Federoidun identiteetin periaate Haka-käyttäjien kokoontuminen Mikael Linden Tieteen tietotekniikan keskus CSC

CSC - Tieteen tietotekniikan keskus  Opetusministeriön omistama osakeyhtiö  Non-profit  Tehtävä tuottaa keskitettyjä IT-palveluita korkeakouluille ja tutkimuslaitoksille Suurteholaskenta Funet-verkko  CSC ja korkeakoulujen käyttäjähallinto korkeakoulujen toimintaa kokoava ja koordinoiva työrukkanen Haka-luottamusverkoston operointi

Identiteetin ja pääsyn hallinta Esko Esimerkki Palvelu (esim. matkanhallinta) 3. Käyttäjätunnus Salasana Henkilöllisyyden todentaminen (authentication) Palvelun omistaja esim. talous- hallinto 2. ”Laitosjohtajat hyväksyvät matkalaskut” Käyttövaltuudet (authorisation) Jäljitettävyys/raportointi (audit) esim. auditoija 4. Kenellä on oikeus? 1. Eskon henkilötiedot viedään järjestelmään Henkilötietojen ylläpito (identity) Nimi: Esko Esimerkki Käyttäjätunnus: eesimerk Rooli: Laitosjohtaja

Windows AD Sähköposti Oppimisalusta Intranet Kirjaston Nelli-portaali Matkanhallinta ASP Tosielämässä palveluita on useita… Esko Esimerkki

Palvelut joita Esko käyttää työtehtävissään Eskon kotiorganisaatio Windows AD Sähköposti Oppimisalusta Intranet Kirjaston Nelli-portaali Matkanhallinta ASP Osan niistä omistaa Eskon työnantaja, osan joku muu… Esko Esimerkki

Palvelut joita Esko käyttää työtehtävissään Eskon kotiorganisaatio Windows AD Sähköposti Oppimisalusta Intranet Kirjaston Nelli-portaali Matkanhallinta ASP Eskon tunnukset jokaisessa palvelussa tuppaa elämään omaa elämäänsä… Esko Esimerkki ”Saarekkeinen identiteetinhallinta (isolated IdM)”

Palvelut joita Esko käyttää työtehtävissään Eskon kotiorganisaatio Windows AD Sähköposti Intranet Kirjaston Nelli-portaali Matkanhallinta ASP Metahakemisto rationalisoi identiteetinhallintaa organisaation sisällä Esko Esimerkki Oppimisalusta metahakemisto ”Keskitetty identiteetinhallinta (centralised IdM)”

Palvelut joita Esko käyttää työtehtävissään Eskon kotiorganisaatio Windows AD Sähköposti Oppimisalusta Intranet Kirjaston Nelli-portaali Matkanhallinta ASP Federointi tuo myös talon ulkopuoliset järjestelmät saman identiteetin piiriin Esko Esimerkki metahakemisto Identity Provider ”Federoitu identiteetinhallinta (Federated IdM)”

Mihin korkeakoulurajat ylittävää tunnistusta voi käyttää? -Kirjastojen palvelut -Käyttäjän yksilöinti ja profilointi: Nelli-portaali, Voyager- kirjastojärjestelmä, aineistontarjoajien portaalit -Käyttäjän auktorisointi: aineistontarjoajien palvelut -Verkko-opetus/opiskelu -Oppimisalustat, opetuksen tukityökalut -Korkeakoulujen verkostojen portaalit ja palvelut -Kansalliset palvelut käyttäjille korkeakouluissa -CSC:n palvelut tutkijoille, Funet-palvelut -ASP-sovellukset -Henkilöstö/taloushallinto: Personec hr (YPJ-keskustelut), Personec F ESS (lomat ym), Rondo (ostolaskun kierrätys), Travel (matkalaskut) ym -(korkeakoulujen sisäinen käyttäjätunnistus)

Tekniikkaa: SAML 2.0-viestinvaihdot Kotiorganisaatio Identity Provider (SAML IdP) ”tunnistuslähde” HY Service Provider (SAML SP) Travel- matkanhallinta Avataan matkalaskun hyväksyjän näkymä 5. Username: eskoe Password: 95iEfHw 1. HTTP ”Tahdon sisään matkanhallintaan 4. HTTP redirect/SAML ”Kaveri teidän korkeakoulusta haluaa Traveliin. Ottakaa hänestä selvää!” 6. HTTP POST/SAML ”Tahdon sisään Traveliin Olen Esko Esimerkki, Laitoksen X johtaja HY:stä” IdP Discovery Service (WAYF) 2. HTTP ”Mistä olet?” 3. HTTP ” HY:stä” Esimerkki kuvitteellinen: todellisuudessa Travel-käyttöoikeudet eivät tule IdP:stä

Shibboleth-väliohjelmisto  Yhdysvaltojen yliopistojen Internet2-hanke  Open source   v 1.0 6/2003, v 1.3 7/2005 (SAML1.1-profiili)  v 2.0 3/2008 myötä SAML2.0-yhteensopiva  WWW-ympäristössä Shibboleth 2.1 IdP on Javaa (Tomcat) Shibboleth 2.1 SP on C:tä (Apache, IIS)  Pääosa maailman akateemisista federaatioista perustuu Shibbolethiin Haastaja: Norjan johdolla kehitetty SimpleSAMLphp

Skeema  Attribuutit edellyttävät skeemaa riippumatta käytetystä tekniikasta (Shibboleth, LDAP, relaatiotietokanta)  Skeema on sopimus, joka määrittelee attribuuttien syntaksin (kielioppi) esim. attribuutti on ’alphanumeric’= koostuu numeroista ja kirjaimista semantiikan (merkitys) esim. attribuutti tarkoittaa henkilön työpuhelinnumeroa Sanastot, esim. henkilön mahdollisia rooleja ovat ”opiskelija”/”henkilökunta”/”muu”  Meillä käytössä olevia skeemoja Person, organizationalperson, inetOrgPerson ym eduPerson (Yhdysvaltojen yliopistot), schac (Euroopan yliopistot) funetEduPerson 2.1 (edellinen suomalaisin maustein)

Joitain attribuutteja…  cn, givenname, surname = nimi  mail = sähköpostiosoite  eduPersonAffiliation = henkilön perusrooli(t) yliopistossa  eduPersonPrincipalName = uniikki tunniste, ”käyttäjätunnus”  schacPersonalUniqueID = henkilötunnus  funetEduPersonTargetDegree = tavoitetutkinto, esim funetEduPersonTargetDegree: urn:mace:funet.fi:attribute- def:funetEduPersonTargetDegree:university:311 = teologian tohtori  Lisätietoa: skeema