Virkamiehen tunnistaminen ja käyttöoikeuksien hallinta hankkeen esitutkimusraportti. Luonnos

Samankaltaiset tiedostot
Käyttäjähallintokoulu Mikael Linden tieteen tietotekniikan keskus CSC

VIRKAMIEHEN TUNNISTAMINEN JA KÄYTTÖOIKEUKSIEN HALLINTA HANKE

Federoidun identiteetinhallinnan periaatteet

Luottamusverkosto. Shibboleth-asennuskoulutus CSC Tieteen tietotekniikan keskus Oy CSC IT Center for Science Ltd.

Tunnistus ja roolipohjainen käyttöoikeuksien hallinta. Inspire-verkoston Yhteistyö-ryhmä

Federoidun identiteetinhallinnan

Ohje: Identiteetin hallinnan tietoturvatasot (LUONNOS)

Valtiokonttori Käyttöönotto 1 (6) suunnitelma Virtu Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

CSC - Tieteen tietotekniikan keskus

Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

Käyttöönottosuunnitelma Virtu-palveluntarjoajalle

Sähköinen tunnistus korkeakouluissa. TieVie-lähiseminaari Mikael Linden Tieteen tietotekniikan keskus CSC

Käyttäjän tunnistus yli korkeakoulurajojen

Kertakirjautumisella irti salasanojen ryteiköstä

Julkishallinnon tunnistuksen ohjauspalvelun kehityshanke mitä PoC-vaihe on opettanut? Manne Miettinen, Henri Mikkonen ja Arto Tuomi

Virkamiehen tunnistamisen luottamusverkosto Virtu vapauttaa salasanaviidakosta Kotiviraston näkökulma

Ajankohtaista identiteetinhallinnassa. IT-päivät Mikael Linden CSC Tieteen tietotekniikan keskus Oy

Verkostojen identiteetinhallinta. Haka-seminaari Kehityspäällikkö Sami Saarikoski Opetus- ja kulttuuriministeriö.

1 Virtu IdP- palvelimen testiohjeet

Keskitetty käyttäjähallinto. VirtAMK-yhteyshenkilöpäivät Turku Jarmo Sorvari TAMK

TIETOHALLINTOLAKI (LUONNOS) Korkeakoulujen IT-päivät Erityisasiantuntija Olli-Pekka Rissanen

Uloskirjautuminen Shibbolethissa

HELSINGIN KAUPUNKI MUISTIO Numero 1 TALOUS- JA SUUNNITTELUKESKUS Tietotekniikkaosasto

Valtiokonttorin hankkeiden esittely - erityisesti KIEKU-ohjelma. ValtIT:n tilaisuus

Haka-käyttäjien kokoontuminen Arto Tuomi CSC Tieteen tietotekniikan keskus

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

Valtion IT-palvelukeskuksen perustaminen: 69 päivää. Yliopistojen IT päivät / Lasse Skog

HY:n ehdotus käyttäjähallintotuotteesta

HY:n alustava ehdotus käyttäjähallintotuotteesta

Valtion IT-palvelukeskus (VIP) Anna-Maija Karjalainen

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

Sähköisen tunnistamisen kehittäminen Suomessa

Emmi-sovelluksen kirjautumisohje

Potilastiedot ja tietoturvallisuus Käyttäjähallinta ja tietoturva kertakirjautumisella

IdP SaaS Palveluna Miksi sitä tarvitaan? Mikä se on? Kenelle se on tarkoitettu? 2009 Tieto Corporation 2/5/2010

LAURA TM -rekrytointijärjestelmän tietoturva. Markku Ekblom Teknologiajohtaja Uranus Oy

OHJE SENAATTILAN KÄYTTÄJÄKSI REKISTERÖITYMISTÄ VARTEN

Henkilötietojen käsittely sähköisen tunnistamisen luottamusverkostossa

Kansallinen palveluarkkitehtuuri TUNNISTUSPALVELU INFO

Kieku-hanke osana valtion talousja henkilöstöhallinnon uudistamista. Tomi Hytönen Valtiovarainministeriö

Ohje Emmi-sovellukseen kirjautumista varten

- ADFS 2.0 ja SharePoint 2010

TeliaSonera. Marko Koukka. IT viikon seminaari Identiteetin hallinta palveluna, Sonera Secure IDM

Potilastiedot ja tietoturvallisuus Tietoturvaselvitykset ja asiantuntijakonsultointi roolipohjaisen käyttäjähallinnan osalta

Palvelun rekisteröinti Virtu - luottamusverkostoon / testipalveluun

Valtion IT-palvelukeskuksen (VIP) palvelut. JulkIT Anna-Maija Karjalainen

Suorin reitti Virtu-palveluihin

Terveydenhuollon ATK päivät TURKU

Jatkuvan oppimisen tunnistuspalvelu pähkinänkuoressa. Opetus- ja kulttuuriministeriö

OHJE SENAATTILAN KÄYTTÄJÄKSI REKISTERÖITYMISTÄ VARTEN

Kansallinen palveluarkkitehtuuri ja maksaminen. Julkisen hallinnon ICT-toiminto Yksikön päällikkö Riku Jylhänkangas Miksi?

Sisäasianministeriön toimenpiteet henkilöstöhallinnon yhtenäistämiseksi

Articles... 3 Käyttäjähallinnon kuvaus... 4 Unohtunut salasana... 6 Tunnusten käyttöönotto... 7 Ohjeita... 8

KuntaIT Mikä muuttuu kunnan tietotekniikassa? Terveydenhuollon Atk-päivät Mikkeli Heikki Lunnas

VTJ-YLLÄPITO. Käyttäjän ohje Kunnat

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Ohjeistus uudesta tunnistuspalvelusta

Asetus valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä

MITÄ TIETOHALLINTOLAKI TUO TULLESSAAN? Mikael Kiviniemi Julkisen hallinnon ICT-toiminto

Tietoturvan haasteet grideille

-kokemuksia ja näkemyksiä

Lähtöoletuksena on, että opiskelijarekisterin henkilötiedot ovat ajantasalla. Opiskelijoille myönnettyjä tunnuksia ei käytetä Haka-palveluissa.

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

HY:n alustava ehdotus käyttäjähallintotuotteesta

Aloite Onko asioiden esittämistapa riittävän selkeä ja kieleltään ymmärrettävä?

Varmennekuvaus. Väestörekisterikeskuksen varmentajan varmenteita varten. v1.2

Käytönvalvonnan yhtenäistäminen ja tehostaminen organisaation ja kansalaisen kannalta

Kemikaalitieto yhdestä palvelusta

Voiko valtionhallinnon tietojärjestelmien nykytilaa kuvata? Aki Siponen Valtiovarainministeriö

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

TIETOSUOJASELOSTE KERADUR SERVICE OY. 1. Rekisterinpitäjä. Keradur Service Oy Y-tunnus: Osoite: Kampinkuja 2, Helsinki

Julkisen hallinnon ICT. Hallinnon kehittämisosasto

Keskitetty käyttäjähallinto

Taipuuko Kansalaisten asiointitili terveydenhuoltoon

Henkilötietojesi käsittelyn tarkoituksena on:

Tietoturvapolitiikka

Kansallinen palveluarkkitehtuuri Mistä laissa on tarkoitus säätää?

Pekka Hagström, Panorama Partners Oy

ACCOUNTOR FINAGO OY:N TIKON TALOUSHALLINTOPALVELU SELOSTE KÄSITTELYSTÄ

VALDA-tietojärjestelmän j versio 1

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

Sonera ID. huippukätevä sähköinen henkilötodistus omassa matkapuhelimessasi

Yhteentoimivuusalusta: Miten saadaan ihmiset ja koneet ymmärtämään toisiaan paremmin?

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

SUOMEN MAKSUNEUVOSTON EHDOTTAMAT TOIMENPITEET - MAKSAMISEN NYKYTILA JA TRENDIT 2014

Ajankohtaista Virtu-palvelussa

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

HY:n alustava ehdotus käyttäjähallintotuotteesta

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

Helsingi yliopiston kevytkäyttäjähallintosovelluksen rajapintakuvaus

HY:n ehdotus käyttäjähallintotuotteesta

Pyyntö OKM Nimeämispyyntö Kieku-tietojärjestelmähankkeen organisointi OKM:n hallinnonalalla

2.1 Yhteispalveluna tarjottavat avustavat asiakaspalvelutehtävät

Julkinen sanomarajapinta ja

HELSINGIN KAUPUNKI REKISTERISELOSTE 1 (5) LIIKUNTAVIRASTO Helsingin kaupungin liikuntaviraston varaus- ja ilmoittautumisjärjestelmä

TIETOSUOJASELOSTE. Yleistä. Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään? Mitä henkilötietoja minusta kerätään ja mistä lähteistä?

Asiakkaan tunteminen - miksi pankki kysyy?

HY:n ehdotus käyttäjähallintotuotteesta

SÄHKÖISEN TUNNISTAMISEN PALVELU KANSALLISESSA PALVELUARKKITEHTUURISSA

TIETOJA ASIAKKUUKSIIN LIITTYVIEN HENKILÖTIETOJEN KÄSITTELYSTÄ

Transkriptio:

Virkamiehen tunnistaminen ja käyttöoikeuksien hallinta hankkeen esitutkimusraportti VALTIOVARAINMINISTERIÖ Hallinnon kehittämisosasto Valtion IT-johtamisyksikkö 19.6.2007

Sivu 2

Sivu 3 Tiivistelmä Virkamiehen tunnistaminen ja käyttöoikeuksien hallinta (Virtu) -hankkeen tavoitteena on luoda valtionhallinnolle luottamusverkosto (federaatio) virkamiehen tunnistamiseksi yhteisissä tietojärjestelmissä. Tähän pyritään yhteisillä panostuksilla. Samaan aikaan tuetaan ja ohjataan virastoja järjestämään omat sisäiset järjestelyt samalla tekniikalla, jotta käyttäjillä olisi mahdollisimman vähän tunnuksia ja käyttäjähallinnon kehittämiseen käytetyt resurssit saataisiin mahdollisimman hyvään käyttöön. Tämä yhtenäistäminen parantaa myös tietoturvaa. Alkuvaiheessa Virtu-järjestelmää hyödynnettäisiin kirjautumisen toteuttamisessa esimerkiksi Valtiokonttorin (paperittoman kirjanpidon järjestelmä, matkanhallinta, Kieku-järjestelmähankinta) ja Väestörekisterikeskuksen (Väestötietojärjestelmä) tietojärjestelmissä, joilla on runsaasti virkamieskäyttäjiä muista virastoista. Virtu-järjestelmässä toteutettaisiin työnjako, jolla karsittaisiin virkamiesten käyttäjätietojen päällekkäistä ylläpitotyötä valtion virastoissa. Työnjaossa kukin virasto ottaisi vastuun omien virkamiestensä käyttäjätietojen ylläpidosta viraston keskitetyssä käyttäjähallintojärjestelmässä, johon myös virastorajat ylittävät verkkopalvelut tukeutuisivat. Näin palvelunomistajien resursseja saataisiin vapautettua käyttäjätietojen ylläpidosta ja unohtuneiden salasanojen resetoinnista palvelun sisällön tuottamiseen ja kehittämiseen. Virkamiehen näkökulmasta Virtu-järjestelmä toisi verkkopalvelut yhden käyttäjätunnuksen ja salasanan periaatteen piiriin. Näin Virtu-järjestelmä tukisi itsepalveluperiaatteen leviämistä valtionhallinnon sisäisissä tietojärjestelmissä. Toisaalta Virtu-järjestelmä myös tasoittaisi tietä vahvan tunnistamisen käyttöönotolle, koska järjestelmä tarjoaisi joustavan siirtymäpolun kohti virkavarmenteiden käyttämistä. Hankkeessa ei tunnistamisen vahvuudelle ole asetettu ehdottomia vaatimuksia, vaan tunnistamistapa valitaan käsiteltävän tietoaineiston mukaan. Laatuvarmenteisiin perustuvaa vahvaa tunnistamista tullaan vaatimaan tietyissä yhteisissä palveluissa. Virkamiehelle myönnettyä laatuvarmenetta kutsutaan tässä virkavarmenteeksi erotuksena kansalaiselle myönnettävästä varmenteesta. Tunnistamisen lisäksi virkavarmenteille on näköpiirissä monia muita tarpeita tietojen salaamisessa ja allekirjoittamisessa. Tavoitteena on, että virkavarmenteiden käyttö yleistyy ja sen käyttöönottoa tulee tukea. On myös syytä tarkastella tarvitaanko lainsäädäntöä virkavarmenteiden käytöstä tunnistamiseen. Virastorajat ylittävien palveluiden käyttäjähallinto rakennettaisiin virastokohtaisten käyttäjähallintojärjestelmien varaan. Samalla asetettaisiin myös laatuvaatimuksia käyttäjähallinnon toimintaprosesseille viraston sisällä. Edellytyksenä Virtujärjestelmään liittyville virastoille olisi vähintään perustasoinen käyttäjähallinto, jonka eteen virastojen on syytä alkaa ponnistella välittömästä. Käyttäjähallinnon kehittäminen on luonteeltaan ennen kaikkea hallinnollinen ponnistus, johon sisältyy mm. organisaation toimintaprosessien mallintamista ja yhdenmukaistamista, tietojen, niiden omistajien ja primäärien lähteiden määrittelyä sekä sanastojen ja koodistojen yhtenäistämistä viraston sisällä. Tämä dokumentti on hankkeen esitutkimusraportti. Käyttäjähallinnon käsitteiden jälkeen esitellään Virtu-järjestelmän teknisiä periaatteita ja standardeja, joihin ehdotettu järjestelmä perustuisi. Dokumentissa esitellään luonnos Virtu-järjestelmän osapuoliksi ja heidän tehtävikseen sekä hahmotelmia siitä, millaisia vaihtoehtoja

Sivu 4 osapuolilla on valittavanaan Virtu-liittymän toteuttamisessa. Lisäksi esitellään malleja käyttöoikeuksien hallinnan toteuttamiselle Virtu-järjestelmän avulla. Käynnistettäväksi esitettävässä hankkeen toteutusvaiheessa keskityttäisiin kuitenkin pääasiassa virkamiehen tunnistamiseen.

Sivu 5 Sisällys Tiivistelmä... 3 Sisällys... 5 1. Yleistä virkamiehen tunnistaminen hankkeesta... 7 1.1. Taustaa... 7 1.2. Tavoitteet... 7 1.3. Tulos... 8 1.4. Tehtävä... 8 1.5. Organisaatiorajat ylittäviä sovelluksia valtionhallinnossa... 8 1.6. Rajauksia ja täsmennyksiä... 9 2. Johdanto käyttäjähallinnon käsitteisiin... 10 2.1. Identiteetti... 10 2.1.1. Tietojärjestelmäkohtainen käyttäjähallinto... 10 2.1.2. Viraston keskitetty käyttäjähallinto... 10 2.1.3. Virastorajat ylittävä käyttäjähallinto... 11 2.2. Henkilöllisyyden todentaminen... 12 2.3. Käyttöoikeudet... 13 2.4. Käyttäjähallinnon kehittämisen hyötyjä ja haasteita... 14 3. Organisaatiorajat ylittävän käyttäjähallinnon toteutus... 16 3.1. Tekninen periaate... 16 3.2. Tekninen tiedonsiirtoprotokolla... 18 3.3. Siirrettävistä henkilötiedoista... 18 3.4. Palvelinvarmenteet... 19 4. Virkamiehen tunnistamisen osapuolet ja työnjako... 20 4.1. Virkamiehen tunnistuksen luottamusverkosto... 20 4.2. Luottamusverkoston osapuolet ja osapuolten tehtävät... 20 4.2.1. Loppukäyttäjä (virkamies)... 20 4.2.2. Kotiorganisaatio... 21 4.2.3. Palveluntarjoaja... 22 4.2.4. Operaattori... 22 4.2.5. Koordinaattori ja omistaja... 23 4.2.6. VM:n järjestämä keskitetty tunnistuslähde... 23 4.3. Osapuolten tietoturvatasot... 24 5. Käyttövaltuuksien hallinta luottamusverkostossa... 25 5.1. Organisaatiorajat ylittävän käyttäjähallinnon hyödyntämistavat... 25

Sivu 6 5.2. Käyttövaltuudet hallitaan luottamusverkoston ulkopuolella (nollavaihtoehto)... 26 5.3. Tunnistusseloste sisältää palvelujärjestelmäkohtaisen käyttäjäroolin... 26 5.4. Tunnistusseloste sisältää työroolin... 27 5.5. Yhteenveto valtuuttamisesta... 28 6. Esimerkkejä erilaisista Virtu-liittymän toteutustavoista... 29 6.1. Tunnistuslähteen toteuttaminen... 29 6.1.1. Virastolla oma tunnistuslähde... 29 6.1.2. Hallinnonalalla yhteinen tunnistuslähde... 29 6.1.3. Olemassaoleva luottamusverkosto ketjutetaan Virtuun... 30 6.1.4. Kotivirasto ostaa tunnistuslähteen palveluna... 30 6.2. Palvelun toteuttaminen... 31 6.2.1. Palvelu integroituna suoraan sovellukseen... 31 6.2.2. Sovelluksen edustalla erityinen pääsynvalvontapalvelin... 31 6.2.3. Tunnistuslähteen edustapalvelin (IdP proxy)... 32 6.3. Keskitetty ominaisuuslähde... 32 7. Kustannusarvioita ja -vertailuja... 33 7.1. Nykyisen toimintamallin kustannukset... 33 7.2. Ehdotetun toimintamallin kustannukset... 34 8. Ehdotus jatkotoimenpiteiksi ja niiden vaiheistukseksi... 35 8.1. Virkamiehen tunnistamisen hankkeen toteutusvaihe... 35 8.2. Virastojen käyttäjähallinnon kehitystyön tukeminen... 35 8.3. Myöhemmin toteutettavat laajennukset... 36 8.3.1. Käyttövaltuuksien hallinta... 36 8.3.2. Kuntien virkamiesten tunnistaminen... 36 Viitteet... 37 LIITE 1: Käsitteet... 38 LIITE 2: Määritys siirrettävistä ominaisuuksista (skeema)... 42

Sivu 7 1. Yleistä virkamiehen tunnistaminen hankkeesta Alaluvuissa 1.1-1.4 esitellään virkamiehen tunnistaminen ja käyttöoikeuksien hallinta hankkeen (lyhennettynä Virtu) asettamispäätöksen (VM 113:01/2006) sisältö. Kahdessa viimeisessä alaluvussa esitellään valtionhallinnon sovelluksia, joita valtion virkamiehet käyttävät yli virastorajojen, sekä hankkeessa tehtyjä rajauksia. 1.1. Taustaa Valtioneuvoston periaatepäätös valtionhallinnon IT-toiminnan kehittämisestä (15.6.2006) sisältää valtioneuvoston linjaukset ja kehittämisohjelmat valtion yhteisen IT-toiminnan kehittämiseksi vuosina 2006 2011. Kehittämisohjelmien kärkihankkeet ovat askeleita kohti periaatepäätöksessä kuvattua pidemmän tähtäimen tavoitetilaa valtionhallinnon IT-toiminnasta. Periaatepäätöksessä esitettyjen tavoitteiden saavuttamiseksi käynnistettiin viisi kehittämisohjelmaa: Asiakaslähtöiset sähköiset palvelut, Yhteentoimivuus (tietohallinnon arkkitehtuurit ja menetelmät), Yhteiset tietojärjestelmät, Yhtenäiset perustietotekniikkapalvelut ja Tietoturvallisuus. Yhteiset tietojärjestelmät -kehittämisohjelma Yhteiset tietojärjestelmät -kehittämisohjelmalla luodaan koko valtionhallinnolle yhteisiä tietojärjestelmiä tai palveluja toimintoihin, joissa virastoilla on samantyyppiset tarpeet ja toimintatavat. Päällekkäistä kehitys- ja ylläpitotyötä vähennetään lisäämällä valtion yhteisten järjestelmien määrää asteittain, silloin kun se on kannattavuuden ja toiminnan näkökulmista perusteltua. Vuosina 2006 2007 käynnistettäviä ohjelman kärkihankkeita ovat: - talous- ja henkilöstöhallinnon tietojärjestelmät (KIEKU-hanke) - virkamiehen tunnistaminen ja käyttöoikeuksien hallinta - dokumentinhallinta ja arkistointi. 1.2. Tavoitteet Virkamiehen tunnistaminen ja käyttöoikeuksien hallinta -hankkeen on tarkoitus luoda koko valtionhallinnolle yhteiset toimintamallit ja tekniset ratkaisut virkamiesten henkilöllisyyden todentamiseen, henkilötietojen ylläpitoon sekä käyttöoikeuksien hallintaan. Hankkeen päätavoitteena on mahdollistaa, että virkamiehet voivat käyttää luotettavasti, turvallisesti ja kustannustehokkaasti myös oman organisaation ulkopuolisten osapuolien tarjoamia sähköisiä palveluita. Tämän tavoitteen saavuttamiseksi projektissa tulee: - Luoda valtionhallinnolle yhteinen menetelmä virkamiehen tunnistamiseen ja käyttöoikeuksien hallintaan. - Luoda valtionhallinnolle yhteensopivat järjestelmät virkamiehen tunnistamiseen ja käyttöoikeuksien hallintaan. - Määritellä eri osapuolien vastuut käyttäjän tunnistamisessa ja käyttöoikeuksien hallinnassa. - Luoda toimiva ja kustannustehokas malli virkamiehen tunnistamisen ja käyttöoikeuksien hallintaan.

- Parantaa valtionhallinnon ministeriöiden ja virastojen käyttäjätietojen hallinnointikäytäntöjä. Sivu 8 1.3. Tulos Hankkeen tuloksena on tämä esitutkimusraportti, jonka perusteella tehdään päätös hankkeen jatkamisesta/toteuttamisesta. liitteineen vastaa kysymyksiin - Määrittely virkamiehen tunnistamiseen liittyvistä käsitteistä. - Kuvaus virkamiehen tunnistamiseen ja käyttöoikeuksien hallintaan liittyvistä osapuolista ja osapuolien roolista. - Kuvaus eri osapuolien vaatimuksista virkamiehen tunnistamiselle ja käyttöoikeuksien hallinnalle. - Selvitys tietojen luottamuksellisvaatimuksista ja tunnistamisen yhteydessä siirrettävistä henkilötiedoista. - Kuvaus protokollaan ja infrastruktuuriin liittyvistä tarpeista sekä hahmotelma teknisistä ratkaisuista. - Kartoitus virastoissa, ministeriöissä sekä tarvittavassa laajuudessa myös kunnissa käytettävistä viranomaisen tunnistamisen ja käyttöoikeushallinnan nykyisistä toimintamalleista ja järjestelmistä. - Tarkennettu hankesuunnitelma toteutusvaiheelle. 1.4. Tehtävä Hankkeessa oli seuraavia tehtäväkokonaisuuksia: - Esiselvitysvaiheen tavoitteiden, tuotosten ja aikataulun täsmentäminen. - Nykyisten toimintamallien ja järjestelmien kartoittaminen. - Sidosryhmien vaatimusten määrittely. - Tietojen luottamuksellisuuteen, siirrettäviin henkilötietoihin, protokollaan ja infrastruktuuriin liittyvien tarpeiden selvittäminen. - Sanaston laatiminen. - Ratkaisuvaihtoehtojen arviointi toteutettavuuden, kustannusten ja hyötyjen, ITarkkitehtuurin sekä hankeriippuvuuksien osalta. - Toteutusvaiheen läpivientisuunnitelman tarkentaminen (ml. toteutusvaiheen organisaation määrittely). 1.5. Organisaatiorajat ylittäviä sovelluksia valtionhallinnossa Organisaatiorajat ylittävien sovellusten keskeinen omistaja valtionhallinnossa on Valtiokonttori, jonka tehtäviin kuuluu valtion yhteisten talous- ja henkilöstöhallinnon tietojärjestelmien määritteleminen, hankkiminen ja tuotteistaminen, niihin liittyvät palvelut sekä käyttöönoton tuki ja ylläpito. Osaa Valtiokonttorin omistamista sovelluksista käyttää lukumääräisesti suuri joukko virkamiehiä, erityisesti matkanhallintaa (Personec Travel) ja paperittoman kirjanpidon järjestelmää (Rondo). Valtiokonttori ( palvelun omistaja ) on hankkinut matkanhallinnan käyttöpalveluna (Application Service Provider, ASP) Personeciltä ( palvelun tarjoaja ). Rondon käyttöpalvelun tarjoaa TietoEnator.

Sivu 9 Lisäksi Valtiokonttorin Kieku-ohjelmassa on käynnissä järjestelmähankinta, joka tuo valtion yhteisen talous- ja henkilöstöhallinnon järjestelmäkokonaisuuden sekä integraatioratkaisun sovelluksia laajaan virkamieskunnan käyttöön. Järjestelmähankintaan sisältyy taloushallinnon osalta mm. menojen maksaminen, tulojen käsitteleminen, kirjanpito ja sisäinen laskenta, sekä henkilöstöhallinnon osalta mm. palvelussuhdeasioiden hallinta, osaamisen hallinta, työajan seuranta, palkkausjärjestelmän (UPJ) hallinta ja resurssisuunnittelu ja seuranta. Muiden virastojen omistamia organisaatiorajat ylittäviä sovelluksia on mm. Väestörekisterikeskuksen Väestötietojärjestelmä ja Ajoneuvohallintokeskuksen rekisterit. Lisäksi joillain hallinnonaloilla, esimerkiksi SM:n ja OM:n hallinnonaloilla, on runsaasti tietojärjestelmien ristiinkäyttöä. Myös muut ValtITkärkihankkeet tulevat tuottamaan yli virastorajojen käytettäviä tietojärjestelmiä, mm. Valtion dokumentinhallinta ja arkistointi hanke ja sähköisen asioinnin alusta hanke. 1.6. Rajauksia ja täsmennyksiä Hankkeessa tarkasteltiin käyttötilannetta, jossa virkamies kirjautuu valtionhallinnon sisäiseen palveluun, ja kirjautumiseen liittyy myös hänen käyttöoikeuksiensa tarkastaminen palvelussa. Dokumenttien tai sähköpostiviestien sähköinen allekirjoitus ei sisältynyt hankkeeseen. Hanke ei myöskään tarkastellut tilannetta, jossa kansalaisella on tarve tunnistaa viranomainen tietoverkossa. Hankkeessa loppukäyttäjän käsite laajennettiin kattamaan virkamiesten lisäksi myös valtioon muunlaisessa palvelussuhteessa olevat henkilöt. Hankkeessa ei tarkasteltu kansalaisten ja yritysten tunnistamista. Niitä varten julkishallinnossa on omat palvelunsa (Vetuma ja KATSO). Hankkeessa keskityttiin organisaatiorajat ylittävien sovellusten käyttäjähallintoon. Organisaatiorajat ylittävällä käytöllä tarkoitetaan sovelluksia, jotka omistaa joku muu taho kuin se virasto, jonka palveluksessa palveluun kirjautuva virkamies on (jatkossa virkamiehen kotivirasto). Organisaatiorajat ylittävällä käytöllä ei niinkään tarkoiteta tilannetta, jossa virasto ulkoistaa omia sisäisiä tietojärjestelmiään esimerkiksi ostamalla tietojärjestelmät käyttöpalveluna, paitsi jos ulkoistetulla järjestelmillä on loppukäyttäjiä myös muista virastoista. Samoja tekniikoita voidaan kuitenkin käyttää myös viraston sisäisten tietojärjestelmien kirjautumisessa. Hankkeessa ei myöskään oteta kantaa virastojen mahdollisesti muodostamiin yhteisiin IT-palvelukeskuksiin, joita on mm. OM:n ja SM:n hallinnonaloilla. Virasto, jonka palveluksessa virkamies on, on hänen kotivirastonsa ja kotiviraston johto on vastuussa työntekijöidensä tehtävänmukaisista käyttövaltuuksista, vaikka hallinnonalan virastot olisivatkin keskittäneet tietotekniikkansa (ml. tietojärjestelmien käyttäjähallinnon teknisen toteuttamisen) yhteiseen palvelukeskukseen. Tässä esitutkimusraportissa esiteltävä järjestelmä voidaan toteuttaa myös palvelukeskuksissa.

Sivu 10 2. Johdanto käyttäjähallinnon käsitteisiin Tässä luvussa esitellään käyttäjähallinnon (engl. user management, identity management, identity&access management) peruskäsitteitä erityisesti organisaatiorajat ylittävästä näkökulmasta. Hankkeeseen liittyviä käsitteitä on määritelty yksityiskohtaisemmin liitteessä (LIITE 1). 2.1. Identiteetti Identiteetti (henkilöllisyys, engl. identity, digital identity) tarkoittaa joukkoa ominaisuuksia, jotka kuvaavat käyttäjää ja joiden avulla käyttäjä voidaan tunnistaa [VAHT06]. Tietojärjestelmää käyttävälle virkamiehelle syntyy identiteetti, kun hänen tietonsa perustetaan tietojärjestelmän käyttäjätietokantaan. Identiteettiin liittyviä ominaisuuksia (attribuutti, engl. attribute) ovat mm. käyttäjätunnus, tunnistusvälineet (engl. token, esimerkiksi salasana ja varmenne) sekä virkamiehen roolitiedot ja muut tiedot. 2.1.1. Tietojärjestelmäkohtainen käyttäjähallinto Virkatehtäviä hoitaessaan virkamiehellä on tyypillisesti tarve käyttää useita toisiinsa nähden itsenäisiä tietojärjestelmiä, joista osa sijaitsee hänen kotivirastonsa ulkopuolella. Perinteisesti itsenäisten tietojärjestelmien käyttäjähallinto on ollut toisistaan riippumatonta (Kuva 1). Valtionhallinto 123villev Personec Travel Väestötietojärjestelmä virkav45 Virkamiehen kotivirasto Sähköposti virkamiv Windows AD Ville Virkamies Asianhallinta virkvill virkamiv Intranet Kuva 1. Perinteisesti tietojärjestelmien käyttäjähallinto koostuu itsenäisistä saarekkeista, mikä ilmentyy virkamiehen lukuisina eri käyttäjätunnuksina Käyttäjätunnukset eri järjestelmissä luodaan ja ylläpidetään toisistaan riippumattomasti, ja ylläpidosta vastaavat virastossa jopa eri organisaatioyksiköt (esim. tietohallinto työasematunnusten osalta, taloushallinto matkahallintajärjestelmän tunnusten osalta jne). Loppukäyttäjän suuntaan tämä näkyy mm. suurena muistettavien käyttäjätunnus/salasana-parien määränä. 2.1.2. Viraston keskitetty käyttäjähallinto Virasto voi kehittää omia sisäisiä toimintojaan ottamalla käyttöön keskitetyn käyttäjähallintojärjestelmän (Kuva 2), jossa käyttäjällä on virastonsa sisällä yksi

identiteetti, johon viraston kaikki tai ainakin keskeisimmät tietojärjestelmät tukeutuvat. Sivu 11 Valtionhallinto 123villev Personec Travel Väestötietojärjestelmä Väestötietojärjestelmä virkav45 Virkamiehen kotivirasto Asianhallinta virkamiv Sähköposti Hakemisto Ville Virkamies Windows AD Intranet Kuva 2. Keskitetyssä käyttäjähallinnossa virkamiehellä on oman virastonsa tietojärjestelmissä yksi identieetti. Käyttäjätunnukset luodaan ja suljetaan käyttäjähallintojärjestelmässä keskitetysti, esimerkiksi perusrekistereistä (mm. henkilökuntarekisteristä) saatavan herätteen perusteella. Keskitetty käyttäjähallintojärjestelmä voidaan toteuttaa itse hakemistotuotteiden ja erilaisten skriptien avulla, tai vaihtoehtoisesti se voidaan rakentaa kaupallisen metahakemistotuotteen varaan, joita on tarjoa mm. CA, HP, IBM, Microsoft, Novell, Oracle ja Sun [GART06]. VAHTI-ohje 9/2006 on kuvannut keskitetyn käyttäjähallinnon periaatteita ja hyviä käytäntöjä [VAHT06]. 2.1.3. Virastorajat ylittävä käyttäjähallinto Valtionhallinto Personec Travel Virkamiehen kotivirasto Asianhallinta virkamiv Sähköposti Hakemisto Ville Virkamies Windows AD Intranet Kuva 3. Hankkeessa luodaan valtionhallinnolle yhteinen menetelmä ja yhteiset järjestelmät virkamiehen tunnistamiseen ja käyttöoikeuksien hallintaan virastorajat ylittävissä palveluissa.

Sivu 12 Virkamiehen tunnistaminen ja käyttövaltuuksien hallinta -hankkeen päätavoitteena on, että virkamiehet voivat käyttää luotettavasti, turvallisesti ja kustannustehokkaasti myös oman organisaation ulkopuolisten osapuolien tarjoamia sähköisiä palveluita. Viraston sisäinen keskitetty käyttäjähallinto ei vielä yksin ratkaise virastorajat ylittävää käyttäjätunnistusta (joskin se tullaan tuonnempana luvussa 4.1 kirjaamaan esivaatimukseksi). Hankkeen keskeinen tehtävä onkin luoda menetelmät ja järjestelmät, jotka mahdollistavat virastojen sisäisiin käyttäjähallintojärjestelmiin tukeutumisen myös viraston ulkopuolisiin järjestelmiin kirjauduttaessa. Lähtökohtana on se, että virkamiehellä on yksi identiteetti, jota käytetään viraston sisäisten järjestelmien lisäksi myös virastorajat ylittävissä tietojärjestelmissä (Kuva 3). 2.2. Henkilöllisyyden todentaminen Käyttäjän henkilöllisyyden todentaminen (autentikointi, engl. authentication) tarkoittaa käyttäjän aitoudesta varmistumista halutulla luottamustasolla. Todentamisessa nojaudutaan johonkin a) jonka käyttäjä tietää, b) joka käyttäjällä on tai c) mikä käyttäjä on [VAHT06]. Usein käytetty termi käyttäjän tunnistus sisältää aina myös käyttäjän henkilöllisyyden todentamisen [VAHT06], joten niitä voitaneen käyttää synonyyminä. Ville Virkamies virkamvi/fk4odgne Sovellus Nimi: Ville Virkamies Käyttäjätunnus: virkamvi Rooli: valmistelija Kuva 4. Todentaessaan henkilöllisyyden sovellus varmistaa halutulla luotettavuustasolla, että kirjautuva käyttäjä on tietty sovelluksen entuudestaan tunnistama henkilö. Esimerkissä todentaminen tapahtuu salasanalla. Virkamiehen henkilöllisyys todennetaan ensimmäisen kerran silloin, kun virkamies saa palvelussuhteensa alussa tunnistamisvälineen palveluihin kirjautumista varten. VAHTI-ohje12/2006:n mukaan todentamiseen tulee sisältyä henkilökohtainen tapaaminen, jossa virkamies esittää virallisen henkilökortin, ajokortin tai passin [VAHT06b, s.19-21]. Kirjautumishetkellä henkilöllisyys voidaan todentaa kevyellä tai vahvalla tavalla. Henkilöllisyyden kevyt todentaminen tapahtuu esimerkiksi salasanalla, vahvaan todentamiseen sisältyy esimerkiksi pankkien TUPAS-tunnistus tai varmenteen tai laatuvarmenteen esittäminen, kun varmenteen aktivoimiseen tarvitaan PIN-koodi tai biometrinen tunnistus [VAHT06b, s. 20]. Palvelun edellyttämä henkilöllisyyden todentamisen vahvuus riippuu palvelun luonteesta, ja ennen kaikkea siinä käsiteltävien tietojen luottamuksellisuustasosta [VAHT06b, s. 29]. Organisaatiorajat ylittävä käyttäjähallinto ei ota teknisesti kantaa siihen, millä tavalla henkilöllisyyden todentaminen tapahtuu, eikä itsessään edellytä salasanoista luopumista ja virkavarmenteisiin siirtymistä. Organisaatiorajat ylittävä käyttäjähallinto kuitenkin tasoittaa tietä virkavarmenteiden käytölle. Käyttäjän varmenne on yksi hänen identiteettiinsä liittyvä tunnistamisväline, jota ylläpidetään hänen kotivirastossaan. Näin virkavarmenteeseen perustuva tunnistaminen saadaan aikaisempaa helpommin sovellusten ulottuville. Viimekädessä sovellus (ja

virkamiehen kotivirasto) päättävät, kuinka vahva tunnistus sovellukseen kirjauduttaessa vaaditaan. Sivu 13 Yleisesti ottaen voidaan kuitenkin todeta, että mitä useamman palvelun käyttäjän identiteetti kattaa, sitä suurempi paine kohdistuu henkilöllisyyden vahvan todentamisen käyttöönottoon (Kuva 5): pettäneestä henkilöllisyyden todentamisesta (identiteettivarkaus) seuraa suurempien riskien realisoituminen. Virastorajat ylittävä henkilöllisyys Viraston sisällä keskitetty henkilöllisyys Tietojärjestelmä kohtainen henkilöllisyys Kevyt henkilöllisyyden todentaminen Vahva henkilöllisyyden todentaminen Kuva 5. Henkilöllisyyden kattavuus ja henkilöllisyyden todentamisen luotettavuus. Virastorajat ylittävä käyttäjähallinto luo painetta siirtyä kohti henkilöllisyyden vahvaa todentamista. Toisaalta myös salasanaan perustuva henkilöllisyyden todentamisen luotettavuus voi lisääntyä, koska muistettavien salasanojen määrä vähenee, jolloin jäljelle jääviin salasanoihin voidaan kohdentaa korkeampia laatuvaatimuksia. Salasanatunnistuksen luotettavuutta voidaan kohentaa myös sallimalla salasanakirjautuminen vain viraston sisäverkosta. Tällöin etäkäyttäjien tulisi ensin kirjautua viraston sisäverkkoon esim. VPN-tekniikalla. Kertakirjautumisen käsite (engl. single sign-on) liitetään usein henkilöllisyyden todentamiseen. Kertakirjautuminen tarkoittaa, että käyttäjältä pyydetään salasana tai PIN-koodi vain kerran istunnon alussa. Kirjautuminen muihin sovelluksiin tapahtuu sen jälkeen automaattisesti. 2.3. Käyttöoikeudet Käyttöoikeudella eli käyttövaltuudella tarkoitetaan todennetulle käyttäjälle annettua lupaa tietyn tiedon, suojattavan kohteen tai muun palveluelementin käyttöön [VAHT06]. Käyttöoikeuksien tarkistamista kutsutaan pääsynvalvonnaksi, ja se tapahtuu, kun käyttäjä on kirjautumassa järjestelmään ja hänen henkilöllisyytensä on todennettu. Käyttäjän käyttöoikeudet riippuvat tietojärjestelmästä ja ne on tyypillisesti niputettu palvelujärjestelmäkohtaisiksi käyttäjärooleiksi [VAHT06, s. 18]. Esimerkiksi matkanhallintajärjestelmässä käyttäjällä voi olla muun muassa oikeus tehdä matkalaskuja (käyttäjärooli matkustaja) tai hyväksyä muiden tekemiä matkalaskuja (käyttäjärooli hyväksyjä). Virkatehtäviä suorittavan virkamiehen käyttöoikeudet tietojärjestelmissä seuraavat tyypillisesti hänen toimenkuvaansa. Käyttöoikeuksien hallitsemiseksi käyttäjille

annetaan työrooleja, jotka kuvataan edelleen palvelujärjestelmäkohtaisiksi käyttäjärooleiksi [VAHT06, s. 18]. Sivu 14 käyttäjät työroolit palveluj.koht. käyttäjäroolit esimies työntekijä hyväksyjä matkustaja palvelujärjestelmä Matkanhallintajärjestelmä Kuva 6. Esimerkki työrooliin perustuvasta käyttöoikeuksien hallinnasta. Oheisessa kuvassa (Kuva 6) on hahmoteltu esimerkki matkanhallintajärjestelmän työrooleihin perustuvasta käyttöoikeuksienhallinnasta. Esimerkissä on lähdetty oletuksesta, että kaikki virkamiehet voivat tehdä virkamatkoja. Esimiestehtävissä olevat hyväksyvät alaistensa virkamatkaesitykset sekä matkalaskut. Lisäksi tarvitaan vielä kieltolistoja ja muita järjestelyjä vaarallisten työyhdistelmien estämiseksi. Yksityiskohdissaan työnjako vaihtelee kuitenkin virastoittain ja on vahvasti kytköksissä viraston säädösympäristöön sekä ohjesääntöihin, työnjakoon, toimintaprosesseihin jne. Organisaatiorajat ylittävien järjestelmien osalta palvelujärjestelmäkohtaiset käyttäjäroolit määrittelee tyypillisesti palvelun omistaja, kun taas virkamiesten toimenkuvista seuraavat työroolit tunnetaan parhaiten virkamiehen kotivirastossa. Organisaatiorajat ylittävässä käyttövaltuuksienhallinnassa keskeiseksi haasteeksi nousee työroolien kuvaaminen palvelujärjestelmäkohtaisiksi käyttäjärooleiksi. 2.4. Käyttäjähallinnon kehittämisen hyötyjä ja haasteita Tähän lukuun on koottu käyttäjähallinnon kehittämisellä saavutettavia hyötyjä ja toisaalta haasteita, joita kehittämiseen liittyy. Hyödyt ja haasteet koskevat sekä viraston sisäisen käyttäjähallinnon kehittämistä (luku 2.1.2) että organisaatiorajat ylittävää käyttäjähallintoa (luku 2.1.3). Loppukäyttäjälle eli järjestelmää käyttävälle virkamiehelle koituvia hyötyjä on, että palvelut saadaan yhdellä tunnistusvälineellä tapahtuvan kirjautumisen taakse, jolloin muistettavien käyttäjätunnusten ja salasanojen määrä vähenee. Koska uuden tietojärjestelmän käyttöönotto ei enää automaattisesti edellytä uuden käyttäjätunnuksen ja salasanan opettelua, myös uusien palvelujen käyttöönottokynnys alenee. Palvelun omistava organisaatio/organisaatioyksikkö vapautuu ainakin osaksi palvelunsa käyttäjähallinnosta ja voi sen sijaan keskittyä omaan erityisosaamiseensa eli palvelun sisältöön ja palveluntuotantoon. Palvelun omistaja voi tukeutua (virkamiehen kotiviraston) tietohallinnon virkamiehille antamiin erivahvuisiin tunnistamisvälineisiin ja tietohallinnon virkamiehistä ylläpitämiin käyttäjätietoihin, joista on apua myös käyttövaltuuksien hallinnassa. Jos loppukäyttäjä on unohtanut salasanansa tai hänellä on muita käyttäjätunnukseen liittyviä ongelmia, hän kääntyy (kotivirastonsa) tietohallinnon puoleen, eikä rasita palvelun omistajaa. Palvelun omistajan näkökulmasta käyttäjähallinnon keskittäminen tarkoittaa käyttäjähallinnon ulkoistamista pois sovelluksesta, jolloin käyttäjätietojen päällekkäinen ylläpitotyö vähenee.

Sivu 15 Viraston tietohallinto puolestaan voi keskittyä omien prosessiensa tehostamiseen ja palvelun omistajien parempaan palvelemiseen. Tämä tapahtuu rakentamalla automatisoituja välineitä virkamiestensä käyttäjätietojen ylläpitoon muun muassa viraston henkilökuntarekisterin avulla. Käyttöönotettavat uudet tunnistusvälineet saadaan keskitetyn käyttöoikeushallinnan kautta palvelemaan laajemmin jo olemassa olevia palveluja. Myös käyttöoikeuksien hakemista voidaan tehostaa työroolien tai sähköisten käyttöoikeuksien hakujärjestelmien kautta. Tietoturvallisuus kasvaa usealla tavalla: - Koska käyttäjällä on vain yksi käyttäjätunnus/salasana-pari, on sen muistaminen helpompaa, ja siihen voidaan kohdistaa tiukemmat laatuvaatimukset, jotka koskevat esimerkiksi salasanan vaihtamista, pituutta ja sen sisältämiä merkkejä. - Henkilökuntarekisterikytkennän ansiosta virkamiesten käyttäjätunnukset saadaan suljettua palvelussuhteen päättyessä. Tällöin keskitetyn käyttäjähallinnon kautta tunnuksen sulkeutuminen toteutuu kaikissa sen piirissä olevissa järjestelmissä. - Uusien tunnistamisvälineiden ja mahdollisesti vahvan todentamisen käyttöönotto helpottuu, kun se saadaan keskitetyn käyttäjähallinnon kautta kerralla suureen joukkoon palveluita. - Keskitetty näkymä käyttäjän identiteetistä ja käyttöoikeuksista tietojärjestelmissä tukee jäljitettävyys- (engl. audit) ja raportointitoimintoja. Käyttäjähallinnon kehittämisen haaste on se, että kehitysprojekti ei ole pelkästään tekninen ponnistus, vaan se on vahvasti sidoksissa organisaation toimintaan. Jotta tekniset edellytykset käyttäjähallinnon kehittämiseen olisi olemassa, organisaation on ensin tyypillisesti mallinnettava ja yhdenmukaistettava toimintaprosessejaan, määriteltävä omistajia ja primäärejä lähteitä organisaatiossa olevalle tiedolle, sekä määriteltävä ja yhdenmukaistettava tietoon liittyviä sanastoja (koodistoja) ja sanastojen merkityksiä. Keskitetyn ja organisaatiorajat ylittävän käyttäjähallinnon haasteisiin ja riskeihin kuuluu se, että keskitetyt tunnistuspalvelimet itsessään muodostavat potentiaalisen pullonkaulan saatavuuden, suorituskyvyn ja tietoturvallisuuden kannalta. Virkamiehen tunnistaminen hankkeessa riskejä pyritään hallitsemaan pyrkimällä valtionhallinnon tasolla hajautettuun ratkaisuun, jolla minimoidaan keskitettyjen palveluiden määrä.

Sivu 16 3. Organisaatiorajat ylittävän käyttäjähallinnon toteutus Virkamiehen organisaatiorajat ylittävä tunnistus voidaan toteuttaa useilla tavoilla. Virastojen käyttäjätietokantoja voidaan synkronoida jokaisen palvelun kanssa. Tällöin kussakin virastossa jouduttaisiin toteuttamaan erikseen liittymä kuhunkin palveluun, mikä olisi työlästä. Keskitetyssä mallissa virkamiesten käyttäjätiedot koottaisiin valtiontason keskitettyyn käyttäjähakemistoon, johon palveluille avattaisiin pääsy esim. LDAP-protokollan avulla. Tätä kevyemmässä toteutuksessa kullakin virastolla olisi edelleen oma käyttäjähakemistonsa, jotka koottaisiin yhdeksi loogiseksi hakemistoksi keskitetyn virtuaalihakemiston avulla. Viimevuosina on alkanut yleistymään ns. federoitu käyttäjähallintomalli, joka perustuu organisaatioiden väliseen löyhään liitokseen. Federoidussa käyttäjähallinnossa organisaatiot vaihtavat käyttäjiin ja käyttäjätunnistukseen liittyviä sanomia ns. tunnistusselosteina (engl. assertion). Tunnistusselosteet pohjautuvat SAML-määritykseen (Security Assertion Mark-up Language), joka on avoin XML-pohjainen kieli ja protokolla, jonka kansainvälinen OASIS-konsortio on määritellyt. SAML-pohjaisia käyttäjähallinnon toteutuksia on käytössä julkishallinnossa ulkomailla mm. Australiassa, Belgiassa, Ranskassa, Islannissa, Italiassa, Yhdysvalloissa, Uudessa Seelannissa, Norjassa, Portugalissa, Iso-Britanniassa ja Ruotsissa [LIBE07]. Suomessa yliopistot ja ammattikorkeakoulut ovat käyttäneet SAML-pohjaista Shibboleth-tekniikkaa korkeakoulurajat ylittävissä palveluissa vuodesta 2005 alkaen [CSC07]. Verohallinnon ja Kelan KATSOorganisaatiotunnistus perustuu SAML-tekniikkaan, samoin Kelan, työministeriön ja Verohallinnon tunnistus.fi. Lisäksi yksittäisillä virastoilla on sisäisessä käytössään SAML-yhteensopivia järjestelmiä. Tämä esitutkimusraportti esittää valtionhallinnon organisaatiorajat ylittävän käyttäjähallinnon toteuttamista nimenomaan federoidun toimintamallin pohjalta. 3.1. Tekninen periaate Perustilanteessa organisaatiorajat ylittävässä käyttäjähallinnossa on kaksi teknistä toimijaa: virkamiehen kotiorganisaatio (kotivirasto) ja palveluntarjoaja. Kotiorganisaatio vastaa virkamiehen identiteetin hallinnasta, identiteettiin liittyvistä ominaisuuksista (engl. attribute) sekä virkamiehen henkilöllisyyden todentamisesta. Kotiorganisaatio asettaa SAML-tunnistuslähteen (Identity Provider, IdP), joka kokoaa virkamiehen ominaisuuksista SAML-tunnistusselosteen, joka välitetään salatun tiedonsiirtokanavan yli palveluntarjoajalle. Palveluntarjoaja on asettanut SAML-palvelun (Service Provider, SP), joka vastaanottaa tunnistusselosteen ja todentaa siinä olevan digitaalisen allekirjoituksen. Tunnistusselosteeseen sisältyvien ominaisuuksien avulla palvelu päättelee, onko loppukäyttäjällä oikeus palvelun käyttämiseen. SAML-pohjainen käyttäjätunnistus on tehty lähtökohtaisesti WWW-ympäristössä käytettäviä sovelluksia varten. Kirjautuvalla virkamiehellä edellytetään olevan käytettävissä tavanomainen WWW-selain.

Sivu 17 Ville Virkamies Helsingin yliopisto, Laitosjohtaja, fysiikan laitos 2. Ville Virkamies, Laitosjohtaja, fysiikan laitos 1.Henkilöllisyyden todentaminen Tunnistuslähde (Identity Provider) tunnistusseloste 4. Ville pääsee hyväksymään fysiikan laitoksen henkilökunnan matkalaskuja Personec Travel Palvelu (Service Provider) 3. Ville Virkamies, laitosjohtaja, fysiikka Käyttäjätietokanta Kotiorganisaatio Helsingin yliopisto Palveluntarjoaja esim. Personec Kuva 7. SAML-tekniikkaa hyödyntävän organisaatiorajat ylittävän käyttäjähallinnon periaate. Oheinen kuva (Kuva 7) selventää organisaatiorajat ylittävän käyttäjähallinnon periaatetta ja mahdollisuuksia. Loppukäyttäjä haluaa kirjautua Personec Travel matkanhallintaohjelmistoon, jolloin seuraa seuraavanlainen tapahtumaketju: 1. Palveluntarjoaja esittää loppukäyttäjän kotiviraston tunnistuslähteelle tunnistuspyynnön (engl. SAML authentication request). Tunnistuslähde huolehtii käyttäjän henkilöllisyyden todentamisesta jollain käytettävissä olevista, palveluun nähden riittävän luotettavista tunnistusvälineistä. 2. Tunnistuslähde hakee loppukäyttäjän käyttäjätietoja viraston käyttäjätietokannasta ja muodostaa niistä tunnistusselosteen. Tunnistusseloste voi esimerkiksi sisältää virkamiehen nimen ja yksilöivän tunnisteen, hänen yhteystietojaan (puhelinnumero, sähköpostiosoite, toimipaikan osoite) ja tietoa hänen työrooleistaan (organisaatioyksikkö, tehtävänimike ja asema) ja palvelujärjestelmäkohtaisista käyttäjärooleistaan. Tunnistusseloste sisältää myös tietoa henkilöllisyyden todentamisajankohdasta ja tavasta (engl. authentication context), sekä tunnistuslähteen laatiman digitaalisen allekirjoituksen. 3. Tunnistusseloste siirretään salattua HTTPS-kanavaa käyttämällä palveluun, joka purkaa sanoman ja todentaa sen allekirjoituksen. Käyttäjän ominaisuudet tarjotaan sovellukselle. 4. Sovellus päättää käyttäjän ominaisuuksien perusteella, minkälainen rooli käyttäjälle voidaan antaa sovelluksessa. Apuna voidaan käyttää myös sovelluksen sisäistä käyttäjätietokantaa ja käyttäjän sinne kirjattuja käyttöoikeuksia. Kuvan esimerkissä sovellettiin työrooliin perustuvaa pääsynvalvontaa; loppukäyttäjälle annettiin hyväksyjärooli matkahallinnossa sen perusteella, että hän on laitosjohtajan roolissa omassa kotivirastossaan. Alkuvaiheessa tunnistusselosteita hyödynnettäneen kuitenkin lähinnä loppukäyttäjän tunnistamiseen, ja käyttöoikeudet ylläpidetään sovelluksen sisällä. Käyttöoikeuksien hallintaan palataan luvussa 5. Organisaatiorajat ylittävässä käyttäjähallinnossa käyttäjän henkilöllisyyden todentaminen on siis sälytetty yksinomaan kotiviraston tehtäväksi. Käytettävissä

Sivu 18 oleville tunnistusvälineille voidaan laatia järjestys kevyimmästä vahvimpaan, ja kirjautumishetkellä palvelu esittää tunnistuslähteelle vaatimuksen käyttäjän tunnistuksen vahvuustasosta. Uusien tunnistusvälineiden käyttöönotto kotivirastoissa ei edellytä muutoksia palveluihin, sillä niiden tarvitsee vain tukea SAML-tekniikkaa ja osata määritellä vaatimuksensa henkilöllisyyden todentamisen vahvuudelle. Kukin kotivirasto voi sitten valita omien tarpeidensa mukaiset tunnistusvälineet, joilla palvelun edellyttämä käyttäjän henkilöllisyyden todentaminen toteutetaan. 3.2. Tekninen tiedonsiirtoprotokolla Virkamiehen tunnistamisen ja käyttöoikeuksien hallinnan järjestelmässä (jatkossa Virtu-järjestelmä) esitetään käyttäväksi SAML-määrityksen versiota 2.0, joka vahvistettiin maaliskuussa 2005. SAML 2.0:n mukaisia toteutuksia tarjoavat useat toimittajat, mm IBM, Sun, Novell, Oracle ja Ping Identity. Liberty Alliance suorittaa SAML2.0-tuotteiden yhteensopivuuden testauksia; tällä hetkellä Liberty Interoperable luokituksen on saanut 11 tuotetta [LIBE07b]. Liberty Alliance Liberty ID-FF 1.2 11/2003 OASIS SAML ver 1.1 9/2003 SAML ver 2.0 3/2005 Internet2 Shibboleth 1.x 6/2003-7/2005 Kuva 8. Liberty Alliancen, OASIS:n ja Internet2:n määrittelyjen keskinäiset suhteet. Kuva 8 selventää OASIS:n SAML-määritysten suhdetta Liberty Alliancen ja Internet2:n määrityksiin. SAML-määrityksen aikaisempi versio 1.1 otettiin pohjaksi Yhdysvaltojen yliopistoista koostuvan Internet2:n ja toisaalta Liberty Alliance konsortion määritystyölle. Tällä hetkellä käytössä on vielä runsaasti Liberty ID-FF 1.2-pohjaisia toteutuksia. Toisaalta korkeakoulumaailmassa käytetään Shibbolethprotokollaa, jotka molemmat perustuvat SAML 1.1:een. SAML 2.0, joka ei ole taaksepäin yhteensopiva SAML 1.1:n kanssa, sai vaikutteita sekä Liberty Alliancen että Internet2:n määrittelyistä, ja tullee vähitellen korvaamaan ne. SAML2.0:n lisäksi Liberty Alliance edistää ID-WSF-tekniikan käyttöä, joka sovittaa SAMLtunnistusselosteet Web Services palveluihin. Merkittävimmän vaihtoehdon SAML-määrityksille muodostavat IBM:n ja Microsoftin koordinoima määritystyö, johon kuuluvat keskeisimpinä määrityksinä WS-Security, WS-Federation ja WS-Trust. Useat saatavilla olevat tuotteet tukevat sekä SAML että WS-sarjan määrityksiä. Työryhmä esittää, että virkamiehen tunnistuksen tekniikaksi valitaan SAML 2.0. Tunnistuslähteiden vähimmäisvaatimus on SAML 2.0 Conformance määrityksen mukainen IdP Lite ja palveluiden vähimmäisvaatimus SP Lite. Jatkossa ollaan avoimia myös muille kehittyville tekniikoille. 3.3. Siirrettävistä henkilötiedoista Tunnistuslähde ja palvelu vaihtavat tietoa virkamiesten ominaisuuksista tunnistuspyyntöjen ja -selosteiden välityksellä, joten kotiorganisaatiolla ja

palveluntarjoajalla tulee olla yhtenevä näkemys ominaisuuksien syntaksista (rakenteesta) ja semantiikasta (merkityksestä). Sivu 19 Tunnetuissa ja yleisesti hyväksytyissä määrityksissä on jo kiinnitetty useimmat sellaiset ominaisuudet, joita myös Virtu-järjestelmä tarvitsee. Tällaisia määrityksiä on mm. Internet-standardit Person, OrgPerson ja InetOrgPerson. Lisäksi Liberty Alliance on määritellyt profiilin työntekijöiden ominaisuuksille [KELL05]. Olemassa olevien määritysten pohjalta hankkeessa laadittiin määritys siirrettävistä virkamiehen ominaisuuksista (LIITE 2). Henkilötietolain mukaan henkilötiedolla tarkoitetaan kaikenlaisia luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi. Virkamiesten käyttäjätiedot muodostavat henkilörekisterin, jonka rekisterinpitäjä on hänen kotiorganisaationsa. Tunnistuslähde käsittelee henkilötietoja todentaessaan käyttäjän henkilöllisyyden ja muodostaessaan tunnistussanoman. Myös palveluntarjoaja on henkilörekisterinpitäjä, jos tunnistussanoma yhdessä palveluntarjoajan käyttäjästä keräämien muiden tietojen kanssa täyttää henkilötiedon määritelmän. Henkilötietolaista rekisterinpitäjälle seuraavat velvoitteet, kuten huolellisuusvelvoite, suunnitteluvelvoite, informointivelvoite ja virheettömyysvaatimus täytyy huomioida myös Virtu-järjestelmässä. Tarpeellisuusvaatimuksesta seuraa, että tunnistuslähde saa luovuttaa palvelulle vain sellaisia henkilötietoja, joita palvelu tarvitsee. Käyttötarkoitussidonnaisuudesta johtuu, että tunnistuslähde saa luovuttaa henkilötietoja vain sellaisiin palveluihin, joissa henkilötietojen käsittelyn tarkoitus ei ole ristiriidassa virkamiehen henkilötietojen kotivirastossa tapahtuvan käsittelyn kanssa. Informointivelvoitteesta seuraa henkilötietolaissa mainituin poikkeuksin, että kotiviraston tulee viimeistään silloin, kun henkilötietoja ensi kerran luovutetaan, informoida virkamiestä luovutuksen saajasta, henkilötietojen käsittelytarkoituksesta ja luovutuksesta edelleen sekä siitä, kuinka rekisteröity voi käyttää oikeuksiaan. 3.4. Palvelinvarmenteet SAML-määrityksen mukaisten tunnistuspyyntöjen ja tunnistusselosteiden aitous ja eheys varmistetaan digitaalisilla allekirjoituksilla ja luottamuksellisuus SSL/TLStekniikalla tai salaamalla tunnistusselosteet vastaanottajan julkisella avaimella. Tämä edellyttää, että SAML-tunnistuslähteellä ja -palvelulla on käytettävissään vastapuolen julkinen avain. Lisäksi Virtu-järjestelmässä virkamiehet käyttävät palvelua www-selaimella salattujen https-yhteyksien yli. Https-yhteydet edellyttävät, että palvelimella on luotetun palveluntarjoajan antaman varmenne. Työryhmä esittää, että virkamiehen tunnistamisen järjestelmässä SAMLtunnistuslähteet ja -palvelut käyttävät Väestörekisterikeskuksen VRK CA for Service Providers varmentajan myöntämiä palvelinvarmenteita, ellei julkista hankintaa koskevista säädöksistä johdu muuta. Virkamiehen selaimella avautuvissa httpsyhteyksissä voidaan lisäksi käyttää yleisimpien selaimien tuntemia palvelinvarmenteita.

Sivu 20 4. Virkamiehen tunnistamisen osapuolet ja työnjako Edellisessä luvussa käytiin läpi Virtu-järjestelmän teknisiä periaatteita. Tässä luvussa esitetään, kuinka toimijoista muodostetaan yhteisö, jossa osapuolten tehtävistä ja vastuista on sovittu. 4.1. Virkamiehen tunnistuksen luottamusverkosto Luottamusverkosto (engl. Circle of Trust, federation) tarkoittaa joukkoa palveluntarjoajia ja kotiorganisaatioita, joiden kanssa käyttäjät voivat asioida turvallisesti kuin yhdessä ympäristössä [VAHT06]. Luottamusverkosto voi perustua palveluntarjoajien ja kotiorganisaatioiden kahdenvälisiin sopimuksiin, mutta valtionhallinnon muodostamassa toimintaympäristössä, jossa kotiorganisaatioita ja palveluntarjoajia on kymmeniä tai satoja, on edullista sopia luottamusverkoston pelisäännöistä keskitetysti. Kuva 9. Virkamiehen tunnistamisen ja käyttöoikeuksien hallinnan luottamusverkosto ja sen osapuolet. Oheinen kuva (Kuva 9) esittelee Virkamiehen tunnistamisen ja käyttöoikeuksien hallinnan luottamusverkoston eli federaation (jatkossa Virtu-luottamusverkosto) osapuolet, jotka ovat - loppukäyttäjä (virkamies) - kotiorganisaatio - palveluntarjoaja - operaattori - koordinaattori ja omistaja - valtiovarainministeriön järjestämä keskitetty tunnistuslähde 4.2. Luottamusverkoston osapuolet ja osapuolten tehtävät 4.2.1. Loppukäyttäjä (virkamies) Virtu-luottamusverkostossa loppukäyttäjä on henkilö, joka kirjautuu Virtujärjestelmään rekisteröityihin palveluihin. Loppukäyttäjä on saanut kotiorganisaatiostaan käyttäjätunnuksen ja sitoutunut kotiorganisaationsa käyttösääntöihin.

Sivu 21 Valtion virkamieslaki määrittelee virkamiehen virkasuhteessa olevaksi henkilöksi. Virkamiehen tunnistaminen ja käyttöoikeuksien hallinta hankkeessa loppukäyttäjän käsite laajennettiin kuitenkin tarkoittamaan myös henkilöitä, jotka ovat muunlaisissa palvelussuhteissa, esimerkiksi työsuhteessa tai suorittamassa siviilipalvelusta. Lisäksi loppukäyttäjä voi olla kotiorganisaation alihankkijan palveluksessa (esimerkiksi ulkoistetut vahtimestari- tai ravintolapalvelut). Kotiorganisaatio vastaa myös heidän käyttäjätietojensa ja tunnustensa ylläpidosta Virtuluottamusverkostossa. Virtu-kirjautumisen kulun kannalta virkasuhteessa olevat loppukäyttäjät eivät eroa muunlaisessa palvelussuhteessa olevista loppukäyttäjistä. Tässä dokumentissa sanalla virkamies viitataan myös heihin. Tarvittaessa loppukäyttäjän palvelussuhteen tyyppi voidaan päätellä sitä varten määritellystä ominaisuudesta (engl. attribute). Voidaan esittää kysymys, pitäisikö Virtu-järjestelmän yhteydessä puhua lainkaan virkamiehen tunnistamisesta, jos loppukäyttäjien joukossa on muitakin kuin virkamiehiä. Työryhmän mielestä viittauksella virkamieheen saadaan kuitenkin tehtyä selkeä ero julkishallinnon muihin tunnistamispalveluihin, kuten kansalaisen tunnistamiseen (Vetuma) ja organisaation tunnistamiseen (KATSO). 4.2.2. Kotiorganisaatio Kotiorganisaatio on virkamiehen kotivirasto. Kotiorganisaation tehtäviin kuuluu - virkamiehen identiteetin ja ominaisuuksien ylläpito. Kotiorganisaatio huolehtii identiteettien antamisesta uusille virkamiehille, kun he aloittavat palvelussuhteen virastossa, virkamiesten ominaisuuksien päivittämisestä virkamiehen virkauran mukaisesti sekä virkamiesten identiteettien sulkemisesta, kun palvelussuhde päättyy. - uuden virkamiehen henkilöllisyyden todentaminen, kun hänelle annetaan tunnistusväline (esimerkiksi salasana tai virkavarmenne). Kotiorganisaatio huolehtii siitä, että virkamiehen henkilöllisyys todennetaan kasvotusten ja samalla häntä pyydetään esittämään passi, ajokortti tai virallinen henkilökortti, tai luotettavuudeltaan siihen rinnastuvalla tavalla. - virkamiehen henkilöllisyyden todentaminen kirjautumishetkellä. Kotiorganisaatio todentaa virkamiehen henkilöllisyyden tunnistusvälineen avulla, kun hän kirjautuu palveluun. Henkilöllisyyden todentamiseen tulee käyttää luotettavuudeltaan vähintään niin vahvaa tunnistusvälinettä kuin mitä palveluntarjoaja on tunnistuspyynnössä vaatinut. Halutessaan kotiorganisaatio voi käyttää vahvaa todentamista (esimerkiksi virkavarmennetta) silloinkin, kun tunnistuspyyntö ei sitä nimenomaan edellytä. - SAML-tunnistuslähteen (Identity Provider) asettaminen. Tunnistuslähde antaa tunnistusselosteita palveluille, kun virkamies kirjautuu palveluun. Jotta palvelu pystyy ohjaamaan virkamiehen oikeaan tunnistuslähteeseen, tulee viraston kaikkien loppukäyttäjien käyttää samaa tunnistuslähdettä. - tukipalvelupisteen järjestäminen loppukäyttäjälle. Jos virkamies unohtaa salasanansa tai hänellä on muita kirjautumiseen liittyviä ongelmia, hän ottaa yhteyttä kotivirastonsa tukipalveluun.

Sivu 22 Kotiorganisaatio voi toteuttaa tehtävänsä itse tai ulkoistaa ne. Edelleen kotiorganisaatio voi esiintyä itsenäisenä toimijana, tai muodostaa parhaaksi katsomiaan yhteistyörakenteita esimerkiksi hallinnonalan muiden virastojen kanssa. Erilaisia vaihtoehtoja käydään läpi luvussa Virhe. Viitteen lähdettä ei löytynyt.. Kotiorganisaation tulee huolehtia kaikkien niiden ominaisuuksien ajantasaisuudesta, joita tunnistuslähde sisällyttää tunnistusselosteisiin. Virkamiehen muuttuneet tiedot tulee päivittää sekä päättyneiden palvelussuhteiden haltijoiden käyttäjätiedot sulkea tai roolitiedot päivittää yhden vuorokauden kuluessa siitä, kun muutos astuu voimaan. Kun virasto rekisteröityy Virtu-luottamusverkostoon, virasto suorittaa luottamusverkoston operaattorin ohjauksessa ja valvonnassa itseauditoinnin, jonka avulla pyritään varmistamaan vaatimusten täyttyminen. 4.2.3. Palveluntarjoaja Palveluntarjoaja - asettaa SAML-palvelun (Service Provider) ja niveltää sen sovellukseen. Erilaisia toteutustapoja käydään läpi luvussa 6.2. - määrittelee virkamiehen käyttöoikeudet palvelussa ja suorittaa palvelun pääsynvalvontaa. Käyttöoikeudet voivat nojata ainakin osaksi tunnistusselosteeseen sisältyviin virkamiestä kuvaaviin ominaisuuksiin. - määrittelee, kuinka vahvasti loppukäyttäjän henkilöllisyys on todennettava, ja pyytää tarpeen mukaan kotivirastoa suorittamaan henkilöllisyyden todentamisen esimerkiksi virkavarmenteella. - määrittelee palvelun kannalta tarpeelliset virkamiehen ominaisuudet ja laatii palvelun tietosuojaselosteen. 4.2.4. Operaattori Operaattori vastaa luottamusverkoston päivittäisestä toiminnasta ja teknisistä asioista koordinaattorin laatimien ohjeiden puitteissa. Osana tätä tehtävää operaattori - pitää kirjaa luottamusverkostoon metatiedoista, joka sisältää luettelon rekisteröidyistä tunnistuslähteistä ja palveluista ja niiden teknisistä osoitteista ja yhteystiedoista, sekä palveluiden tarvitsemista ominaisuuksista - ohjaa ja valvoo kotiorganisaation käyttäjähallinnon itseauditointia, jonka päämääränä on varmistaa, että organisaatio täyttää kotiorganisaatiolle asetettavat vaatimukset, sekä rekisteröi uudet tunnistuslähteet luottamusverkoston metatietoon - rekisteröi uudet palvelut luottamusverkoston metatietoon - rekisteröimisen yhteydessä koestaa uudet tunnistuslähteet ja palvelut, päämääränä varmistaa kirjautumisen toimivuus ja ominaisuuksien välittyminen oikeanlaisina - asettaa luottamusverkoston metatiedot tunnistuslähteiden ja palveluiden saataville - tarjoaa tukea teknisten ongelmien selvittelyssä kotiorganisaatioille ja palveluntarjoajille tai sellaisiksi aikoville

- tarjoaa testipalvelimia kotiorganisaatioille ja palveluntarjoajille tai sellaisiksi aikoville - ylläpitää luottamusverkoston keskitettyjä palvelimia, jos sellaisia tarvitaan (mm. tunnistuslähteen päättelypalvelu, engl. IdP discovery service) - tarkkailee luottamusverkoston tunnistuslähteiden ja palveluiden saatavuutta, jos tarpeen - alistaa toimintakäytäntönsä koordinaattorin järjestämään auditointiin - osallistuu luottamusverkoston toiminnan kehittämiseen yhdessä koordinaattorin kanssa. 4.2.5. Koordinaattori ja omistaja Luottamusverkoston koordinaattori Sivu 23 - määrittelee, mitkä organisaatiot (valtion virastot, liikelaitokset, kunnat, yksityissektorin toimijat) luottamusverkostoon voivat liittyä kotiorganisaationa ja/tai palvelunomistajana, ja minkälainen muodollisuusvaatimus liittymiseen sisältyy (ohje, sopimus jne) - määrittelee luottamusverkoston toimintakäytänteet (engl. policy), sisältäen mm. vähimmäisvaatimukset luottamusverkoston osapuolille ja vähimmäisvaatimusten toteutumisen auditoinnin - valitsee luottamusverkoston operaattorin ja laatii operaattorin kanssa sopimuksen operaattorin palveluista - järjestää rahoituksen luottamusverkoston operaattorin toiminnalle - edistää luottamusverkoston tunnettavuutta valtionhallinnon sisällä - vastaa luottamusverkoston toiminnan kehittämisestä operaattorin avulla (mm. uudet tekniikat, määritykset siirrettäville ominaisuuksille) - verkostoituu ja tekee yhteistyötä muiden maiden vastaavien toimijoiden kanssa ja koordinoi mahdollisia hankkeita, jotka tähtäävät ylikansalliseen yhteentoimivuuteen Luottamusverkoston omistaja - päättää kotiorganisaatioiden tai palveluiden sulkemisesta pois luottamusverkostosta Luottamusverkoston omistajaksi esitetään valtiovarainministeriötä. Lisäksi esitetään, että valtiovarainministeriö nimeää perustettavan ValtIT-palvelukeskuksen luottamusverkoston koordinaattoriksi. 4.2.6. VM:n järjestämä keskitetty tunnistuslähde Edellä luvussa 4.2 kotiorganisaatioille esitettiin osin haastaviakin vaatimuksia, jotka edellyttävät paitsi kotiorganisaatioiden sisäistä prosessityötä, myös laitteisto- ja ohjelmistoinvestointeja. Osa virastoista täyttänee vaatimukset itse tai yhdessä hallinnonalansa kanssa ja rekisteröi oman tunnistuslähteen luottamusverkostoon. On kuitenkin oletettavaa, että kaikki virastot eivät ole valmiita oman tunnistuslähteen asettamiseen. Siksi esitetään, että valtiovarainministeriö järjestää näille virastoille keskitetyn tunnistuslähteen ja tarjoaa sen maksullisena erillispalveluna

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute