Valtiokonttori Käyttöönotto 1 (6) suunnitelma Virtu Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

Samankaltaiset tiedostot
Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

Käyttöönottosuunnitelma Virtu-palveluntarjoajalle

1 Virtu IdP- palvelimen testiohjeet

Luottamusverkosto. Shibboleth-asennuskoulutus CSC Tieteen tietotekniikan keskus Oy CSC IT Center for Science Ltd.

Federoidun identiteetinhallinnan periaatteet

Ohje: Identiteetin hallinnan tietoturvatasot (LUONNOS)

Käyttäjähallintokoulu Mikael Linden tieteen tietotekniikan keskus CSC

Haka-käyttäjien kokoontuminen Arto Tuomi CSC Tieteen tietotekniikan keskus

Federoidun identiteetinhallinnan

Uloskirjautuminen Shibbolethissa

Tunnistus ja roolipohjainen käyttöoikeuksien hallinta. Inspire-verkoston Yhteistyö-ryhmä

Sähköinen tunnistus korkeakouluissa. TieVie-lähiseminaari Mikael Linden Tieteen tietotekniikan keskus CSC

Palvelun rekisteröinti Virtu - luottamusverkostoon / testipalveluun

Kieku-tietojärjestelmä Työasemavaatimukset sla-

Kertakirjautumisella irti salasanojen ryteiköstä

Virkamiehen tunnistamisen luottamusverkosto Virtu vapauttaa salasanaviidakosta Kotiviraston näkökulma

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

Virtu tietoturvallisuus. Virtu seminaari

CSC - Tieteen tietotekniikan keskus

Ajankohtaista Virtu-palvelussa

Julkishallinnon tunnistuksen ohjauspalvelun kehityshanke mitä PoC-vaihe on opettanut? Manne Miettinen, Henri Mikkonen ja Arto Tuomi

HY:n alustava ehdotus käyttäjähallintotuotteesta

Käyttäjän tunnistus yli korkeakoulurajojen

Ajankohtaista identiteetinhallinnassa. IT-päivät Mikael Linden CSC Tieteen tietotekniikan keskus Oy

HY:n ehdotus käyttäjähallintotuotteesta

Helsingi yliopiston kevytkäyttäjähallintosovelluksen rajapintakuvaus

Ohjeistus uudesta tunnistuspalvelusta

GEANT-tietosuojakäytäntö Data Protection Code of Conduct

Lähtöoletuksena on, että opiskelijarekisterin henkilötiedot ovat ajantasalla. Opiskelijoille myönnettyjä tunnuksia ei käytetä Haka-palveluissa.

IdP SaaS Palveluna Miksi sitä tarvitaan? Mikä se on? Kenelle se on tarkoitettu? 2009 Tieto Corporation 2/5/2010

HY:n alustava ehdotus käyttäjähallintotuotteesta

Jatkuvan oppimisen tunnistuspalvelu pähkinänkuoressa. Opetus- ja kulttuuriministeriö

päiväys tekijä tarkastaja hyväksyjä Muutoshistoria Julkunen (Marja Julkunen)

HY:n alustava ehdotus käyttäjähallintotuotteesta

Maestro Lappeenranta Mannerheiminkatu Lappeenranta. Maestro Helsinki Huopalahdentie Helsinki

Virkamiehen tunnistaminen ja käyttöoikeuksien hallinta hankkeen esitutkimusraportti. Luonnos

Terveydenhuollon ATK päivät TURKU

VTJkysely-palvelu. Sovelluskyselyiden rajapintakuvaus

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

Suorin reitti Virtu-palveluihin

1. Käyttäjätietokannan ja perusrekistereiden kytkentä 1.1. Opiskelijarekisteri

Lääkärin Terveyskansio Lähettävän lääkärin ohje

Valtiokonttorin tunnistuspalvelu

VIRKAMIEHEN TUNNISTAMINEN JA KÄYTTÖOIKEUKSIEN HALLINTA HANKE

OHJE SENAATTILAN KÄYTTÄJÄKSI REKISTERÖITYMISTÄ VARTEN

Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure

Suomen Lions-liitto ry Käyttäjätunnus ja sisäänkirjautuminen MyLCI - Käyttäjäohje Versio

NELLI-Tunnis. Käyttäjän tunnistus NELLI-tiedonhakuportaalissa yleisissä kirjastoissa. Versio Ere Maijala Kansalliskirjasto

Maestro Lappeenranta Mannerheiminkatu Lappeenranta. Maestro Helsinki Huopalahdentie Helsinki

todenna.fi todenna.fi Käyttöohje Tässä käyttäohjeessa kerrotaan mikä on todenna.fi -kirjautumispalvelu ja miten sitä käytetään.

Hirviö Järjestelmätestauksen testitapaukset ja suoritusloki I1

Helsingi yliopiston kevytkäyttäjähallintosovellus ATIK projektille

Potilastiedot ja tietoturvallisuus Käyttäjähallinta ja tietoturva kertakirjautumisella

XDW-projektissa rakennetut palvelut

Korkeakoulujen prosessipalvelin: mallintajan palvelinohje Versio 0.2

Kansallinen ORCiD yhdistämispalvelu

Liikennöitsijäsivuston käyttöohje

Suomen Lions-liitto ry Käyttäjätunnus ja sisäänkirjautuminen MyLCI - Käyttäjäohje Versio

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

Kieku-tietojärjestelmä Työasemavaatimukset

funeteduperson-skeeman päivittäminen

HY:n ehdotus käyttäjähallintotuotteesta

OHJE SENAATTILAN KÄYTTÄJÄKSI REKISTERÖITYMISTÄ VARTEN

Tähän ohjeeseen on koottu vanhemmille ja johtokunnalle ohjeet pilvipalveluiden käyttämiseen. Tämä ohje on osa koko Tenavakallion IT dokumenttia.

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

OHJE SENAATTILAN KÄYTTÄJÄKSI REKISTERÖITYMISTÄ VARTEN

Tikon Ostolaskujenkäsittely/Web-myyntilaskutus versio 6.4.0

Auditointi. Teemupekka Virtanen

DriveGate -ohjeet. DriveGate-käyttöohjeet: Rekisteröityminen palveluun. Rekisteröitymisohjeet ja rekisteröitymisprosessin kuvaus

Hyvä tietää ennen kuin aloitat

Tikon ostolaskujen käsittely

AVOIMEN MENETTELYN KILPAILUTUS

Eduuni - Sähköisen työskentelyn ja verkostoitumisen palveluympäristö. Kehityspäällikkö Sami Saarikoski

LAURA TM -rekrytointijärjestelmän tietoturva. Markku Ekblom Teknologiajohtaja Uranus Oy

HY:n ehdotus käyttäjähallintotuotteesta

LUPAHANKKEET RAKENNUSVALVONNAN SAHKÖISESSÄ ASIOINTIPALVELUSSA - KIRJAUTUMINEN

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

Kotiorganisaation käyttäjähallinnon kuvaus (Poliisiammattikorkeakoulu ja Pelastusopisto)

Ajankohtaista tietoa LähiTapiolan verkkopalvelun pääkäyttäjille

ILMOITUSSOVELLUS 4.1. Rahanpesun selvittelykeskus REKISTERÖINTIOHJE. SOVELLUS: 2014 UNODC, versio

Kansallinen palveluarkkitehtuuri TUNNISTUSPALVELU INFO

Mobiilivarmenteen käyttö Helsingin yliopistossa. Ville Tenhunen, Juha Ojaluoma

KANSALAISOPISTON INTERNET-ILMOITTAUTUMISEN OHJEET TUNNUKSEN JA SALASANAN HANKKIMINEN

Articles... 3 Käyttäjähallinnon kuvaus... 4 Unohtunut salasana... 6 Tunnusten käyttöönotto... 7 Ohjeita... 8

Navigator ja Siemens ID

Mikä on Discovery Service?

Ohjeet käyttäjätilin rekisteröintiin ja varmennekortin liittämiseen HUS:n ulkopuoliselle ammattilaiselle

Veronumero.fi Tarkastaja rajapinta

Federoinnin vaikeat käyttötapaukset palveluntarjoajille (SP)

1. Sähköinen tunnistautuminen KTJ-rekisterinpitosovellukseen

Energiapeili-raportointipalveluun rekisteröityminen yritysasiakkaana

1. Sähköinen tunnistautuminen KTJ-rekisterinpitosovellukseen

Fassment-projektin alustava analyysi

WWW-PALVELUN KÄYTTÖÖNOTTO LOUNEA OY

SAMLINK VARMENNEPALVELU PALVELUKUVAUS OHJELMISTOTALOILLE

Kaislanet-käyttöohjeet

Tietoturvapolitiikka

Julkaistu. 1 Johdanto... 2

Yhteistyökumppanit kirjautuvat erikseen annetuilla tunnuksilla osoitteeseen

ATEA eshop. Järjestelmänvalvojan perusopas

Transkriptio:

Valtiokonttori Käyttöönotto 1 (6) Käyttöönotto -kotiorganisaatiolle

Valtiokonttori Käyttöönotto 2 (6) Asiakirjan muutoshistoria versio päiväys tekijä tarkastaja hyväksyjä Muutoshistoria 1.0 11.12.2009 Mikael Linden käyttöönottohankkeen ohjausryhmä Lisätty n yleiskuvauskappale ja julkaistu. 1.1 12.1.2010 Mikael Linden Päivitetty :n kilpailuttama uusi auditoija 1.2 4.1.2011 Mikael Linden VAHTI 2/2010. Teknisiä asioita (mm. uloskirjautuminen) lukuun 5. Auditoinnin hinta-arvio. 1.2.1 12.1.2011 Tapani Puisto Tarkistettu versio 1.2.2 19.1.2011 Tapani Puisto Korjattu palvelumaksu 1.3. 11.2.2011 Mikael Linden Lisätty linkki VRK:n palvelinvarmenteisiin ja CSC:n IdPrekisteröintisivuun 1.4. Arto Tuomi Päivitetty CSC:n sivujen osoitteet Jakelu Nimi Organisaatio

Valtiokonttori Käyttöönotto 3 (6) Käyttöönotto -kotiorganisaatiolle Virkamiehen tunnistuspalvelu () on valtionhallinnon yhteinen käyttäjätunnistusjärjestelmä, jota Valtion IT-palvelukeskus () tarjoaa organisaatiorajojen ylitse käytettävien palveluiden käyttäjätunnistukseen. Virkamiehen käyttäjätunnistuspalvelussa toteutetaan luottamusverkostomainen työnjako, jossa virkamiehen (tai muun palvelussuhteessa olevan henkilön) kotiorganisaatio (ministeriö, virasto, laitos ym.) vastaa virkamiehen käyttäjätietojen (identiteetin) ylläpidosta järjestelmissään ja kirjautumishetkellä todentaa (autentikointi) hänen henkilöllisyytensä. Kotiorganisaatio kytkeytyy -käyttäjätunnistusjärjestelmään ottamalla käyttöön Identity Provider (IdP) palvelimen ja rekisteröimällä se un. Vastaavasti palveluntarjoaja, joka haluaa tukeutua käyttäjätunnistukseen, niveltää palvelunsa pääsynhallintaan Service Provider (SP) palvelimen, ja rekisteröi sen un. :n alihankkijana -luottamusverkoston päivittäisestä teknisestä toiminnasta vastaa -operaattori, joka ylläpitää luetteloa (SAML 2.0 metadata) un rekisteröidyistä Providereista. Tilannetta selkeyttää oheinen kuva. Kotiorganisaatio IdP SP Palveluntarjoaja Kotiorganisaatio IdP SP Palveluntarjoaja Kotiorganisaatio IdP SP Palveluntarjoaja SAML2 metadata -operaattori Tämä dokumentti on yksityiskohtainen käyttöönotto organisaatiolle, joka haluaa rekisteröityä -käyttäjätunnistusjärjestelmään kotiorganisaationa (Identity Provider). Käyttöönotto koostuu seuraavista askeleista: 1. Voiko organisaatiosi :n vallitsevan linjauksen puitteissa ylipäätään liittyä kotiorganisaationa un? Valtiokonttoria koskeviin säännöksiin perustuva linjaus on, että un voivat liittyä valtion budjettitalouden piirissä olevat virastot. Tarkista voimassaoleva linjaus :n -sivustolta www.valtiokonttori.fi/virtu 2. Mihin ssa mukana oleviin palveluihin (Service Provider) organisaatiostasi todennäköisesti halutaan kirjautua? Luettelo un rekisteröidyistä palveluista löytyy -operaattorin WWW-sivuilta https://confluence.csc.fi/x/9iouag. Kiinnostavien palveluiden tunnistaminen antaa vastauksia mm. seuraaviin kysymyksiin: - kuinka korkeaa auditointitasoa kotiorganisaatiosi tietoturvallisuudelta edellytetään?

Valtiokonttori Käyttöönotto 4 (6) - mikä joukko organisaatiosi loppukäyttäjistä tulee olla kirjautumisen piirissä? - mitä henkilötietoja eli attribuutteja palvelu odottaa saavansa kirjautuvasta käyttäjästä? - kuinka tukevaa autentikointia (salasana vai vahva tunnistus) loppukäyttäjältä edellytetään? Samalla kannattaa myös kartoittaa, kuinka suuria järjestelyjä palvelupäässä tullaan tarvitsemaan. Tarpeen saattaa esimerkiksi olla kuvata ("mäpätä") olemassaolevat käyttäjätunnukset käyttäjätunnisteiksi. 3. Täyttääko organisaatiosi -kotiorganisaatiolta vaadittavat auditointitasot? Auditointi suoritetaan ennen kuin Identity Provider palvelin rekisteröidään un (kohta 6). On tarkoituksenmukaista, että organisaatiosi arvioi auditointitason toteutumista (gap analysis) ja suorittaa tarpeen mukaan kohentavia toimenpiteitä jo etukäteen. Näin säästät auditointeihin ja uusinta-auditointeihin menevää aikaa ja rahaa. Auditointitason täyttäminen saattaa olla suurempi ponnistus kuin n edellyttämän teknisen ympäristön rakentaminen. Palvelun käyttöönotto edellyttää, että Asiakas on auditoitu VAHTI 2/2010 Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta ohjeen mukaista korotettua tasoa vastaan ja auditoinnissa havaitut vakavat (kriittiset) poikkeamat on hyväksytysti korjattu. Asiakkaan on laadittava toimenpide muiden kuin vakavien (kriittisten) poikkeamien korjaamiseksi. Lisäksi viraston tulee esittää korotetun tason saavuttamisesta. Vaatimusta tullaan nostamaan perustasolta korotetulle tasolle myöhemmin aikaisintaan lokakuussa 2013, kun perusturvataso asetetaan valtionhallinnolle velvoittavaksi. Joillain ssa mukana olevilla palveluilla (Service Provider) voi olla kuitenkin tätä korkeammat vaatimukset kotiorganisaatioille. 4. Tunnista kotiorganisaatiostasi se käyttäjätietokanta, jota vasten kirjautuminen organisaatiosta un tapahtuisi Käyttäjätietokannassa tulisi olla käyttäjätunnus kaikille loppukäyttäjille, joilla on tarve kirjautua un rekisteröityihin palveluihin (Service Provider). Edelleen käyttäjätietokannassa tulisi olla tarpeelliset attribuutit käyttäjistä. Jotkut Identity Provider -tuotteet tukevat myös attribuuttien keräilyä useastakin eri tietokannasta, mikä toki sekin edellyttää llisuutta. -määrityksiin kuuluva -skeema määrittelee pakolliset attribuutit sekä muita attribuutteja. Pakollinen attribuutti tarkoittaa, että se tulee olla populoituna (so. sillä tulee olla annettuna arvo) jokaiselle loppukäyttäjälle ssa. Lisäksi yksittäisten palveluiden (Service Provider) käyttäminen saattaa edellyttää myös muiden attribuuttien populoimista. Lisätietoa eri palveluiden tarvitsemista attribuuteista on -operaattorin www-sivuilla (https://confluence.csc.fi/x/9iouag). Vahva autentikointi tulisi olla saatavilla, jos ssa mukana olevat palvelut (Service Provider) sitä edellyttävät. 5. Hanki ja ota käyttöön SAML 2.0 Identity Provider -palvelin, ja yhdistä se organisaatiosi käyttäjätietokantaan Vaihtoehtona on ainakin oman SAML 2.0 -tuotteen lisenssin hankkiminen tai Identity Providerin hankkiminen palveluna (IdP SaaS). Markkinoilla on erilaisia IdP SaaS palvelukonsepteja, esim.

Valtiokonttori Käyttöönotto 5 (6) - palveluntarjoajan IdP-palvelin kytketään kotiorganisaation LDAP-hakemistossaan ylläpitämiin käyttäjätietoihin - palveluntarjoajan IdP-palvelimella on oma käyttäjähakemisto, jota replikoidaan kotiorganisaation LDAP-hakemistosta - palveluntarjoajan IdP-palvelimella on oma käyttäjähakemisto, jossa käyttäjien tilejä ja attribuutteja ylläpitää kotiorganisaation nimeämä pääkäyttäjä. Identity Provider -palvelimen tulee tukea n SAML 2.0 profiilia. Markkinoilla on runsaasti soveltuvia kaupallisia ja open source.-toteutuksia. ei erityisesti anna tuotteille "yhteensopiva" -leimoja. -operaattorille kertyy kuitenkin kokemusta erilaisten tuotteiden yhteensopivuudesta ssa, joita kotiorganisaatiosi voi tiedustella. Identity Provider -palvelimen teknistä ympärstöä suunnitellessa kannattaa huomioida mm. seuraavaa - Voit halutessasi kytkeä Identity Provider palvelimen organisaation kertakirjautumisjärjestelmään, kuten työasemakirjautumiseen. Tällöin esimerkiksi riittäisi, että työntekijä kirjautuu aamulla työasemalleen, ja -palveluihin (Service Provider) mentäessä ei normaalisti enää kysyttäisi salasanaa. Jotkut palvelut saattavat kuitenkin eksplisiittisesti pyytää käyttäjän uudelleenautentikointia (SAML 2.0 Force Authentication). - Sisäänkirjautumiseen nähden käänteinen toimenpide on uloskirjautuminen (SAML 2.0 Single Logout): käyttäjä painaa logout -nappia palvelussa (Service Provider), mikä liipaisee uloskirjautumisen myös Identity Provider ympäristöstä ja edelleen mahdollisesti muista palveluista, joissa käyttäjällä on istunto. Halutaanko Identity Provider ympäristön tukevan uloskirjautumista, ja onko se teknisesti mahdollista? Uloskirjautumisen toteuttaminen voi olla haastavaa esimerkiksi tilanteessa, jossa sisäänkirjautuminen on kytketty työasemakirjautumiseen. -luottamusverkostossa tuki uloskirjautumiselle on vapaaehtoista sekä Identity että Service Providereille. - Voit harkintasi mukaan sijoittaa Identity Provider -palvelimen kokonaan organisaatiosi palomuurin sisäpuolelle, jolloin se on paremmin suojassa ulkoverkosta tulevilta palvelunesto- ja muilta hyökkäyksiltä. Tällöin palomuurin ulkopuolelta kirjautuvan loppukäyttäjän tulee ensin ottaa VPN-yhteys organisaatiosi sisäverkkoon. -operaattori tarjoaa organisaatiosi käyttöön testipalvelimen (Service Provider), jota vasten voit testata Identity Provider -installaatiosi toimintaa (https://confluence.csc.fi/x/eosuag). Virheilmoitusten ja lokien avulla -operaattori voi olla avuksi virheen selvittämisessä, mutta ensisijaisesti organisaatiosi tulisi kuitenkin tukeutua Identity Provider tuotteen toimittajan tarjoamaan tukeen. 6. Ota yhteyttä :n -palveluun (virtu@valtiokonttori.fi ) Identity Provider -ympäristön auditoinnin sopimista varten Lisätietoa auditoinnista on kohdassa 3. 7. Allekirjoita -palvelusopimus -palvelusopimus on liite organisaatiosi ja :n väliseen puitesopimukseen :n palveluista. Sopimuksen allekirjoittamista varten ota yhteyttä :n -palveluun (virtu@valtiokonttori.fi) 8. Rekisteröi Identity Provider -palvelimesi un Identity Provider rekisteröidään -luottamusverkostoon -operaattorin WWW-sivuilta (Lisätietoa: http://www.csc.fi/sivut/virtu/tekniikka/ohjeet_ja_suositukset). Rekisteröimisen yhteydessä Identity Provider -palvelimen tekninen toimivuus varmistetaan vielä -operaattorin testipalvelimia

Valtiokonttori Käyttöönotto 6 (6) vasten. Rekisteröitävältä Identity Provider -palvelimelta edellytetään Väestörekisterikeskuksen palvelinvarmennetta (lisätiedot Väestörekisterikeskuksesta: www.fineid.fi > Varmennepalvelut > Yhteisöille). -operaattori lisää Identity Provider -palvelimesi -käyttäjätunnistusjärjestelmän IdP Discovery Service -palveluun ja metadataan, joka julkaistaan operaattorin WWW-sivuilla. 9. Kerro tarpeen mukaan -kirjautumiseen siirtymisestä niille ssa mukana oleville palveluille, joissa haluat -kirjautumisen käyttöön. Jos palvelu (Service Provider) noutaa päivitetyn -metatiedon -operaattorilta säännöllisesti, tunnistaa se myös uudet Identity Providerit automaattisesti. Jos käyttöönottoon kuitenkin liittyy vanhan tunnistustavan korvaaminen -kirjautumisella, tarvitaan tyypillisesti muunnosajo, jossa organisaatiosi olemassa olevat käyttäjätunnukset kuvataan ("mäpätään") n käyttäjistä käyttämiin tunnisteisiin (Lisätietoa -skeemassa). Edelleen kirjautumissivua tarvitsee usein muuttaa niin, että käyttäjätunnuksen kysymisen sijaan käyttäjä ohjataan -kirjautumiseen. On hyvä huomata, että palvelusta ja työn laajuudesta riippuen tästä saattaa syntyä palveluntarjoajalle kustannuksia, jotka se haluaa periä kotiorganisaatiolta. Tämä on tilanne mm. Valtiokonttorin ostolaskun hallinnan ja matkanhallinnan palveluissa. Yksinkertaisimmissa palveluissa muutoksia ei tarvita. 10. Järjestä tuki ja koulutus loppukäyttäjille -käyttäjätunnistusjärjestelmässä tukea loppukäyttäjille antaa aina hänen kotiorganisaationsa ITtuki. Arvioita Identity Provider käyttöönoton kustannuksista Identity Provider palvelimen käyttöönotosta ja rekisteröimisestä un syntyviä kustannuksia on vedetty yhteen seuraavassa. Tämä dokumentti on vain ohjeellinen ja laadittu lähinnä helpottamaan kotiorganisaatioita kokonaiskuvan saamisessa. Yksityiskohtainen hinnoittelu on aina syytä tarkistaa tapauskohtaisesti asianomaisesta lähteestä. -luottamusverkoston kustannusanalyysi, joka sisältää myös sta saatavat säästöt, on esitetty -esitutkimusraportissa http://www.vm.fi/vm/fi/04_julkaisut_ja_asiakirjat/03_muut_asiakirjat/20070625virkam/name.jsp Kustannus Suuruusluokka Muuta Identity Provider lisenssi 20 e/käyttäjä/vuosi Open Source tuotteet ovat ilmaisia Identity Provider käyttöönotto 10 000 50 000 e Identity Provider ylläpito 3 600 40 000 e/vuosi Vaihtoehtoisesti: Markkina on syntymässä Todennäköisesti kiinteä ja käyttäjämäärän IdP as a service Identity Provider ympäristön auditointi Palvelinvarmenne VRK:lta 250 e/vuosi :n palvelumaksu 2000 e/vuosi + 7 e/käyttäjä/vuosi mukaan muuttuva hintakomponentti 5000-6000 eur Lisäksi organisaationi saattaminen vaaditulle tietoturvatasolle voi vaatia paljonkin työtä organisaatiossa.

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute