Haka: Suomen korkeakoulujen luottamusverkosto Haka-käyttäjien kokoontuminen Mikael Linden CSC - Tieteen tietotekniikan keskus

Luottamusverkosto eli federaatio  SAML/Shibbolethia voi käyttää IdP:n ja SP:n välisellä kahdenvälisellä sopimuksella Mutta kahdenvälisiä sopimuksia tulee tolkuttomasti, kun korkeakouluja on mukana paljon esim. nyt Hakassa 28 IdP:tä ja 53 SP:tä, 28x53=1484  helpommalla pääsee, kun SAML/Shibbolethia käyttävät korkeakoulut muodostavat yhteisön joka sopii porukalla pelisäännöistä (”policy”) syntyy luottamusverkosto eli federaatio (engl. federation, Circle of Trust)  Suomen korkeakoulujen ja tutkimuslaitosten luottamusverkosto on nimeltään Haka

Mistä luottamusverkoston pitää sopia  Luottamus (Hakassa: Haka-palvelusopimus): kuinka osapuolet luottavat toisiinsa käyttäjätiedot kotikorkeakoulussa ajan tasalla käyttäjä autentikoidaan riittävän tukevasti käyttäjän yksityisyyttä ei loukata (henkilötietolaki) Luottamusverkostoa operoidaan sovittujen pelisääntöjen mukaan  Skeema (Hakassa: funetEduPerson): esim. kuinka ilmaistaan ”lääketieteen opiskelija” esim. kuinka Matti Virtanen erotetaan kaimoistaan  Protokolla (Hakassa: SAML1.1/Shibboleth, SAML2.0): esim. Shibboleth, Liberty ID-FF 1.2, SAML 2.0, WS-Federation, OpenID  Tietoturvainfrastruktuuri (Hakassa: Sonera CA): PKI=palvelinvarmenteet

Haka-luottamusverkosto Luottamusverkosto eli federaatio (CSC operoi) PalveluntarjoajatKotikorkeakoulut (ATK-keskus) Kirjastojen Nelli- tiedonhakuportaali Kirjastojen Voyager- kirjastojärjestelmä Yksittäisen korkeakoulun oppimisympäristö Yliopistojen sähköinen JOO-hakujärjestelmä YO1 YO2 AMKn AMK1 YOn AMK2  Kotikorkeakoulu ylläpitää käyttäjän perustietoja (nimi, yhteystiedot, rooli, opintosuunta ym)  Kotikorkeakoulu autentikoi käyttäjän (esim. salasanalla)  Kotikorkeakoulu luovuttaa (käyttäjän suostumuksella) henkilötietoja palveluntarjoajalle  Palveluntarjoaja päättää henkilötietojen perusteella, millainen näkymä käyttäjälle avautuu palvelussa IdP CSC:n Funet-extranet (info.funet.fi) SP

Haka-luottamusverkosto on CSC:n palvelu korkeakouluille Luottamusverkoston kumppanit Luottamusverkoston operaattori Luottamusverkoston jäsenet CSC – tieteen tietotekniikan keskus Oy Hakan keskitetyt palvelimet IdPPalvelu IdPPalvelu IdPSP OhjausryhmäTekninen ryhmä Hakaan liitytään allekirjoittamalla palvelusopimus CSC:n kanssa

Haka-palvelusopimus: CSC luottamusverkoston operaattorina  ylläpitää luottamusverkoston metatietoa ja WAYF/DS:ä mitä organisaatioita, IdP:tä ja SP:tä on mitä attribuutteja kukin SP tarvitsee tekniset yhteystiedot ja –henkilöt luotetut varmentajat ym  organisoi ohjausryhmän ja teknisen ryhmän toiminnan  suunnittelee luottamusverkoston toimintaa ohjausryhmän avulla  ylläpitää kansainvälisiä yhteyksiä  ylläpitää testilaitteistoa ja testaa ohjelmakomponentteja  järjestää koulutusta ja edistää tunnettavuutta  helpdesk IdP/SP-ylläpitäjille

Haka-palvelusopimus: luottamusverkoston jäsenet  voivat pystyttää yhden IdP:n ja useita SP:tä siis vain yksi IdP/korkeakoulu  nimeävät hallinnollisen yhteyshenkilön  huolehtivat SAML/Shibboleth-palvelimiensa asennuksesta ja ylläpidosta  hankkivat palvelinvarmenteen luottamusverkoston hyväksymältä varmentajalta (Sonera CA)  huolehtivat luottamusverkoston metatiedon päivityksestä

Haka-palvelusopimus: kotiorganisaationa toimiva  kytkee SAML/Shibboleth IdP:n paikalliseen käyttäjätietokantaan  antaessaan käyttäjätunnuksen varmistaa hakijan henkilöllisyyden  autentikoi ainakin salasanalla ja huolehtii niiden turvallisuudesta  tarjoaa vain ajantasaisia attribuutteja noudattaen funetEduPersonia  luovuttaa vain tarpeellisia henkilötietoja palveluille  tarjoaa käyttäjälle mahdollisuuden tutustua palvelun tietosuojaselosteeseen ennen kuin pyytää käyttäjältä suostumuksen henkilötietojen luovutukseen  kerää lokia ja informoi käyttäjää lokitietojen käytöstä  järjestää loppukäyttäjälle helpdesk-pisteen  laatii käyttäjähallinnostaan kuvauksen luottamusverkoston muita jäseniä varten

Haka-palvelusopimus: palveluntarjoajana toimiva  asentaa SAML/Shibboleth SP:n ja integroi sen palveluun  ilmoittaa operaattorille mitkä attribuutit ovat palvelun kannalta tarpeellisia tietosuojaselosteen URL:n  suorittaa palvelunsa pääsynvalvontaa  kerää lokia ja luovuttaa sitä tarvittaessa kotiorganisaatiolle väärinkäytösten selvittämistä varten

Hakaan liittyminen 1.Korkeakoulu allekirjoittaa palvelusopimuksen 2.Kotikorkeakoulu pystyttää SAML/Shibboleth IdP:n kotikorkeakoulu suorittaa käyttäjähallinnon itsearvioinnin CSC lisää kotikorkeakoulun federaation metatietoihin (WAYF/DS) 3.Laitos kotikorkeakoulussa haluaa pystyttää SAML/Shibboleth SP:n Laitoksen edustaja täyttää Hakan sivulta saatavan lomakkeen (palvelukuvaus, tarvittavat attribuutit, tietosuojaseloste) kotikorkeakoulun tietohallintopäällikkö tms vahvistaa allekirjoituksellaan, että palvelu on yliopiston toimintaa ja sen haluamat attribuutit ovat todellakin perusteltuja CSC lisää SP:n federaation metatietoon