Luottamusverkosto eli federaatio Haka-luottamusverkosto. Shibboleth-asennuskoulutus 4.2.2008 Arto Tuomi CSC – tieteen tietotekniikan keskus Oy
Esko Esimerkki käyttää päivittäin useita palveluita Matkanhallinta ASP Naapuriyliop. oppimisalusta Opiskelijarekisteri Sähköposti Esko Esimerkki Windows AD Intranet
Osan niistä omistaa Eskon kotikorkeakoulu, osan joku muu… Palvelut joita Esko käyttää osana arkeaan korkeakoulussa Matkanhallinta ASP Naapuriyliop. oppimisalusta Eskon kotikorkeakoulu Opiskelijarekisteri Sähköposti Esko Esimerkki Windows AD Intranet
Eskon tunnukset jokaisessa palvelussa tuppaa elämään omaa elämäänsä… Palvelut joita Esko käyttää osana arkeaan korkeakoulussa Matkanhallinta ASP Naapuriyliop. oppimisalusta Eskon kotikorkeakoulu Opiskelijarekisteri Sähköposti Esko Esimerkki Windows AD Intranet ”Saarekkeinen identiteetinhallinta (isolated IdM)”
Metahakemisto rationalisoi identiteetinhallintaa organisaation sisällä Palvelut joita Esko käyttää osana arkeaan korkeakoulussa Matkanhallinta ASP Naapuriyliop. oppimisalusta Eskon kotikorkeakoulu Opiskelijarekisteri metahakemisto Sähköposti Esko Esimerkki Windows AD Intranet ”Keskitetty identiteetinhallinta (centralised IdM)”
Federointi tuo myös talon ulkopuoliset järjestelmät saman identiteetin piiriin Palvelut joita Esko käyttää osana arkeaan korkeakoulussa Matkanhallinta ASP Naapuriyliop. oppimisalusta Identity Provider Eskon kotikorkeakoulu Opiskelijarekisteri metahakemisto Sähköposti Esko Esimerkki Windows AD Intranet ”Federoitu identiteetinhallinta (Federated IdM)”
Haka-luottamusverkosto eli -federaatio Luottamusverkosto eli federaatio (CSC operoi) Kotikorkeakoulut (ATK-keskus) Palveluntarjoajat Kotikorkeakoulu ylläpitää käyttäjän perustietoja (nimi, yhteystiedot, rooli, opintosuunta ym) Kotikorkeakoulu autentikoi käyttäjän (esim. salasanalla) Kotikorkeakoulu luovuttaa (käyttäjän suostumuksella) henkilötietoja palveluntarjoajalle Palveluntarjoaja päättää henkilötietojen perusteella, millainen näkymä käyttäjälle avautuu palvelussa YO1 Shib IdP Shib SP Kirjastojen Nelli- tiedonhakuportaali YO2 Kirjastojen Voyager-kirjastojärjestelmä Shib IdP Shib SP YOn Yksittäisen korkeakoulun oppimisympäristö Shib IdP Shib SP AMK1 Yliopistojen sähköinen JOO-hakujärjestelmä Shib IdP Shib SP AMK2 CSC:n Funet-extranet (info.funet.fi) Shib IdP Shib SP AMKn Shib IdP
Haka-luottamusverkosto on CSC:n palvelu korkeakouluille Luottamusverkoston operaattori CSC – Tieteen tietotekniikan keskus Oy Haka-luottamusverkoston keskitetyt osat Ohjausryhmä Tekninen ryhmä Luottamusverkoston jäsenet Luottamusverkoston kumppanit IdP Palvelu IdP Palvelu Palvelu IdP Palvelu Palvelu SP SP Palvelu SP SP SP SP Hakaan liitytään allekirjoittamalla palvelusopimus CSC:n kanssa
Haka numeroin Operationaalinen toiminta alkoi 3.8.2005 Haka-luottamusverkostoon on liittynyt 37/46 korkeakoulua Kattavat 290 000/330 000 loppukäyttäjää (88%) Yliopistot: 17/20, amkit: 20/26 Näistä IdP:n on Hakaan rekisteröinyt 28 korkeakoulua Kattavat 250 000/330 000 loppukäyttäjää (75%) Yliopistot: 17/20, amkit: 11/26
3,8 miljoonaa Haka-kirjautumista 2008 Kasvua vuositasolla 91%
Haka-palvelusopimus: CSC luottamusverkoston operaattorina ylläpitää luottamusverkoston metatietoa ja WAYF:ä mitä organisaatioita, IdP:tä ja SP:tä on mitä attribuutteja kukin SP tarvitsee tekniset yhteystiedot ja –henkilöt luotetut varmentajat ym organisoi ohjausryhmän ja teknisen ryhmän toiminnan suunnittelee luottamusverkoston toimintaa ohjausryhmän avulla ylläpitää kansainvälisiä yhteyksiä ylläpitää testilaitteistoa ja testaa ohjelmakomponentteja järjestää koulutusta ja edistää tunnettavuutta helpdesk IdP/SP-ylläpitäjille
Haka-palvelusopimus: luottamusverkoston jäsenet voivat pystyttää yhden IdP:n ja useita SP:tä siis vain yksi IdP/korkeakoulu nimeävät hallinnollisen yhteyshenkilön huolehtivat SAML/Shibboleth-palvelimiensa asennuksesta ja ylläpidosta hankkivat palvelinvarmenteen luottamusverkoston hyväksymältä varmentajalta (Sonera CA) huolehtivat luottamusverkoston metatiedon päivityksestä
Haka-palvelusopimus: kotiorganisaationa toimiva kytkee SAML/Shibboleth IdP:n paikalliseen käyttäjätietokantaan antaessaan käyttäjätunnuksen varmistaa hakijan henkilöllisyyden autentikoi ainakin salasanalla ja huolehtii niiden turvallisuudesta tarjoaa vain ajantasaisia attribuutteja noudattaen funetEduPersonia ylläpitää Site ARP:a ja User ARP:a tarjoaa käyttäjälle mahdollisuuden tutustua palvelun tietosuojaselosteeseen ennen kuin pyytää käyttäjältä suostumuksen henkilötietojen luovutukseen kerää lokia ja informoi käyttäjää lokitietojen käytöstä järjestää loppukäyttäjälle helpdesk-pisteen laatii käyttäjähallinnostaan kuvauksen luottamusverkoston muita jäseniä varten
Haka-palvelusopimus: palveluntarjoajana toimiva asentaa SAML/Shibboleth SP:n ja integroi sen palveluun ilmoittaa operaattorille mitkä attribuutit ovat palvelun kannalta tarpeellisia tietosuojaselosteen URL:n suorittaa palvelunsa pääsynvalvontaa kerää lokia ja luovuttaa sitä tarvittaessa kotiorganisaatiolle väärinkäytösten selvittämistä varten
Hakaan liittyminen Korkeakoulu allekirjoittaa palvelusopimuksen http://www.csc.fi/hallinto/haka/luottamusverkosto/liittyminen Kotikorkeakoulu pystyttää SAML/Shibboleth IdP:n kotikorkeakoulu suorittaa käyttäjähallinnon itsearvioinnin CSC lisää kotikorkeakoulun federaation metatietoihin (WAYF) Laitos kotikorkeakoulussa haluaa pystyttää SAML/Shibboleth SP:n Laitoksen edustaja täyttää Hakan sivulta saatavan lomakkeen (palvelukuvaus, tarvittavat attribuutit, tietosuojaseloste) kotikorkeakoulun tietohallintopäällikkö tms vahvistaa allekirjoituksellaan, että palvelu on yliopiston toimintaa ja sen haluamat attribuutit ovat todellakin perusteltuja CSC lisää SP:n federaation metatietoon
Federations operational in higher education Federation since # of users # of IdPs # of SPs SWITCHaai (ch) 8/2005 260 000 (95%) 35 IdPs 265 SPs DFN (de) 11/2007 26 IdPs 17 SPs CBIC (es) 7/2002 4469 120 IdPs 145 SPs SIR (es) 4/2008 130 000 (20%) 13 IdPs 4 SPs Haka (fi) 8/2005 260 000 (80%) 27 IdPs 52 SPs CRU (fr) 10/2006 640 000 (45%) 42 IdPs 41 SPs GRNET (gr) 1/2007 30 000 (30%) 19 IdPs 4 SPs AAI@edu.hr (hr) 530 000 220 IdPs 70 SPs Surfnet (nl) 11/2007 110 000 13 IdPs Feide (no) 5/2003 205 000 (80%) 17 ”IdPs” 50 SPs UK fed (uk) 11/2006 7 000 000 182 IdPs 160 SPs InCommon (us) 1 700 000 53 IdPs 112 SPs IGTF (int) 10/2005 thousands 57 IdPs dozen Source: http://www.rediris.es/wiki/tf-emc2/index.php/Federations