- ADFS 2.0 ja SharePoint 2010



Samankaltaiset tiedostot
Eduuni - Sähköisen työskentelyn ja verkostoitumisen palveluympäristö. Kehityspäällikkö Sami Saarikoski

Verkostojen identiteetinhallinta. Haka-seminaari Kehityspäällikkö Sami Saarikoski Opetus- ja kulttuuriministeriö.

Haka-käyttäjien kokoontuminen Arto Tuomi CSC Tieteen tietotekniikan keskus

Tunnistus ja roolipohjainen käyttöoikeuksien hallinta. Inspire-verkoston Yhteistyö-ryhmä

Palvelun rekisteröinti Virtu - luottamusverkostoon / testipalveluun

Lapin AMK extranet Palvelukuvaus

Virkamiehen tunnistamisen luottamusverkosto Virtu vapauttaa salasanaviidakosta Kotiviraston näkökulma

Federoidun identiteetinhallinnan

1 Virtu IdP- palvelimen testiohjeet

Julkishallinnon tunnistuksen ohjauspalvelun kehityshanke mitä PoC-vaihe on opettanut? Manne Miettinen, Henri Mikkonen ja Arto Tuomi

Luottamusverkosto. Shibboleth-asennuskoulutus CSC Tieteen tietotekniikan keskus Oy CSC IT Center for Science Ltd.

Federointi kertakirjautumisen mahdollistajana Mika Seitsonen ja Ahti Haukilehto, senior-konsultit Soveltosta

Federoidun identiteetinhallinnan periaatteet

GEANT-tietosuojakäytäntö Data Protection Code of Conduct

Oskarin avulla kaupungin karttapalvelut kuntoon

Kaislanet-käyttöohjeet

SharePoint 2010:n integroiminen kertakirjautumisjärjestelmään

Kertakirjautumisella irti salasanojen ryteiköstä

Jatkuvan oppimisen tunnistuspalvelu pähkinänkuoressa. Opetus- ja kulttuuriministeriö

CSC - Tieteen tietotekniikan keskus

Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

Palveluinfo Virtuaalitapahtuma

Haka MFA-työpaja

Sähköinen tunnistus korkeakouluissa. TieVie-lähiseminaari Mikael Linden Tieteen tietotekniikan keskus CSC

Haka mobiilitunnistuspilotti

Ajankohtaista Virtu-palvelussa

Helsingi yliopiston kevytkäyttäjähallintosovelluksen rajapintakuvaus

Contact Form 7 -lomakkeen yhdistäminen Timeline Manageriin

KEMI-TORNIONLAAKSON KOULUTUSKUNTAYHTYMÄ LAPPIA LANGATON VIERAILIJAVERKKO 2(7) VERKKOYHTEYDEN MÄÄRITTELY WINDOWS XP:LLE (WINDOWS XP SP3)

PILY-listalle rekisteröityminen Yahoo-groupsin kautta

Office365 Tampereen yliopiston normaalikoulussa

Hyvä tietää ennen kuin aloitat

Energiapeili-raportointipalveluun rekisteröityminen yritysasiakkaana

Kansallinen ORCiD yhdistämispalvelu

Service Provider. Shibboleth-asennuskoulutus Timo Mustonen. CSC Tieteen tietotekniikan keskus Oy CSC IT Center for Science Ltd.

Asettamispäätös OKM asettamispäätös Opetus- ja kulttuuriministeriön toimialan tietohallinnon ohjausryhmä (OpIT)

HY:n alustava ehdotus käyttäjähallintotuotteesta

OHJE SENAATTILAN KÄYTTÄJÄKSI REKISTERÖITYMISTÄ VARTEN

Energiapeili-raportointipalveluun rekisteröityminen yritysasiakkaana

OHJE SENAATTILAN KÄYTTÄJÄKSI REKISTERÖITYMISTÄ VARTEN

Palvelun Asettaminen Virtuun

erasmartcardkortinlukijaohjelmiston

Liityntäpalvelimen asentaminen

Kansallisen audiovisuaalisen instituutin käyttäjähallinnon kuvaus

IdP SaaS Palveluna Miksi sitä tarvitaan? Mikä se on? Kenelle se on tarkoitettu? 2009 Tieto Corporation 2/5/2010

OHJE SENAATTILAN KÄYTTÄJÄKSI REKISTERÖITYMISTÄ VARTEN

Tähän ohjeeseen on koottu vanhemmille ja johtokunnalle ohjeet pilvipalveluiden käyttämiseen. Tämä ohje on osa koko Tenavakallion IT dokumenttia.

OHJEET KEKSINNÖT.FI SIVUSTON KÄYTTÄJILLE

Mikä on Discovery Service?

Tiimeriin rekisteröityminen

1. Käyttäjätietokannan ja perusrekistereiden kytkentä 1.1. Opiskelijarekisteri

Active Directory Federation Services 2.0. Panorama Partners Oy Lari Savolainen, vanhempi konsultti Haka- ja Virtu-käyttäjien kokoontuminen, 3.2.

HY:n alustava ehdotus käyttäjähallintotuotteesta

Virtu-skeema. Sisältö. Virtu-luottamusverkoston yhteiset attribuutit ja attribuuttien muodostamisen ohjeistus

HY:n ehdotus käyttäjähallintotuotteesta

Sähköpostitilin luonti

funeteduperson-skeeman päivittäminen

POP PANKIN TUNNISTUSPALVELUN PALVELUKUVAUS

HY:n alustava ehdotus käyttäjähallintotuotteesta

Security server v6 installation requirements

Sisällys. Valtion tietotekniikan rajapintasuosituksia. XML:n rooleja sähköisen asioinnin tavoitearkkitehtuurissa. dbroker - asiointialusta

Etäkokousohjeet HUS:n ulkopuolisille ammattilaisille, joilla on käytössä VRK-kortti

Käyttäjän tunnistus yli korkeakoulurajojen

Energiapeili-raportointipalveluun rekisteröityminen kuluttaja-asiakkaana

Elisa Toimisto 365. Toimisto ja yhteydet pilvestä

XDW-projektissa rakennetut palvelut

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

XML Finland seminaari : Office 2007 XML dokumenttituotannossa

Tämän ohjeen avulla pääset alkuun Elisa Toimisto 365 palvelun käyttöönotossa. Lisää ohjeita käyttöösi saat:

Päätelaitepalvelu VALTTI valtionhallinnon henkilöstön käyttöön

Olli-Pekka Kuha CLAIMS-POHJAINEN AUTENTIKOINTI JA AUKTORISOINTI

HY:n ehdotus käyttäjähallintotuotteesta

DriveGate -ohjeet. DriveGate-käyttöohjeet: Rekisteröityminen palveluun. Rekisteröitymisohjeet ja rekisteröitymisprosessin kuvaus

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

HY:n ehdotus käyttäjähallintotuotteesta

erasmartcard-kortinlukijaohjelmiston asennusohje (mpollux jää toiseksi kortinlukijaohjelmistoksi)

OHJE SENAATTILAN KÄYTTÄJÄKSI REKISTERÖITYMISTÄ VARTEN

Ennen varmenteen asennusta varmista seuraavat asiat:

Työsähköpostin sisällön siirto uuteen postijärjestelmään

Yrityspalvelujärjestelmä

Energiapeili-raportointipalveluun rekisteröityminen kuluttaja-asiakkaana

Ajankohtaista Hakassa

-Yhdistetty viestintä osana uutta tehokkuutta. Petri Palmén Järjestelmäarkkitehti

Uloskirjautuminen Shibbolethissa

TKK: Shibboleth toteutuksia ja projekteja. Markus Melin

Ohjeistus. Hyväksytty pilotointia varten (13) Virtu - Määrittely. Attribuuttien muodostamisen ohjeistus

Liityntäpalvelimen asentaminen

Palvelukuvaus 1 (10) Handelsbankenin tunnistuspalvelun palvelukuvaus

Tieto Edu. Tieto Edun mobiiliversiota voi käyttää Android- ja IOs-laitteissa ja web-version käyttöön suosittelemme joko Crome- tai Firefox-selainta.

Tikon Web-sovellukset

VALDA-tietojärjestelmän j versio 1

Lab A1.FARM_Hyper-V.v3

Security server v6 installation requirements

TimeEdit opiskelijan ohje TimeEdit-instructions for students from this link

Microsoft Online Portal. Järjestelmänvalvojan perusopas

PROJEKTIDOKUMENTAATIO ASENNUS M. NIEMI

Käyttäjähallintokoulu Mikael Linden tieteen tietotekniikan keskus CSC

HY:n ehdotus käyttäjähallintotuotteesta

Konesali ilman rajoja Kongressi A

Sulava. Markku Suominen. Puhelin: Käyttöönotto Käyttö

Transkriptio:

Haka- ja Virtu -seminaari 9.2.2011 - ADFS 2.0 ja SharePoint 2010 CASE: Eduuni-työtilat - opetus- ja kulttuuriministeriön toimialan yhteinen sähköisen työskentelyn ja verkostoitumisen alusta. Kehityspäällikkö Sami Saarikoski IT-asiantuntija Toni Sormunen

Mikä Eduuni? Eduuni on opetus- ja kulttuuriministeriön omistama hallinnon- ja toimialan yhteisten palveluiden alusta. Eduunia ylläpitää ja kehittää CSC - Tieteen tietotekniikan keskus Oy yhteistyössä ministeriön ja asiakasorganisaatioiden kanssa. Eduunin ensimmäinen palvelu otettiin tuotantokäyttöön hallinnonalan virastoille 7.9.2009. Hallinnonalan Eduuni-palveluja ovat työryhmäpalvelu (SharePoint), Eduuni- pikaviestit ja verkkoneuvottelut (OCS) ja SALAMAasianhallinta. Jatkossa Eduunissa tuotetaan palveluja myös toimialan organisaatioille in-house periaatteella. Ensimmäinen toimialalle suuntautuva palvelu on Eduuni-työtilat.

Eduuni-työtilat ja Oma Eduuni Eduuni-työtilat on opetus- ja kulttuuriministeriön toimialan yhteinen sähköisen työskentelyn ja verkostoitumisen alusta. Työtila voi sisältää mm. asiakirjoja, kuvia, tehtäviä, keskusteluja, kalentereita, wikitai blogi-sivuja jne. perustuen SharePoint 2010 ominaisuuksiin. Alusta toteutetaan Microsoft SharePoint 2010 tuotteella mahdollisimman käyttöjärjestelmä/selain riippumattomasti hyödyntäen federoituja identiteettejä (Haka ja Virtu). Oma Eduuni tarjoaa myös jokaiselle palveluun rekisteröityneelle mahdollisuuden verkostoitua ja käyttää sosiaalisen median ominaisuuksia. Oma Eduuni sisältää oman sivuston ja oman profiilin

Kirjautuminen ja rekisteröinti Eduuni-työtiloihin kirjaudutaan pääasiassa Haka- ja Virtu - luottamusverkostojen kautta Muut työtiloihin valtuutetut käyttäjät kirjautuvat kuluttaja identiteettejä hyödyntäen. Esim. Google, LiveID tai Yahoo Kirjautumistavasta riippumatta kaikkia käyttäjiä vaaditaan rekisteröitymään ja validoimaan sähköpostiosoitteensa. Rekisteröinnissä kysytään sähköpostiosoitteen lisäksi vain perustiedot: Etu- ja sukunimi, organisaatio. Muita tietoja käyttäjät voivat antaa omaan profiiliin. Huom. luottamusverkostojen attribuuteissa tulevia sähköpostiosoitteita ei välitetä palveluun.

SharePoint 2010 ja ADFS 2.0 SharePoint 2010 Claims-based WebApplicationit Useita autentikointitapoja voidaan hyödyntää samassa WebApplicationissa SharePointissa on oma STS, jossa tuki WS-federation protokollalle Laajennettu selaintuki IE, Safari, Firefox http://technet.microsoft.com/en-us/library/cc263526.aspx ADFS 2.0 SAML 2.0 ja WS-federation tuki Mahdollisuus asentaa vikasietoinen farmi ADFS Claims Engine

SharePoint ympäristö

SharePoint STS asetukset Asetetaan SharePoint STS luottamaan ADFS:ään PowerShell - New-SPTrustedIdentityTokenIssuer $tokensigningcert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2( tokensigning.cer") $map1 = New-SPClaimTypeMapping "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" - IncomingClaimTypeDisplayName "By Email" -SameAsIncoming $map2 = New-SPClaimTypeMapping "http://schemas.domain.fi/claims/edupersonprincipalname" - IncomingClaimTypeDisplayName "By edupersonprincipalname" -SameAsIncoming $map3 = New-SPClaimTypeMapping "http://schemas.domain.fi/claims/virtupersonprincipalname" - IncomingClaimTypeDisplayName "By virtupersonprincipalname" -SameAsIncoming $realm = "https://testi.domain.fi/_trust/" $signinurl = "https://adfs.domain.fi/adfs/ls/" $ap = New-SPTrustedIdentityTokenIssuer -Name "Identity" -Description "ADFS 2.0" -Realm $realm - ImportTrustCertificate $tokensigningcert -ClaimsMappings $map1,$map2,$map3 -SignInUrl $signinurl -IdentifierClaim $map1.inputclaimtype $rootca = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("RootCA.cer") New-SPTrustedRootAuthority -Name "ADFS Token Signing Root Authority- fs.domain.fi" -Certificate $rootca Tämän jälkeen voidaan SharePoint Web Applicationissa valita Trusted Identity Provideriksi ADFS Kannattaa valita ainoastaan yksi per Web Application, ettei käyttäjä joudu valitsemaan IdP:itä useaan kertaan

ADFS 2.0 asetukset Asetetaan ADFS 2.0 luottamaan SharePointin STS:ään ADFS 2.0 Management Console Relying Party Trusts Add Relying Party Trust Wizard Valitaan AD FS 1.0 and 1.1 profile ADFS 2.0:n voi myös konfiguroida PowerShell cmdleteillä PowerShell komentoja Add-ADFSAttributeStore Adds an attribute store to the Federation Service. Add-ADFSCertificate Adds a new certificate to the Federation Service for signing, decrypting, or securing communications. Add-ADFSClaimDescription Adds a claim description to the Federation Service. Add-ADFSClaimsProviderTrust Adds a new claims provider trust to the Federation Service. Add-ADFSRelyingPartyTrust Adds a new relying party trust to the Federation Service.

ADFS 2.0 Service Provider:ksi Hakaan Hakan IdP:t määritellään ADFS:n Claims Provider Trust:ksi. ADFS ei voi suoraan hyödyntää Hakan metatietoa. Kaikki IdP:t ja SP:t samassa metatiedossa Sertifikaattien käsittelyssä eroja IdP tietojen käsittely Hakan metatiedosta: Manuaalisesti Skriptaamalla Ohjelmoimalla

Metatiedon muokkaaminen ADFS yhteensopivaksi Toteutus Powershell skriptillä ADFS:n mukana paljon valmiita komentoja joita hyödynnettiin toteutuksessa. XML:n käsittely Powershell:n avulla helppoa. Päivitettävyys. Keskeiset kohdat metatiedon käsittelyssä Metatiedosta haetaan per IdP tarvittavat tiedot. Tiedot parametreina Add-ADFSClaimsProviderTrust komennolle. Encryption sertifikaatti Metatiedossa voi olla useita, ADFS:ään voi viedä vain yhden Voimassa olevista sertifikaateista mahdollisimman pitkään voimassa oleva sertifikaatti.

Kiitos sami.saarikoski@minedu.fi toni.sormunen@minedu.fi

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute