunnistuksia rajattu määrä/viikko/hetu/ip? Kirjautumiskäyttöliittymä tarjoaa vaihtoehdot: kirjautuminen yliopiston tunnuksilla kirjautuminen ATIK-tunnuksilla unohtunut tunnus/unohtunut salasana/uuden tunnuksen rekisteröinti Kun käyttäjä yrittää luoda tunnusta, jos Atik-tunnus jo olemassa kerrotaan käyttäjälle käyttäjätunnus, jos ei muista ohjataan salasanaresetointiin Tarkistus onko käyttäjällä tunnusta kotiyliopistossa, henkilötunnuksen perusteella Vetuma-tunnistamisen jälkeen ei tarvitse luoda käyttäjälle sessiota ATIKjärjestelmään, vaan on ok että käyttäjä kirjautuu ATIKiin saatuaan VETUMAlla tunnuksen ja salasanan.

Atik-käyttölupajärjestelmän prosessit (löyhä hahmotelma) Kevytkäyttäjähallinnon tarjoamat kutsutyypit ja vastaukset: Käyttäjä yrittää kirjautua(tunnus, salasana) ok palautetaan ok väärä tunnus tai salasana palautetaan epäonnistuminen, ATIKin tarjottava käyttäjälle linkit seuraaviin: Unohti tunnuksensa Tunnus olemassa(sukunimi, hetu) Unohti tunnuksensa Rekisteröidy Ei tunnusta Rekisteröidy Rekisteröidy(sukunimi, hetu) Unohti tunnuksensa VETUMA-tunnistus saadaan varmistettu hetu, Luodaan tunnus Unohti tunnuksensa palautetaan käyttäjätunnus, tarjotaan opastusta tunnuksista Käyttäjä yrittää kirjautua uudestaan tarjotaan Salasanan resetointia(vai lähettääkö atik lokaaleja salasanoja käyttäjälle?) Luodaan tunnus(varmennettu hetu, etunimi, sukunimi, rooli, voimassaolon loppupvm, mail?) palauttaa luodun käyttäjätunnuksen Tunnus olemassa(sukunimi,hetu) palauttaa tunnuksen tai ilmoituksen sen puuttumisesta Salasanan resetointi Vetuma-tunnistus varmennetulla hetulla etsitään käyttäjän tunnus, ja annetaan vaihtaa sen salasana Muokkaa tunnusta(tunnus, rooli, henkilötiedot) Poista tunnus(tunnus) Hae tunnuksia(ldap-kysely) Roolien kysely(tunnus)

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute