Esittely latautuu. Ole hyvä ja odota

Esittely latautuu. Ole hyvä ja odota

Federoidun identiteetinhallinnan periaatteet

JulkaistuHanna Laaksonen Muutettu yli 9 vuotta sitten

Samankaltaiset esitykset

Esitys aiheesta: "Federoidun identiteetinhallinnan periaatteet"— Esityksen transkriptio:

1 Federoidun identiteetinhallinnan periaatteet

2 CSC - Tieteen tietotekniikan keskus
Valtion omistama osakeyhtiö Non-profit tuottaa keskitettyjä IT-palveluita korkeakouluille, tutkimuslaitoksille ja muille organisaatioille Suurteholaskenta Funet-verkko CSC ja identiteetinhallinta Korkeakoulujen Haka-luottamusverkoston operointi ja koordinointi Valtionhallinnon Virtu-luottamusverkoston operointi

3 Identiteetin ja pääsyn hallinta
Palvelun omistaja esim. talous- hallinto 2. ”Yksikönjohtajat hyväksyvät matkalaskut” Käyttövaltuudet (authorisation) 1. 2. 3. 4. 1. Eskon henkilötiedot viedään järjestelmään Henkilötietojen ylläpito (identity) Nimi: Esko Esimerkki Käyttäjätunnus: eesimerk Rooli: Yksikönjohtaja 3. Käyttäjätunnus Salasana Identiteetin todentaminen (authentication) Jäljitettävyys/raportointi (audit) esim. Sisäinen tarkastaja 4. Kenellä on oikeus? Palvelu (esim. matkanhallinta) Esko Esimerkki

4 Tosielämässä palveluita on useita…
Matkanhallinta SaaS Hanselin ekstranet Wiki Sähköposti Esko Esimerkki Windows AD Intranet

5 Osan niistä omistaa Eskon työnantaja, osan joku muu…
Palvelut joita Esko käyttää työtehtävissään Matkanhallinta SaaS Matkanhallinta SP Hanselin ekstranet Eskon kotiorganisaatio Wiki Sähköposti Esko Esimerkki Windows AD Intranet

6 Eskon tunnukset jokaisessa palvelussa tuppaa elämään omaa elämäänsä…
Palvelut joita Esko käyttää työtehtävissään Matkanhallinta SaaS Hanselin ekstranet Eskon kotiorganisaatio Wiki Sähköposti Esko Esimerkki Windows AD Intranet ”Saarekkeinen identiteetinhallinta (isolated IdM)”

7 Metahakemisto rationalisoi identiteetinhallintaa organisaation sisällä
Palvelut joita Esko käyttää työtehtävissään Matkanhallinta SaaS Hanselin ekstranet Eskon kotiorganisaatio Wiki IdM-järjestelmä Sähköposti Esko Esimerkki Windows AD Intranet ”Keskitetty identiteetinhallinta (centralised IdM)”

8 Federointi tuo myös talon ulkopuoliset järjestelmät saman identiteetin piiriin
Palvelut joita Esko käyttää työtehtävissään Matkanhallinta SaaS Hanselin ekstranet Identity Provider Eskon kotiorganisaatio Wiki IdM-järjestelmä Sähköposti Esko Esimerkki Windows AD Intranet ”Federoitu identiteetinhallinta (Federated IdM)”

9 Virtun ja Hakan tekniikka: SAML2.0
1. HTTP ”Tahdon sisään Kotaan Service Provider (SAML SP) Kota (OPM:n tulos- ohjausjärjestelmä korkeakouluille) 2. HTTP ”Mistä olet?” 5. Username: eskoe Password: 95iEfHw IdP Discovery Service (WAYF) 3. HTTP ” HY:stä” 4. HTTP redirect/SAML ”Käyttäjä teidän korkeakoulusta haluaa Kotaan. Tunnistakaa hänet!” Kotiorganisaatio Identity Provider (SAML IdP) ”Tunnistuslähde” Helsingin Yliopisto Avataan laitosjohtajan näkymä 6. HTTP POST/SAML ”Tahdon sisään Kotaan HY takaa että olen Esko Esimerkki, Laitoksen X johtaja HY:stä” SAML IdP ja SP –toteutuksille on laaja kaupallinen ja OSS-tarjonta

10 SAML 2.0 on XML-kieli OASIS-standardi vuodelta 2005
<saml:AuthnStatement AuthnInstant=" T09:22:00Z" SessionIndex="b07b804c-7c29-ea f3d6f7928ac"> <saml:AuthnContext> <saml:AuthnContextClassRef> urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport </saml:AuthnContextClassRef> </saml:AuthnContext> </saml:AuthnStatement> <saml:AttributeStatement> <saml:Attribute xmlns:x500="urn:oasis:names:tc:SAML:2.0:profiles:attribute:X500" x500:Encoding="LDAP" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" Name="urn:oid: " FriendlyName="eduPersonAffiliation"> <saml:AttributeValue xsi:type="xs:string">member</saml:AttributeValue> <saml:AttributeValue xsi:type="xs:string">staff</saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement> OASIS-standardi vuodelta 2005

11 Mitä hyötyä federoinnista?
Tietoturvallisuus Tunnusten keskitetty sulkeminen, kun henkilö lähtee Yksi salasana, parempi salasana? Salasanan korvaaminen vahvalla tunnistuksella keskitetysti Identity Providerille lisäsuojaa sijoittamalla se sisäverkkoon Jäljitettävyys ja raportointi helpottuu Tuottavuus Sähläys tunnus/salasana-parien kanssa vähenee (käyttäjä) Salasanojen resetointi vähenee (IT-helpdesk) Päällekkäinen tietojen ylläpito vähenee ja tiedon laatu paranee Palvelunomistaja voi keskittyä palveluunsa, tietohallinto hoitaa tunnukset Uudet toimintatavat Tukee esim. SaaS-palveluiden käyttöä

12 Käyttötilanteet SaaS-palvelut Keskitetyt järjestelmät Kollaborointi
Ostolaskut, matkalaskut, HR-järjestelmät Keskitetyt järjestelmät Perusrekisterit (VTJ ym) Korkeakoulukirjastojen palvelut ym Kollaborointi Ryhmätyöalustat, wikit, Sharepoint ym Oppimisalustat ym Tutkimusresurssit

13 Hyödyntämistavat Auktorisointi Provisiointi
Myös käyttövaltuudet palvelussa tuodaan federoidusti. Provisiointi Uusien käyttäjien perustaminen palveluun lennosta. Käyttäjätietojen ylläpito. Autentikointi Kirjautuminen kotiorganisaation tunnuksella ja salasanalla. Ei palvelukohtaista käyttäjätunnus/salasana-paria. Kuinka monennelle portaalle haluat palvelusi nostaa?

14 IdP-pään toimintamalleja
Kotiorganisaatio IdP SP SAML Organisaatiolla oma IdP-palvelin Esim. hallinnonala IdP SP SAML Kotiorganisaatio A Kotiorganisaatio B Kotiorganisaatio C Organisaatioilla yhteinen IdP Oy Yritys Ab SP SAML Kotiorganisaatio A Kotiorganisaatio B Kotiorganisaatio C IdP IdP SaaS

15 SP-pään toimintamalleja
IdP Service Provider (SP) SAML Sovellus SAML SP viety suoraan palvelimeen IdP Sovellus 1 LDAP ”Hän on Esko Esimerkki” ”Esko Esimerkki on hyväksyjäroolissa vastuualueessa x” SP/Pääsyn­valvonta Sovellus 2 SAML SP erillisessä pääsynvalvonta- palvelimessa IdP Sovellus 1 IdP Proxy Sovellus 2 SAML Liberty ID-FF WS-Federation SAML SP proxyssä, joka on protokolla- muunnin

Lataa ppt "Federoidun identiteetinhallinnan periaatteet"

Samankaltaiset esitykset

Lapin korkeakoulujen ja kuntayhtymien tietojärjestelmien yhdistäminen

Lapin korkeakoulujen ja kuntayhtymien tietojärjestelmien yhdistäminen
HUS Plus Tilannekatsaus Identiteetinhallinta – AD (verkkotunnus) - Exchange (sähköposti) käyttöönotto 24.5.2010 Mirka Leppänen Hankepäällikkö HUS-Tietotekniikka.

HUS Plus Tilannekatsaus Identiteetinhallinta – AD (verkkotunnus) - Exchange (sähköposti) käyttöönotto Mirka Leppänen Hankepäällikkö HUS-Tietotekniikka.
Active directory.

Active directory.
Yhteistyössä Tietohallinto liikunnassa ja urheilussa 25.6.2014.

Yhteistyössä Tietohallinto liikunnassa ja urheilussa
IST- 2001-320015 Julkaisuarkistojen yhteentoimivuus – standardit ja suosituksia Rita Voigt Teknillisen korkeakoulun kirjasto ja OA-JES Julkaisupäivä –

IST Julkaisuarkistojen yhteentoimivuus – standardit ja suosituksia Rita Voigt Teknillisen korkeakoulun kirjasto ja OA-JES Julkaisupäivä –
Turvallinen ja tehokas kertakirjautuminen webbipalveluihin Pekka Lindqvist

Turvallinen ja tehokas kertakirjautuminen webbipalveluihin Pekka Lindqvist
IT2013 - 6.11.2013.

IT
Carita, Kati ja Juuso OSAO Myllytulli ja Mytlpt09E 2010

Carita, Kati ja Juuso OSAO Myllytulli ja Mytlpt09E 2010
Luottamusverkosto eli federaatio Haka-luottamusverkosto.

Luottamusverkosto eli federaatio Haka-luottamusverkosto.
Internet  Lingua Franca, kaikkien ymmärtämä yhteinen kieli: TCP/IP tai UDP/IP. ”Kaikki maaiman tietokoneet, liittykää yhteen”.  Suomeen 1990-luvun alussa.

Internet  Lingua Franca, kaikkien ymmärtämä yhteinen kieli: TCP/IP tai UDP/IP. ”Kaikki maaiman tietokoneet, liittykää yhteen”.  Suomeen 1990-luvun alussa.
Ohjeita Oppimisympäristön WWW-osoite ja etusivu.

Ohjeita Oppimisympäristön WWW-osoite ja etusivu.
© bisnes-it.com InvestointiyhtiöIntegraatti Peruslinjaus Tietoteknisten ratkaisujen ja tietotekniikan organisoinnin täytyy noudattaa samaa rakennetta ja.

© bisnes-it.com InvestointiyhtiöIntegraatti Peruslinjaus Tietoteknisten ratkaisujen ja tietotekniikan organisoinnin täytyy noudattaa samaa rakennetta ja.
Savonia-ammattikorkeakoulu on maakunnan aktiivinen kehittäjä, joka palvelee yhteistyökumppaneitaan kouluttamalla monitaitoisia ja oma-aloitteisia osaajia.

Savonia-ammattikorkeakoulu on maakunnan aktiivinen kehittäjä, joka palvelee yhteistyökumppaneitaan kouluttamalla monitaitoisia ja oma-aloitteisia osaajia.
Opi Analyzer Peruskäyttäjäkoulutus

Opi Analyzer Peruskäyttäjäkoulutus
CSC – Tieteen tietotekniikan keskus Oy CSC – IT Center for Science Ltd. Luottamusverkosto eli federaatio. Haka-luottamusverkosto 10.2.2009 Tieteen tietotekniikan.

CSC – Tieteen tietotekniikan keskus Oy CSC – IT Center for Science Ltd. Luottamusverkosto eli federaatio. Haka-luottamusverkosto Tieteen tietotekniikan.
Kuusamon kunnan tietohallinto

Kuusamon kunnan tietohallinto
Ennen asentamista  Autentikointilähde LDAP, SQL-tietokanta…  Autentikointimetodi Olemassa oleva kirjautumisjärjestelmä (Pubcookie, CAS…) Uusi autentikointijärjestelmä.

Ennen asentamista  Autentikointilähde LDAP, SQL-tietokanta…  Autentikointimetodi Olemassa oleva kirjautumisjärjestelmä (Pubcookie, CAS…) Uusi autentikointijärjestelmä.
Etäkäyttö ja tietoturvatasot

Etäkäyttö ja tietoturvatasot
AAIEye – Palveluiden valvonta ja käyttötilastot Hakassa Mika Suvanto Tieteen tietotekniikan keskus CSC 15.1.2008.

AAIEye – Palveluiden valvonta ja käyttötilastot Hakassa Mika Suvanto Tieteen tietotekniikan keskus CSC
Käyttäjätunnukset ja salasanat Mika Pasanen Osao Myllytulli ja Mytlpt09E 2010.

Käyttäjätunnukset ja salasanat Mika Pasanen Osao Myllytulli ja Mytlpt09E 2010.

Samankaltaiset esitykset

Iklan oleh Google