Käyttäjähallinnon käsitteitä ja periaatteita Käyttäjähallintokoulu 12.11.2007 Mikael Linden tieteen tietotekniikan keskus CSC
Tieteen tietotekniikan keskus CSC Valtion omistama non-profit-osakeyhtiö OPM käyttää äänivaltaa Tehtävänä tuottaa keskitettyjä IT-palveluja korkeakouluille ja tutkimuslaitoksille suurteholaskenta (superkoneet) Funet-verkko CSC koordinoi korkeakoulujen käyttäjätunnistushankkeita 48 korkeakoulua, 40 000 työntekijää, 300 000 opiskelijaa Haka-luottamusverkosto
Sisältö Identiteetti eli henkilöllisyys (identity) Henkilöllisyyden todentaminen eli autentikointi (authentication) Valtuuttaminen eli auktorisointi (authorisation) Jäljitettävyys (auditing) Keskitetty käyttäjähallinto Federoitu eli organisaatiorajat ylittävä käyttäjähallinto Muita käsitteitä
Käyttäjähallinto 1. Henkilötietojen ylläpito (identity) 2. Käyttövaltuudet (authorisation) 3. Henkilöllisyyden todentaminen (authentication) 4. Jäljitettävyys (audit) 2. Yksikönjohtajat hyväksyvät matkalaskut Palvelun omistaja esim. taloushallinto Esko Esimerkki 3. Käyttäjätunnus Salasana 1. Eskon henkilötiedot viedään järjestelmään Palvelu (esim. matkanhallinta) Nimi: Esko Esimerkki Käyttäjätunnus: eesimerk E-mail: esko.esimerkki@virasto.fi Rooli: yksikönjohtaja 4. Kenellä on oikeus? Auditoija
Identiteetti eli henkilöllisyys (identity) Sähköinen henkilöllisyys (digital identity) Tosielämän henkilöä vastaava tietue käyttäjärekisterissä Henkilöllisyyttä edustaa tunniste (identifier) yksilöi henkilön (yksikäsitteinen tunniste) (muuten kysymys on ryhmätunnisteesta, esim virastomestarit ) Tunnisteen antaa niitä hallinnoiva taho Henkilöstöhallinto (henkilökuntanumero), tietohallinto (käyttäjätunnus), väestörekisterikeskus (henkilötunnus, sähköinen asiointitunnus) ym hierarkia pilkkoo nimiavaruutta: sähköpostiosoite mikael.linden@csc.fi, puhelinnumero (03) 3115 3360 Identiteettiin liittyy attribuutteja eli ominaisuuksia esim. nimi, mail-osoite, tehtävänimike, työrooli Reunahuomautus: identiteetti voi olla myös palvelimella (IP-osoite, Domain-nimi ) organisaatiolla (Y-tunnus, Domain-nimi )
Yksi henkilö, monta henkilöllisyyttä TTY:n opintotoimisto: Opiskelijanro: 136854 CSC henkilöstöosasto: hlönumero: 213 TTY:n henkilöstöhallinto: Henkilönro: 8342 TTY:n tietohallinto: username: linden VRK: hetu: CSC:n tietohallinto: username: mlinden VN:n työryhmäpalvelu username: lindemik TTY:n tietotekniikan osaston Unix-käyttäjähallinto: username: linden TTY:n laitos x:n oppimisalusta username: mikael Komission ekstranet: username: lindemi Sonera: Liittymänro: 040 5524859
Yksi organisaatio, yksi henkilöllisyys? TTY:n opintotoimisto: Opiskelijanro: 136854 TTY:n henkilöstöhallinto: Henkilönro: 8342 TTY:n tietohallinto: username: linden Tampereen teknillinen yliopisto TTY: - Nimi: Mikael Linden - Opiskelijanumero 136854 - Henkilönumero 8342 - Käyttäjätunnus: linden TTY:n opintotoimisto TTY:n henkilöstöhallinto TTY:n tietotekniikan osaston Unix-käyttäjähallinto: username: linden TTY:n laitos x:n oppimisalusta username: mikael Monta henkilöllisyyttä TTY:n tietohallinto TTY:n tietotekniikan osasto TTY:n laitos x yksi henkilöllisyys
Keskitetty käyttäjähallinto: yksi henkilöllisyys, yksi käyttäjätunnus? Virasto X Virasto Y Unix W2k VPN WebCT Eri järjestelmien käyttäjähallinnot itsenäisiä saarekkeitaan Yhden käyttäjätunnuksen kattavuus Unix W2k Intrawww Asianhallinta Intrawww Asianhallinta HRjärj. HRjärj. WebCT VPN Keskitetty käyttäjähallinto
Henkilöllisyyden todentaminen eli autentikointi Varmistetaan, että henkilö on se joka väittää olevansa esim. sama henkilö, joka kuittasi käyttäjätunnuksen eesimerk viikko sitten Henkilöllisyyden todentamisen tekniikoita 1. mitä henkilö muistaa (salasana, valokuva) 2. mitä henkilöllä on hallussaan (toimi/äly/sirukortti, kertakäyttösalasanat, matkapuhelin) 3. mitä henkilö on tai kuinka hän käyttäytyy (biometria) Useamman tekijän läsnäolo tekee autentikoinnista tukevamman esim. pankkikortti (1&2) esim. toimikortti, joka lukee sormenjäljen (2&3) Kun kone autentikoi toisen koneen, voidaan käyttää myös kryptografista vahvaa autentikointia
Autentikointi: ulkoista tai tee itse Autentikoinnin voi toteuttaa itse organisaatio antaa itse käyttäjälle autentikointiin tarvittavat välineet salasanat, kertakäyttösalasanalistat, oman varmentajan (CA) pystyttäminen, RSA SecurID ja muut toimiavaimet Autentikoinnin voi ostaa palveluna joku muu huolehtii käyttäjälle autentikointiin tarvittavat välineet kaupalliset varmentajat, esim. VRK, Sonera CA matkapuhelinoperaattoreiden mobiilivarmenne (ETSI 102 204/7) pankkien verkkopankkitunnukset (TUPAS) edellisten päälle rakentuvat autentikointihubit Verohallinnon, KELAn ja työministeriön tunnistus.fi Julkishallinnon VETUMA
Valtuuttaminen eli auktorisointi Järjestelmästä vastaava taho myöntää henkilölle valtuuden järjestelmän käyttämiseen Joko henkilökohtainen tai roolipohjainen Kattaa sekä valtuuden myöntämisen että hallinnan esim. valtuuden myöntäminen: tietohallintopäällikkö on 5 vuotta sitten päättänyt, että työntekijät voivat käyttää VPNetäyhteyttä kotoa valtuuksien hallinnointi: VPN-gateway selvittää yhteyttä muodostettaessa, onko yhteydenottajalla valtuus (onko hän työntekijä)
Rooliin perustuvan valtuutuksen viitemalli esim. matkanhallintajärjestelmä Käyttäjät Työroolit Palvelujärjestelmäkohtaiset käyttäjäroolit Palvelujärjestelmä Esimies Työntekijä Hyväksyjä Matkustaja Matkanhallintajärjestelmä RBAC = Role-based access control
Jäljitettävyys (auditing) Keskitetty käyttäjähallinto (yksi näkymä käyttäjän identiteettiin) helpottaa jäljitettävyyttä ja raportointia Raportointivälineiden avulla voidaan selvittää käyttäjät ja heidän työroolinsa työroolit ja niiden käyttövaltuudet edellisten yhdistelmä kenellä on tietty työrooli tai käyttövaltuus? Lokien avulla voidaan selvittää Kuka on käyttänyt järjestelmää? Kuka on antanut roolin tai käyttövaltuuden?
Henkilötiedot, todentaminen ja valtuutus Yksinkertaisessa järjestelmässä yhdessä: Kävin hakemassa käyttäjätunnuksen matkanhallintajärjestelmään käyttäjätunnus = henkilöllisyys salasana = autentikointi sain käyttäjätunnuksen = valtuutus Kun järjestelmiä on paljon, tulee käyttäjän muistettavaksi paljon käyttäjätunnuksia ja salasanoja Kun käyttäjiä on paljon, tulee ylläpidettäväksi paljon erilaisia käyttäjätietoja
Keskitetty käyttäjähallinto Henkilöllä on virastossa Yksi henkilöllisyys jota edustaa (yleensä) yksi käyttäjätunnus Yksi tai muutamia autentikointivälineitä mahdollisesti eri vahvuista todentamista varten Yksi tai useita rooleja, joiden perusteella hänellä on valtuus eri järjestelmien käyttöön esim. vain palvelussuhteessa olevat henkilöt voivat tehdä matkalaskuja esim. vain esimiehet voivat hyväksyä alaistensa matkalaskuja
Organisaatiorajat ylittävä käyttäjähallinto eil federoitu identiteetti Virasto A Paikalliset käyttäjätunnukset Esim. Väestötietojärjestelmä Virasto B Paikalliset käyttäjätunnukset WWW Kunta X Paikalliset käyttäjätunnukset Ideologia: virastotasolla keskitetty, kansallisella tasolla tasolla hajautettu
ValtIT/Virtu-kärkihankkeen periaate: Virtu-luottamusverkosto Kotiorganisaatiot Identity Provider, IdP Virasto1 Virasto2 Virasto3 Kunta1 Kunta2 Kuntayhtymä IdP IdP IdP IdP IdP IdP Palveluntarjoajat Service Provider, SP Matkanhallinta/Travel (Valtiokonttori) Ostolaskut/Rondo (Valtiokonttori) Väestötietojärjestelmä (VRK) Opetushallituksen palvelut Julkishallinnon Virtu-luottamusverkosto eli federaatio SP SP SP SP SP SP Museoviraston palvelut Työterveyslaitoksen palvelut Kotiorganisaatio ylläpitää virkamiehen identiteettiä (nimi, yhteystiedot, ym) Kotiorganisaatio autentikoi virkamiehen (salasanalla, virkakortilla ) Kotiorganisaatio luovuttaa attribuutteja palveluntarjoajalle Palveluntarjoaja tekee pääsynvalvontaa
Luottamusverkosto viraston näkökulmasta Koko julkishallinto Rondo Travel VTJ VN:n työryhmäjärj. Unix Intrawww W2k HRjärj. WebCT Yhden käyttäjätunnuksen kattavuus Asianhallinta VPN Virasto X
Muita käsitteitä Pääsynvalvonta (access control): menetelmä jolla valvotaan, että vain valtuutetut käyttäjät pääsevät käsiksi resurssiin seuraa tavallisesti autentikointia ja auktorisointia Kertakirjautuminen (single sign-on): käyttäjä autentikoidaan vain kerran, ja voi sen jälkeen käyttää kaikkia resursseja, joihin hänellä on valtuudet Käyttäjähallinto (identity management/idm eli identiteetinhallinta, identity&access management/iam eli pääsynhallinta): Ne toimenpiteet ja mekanismit, joilla organisaatio pitää kirjaa tietojärjestelmiensä käyttäjistä ja heidän valtuuksistaan