Eduuni-työtilat ja Sharepoint/ADFS Toni Sormunen, OKM Haka- ja Virtu -seminaari 17.1.2012
Opetus- ja kulttuuriministeriön (OKM:n) toimialan ja sidosryhmien yhteinen sähköinen palveluympäristö. Eduuni-palveluiden tarkoituksena on mahdollistaa joustava työskentely yli organisaatiorajojen. Eduunin omistaa OKM ja sen palvelut tuotetaan in-house periaatteella toimialalle. Eduunin lähtökohdaksi on otettu opetus- ja kulttuuriministeriön hallinnonalan tietohallintostrategia 2006–2015, jonka keskeiset sanomat ovat sähköinen työskentely ja verkostomainen toimintatapa. Eduunia ylläpitää ja kehittää CSC - Tieteen tietotekniikan keskus Oy yhteistyössä OKM:n ja asiakasorganisaatioiden kanssa. Eduunin ohjausryhmänä toimii OKM:n toimialan tietohallinnon johtoryhmä (OpIT).
Eduunin ensimmäinen palvelu otettiin tuotantokäyttöön hallinnonalan virastoille 7.9.2009 Hallinnonalan Eduuni-palveluja ovat työryhmäpalvelu (SharePoint), Eduuni- pikaviestit ja verkkoneuvottelut (OCS) ja SALAMA-asianhallinta Ensimmäinen toimialalle suuntautuva palvelu on Eduuni-työtilat
Eduuni-ID Hajautettu identiteetinhallintajärjestelmä, joka perustuu federoituihin identiteetteihin. Identiteettinä käyttäjän työsähköpostiosoite, jonka hallinta varmistetaan rekisteröitymisen yhteydessä. Kirjautumiseen käytettään jotain luotetuista tunnistuslähteistä (Haka, Virtu, Google, LiveID, Yahoo!) Vahvaa tunnistusta varten tulossa Vetuma
Eduuni-työtilat ja Oma Eduuni OKM:n toimialan yhteinen sähköisen työskentelyn ja verkostoitumisen alusta. Palvelu toteutettu Microsoft SharePoint 2010 tuotteella Laaja tuki eri selaimille Eduuni-työtilat SharePoint 2010 työtiloja sivustot voivat sisältää mm. asiakirjoja, kuvia, tehtäviä, keskusteluja, kalentereita, wiki tai blogi-sivuja jne. Työtilojen käyttövaltuutus Eduuni-ID:llä Oma Eduuni Tarjoaa jokaiselle palveluun rekisteröityneelle mahdollisuuden verkostoitua ja käyttää sosiaalisen median ominaisuuksia Tallennustilaa omille tiedostoille Tuki eri selaimille tuotteella mahdollisimman käyttöjärjestelmä/selain riippumattomasti
SharePoint 2010 ja ADFS 2.0 SharePoint 2010 ADFS 2.0 Claims-based WebApplicationit Useita autentikointitapoja voidaan hyödyntää samassa WebApplicationissa SharePointissa on oma STS, jossa tuki WS-federation protokollalle ADFS 2.0 SAML 2.0 ja WS-federation tuki ADFS Claims Engine Mahdollisuus asentaa vikasietoinen farmi
SharePoint ympäristö
SharePoint STS asetukset Asetetaan SharePoint STS luottamaan ADFS:ään PowerShell - New-SPTrustedIdentityTokenIssuer $tokensigningcert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2(”tokensigning.cer") $map1 = New-SPClaimTypeMapping "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "By Email" -SameAsIncoming $map2 = New-SPClaimTypeMapping "http://schemas.domain.fi/claims/edupersonprincipalname" -IncomingClaimTypeDisplayName "By eduPersonPrincipalName" –SameAsIncoming $map3 = New-SPClaimTypeMapping "http://schemas.domain.fi/claims/virtupersonprincipalname" -IncomingClaimTypeDisplayName "By virtuPersonPrincipalName" –SameAsIncoming $realm = "https://testi.domain.fi/_trust/" $signinurl = "https://adfs.domain.fi/adfs/ls/" $ap = New-SPTrustedIdentityTokenIssuer -Name "Identity" -Description "ADFS 2.0" -Realm $realm - ImportTrustCertificate $tokensigningcert -ClaimsMappings $map1,$map2,$map3 -SignInUrl $signinurl -IdentifierClaim $map1.InputClaimType $rootca = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("RootCA.cer") New-SPTrustedRootAuthority -Name "ADFS Token Signing Root Authority- fs.domain.fi" -Certificate $rootca Tämän jälkeen voidaan SharePoint Web Applicationissa valita Trusted Identity Provideriksi ADFS
ADFS 2.0 asetukset Asetetaan ADFS luottamaan SharePointin STS:ään ADFS 2.0 Management Console – Relying Party Trusts Add Relying Party Trust Wizard Valitaan AD FS 1.0 and 1.1 profile ADFS 2.0:n voi myös konfiguroida PowerShell cmdleteillä PowerShell komentoja Add-ADFSAttributeStore Adds an attribute store to the Federation Service. Add-ADFSCertificate Adds a new certificate to the Federation Service for signing, decrypting, or securing communications. Add-ADFSClaimDescription Adds a claim description to the Federation Service. Add-ADFSClaimsProviderTrust Adds a new claims provider trust to the Federation Service. Add-ADFSRelyingPartyTrust Adds a new relying party trust to the Federation Service.
ADFS 2.0 ja Virtun metadata ADFS ei voi suoraan hyödyntää Virtun metadataa. Kaikki IdP:t ja SP:t samassa metatiedossa Sertifikaattien käsittelyssä eroja Myös Virtun vaatimukset metatiedon käsittelystä huomioitava. Toteutus Powershell skriptillä ja ohjelmoimalla XML:n käsittely Powershell:n avulla helppoa. ADFS:n mukana paljon valmiita Powershell komentoja joita on hyödynnetty toteutuksessa. Metadatan allekirjoituksen tarkastaminen ohjelmoimalla Osa tarkastuksista ADFS Claim Rule Language:n avulla Keskeiset kohdat metadatan käsittelyssä Metadatasta haetaan per IdP tarvittavat tiedot. Tiedot parametreina Add-ADFSClaimsProviderTrust komennolle . Encryption sertifikaatti
Kiitos! toni.sormunen@minedu.fi