HY:n kevytkäyttäjähallintosovellus ATIK-projektille

Samankaltaiset tiedostot
HY:n kevytkäyttäjähallintosovellus ATIK-projektille

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

Helsingi yliopiston kevytkäyttäjähallintosovellus ATIK projektille

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

HY:n ehdotus käyttäjähallintotuotteesta

HY:n alustava ehdotus käyttäjähallintotuotteesta

HY:n alustava ehdotus käyttäjähallintotuotteesta

HY:n alustava ehdotus käyttäjähallintotuotteesta

HY:n ehdotus käyttäjähallintotuotteesta

HY:n ehdotus käyttäjähallintotuotteesta

HY:n ehdotus käyttäjähallintotuotteesta

Helsingi yliopiston kevytkäyttäjähallintosovelluksen rajapintakuvaus

Keskitetty käyttäjähallinto. VirtAMK-yhteyshenkilöpäivät Turku Jarmo Sorvari TAMK

Ajankohtaista tietoa LähiTapiolan verkkopalvelun pääkäyttäjille

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

Energiapeili-raportointipalveluun rekisteröityminen kuluttaja-asiakkaana

Julkishallinnon tunnistuksen ohjauspalvelun kehityshanke mitä PoC-vaihe on opettanut? Manne Miettinen, Henri Mikkonen ja Arto Tuomi

Rekisteröityminen, tilojen varaaminen ja maksaminen WebTimmi varausjärjestelmässä

Energiapeili-raportointipalveluun rekisteröityminen kuluttaja-asiakkaana

Energiapeili-raportointipalveluun rekisteröityminen yritysasiakkaana

Tässä ohjeessa kerrotaan, miten alkaen käyttöönotettavaan AIPAL aikuiskoulutuksen palautejärjestelmään myönnetään käyttöoikeuksia.

Maestro Lappeenranta Mannerheiminkatu Lappeenranta. Maestro Helsinki Huopalahdentie Helsinki

Käyttöohje Suomen Pankin DCS2-järjestelmään rekisteröityminen

3. Kirjaudu sisään Pelipaikkaan jo olemassa olevilla tai äsken luoduilla tunnuksillasi

Käyttäjän tunnistus yli korkeakoulurajojen

Veronumero.fi Tarkastaja rajapinta

Vianova Systems Finland Oy:n Novapoint käytön tuki

Maestro Lappeenranta Mannerheiminkatu Lappeenranta. Maestro Helsinki Huopalahdentie Helsinki

Terveydenhuollon ATK päivät TURKU

Energiapeili-raportointipalveluun rekisteröityminen yritysasiakkaana

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

Verkostojen identiteetinhallinta. Haka-seminaari Kehityspäällikkö Sami Saarikoski Opetus- ja kulttuuriministeriö.

Kotiorganisaation käyttäjähallinnon kuvaus

Ohje Emmi-sovellukseen kirjautumista varten

Kotiorganisaation käyttäjähallinnon kuvaus

OHJE SENAATTILAN KÄYTTÄJÄKSI REKISTERÖITYMISTÄ VARTEN

Emmi-sovelluksen kirjautumisohje

Haka-käyttäjien kokoontuminen Arto Tuomi CSC Tieteen tietotekniikan keskus

1. Käyttäjätietokannan ja perusrekistereiden kytkentä 1.1. Opiskelijarekisteri

Kemikaalitieto yhdestä palvelusta

AsioEduERP v12 - Tietoturvaparannukset

VTJ-YLLÄPITO. Vastuukäyttäjän ohje

OHJE SENAATTILAN KÄYTTÄJÄKSI REKISTERÖITYMISTÄ VARTEN

ARVI -järjestelmän ohje koulutuksen järjestäjän pääkäyttäjälle Jaakko Okkeri

PalloVerkko. PalloVerkon käyttöohje

Articles... 3 Käyttäjähallinnon kuvaus... 4 Unohtunut salasana... 6 Tunnusten käyttöönotto... 7 Ohjeita... 8

todenna.fi todenna.fi Käyttöohje Tässä käyttäohjeessa kerrotaan mikä on todenna.fi -kirjautumispalvelu ja miten sitä käytetään.

VirtuaaliAMK ajankohtaista Yhteyshenkilöpäiv

TOIMINNOT s.5 Kappaleessa käydään läpi yhteyshenkilön käytössä olevat toiminnot ja ohjeet niihin.

Keskitetty käyttäjähallinto

WinhaWille-opas opiskelijoille

Opas administraattori-tason käyttäjille. MANAGERIX -ohjelman esittely... 2 Kirjautuminen... 2

Luottamusverkosto. Shibboleth-asennuskoulutus CSC Tieteen tietotekniikan keskus Oy CSC IT Center for Science Ltd.

Kaislanet-käyttöohjeet

Mobiilivarmenteen käyttö Helsingin yliopistossa. Ville Tenhunen, Juha Ojaluoma

Federoidun identiteetinhallinnan periaatteet

LUPAHANKKEET RAKENNUSVALVONNAN SAHKÖISESSÄ ASIOINTIPALVELUSSA

1 Asiakastilin rekisteröiminen Väestörekisterikeskuksen

Savalanche käyttöohje

Lähtöoletuksena on, että opiskelijarekisterin henkilötiedot ovat ajantasalla. Opiskelijoille myönnettyjä tunnuksia ei käytetä Haka-palveluissa.

Federoidun identiteetinhallinnan

Tietoturvan ja tietosuojan oppimisympäristö

Kemikaalitieto yhdestä palvelusta

VTJ-YLLÄPITO. Käyttäjän ohje Kunnat

VETUMA kansalaisen verkkotunnistus- ja maksamispalvelu. Valtion IT-toiminnan johtamisyksikkö

SilvaToiminta Versio 1.0. SilvaToiminta. Pikaohje Versio Oy Silvadata Ab Pikaohje 1

TKK: Shibboleth toteutuksia ja projekteja. Markus Melin

Liite 1: KualiKSB skenaariot ja PoC tulokset. 1. Palvelun kehittäjän näkökulma. KualiKSB. Sivu 1. Tilanne Vaatimus Ongelma jos vaatimus ei toteudu

Kotiorganisaation käyttäjähallinnon kuvaus. 1. Käyttäjätietokannan ja perusrekistereiden kytkentä

VETUMA rekisteröityminen

Lohtu-projekti. Testaussuunnitelma

Sähkönmyyjäportaali- käyttäjälle

1. Sähköinen tunnistautuminen KTJ-rekisterinpitosovellukseen

Haka-palveluiden valvonta ja tilastointi AAIEye -työkalun avulla. Mika Suvanto, CSC

Käyttäjähallintapalvelun REST-rajapinnat

Navigator ja Siemens ID

Kansallisen audiovisuaalisen instituutin käyttäjähallinnon kuvaus

Valtiokonttori Käyttöönotto 1 (6) suunnitelma Virtu Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

Käyttäjähallintokoulu Mikael Linden tieteen tietotekniikan keskus CSC

OHJEET KEKSINNÖT.FI SIVUSTON KÄYTTÄJILLE

Sähköisen asioinnin demo

ARVI-järjestelmän ohje arvioinnin syöttäjälle

ILMOITUSSOVELLUS 4.1. Rahanpesun selvittelykeskus REKISTERÖINTIOHJE. SOVELLUS: 2014 UNODC, versio

TIEDOTE 33/ (7) Ops-työkalun käyttöönotto ja käyttöoikeuksien anominen. eperusteet palvelun Ops-työkalu avattu opetuksen järjestäjille

Käyttöohje. Visy Access Net UPM

OP Tunnistuksen välityspalvelu

Kirjautuminen ja rekisteröityminen DanceCoreen

Sähköinen tunnistus korkeakouluissa. TieVie-lähiseminaari Mikael Linden Tieteen tietotekniikan keskus CSC

JOVISION IP-KAMERA Käyttöohje

1. Sähköinen tunnistautuminen KTJ-rekisterinpitosovellukseen

Ristijärven metsästysseura tysseura osti lisenssin jahtipaikat.fi verkkopalveluun, jotta seuran

Valtiokonttorin tunnistuspalvelu

Palvelun rekisteröinti Virtu - luottamusverkostoon / testipalveluun

Käyttöohje. Ticket Inspector. Versio 1.0. Sportum Oy

Keskustelusivusto. Suunnitteludokumentti

Tilaajavastuu.fi. Muutoshistoria. Suomen Tilaajavastuu Oy. Raporttinoutaja Rajapinta yritysten tilaajavastuutietojen tarkistamiseen

Potilastiedot ja tietoturvallisuus Käyttäjähallinta ja tietoturva kertakirjautumisella

Turvapaketti Asennusohje

OPAS KULTA2 -JÄRJESTELMÄN KÄYTTÖÖN

Transkriptio:

HY:n kevytkäyttäjähallintosovellus ATIK-projektille Versio 1.9/ 3.6.2009 Ismo Aulaskari HY.n kevytkäyttäjähallintosovellus toimii ATIK-järjestelmän käyttäjätunnistuspalveluna käyttäjän perustietojen sijaintipaikkana ja tarjoaa yhden yhtenäisen rajapinnan ATIK-järjestelmän ja eri yliopistojen käyttäjähallintojärjestelmien välille. Kevytkäyttäjähallintosovellus mahdollistaa yliopiston olemassaolevien tunnusten käytön vaihtoehtona ATIK-tunnuksille. Kevytkäyttäjähallintosovellus tarjoaa myös web-liittymän käyttäjätietojen ylläpitoon ja vahvan tunnistuksen avulla tehtävään rekisteröitymiseen ja salasananvaihtoon. Kevytkäyttäjähallintotuotteen osia ovat: LDAP-autentikointia tukeva Openldap-käyttäjähakemisto Kevytkäyttäjähallinto-automaatti joka ylläpitää Openldapin käyttäjätietoja ja tarjoaa kaksisuuntaisia rajapintoja ATIK-järjestelmälle ja yliopiston käyttäjähallinnolle Web-käyttöliittymä kevytkäyttäjähallintoautomaatille, sisältäen käyttätunnuksen luonnin ja salasanan resetoinnin VETUMA-pohjainen vahva tunnistus käyttäjän rekisteröinnissä ja salasanan uusimisessa (www.suomi.fi/vetuma) Shibboleth 2 IDP-toiminnallisuus jolla käyttäjät voivat kirjautua ATIK-järjestelmään ilman että ATIK-järjestelmä näkee heidän salasanansa Perustason käyttäjä- ja virkailijaroolien hallinta kevytkäyttäjähallintoautomaatissa Näiden asennettujen ohjelmistojen lähdekoodit Ohjelmistokokonaisuus on mahdollista asentaa Linux-palvelimelle tavallisena käyttäjänä ja ajaa tavallisen käyttäjän oikeuksin pl. Shibboleth, jonka täytyy käyttää järjestelmän www-palveluille varattuja portteja Dokumentaatio, sisältäen lyhyet asennus- ja käyttöohjeet ylläpitäjille.

Miksi ATIKista erillinen kevytkäyttäjähallintosovellus? ATIK:in ja yliopistojen järjestelmien välille tarvitaan integraatiota 1. tarjouskilpailu ATIK-2.0-järjestelmästä epäonnistui koska yliopistot eivät kyenneet määrittelemään yhteistä integraatiorajapintaa Atikiin ja toimittajat hinnoittelivat useiden eri integraatiovaihtoehtojen toteuttamisen, sekä käyttäjien tunnistukseen ja käyttäjähallintoon (vahva verkkotunnistus, salasana- ja roolihallinto) liittyvät toiminnot liian kalliiksi tämän takia ryhdyttiin suunnittelemaan yhtä standardoitua integraatiorajapintaa jota tarjota toimittajille ja toteuttaa sen yliopistopuoli eri integraatioineen halvemmalla HY:n projektina kaikkien käyttöön Yliopistojenvälisen yhteisen käyttäjähallinnon toteuttamisen syy potentiaaliset kustannushyödyt, ylläpidossa ja Tupas/VETUMA-sopimuksissa HY itse aikoo käyttää kevytkäyttäjähallintoa sopivalla tavalla olemassaolevaan käyttäjähallintoonsa integroituna, ei sen korvaajana merkittävä osa koodipohjasta on jo tehty ja tuotantokäytössä Teatterikorkeakoulun HAKA-käyttäjähallintona yhteistoiminta kustannussyistä oli ATIK 2.0-projektin kantava idea Kevytkäyttäjähallintotuotteessa oma tunnusvarasto ja käyttäjähallintotoiminnot jotta voidaan säilyttää ATIK-tunnuksia jossain silloin kun yliopiston käyttäjähallintoon ei pääse kuin opiskelijarekisterin kautta Atikissa luodaan tunnuksia jo ennen käyttäjien ilmoittautumista kursseille, kurssi-ilmoittautumiset kirjataan opiskelijarekisteriin kuka tahansa kadunmies voi luoda tunnuksen eli niitä on potentiaalisesti paljon yliopistojen ei tarvitse välttämättä antaa Atikille pääsyä yliopiston käyttäjähallintoon/opiskelijarekisteriin Samalla voitaisiin tarjota kevyttunnushallinto sitä tarvitseville Tarkoitus olisi tarjota integraatiorajapintoja myös kevytkäyttäjähallinnolle tulleitten kutsujen välittämiseen yliopiston järjestelmille Kevytkäyttäjähallinnon lokaalit tunnukset voidaan myös verkkotasolla pitää erossa esim. lisenssoiduista aineistoista

ATIK WS-rajapinta -autentikoi -luo uusi -hae -muokkaa Rajapintoja - Web-liitymä -LDAP -massatuonti esim. Oodista tai käyttölupajärj estelmästä LDAP / SAML2 -autentikoi -hae käyttäjä Kevytkäyttäjähallintosovellus -Poista -Hae kaikki -Muokkaa Openldap / Shibboleth IDP Yliopiston autentikointijärjestelmä Linux-palvelin

Yhden tunnuksen politiikan toteuttaminen Ajateltu tässä versiossa tehdä niin että käyttäjätunnistukset hoidetaan Shibbolethprotokollan yli.joko kevytkäyttäjähallinon IDP:hen tai kotiyliopiston IDP:hen. Jos Shibbolethia ei yliopistolla tueta kaikki tunnistukset menevät Openldapin kautta, ja yliopiston tunnusten autentikointi ohjataan Openldapista yliopiston Radiukseen, LDAPiin tai muuhun toteutettavaan rajapintaan, käyttäen Openldap-kotitekoinen perl-demoni-siltaa joka on HY:llä tuotantokäytössä Yliopiston olemassaolevista tunnuksista luodaan kopio ATIK-tietokantaan saman käyttäjän ATIK-tunnukseksi sitä mukaa kun käyttäjiä pyrkii ATIKiin, salasanoja ei synkronoida Tuki yliopiston käyttäjien ja kevytkäyttäjähallinnon tunnusten autentikoinnin ohjaukselle oikeaan paikkaan Openldapissa HY-integraatiohahmotelma mahdollistaa käyttäjähallinnon helpomman kytkennän ATIK-järjestelmään ja voidaan toteuttaa esim. LDAP-attribuutin joka jakaa käyttäjät ATIK-käyttäjiin ja yliopiston käyttäjiin avulla HY:n keskitetyn tunnistuksen vaativat palvelut ATIK Shibboleth LDAP Radius Atikkäyttäjähallinto AD Unix Opintohallinnon perusjärjestelmä HY IDM

Openldap-hakemisto Skeematuki vähintään attribuuteille uid (käyttäjätunnus) cn (koko nimi muodossa etunimet sukunimi) userpassword (käyttäjän salasanatiiviste, jos paikallinen salasana) käyttäjän roolit jos tieto on ATIK-järjestelmästä saatavilla onko opinto-oikeutta voimassa tarkempia rooleja, esim. Virkailijastatus eduperson-roolit (esim. VETUMA 2.1 VTJ-kyselyn avulla, tai käyttäjän itse syöttämänä): hetu sähköposti givenname (etunimet) sn (sukunimi) voimassaolon loppupvm luontipvm Rajapinta (LDAP v.3) jonka kautta TLS-/LDAPS-suojattu simple bind-tunnistus käyttäjätunnus menee (ainakin tilapäisesti) lukkoon liian monen epäonnistuneen yrityksen jälkeen yksittäisen käyttäjän tietojen haku (joissain rajatapauksissa on mahdollista sallia koko tietokannan haku LDAP-protokollan yli, tätä ei kuitenkaan suositella) esim. Käyttäjän roolin kysely teoriassa voitaisiin sallia käyttäjien luonti ja muokkaaminen LDAP-protokollan yli, ohi käyttölupa-automaatin, salasanaresetointi nämä kuitenkin parempi toteuttaa käyttäjähallintosovelluksen kautta Konfiguroitu tekstitiedostoilla Lokitus säädettävissä, normaalisti LDAP-operaation tarkkuudella LDAP-hakemiston monitorointi (HY:llä esim. Big Sister, Smokeping, Logwatch..)

Kevytkäyttäjähallinto-automaatti J2EE5-alustalle (referenssisovelluspalvelimena Glassfish v2) Automaatti/automaatit joka huolehtii kerran vuorokaudessa vanhentuneiden käyttäjätunnusten poistosta/lukitsemisesta käyttäjätietokannan levylle dumppaamisen varmuuskopiointia varten On konfiguroitavissa tekstitiedostoista LDAP-palvelimen ja ylläpitotunnuksen tiedot tuetut käyttäjätiedot käyttäjätunnuksen formaattifunktio/-luokka Periaatteessa kahdennettavissa sovelluspalvelinklusterilla Lokitus säädettävissä sovelluspalvelimella, monitorointi sovelluspalvelimella Rajapinta (WS-I Basic Profile 1.1 -web service) HTTPS-yhteyden yli, jonka kautta uusien käyttäjätunnusten luonti ATIKista LDAPiin käyttäjätunnusten tietojen muokkaaminen ATIK-järjestelmän opintotietojen perusteella roolin (opiskelija/ei-opiskelija, virkailija) päivitys käyttäjän/käyttäjien tietojen haku käyttäjän rooli(e)n kysely tarvittaessa myös kaikki käyttäjät XML-dumppina synkronointitarpeita ajatellen Web-liittymä käyttäjätietojen ylläpitoon (liittyy tuotteen muihin käyttömahdollisuuksiin) tarpeita voi tulla myöhemmin käyttäjät jotka eivät voi VETUMA-tunnistautua, rekisteröinti, tietojen muuttaminen, salasanaresetointi käyttäjä/virkailijaroolien ylläpito rooleja rajallinen, harvoin muuttuva joukko, joita kontrolloidaan kevytkäyttäjähallinnon puolella LDAPissa yksinkertaisuussyistä Käyttäjän rooleja säilytetään kevytkäyttäjähallinnon puolella ATIKkäyttäjäobjekteissa LDAPissa käyttäjällä voi olla monta roolia roolien kysymiset/muuttamiset ws-rajapinnan kautta

VETUMA-autentikointi-osion toteuttaminen Luvan luonti Openldapiin Salasanaresetointi (vain ATIK-tunnuksille, ei yliopiston) Tunnistuksia rajattu määrä/viikko/hetu/ip? Kirjautumiskäyttöliittymä tarjoaa vaihtoehdot: kirjautuminen yliopiston tunnuksilla kirjautuminen ATIK-tunnuksilla unohtunut tunnus/unohtunut salasana/uuden tunnuksen rekisteröinti Kun käyttäjä yrittää luoda tunnusta, jos ATIK-tunnus jo olemassa kerrotaan käyttäjälle käyttäjätunnus, jos ei muista ohjataan salasanaresetointiin Tarkistus onko käyttäjällä tunnusta kotiyliopistossa, henkilötunnuksen perusteella VETUMA-tunnistamisen jälkeen ei tarvitse luoda käyttäjälle sessiota ATIKjärjestelmään, vaan on ok että käyttäjä kirjautuu ATIKiin saatuaan VETUMAlla tunnuksen ja salasanan.

ATIK-käyttölupajärjestelmän prosessit Nämä eivät suoraan kuvaa WS-rajapintaa, vaan ovat enemmänkin kartta sovelluksen toteuttamasta toiminnallisuudesta Käyttäjä yrittää kirjautua(tunnus, salasana) ok palautetaan ok väärä tunnus tai salasana palautetaan epäonnistuminen, ATIKin tarjottava käyttäjälle linkit seuraaviin: Unohti tunnuksensa Tunnus olemassa(sukunimi, hetu) Unohti tunnuksensa Rekisteröidy Ei tunnusta Rekisteröidy Rekisteröidy(sukunimi, hetu) Unohti tunnuksensa VETUMA-tunnistus saadaan varmistettu hetu, Luodaan tunnus Unohti tunnuksensa palautetaan käyttäjätunnus, tarjotaan opastusta tunnuksista Käyttäjä yrittää kirjautua uudestaan tarjotaan Salasanan resetointia(vai lähettääkö atik lokaaleja salasanoja käyttäjälle?) Luodaan tunnus(varmennettu hetu, etunimi, sukunimi, rooli, voimassaolon loppupvm, mail?) palauttaa luodun käyttäjätunnuksen Tunnus olemassa(sukunimi,hetu) palauttaa tunnuksen tai ilmoituksen sen puuttumisesta Salasanan resetointi VETUMA-tunnistus varmennetulla hetulla etsitään käyttäjän tunnus, ja annetaan vaihtaa sen salasana Muokkaa tunnusta(tunnus, rooli, henkilötiedot) Poista tunnus(tunnus) Hae tunnuksia(hakusanat) Roolien kysely(tunnus)

Lisäominaisuuksia joita sovellukseen voi hankkia tulevaisuudessa HAKA-luottamusverkostojäsenyys Shibboleth 2 IDP:lle jos joskus ajankohtaista LDAPin kahdennus (Shibbolethin kahdennusta ei ole HY:llä testattu mutta teoriassa sekin on mahdollista) Kevytkäyttäjähallinnon www-littymän kahdennus onnistuu, jos kuorma käy yhdelle sovelluspalvelimelle liian raskaaksi Optiona muu tarvittava organisaatiokohtainen integraatiorajapinta? REST, HTTPS POST? Tarvitaan tarkistuksia yliopiston käyttölupajärjestelmästä, onko käyttäjä jo siellä olemassa Omien käyttäjätietojen tarkistaminen web-lomakkeella -Atikin ominaisuus muokkausmahdollisuus myös Atikissa mutta ei kevytkäyttäjähallinnon tiedoille VETUMA:sta eroaminen ja siirtyminen pelkkään Tupakseen tarvittaessa kustannussyistä Henkilötietojen käsittely kevytkäyttäjähallinnossa Käyttäjä rekisteröityy ATIK-järjestelmässä. ATIK:n vaatimat henkilötiedot kuvataan ATIKmäärittelyissä. Käyttäjän ilmoittama henkilötunnus, nimi ja sähköpostiosoite välitetään kevytkäyttäjähallinnolle HTTPS GET- tai POST-operaationa. Kevytkäyttäjähallinto vahvistaa käyttäjän ilmoittaman henkilötunnuksen VETUMApalvelun avulla (takaisin palaa vahvistettu henkilötunnus ja käyttäjän nimitietoja HTTPS POST-operaationa). VETUMA-palvelu saa tietonsa taustapalveluista kuten pankkien TUPAS-järjestelmistä tai väestörekisterikeskuksen järjestelmistä. Kevytkäyttäjähallinto tallettaa omaan tietokantaansa käyttäjän nimen, henkilötunnuksen ja sähköpostiosoitteen ATIK-roolien ja teknisten tietojen lisäksi. ATIK säilyttää käyttäjän henkilötunnuksen, jolla se pystyy hakemaan ja käyttäjän tietoja kevytkäyttäjähallintojärjestelmässä ATIK käyttää henkilötunnusta myös käyttäjän tietojen viemisessä opintohallinnon järjestelmään.

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute