Käyttäjän tunnistaminen, eKortti ja TAMK

Esitys aiheesta: "Käyttäjän tunnistaminen, eKortti ja TAMK"— Esityksen transkriptio:

1 Käyttäjän tunnistaminen, eKortti ja TAMK
Jarmo Sorvari ATK-järjestelmäpäällikkö, TAMK

2 Perusongelma Verkossa asioiva käyttäjä tulisi pystyä tunnistamaan ”beyond reasonable doubt” Vaatii käytännössä: Keskitetyn käyttäjähallinnon Vahvan tunnistustekniikan Uskottavan tietoturvapolitiikan, organisaatioiden välisen luottamuksen

3 Monelle tuttu tilanne Winha tunnus5 salasana5 WebCT tunnus4 salasana4 tunnus3 salasana3 Windows tunnus1 salasana1 UNIX tunnus2 salasana2 ftp Järjestelmät ja sovellukset tietohallinnollisesti erillisiä saarekkeita Monta tunnus-salasana –paria Paljon käsityötä tunnustenhallinnassa Keskitetylle käyttäjähallinnolle huutava tarve!

4 TAMKin IT-infrastruktuuri
Winha WebCT news Shibboleth origin intranet salasana- synkronointi LDAP hakemisto tunnus salasana Citrix posti Windows (AD) UNIX/ Linux Samba Kotihakemistot

5 TAMKin infra lyhyesti Runsaat 1800 työasemaa, 50 palvelinta
Ylläpidetään n käyttäjätunnusta Tunnusten hallinnassa LDAP-hakemistopalvelin Tietojen lähteenä Winha-tietokanta LDAP-pohjainen intranet Pilotteja eKortti, Shibboleth

6 Keskitetyn käyttäjähallinnon tärkeys
Tietokantapohjainen tunnusten poistoprosessi => organisaatioiden välinen luottamus Organisaation käyttäjien tunnistaminen yhdessä pisteessä (yksi salasana, single sign-on, jne.) Uusien palveluiden käyttöönotto helpompaa Tietoturva, jne.

7 Heikko ja vahva tunnistaminen
Heikko tunnistaminen: tunnus + vakiosalasana Vahva tunnistaminen: kryptologia apuun Julkisen avaimen (PKI) järjestelmät (esim. eKortti) Kertakäyttösalasanat Biometriikka jne.

8 eKortti Sisältää Soneran varmentaman varmenteen
PKI-tekniikka mahdollistaa esim. sähköpostin, tiedostojen salauksen digitaaliset allekirjoitukset käyttäjän vahvan tunnistamisen Kontaktiton ja kontaktillinen siru Tampereen kaupungin ja TAMKin palvelut

9 TAMKin eKorttipilotti
< 3500 korttia Mikroluokkiin asennettu 700 kortinlukijaa Henkilökunnalla n. 100 lukijaa Korttitunnisteet TAMKin LDAP-hakemistossa

10 TAMKin eKorttipalvelut
Työasemakirjautuminen Sähköistä asiointia terveydenhuoltoon liittyviä palveluita terveyskysely, esitietojen täyttäminen lääkärin konsultaatio yliaikahakemus Lounaan maksaminen ruokalassa Kukkaron lataaminen

11 Kehitteillä olevia palveluita
Single sign-on joidenkin palveluiden kesken (kirjautuminen intraan jne.) Salasananasetuspalvelu intrassa Winhan etäkäyttötunnistus opettajille Yksi autentikointivaihtoehto Shibbolethiin?

12 Kytkentä Shibbolethiin
Esko Esimerkki,TAMK, opiskelija Portaali näyttää Eskolle opiskelijoille tarkoitetut sivut Autentikointi Origin site Yliopisto Y Origin site Tampereen amk Target site Autentik. palvelin Virtuaaliamk-portaali ”Esko Esimerkki, opiskelija” Shibboleth Shibboleth Shibboleth ”Esko Esimerkki, opiskelija” Apache Apache Käyttäjä-rekisteri (LDAP)

13 Kohti organisaatiorajat ylittävää käyttäjähallintoa
Shibboleth + eKortti Organisaatiotason keskitetty käyttäjähallinto Järjestelmä- kohtainen käyttäjähallinto Heikko autentikointi Vahva autentikointi [Lähde: Gnomis]