Federoidun identiteetin periaate Haka-käyttäjien kokoontuminen Mikael Linden Tieteen tietotekniikan keskus CSC
CSC - Tieteen tietotekniikan keskus Opetusministeriön omistama osakeyhtiö Non-profit Tehtävä tuottaa keskitettyjä IT-palveluita korkeakouluille ja tutkimuslaitoksille Suurteholaskenta Funet-verkko CSC ja korkeakoulujen käyttäjähallinto korkeakoulujen toimintaa kokoava ja koordinoiva työrukkanen Haka-luottamusverkoston operointi
Identiteetin ja pääsyn hallinta Esko Esimerkki Palvelu (esim. matkanhallinta) 3. Käyttäjätunnus Salasana Henkilöllisyyden todentaminen (authentication) Palvelun omistaja esim. talous- hallinto 2. ”Laitosjohtajat hyväksyvät matkalaskut” Käyttövaltuudet (authorisation) Jäljitettävyys/raportointi (audit) esim. auditoija 4. Kenellä on oikeus? 1. Eskon henkilötiedot viedään järjestelmään Henkilötietojen ylläpito (identity) Nimi: Esko Esimerkki Käyttäjätunnus: eesimerk Rooli: Laitosjohtaja
Windows AD Sähköposti Oppimisalusta Intranet Kirjaston Nelli-portaali Matkanhallinta ASP Tosielämässä palveluita on useita… Esko Esimerkki
Palvelut joita Esko käyttää työtehtävissään Eskon kotiorganisaatio Windows AD Sähköposti Oppimisalusta Intranet Kirjaston Nelli-portaali Matkanhallinta ASP Osan niistä omistaa Eskon työnantaja, osan joku muu… Esko Esimerkki
Palvelut joita Esko käyttää työtehtävissään Eskon kotiorganisaatio Windows AD Sähköposti Oppimisalusta Intranet Kirjaston Nelli-portaali Matkanhallinta ASP Eskon tunnukset jokaisessa palvelussa tuppaa elämään omaa elämäänsä… Esko Esimerkki ”Saarekkeinen identiteetinhallinta (isolated IdM)”
Palvelut joita Esko käyttää työtehtävissään Eskon kotiorganisaatio Windows AD Sähköposti Intranet Kirjaston Nelli-portaali Matkanhallinta ASP Metahakemisto rationalisoi identiteetinhallintaa organisaation sisällä Esko Esimerkki Oppimisalusta metahakemisto ”Keskitetty identiteetinhallinta (centralised IdM)”
Palvelut joita Esko käyttää työtehtävissään Eskon kotiorganisaatio Windows AD Sähköposti Oppimisalusta Intranet Kirjaston Nelli-portaali Matkanhallinta ASP Federointi tuo myös talon ulkopuoliset järjestelmät saman identiteetin piiriin Esko Esimerkki metahakemisto Identity Provider ”Federoitu identiteetinhallinta (Federated IdM)”
Mihin korkeakoulurajat ylittävää tunnistusta voi käyttää? -Kirjastojen palvelut -Käyttäjän yksilöinti ja profilointi: Nelli-portaali, Voyager- kirjastojärjestelmä, aineistontarjoajien portaalit -Käyttäjän auktorisointi: aineistontarjoajien palvelut -Verkko-opetus/opiskelu -Oppimisalustat, opetuksen tukityökalut -Korkeakoulujen verkostojen portaalit ja palvelut -Kansalliset palvelut käyttäjille korkeakouluissa -CSC:n palvelut tutkijoille, Funet-palvelut -ASP-sovellukset -Henkilöstö/taloushallinto: Personec hr (YPJ-keskustelut), Personec F ESS (lomat ym), Rondo (ostolaskun kierrätys), Travel (matkalaskut) ym -(korkeakoulujen sisäinen käyttäjätunnistus)
Tekniikkaa: SAML 2.0-viestinvaihdot Kotiorganisaatio Identity Provider (SAML IdP) ”tunnistuslähde” HY Service Provider (SAML SP) Travel- matkanhallinta Avataan matkalaskun hyväksyjän näkymä 5. Username: eskoe Password: 95iEfHw 1. HTTP ”Tahdon sisään matkanhallintaan 4. HTTP redirect/SAML ”Kaveri teidän korkeakoulusta haluaa Traveliin. Ottakaa hänestä selvää!” 6. HTTP POST/SAML ”Tahdon sisään Traveliin Olen Esko Esimerkki, Laitoksen X johtaja HY:stä” IdP Discovery Service (WAYF) 2. HTTP ”Mistä olet?” 3. HTTP ” HY:stä” Esimerkki kuvitteellinen: todellisuudessa Travel-käyttöoikeudet eivät tule IdP:stä
Shibboleth-väliohjelmisto Yhdysvaltojen yliopistojen Internet2-hanke Open source v 1.0 6/2003, v 1.3 7/2005 (SAML1.1-profiili) v 2.0 3/2008 myötä SAML2.0-yhteensopiva WWW-ympäristössä Shibboleth 2.1 IdP on Javaa (Tomcat) Shibboleth 2.1 SP on C:tä (Apache, IIS) Pääosa maailman akateemisista federaatioista perustuu Shibbolethiin Haastaja: Norjan johdolla kehitetty SimpleSAMLphp
Skeema Attribuutit edellyttävät skeemaa riippumatta käytetystä tekniikasta (Shibboleth, LDAP, relaatiotietokanta) Skeema on sopimus, joka määrittelee attribuuttien syntaksin (kielioppi) esim. attribuutti on ’alphanumeric’= koostuu numeroista ja kirjaimista semantiikan (merkitys) esim. attribuutti tarkoittaa henkilön työpuhelinnumeroa Sanastot, esim. henkilön mahdollisia rooleja ovat ”opiskelija”/”henkilökunta”/”muu” Meillä käytössä olevia skeemoja Person, organizationalperson, inetOrgPerson ym eduPerson (Yhdysvaltojen yliopistot), schac (Euroopan yliopistot) funetEduPerson 2.1 (edellinen suomalaisin maustein)
Joitain attribuutteja… cn, givenname, surname = nimi mail = sähköpostiosoite eduPersonAffiliation = henkilön perusrooli(t) yliopistossa eduPersonPrincipalName = uniikki tunniste, ”käyttäjätunnus” schacPersonalUniqueID = henkilötunnus funetEduPersonTargetDegree = tavoitetutkinto, esim funetEduPersonTargetDegree: urn:mace:funet.fi:attribute- def:funetEduPersonTargetDegree:university:311 = teologian tohtori Lisätietoa: skeema