HY:n ehdotus käyttäjähallintotuotteesta

Samankaltaiset tiedostot
HY:n ehdotus käyttäjähallintotuotteesta

HY:n ehdotus käyttäjähallintotuotteesta

HY:n alustava ehdotus käyttäjähallintotuotteesta

HY:n alustava ehdotus käyttäjähallintotuotteesta

HY:n alustava ehdotus käyttäjähallintotuotteesta

HY:n ehdotus käyttäjähallintotuotteesta

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

Helsingi yliopiston kevytkäyttäjähallintosovellus ATIK projektille

Helsingi yliopiston kevytkäyttäjähallintosovelluksen rajapintakuvaus

TKK: Shibboleth toteutuksia ja projekteja. Markus Melin

Haka-käyttäjien kokoontuminen Arto Tuomi CSC Tieteen tietotekniikan keskus

Julkishallinnon tunnistuksen ohjauspalvelun kehityshanke mitä PoC-vaihe on opettanut? Manne Miettinen, Henri Mikkonen ja Arto Tuomi

Helsingin yliopiston wikipalvelu. Esityksen sisältö. Mikä on wiki?

Käyttäjän tunnistus yli korkeakoulurajojen

Keskitetty käyttäjähallinto. VirtAMK-yhteyshenkilöpäivät Turku Jarmo Sorvari TAMK

Haka-palveluiden valvonta ja tilastointi AAIEye -työkalun avulla. Mika Suvanto, CSC

Luottamusverkosto. Shibboleth-asennuskoulutus CSC Tieteen tietotekniikan keskus Oy CSC IT Center for Science Ltd.

Lähtöoletuksena on, että opiskelijarekisterin henkilötiedot ovat ajantasalla. Opiskelijoille myönnettyjä tunnuksia ei käytetä Haka-palveluissa.

Verkostojen identiteetinhallinta. Haka-seminaari Kehityspäällikkö Sami Saarikoski Opetus- ja kulttuuriministeriö.

Uloskirjautuminen Shibbolethissa

Valtiokonttori Käyttöönotto 1 (6) suunnitelma Virtu Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

EMVHost Online SUBJECT: EMVHOST ONLINE CLIENT - AUTOMAATTISIIRROT COMPANY: EMVHost Online Client sovelluksen käyttöohje AUTHOR: DATE:

1. Käyttäjätietokannan ja perusrekistereiden kytkentä 1.1. Opiskelijarekisteri

Käyttäjähallintokoulu Mikael Linden tieteen tietotekniikan keskus CSC

Pilottipalvelun esittely johtopäätökset

Palvelun rekisteröinti Virtu - luottamusverkostoon / testipalveluun

Mobiilivarmenteen käyttö Helsingin yliopistossa. Ville Tenhunen, Juha Ojaluoma

Järjestelmäarkkitehtuuri (TK081702)

VYPEdit verkkosivualusta SVY-toimijoille

Keskustelusivusto. Suunnitteludokumentti

Tikon Ostolaskujenkäsittely/Web-myyntilaskutus versio 6.4.0

Tiedonsiirto- ja rajapintastandardit

Tietoturvan haasteet grideille

Kotiorganisaation käyttäjähallinnon kuvaus (Poliisiammattikorkeakoulu ja Pelastusopisto)

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

Julkaisukanava-hankkeen DSpacen shibbolointi

Haka MFA-työpaja

Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

Attribuutti-kyselypalvelu

Keskitetty käyttäjähallinto

VMWare SRM kahdennetussa konesalipalvelussa. Kimmo Karhu Kymen Puhelin konserni Optimiratkaisut Oy

Jatkuvan oppimisen tunnistuspalvelu pähkinänkuoressa. Opetus- ja kulttuuriministeriö

Virkamiehen tunnistamisen luottamusverkosto Virtu vapauttaa salasanaviidakosta Kotiviraston näkökulma

ZENworks Application Virtualization 11

Kansallinen ORCiD yhdistämispalvelu

Tunnistus ja roolipohjainen käyttöoikeuksien hallinta. Inspire-verkoston Yhteistyö-ryhmä

Inspire-prosessin tilannekatsaus 01 / 2012

egradu & Muuntaja Ylemmän tutkintovaiheen opinnäytetöiden elektroninen arkistoiminen ja esilletuonti

Tikon Ostolaskujenkäsittely/Web-myyntilaskutus versio 6.3.0

VIRTA tiedonsiirtotavan kehittäminen - Eräsiirrosta inkrementaaliseen tiedonsiirtoon

Järjestelmäarkkitehtuuri (TK081702) Lähtökohta. Integroinnin tavoitteet

Tietoturvan haasteet grideille

Federoidun identiteetinhallinnan

Taitaja 2015 Windows finaalitehtävä

OP Tunnistuksen välityspalvelu

XPages käyttö ja edut Jarkko Pietikäinen toimitusjohtaja, Netwell Oy

IdP SaaS Palveluna Miksi sitä tarvitaan? Mikä se on? Kenelle se on tarkoitettu? 2009 Tieto Corporation 2/5/2010

MatTaFi projektin HAKA-pilotti

Ohje: Identiteetin hallinnan tietoturvatasot (LUONNOS)

1 Virtu IdP- palvelimen testiohjeet

- ADFS 2.0 ja SharePoint 2010

HAKURATKAISUN ANATOMIA - KURKISTUS PELLIN ALLE

Käyttöohje Planeetta Internet Oy

Federoidun identiteetinhallinnan periaatteet

Työpöytävirtualisointi


Liite 2B. Tilannekatsaus. Oodi 2017, päivitetty, vko 44. CSC Suomalainen tutkimuksen, koulutuksen, kulttuurin ja julkishallinnon ICT-osaamiskeskus

AsioEduERP v12 - Tietoturvaparannukset

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

Googlen palvelut synkronoinnin apuna. Kampin palvelukeskus Jukka Hanhinen, Urho Karjalainen, Rene Tigerstedt, Pirjo Salo

Sähköinen tunnistus korkeakouluissa. TieVie-lähiseminaari Mikael Linden Tieteen tietotekniikan keskus CSC

Harjoituksen aiheena on tietokantapalvelimen asentaminen ja testaaminen. Asennetaan MySQL-tietokanta. Hieman linkkejä:

Pilvi 9.0. Arkkitehtuuri. Esimerkki arkkitehtuurit

Palvelemme arkisin klo. 08:00-17:00

Directory Information Tree

Viestit-palvelun viranomaisliittymän ohjelmointiohje. Java-esimerkki

Valitse Opinto-oikeudet

Suomi.fi-palveluväylä. Palvelulupaus ja tiekartta

Valppaan asennus- ja käyttöohje

Shibboleth-projekti. Tampereen teknillinen yliopisto / Digitaalisen median instituutti / Hypermedialaboratorio

Käyttäjähallintapalvelun REST-rajapinnat

ONKI-projekti JUHTA KANSALLISKIRJASTO - Kirjastoverkkopalvelut

Vaatimusmäärittely Ohjelma-ajanvälitys komponentti

VTJkysely-palvelu. Sovelluskyselyiden rajapintakuvaus

Käyttöönottosuunnitelma Virtu-palveluntarjoajalle

WinOodin käyttö VDI-ympäristössä

Draft. Mark Summary Form. Taitaja Skill Number 205 Skill Tietokoneet ja verkot. Competitor Name. Total

Mark Summary. Taitaja Skill Number 205 Skill Tietokoneet ja verkot. Competitor Name

Enigmail-opas. Asennus. Avainten hallinta. Avainparin luominen

Kotiorganisaation käyttäjähallinnon kuvaus (Karelia)

Ajankohtaista tietoa LähiTapiolan verkkopalvelun pääkäyttäjille

StudentaPluS. AIKE Oy. Opiskelijahallinnosta toiminnanohjaukseen, raportoinnista prosessien ohjaukseen

Rajapintapalveluiden toteutusvaihtoehdot ja tilaaminen. Kunnat ja Inspire koulutus Jani Kylmäaho

ANVIA PILVI. kotimaisia pilvipalveluita yrityksille 24/7

Articles... 3 Käyttäjähallinnon kuvaus... 4 Unohtunut salasana... 6 Tunnusten käyttöönotto... 7 Ohjeita... 8

Arkkitehtuuri. Ylätason sovellusarkkitehtuuri

Transkriptio:

HY:n ehdotus käyttäjähallintotuotteesta (jota sovellettaisiin Teakiin) Versio 0.5 / 20.10.2008 Ismo Aulaskari HY siis markkinoi pakettia joihin kuuluisi HY:n konesalissaan ylläpitämä, varmuuskopioitu Linux(RHEL 5) -virtuaalipalvelin ja seuraavat HY:n ylläpitämät ohjelmistot (tai vaihtoehtoisesti varmaan ainakin jonkun muun ylläpitämä palvelin ja HY:n ylläpitämät käyttäjähallintoohjelmistot): Web-hallinta-/kevytkäyttäjähallinto-automaatti joka ylläpitäisi Openldapin käyttäjätietoja ja tarjoaisi alussa yksisuuntaisia, myöhemmin mahdollisesti kaksisuuntaisia rajapintoja muiden järjestelmien (Teakin järjestelmät, Oodi) suuntaan (Henkilöstöjärjestelmää ei tarvitse tukea vähäisen henkilöstövaihtuvuuden vuoksi) Asennettujen ohjelmistojen lähdekoodit saatetaan vähintään paketin hankkineille asiakkaille saataville, jos ei koko maailman nähtäväksi (jolloin ohjelmistopaketti olisi kaikkien saatavissa ilman tukisopimusta) Shibboleth Identity Provider ja HAKA-federaatiota tukeva tietosisältö Optioina autentikointi Radiuksesta attribuuttikyselyt Openldapista Openldapin, Shibbolethin ja käyttäjähallintosovelluksen vikasietoinen kahdennus, tällä hetkellä palvelut ei kahdennettuna mutta vikasietoisessa virtuaalikoneympäristössä Oodi opiskelijoiden synkronointi Oodista Openldapiin 2. vaihe Ldap-autentikointia ja Radiusautentikointiin kytkeytymistä tukeva Openldapkäyttäjähakemisto Kevytkäyttäjähallintosovellus Rajapintoja -Oodi -AD -Webliittymä Teakin AD -attribuuttikysely Shibboleth IDP (HAKA) Openldap -Luo -Muokkaa -Poista -Hae kaikki -Varmuuskopioi Teakin Radius -autentikointi Linux-palvelin

Openldap-hakemisto Openldap 2.3.x (toistaiseksi) Skeema funeteduperson 2.0-ehdot täyttävä (ja täten Shibboleth-yhteensopiva) Tarkistettava mitä attribuutteja halutut palvelut vaativat, ja miten ne Teakin ldapiin saadaan Oodin datan ja käsinsyötetyn varassa Mitä AD:sta saadaan nykyisistä käyttäjistä HAKA-luottamusverkostojäsenyys asettaa tiukkoja vaatimuksia käyttäjähallinnon prosesseille Rajapinta (Ldap v.3) jonka kautta TLS-/LDAPS-suojattu simple bind-tunnistus tavallisten käyttäjien LDAP-autentikointi ohjataan Teakin Radiukseen Konfiguroitu slapd.conf-tekstitiedostolla Lokitus säädettävissä, normaalisti ldap-operaation tarkkuudella Ldap-hakemiston monitorointi? (HY:llä esim. Big Sister, Smokeping, Logwatch..) HY:n ylläpitämä Mahdollisuus kahdentaa Openldap-palvelu Toimii vähin katkoin ilmankin

Shibboleth Identity Provider Shibboleth IDP 2.x FunetEduPerson 2.0 -yhteensopiva tietosisältö Liittymät Autentikointi Openldap Tietolähteinä ainakin Openldap HY:n ylläpitämä Käyttäjähallinnon prosessit 2. vaihe Opiskelijoiden synkronointi Oodista Teakin määriteltävä ketkä ovat opiskelijoita Työntekijöiden/ulkopuolisten tunnusten ylläpito käsin/webliittymällä Voimassaolon/roolien valvonta vuorokausittain Jos prosessit menevät käyttäjähallintosovelluksen kautta, säilyy kontrolli esim. uniikkeihin tunnuksiin Oodi Automaattinen opiskelijoiden synkronointi 2. vaihe AD Kevytkäyttäjähallinto Käsin tehty henkilökunn an tunnusten ylläpito Henkilöstöosasto Massaluonti ADtunnusten pohjalta, myöhemmin toiseen suuntaan?

Kevytkäyttäjähallinto-automaatti J2EE5-alustalle (referenssisovelluspalvelimena Glassfish v2) Automaatti/automaatit joka huolehtii kerran vuorokaudessa vanhentuneiden käyttäjätunnusten poistosta/lukitsemisesta käyttäjätietokannan levylle dumppaamisen varmuuskopiointia varten On konfiguroitavissa tekstitiedostosta ldap-palvelimen ja ylläpitotunnuksen tiedot tuetut käyttäjätiedot käyttäjätunnuksen formaattifunktio/-luokka HY:n ylläpitämä Periaatteessa kahdennettavissa sovelluspalvelinklusterilla Lokitus säädettävissä, monitorointi sovelluspalvelimella Web-käyttöliittymä sekä ehkä sivutuotteena syntyvä rajapinta (WS-I Basic Profile 1.1 -web service) HTTPS-yhteyden yli, jonka kautta uusien käyttäjätunnusten luonti Ldapiin käyttäjätunnusten tietojen muokkaaminen työsuhdetiedon päivitys, nimet hetu laitos voimassaolo vakanssi henkilönumero? rooli onko tämä kaksivaiheinen niin että henkilöstöjärjestelmästä tulevan tiedon/lisäyspyynnön perusteella luodaan ensin käyttäjä Openldapiin, jonka jälkeen Teakin ylläpito voi luoda sen perinteisin menetelmin AD:hen (ja tehdä autentikointikelpoiseksi)? Jos automaatti poistaa vanhentuneet tunnukset, mikä on prosessi henkilökunnan tietojen virkistämiseksi? Käyttöönoton massaluonti? käyttäjän/käyttäjien tietojen haku, myös kaikki käyttäjät XML-dumppina synkronointitarpeita ajatellen Omien käyttäjätietojen tarkistaminen web-lomakkeella Ylläpitäjänäkymä

Kartoitus attribuuteista LDAP-synkronoinnissa:

Kartoitus TeaK:in AD-hierarkiasta: Massaluonti AD->Openldap ainakin 1. vaiheessa Alla olevassa kuvassa näkyy AD:n rakenne. Normaalitunnukset luodaan haarojen TeaK ja TeaK_VAS alle. Henkilökunta Henkilokunta-haaraan ja opiskelijat Opiskelijat-haaraan. TeaK_VAS:ssa jako opiskelijoiden suhteen on tarkempi ja menee aloitusvuoden mukaan (TEAK00, TEAK01 jne.) Testitunnus oldap (Open Ldap) on TeaK/Henkilokunta-haarassa. Tunnukset synkronoidaan Openldapiin litteään hierarkiaan uniikkina avaimena samaccountname-attribuutti, duplikaattien tapauksessa tietoja yhdistellen.

Optiona Oodi-rajapinta (Web service, Oodin WS-määritelmien mukaan) seuraavien tietojen synkronointiin: opiskelijan henkilöllisyys nimet hetu opiskelijanumero opinto-oikeuden voimassaolo opintotiedot laitos koulutusohjelma pääaine rooli, Teakin määriteltävä ketkä ovat opiskelijoita tällä hetkellä member/student/employee-jako AD:n containereiden sisällön perusteella, mutta tarkemmat kyselyt voivat olla mahdollisia Optiona muu tarvittava organisaatiokohtainen integraatiorajapinta? REST, HTTPS POST? Tarvitaan tarkistuksia/massasynkronointi Teakin käyttölupajärjestelmästä, onko käyttäjä jo siellä olemassa Vierailijakevyttunnukset HY:n kevyttunnuksia, jotka pääsevät HY:n IDP:n kautta Teakin Shibboloituun Hupnetiin

Toteutuksen vaihe Toteutettu testaus-/tuotannon aloittamisvalmius perustason attribuuttijoukolla, toteutettu seuraavat palvelut Käyttäjähallintopalvelun hostaamiseen tarkoitettu Vmware-klusterissa pyörivä Linux-palvelin (RHEL5) Openldap 2.3.43 (modifioitu c-kielistä lähdekoodia autentikoimaan TeaKin Radiuksesta) riippuvuuksineen (BDB-taustatietokannalla, TLS-tuella) Radiusautentikoinnin ldapista TeaKiin välittävä Perl-demoni riippuvuuksineen Java-ympäristö ja Glassfish 2-sovelluspalvelin, kytketty TeaKin AD:hen ja paikalliseen Openldap-kantaan Openldap testattu autentikoivan TeaK:n Radiuksesta HY:n käyttäjähallintoautomaatti asennettu ja konfiguroitu käyttämään TeaKin AD:ta ja paikallista Openldap-kantaa Käyttäjähallinto-automaatin attribuuttien jälkikäsittelysäännöt toteutettu Openldap-kanta populoitu TeaKin käyttäjillä Shibboleth-IDP-hostaus-palvelimelle luotu idp-teak-instanssi Idp-teak (Shibboleth 2 IDP) konfiguroitu käyttämään käyttäjähallintopalvelun Openldap-hakemistoa TeaKin käyttäjien tietojen hakemiseen Shibbolethin attribuuttien haku ldapista testattu TeaK:in dns-palvelu osoittamaan idp-teakiin Seuraavaksi: Shibboleth-autentikoinnin kytkeminen päälle Lupa aloittaa tuotanto-synkronoinnit Openldapiin TeaKin login sivun ulkoasun päättäminen idp-teakin rekisteröinti HAKA-luottamusverkostoon mitä varmuuskopioinnista ja lokituksesta on sovittu? palvelun monitorointi, haluaako TeaK tunnarit yms.? Kunhan saadaan TeaKin käyttäjien henkilötunnukset järjestelmään, on IDP vieläkin monikäyttöisempi Seuraavassa vaiheessa (kiireellisesti) Oodi-rajapinnan käyttöönotto,.tämä on kiireellinen koska muuten ei opiskelijoiden käyttäjätunnusten ja roolien ajantasaisuutta pystytä lupaamaan HAKA-kriteerien tarkkuudella Käyttähallintoautomaatin web-käyttöliittymä muitten tietojen ylläpitoon

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute