Käyttäjän tunnistaminen, eKortti ja TAMK Jarmo Sorvari ATK-järjestelmäpäällikkö, TAMK jarmo.sorvari@tamk.fi
Perusongelma Verkossa asioiva käyttäjä tulisi pystyä tunnistamaan ”beyond reasonable doubt” Vaatii käytännössä: Keskitetyn käyttäjähallinnon Vahvan tunnistustekniikan Uskottavan tietoturvapolitiikan, organisaatioiden välisen luottamuksen
Monelle tuttu tilanne Winha tunnus5 salasana5 WebCT tunnus4 salasana4 eMail tunnus3 salasana3 Windows tunnus1 salasana1 UNIX tunnus2 salasana2 ftp Järjestelmät ja sovellukset tietohallinnollisesti erillisiä saarekkeita Monta tunnus-salasana –paria Paljon käsityötä tunnustenhallinnassa Keskitetylle käyttäjähallinnolle huutava tarve!
TAMKin IT-infrastruktuuri Winha WebCT news Shibboleth origin intranet salasana- synkronointi LDAP hakemisto tunnus salasana Citrix posti Windows (AD) UNIX/ Linux Samba Kotihakemistot
TAMKin infra lyhyesti Runsaat 1800 työasemaa, 50 palvelinta Ylläpidetään n. 6000 käyttäjätunnusta Tunnusten hallinnassa LDAP-hakemistopalvelin Tietojen lähteenä Winha-tietokanta LDAP-pohjainen intranet Pilotteja eKortti, Shibboleth
Keskitetyn käyttäjähallinnon tärkeys Tietokantapohjainen tunnusten poistoprosessi => organisaatioiden välinen luottamus Organisaation käyttäjien tunnistaminen yhdessä pisteessä (yksi salasana, single sign-on, jne.) Uusien palveluiden käyttöönotto helpompaa Tietoturva, jne.
Heikko ja vahva tunnistaminen Heikko tunnistaminen: tunnus + vakiosalasana Vahva tunnistaminen: kryptologia apuun Julkisen avaimen (PKI) järjestelmät (esim. eKortti) Kertakäyttösalasanat Biometriikka jne.
eKortti Sisältää Soneran varmentaman varmenteen PKI-tekniikka mahdollistaa esim. sähköpostin, tiedostojen salauksen digitaaliset allekirjoitukset käyttäjän vahvan tunnistamisen Kontaktiton ja kontaktillinen siru Tampereen kaupungin ja TAMKin palvelut
TAMKin eKorttipilotti < 3500 korttia Mikroluokkiin asennettu 700 kortinlukijaa Henkilökunnalla n. 100 lukijaa Korttitunnisteet TAMKin LDAP-hakemistossa
TAMKin eKorttipalvelut Työasemakirjautuminen Sähköistä asiointia terveydenhuoltoon liittyviä palveluita terveyskysely, esitietojen täyttäminen lääkärin konsultaatio yliaikahakemus Lounaan maksaminen ruokalassa Kukkaron lataaminen
Kehitteillä olevia palveluita Single sign-on joidenkin palveluiden kesken (kirjautuminen intraan jne.) Salasananasetuspalvelu intrassa Winhan etäkäyttötunnistus opettajille Yksi autentikointivaihtoehto Shibbolethiin?
Kytkentä Shibbolethiin Esko Esimerkki,TAMK, opiskelija Portaali näyttää Eskolle opiskelijoille tarkoitetut sivut Autentikointi Origin site Yliopisto Y Origin site Tampereen amk Target site www.amk.fi Autentik. palvelin Virtuaaliamk-portaali ”Esko Esimerkki, opiskelija” Shibboleth Shibboleth Shibboleth ”Esko Esimerkki, opiskelija” Apache Apache Käyttäjä-rekisteri (LDAP)
Kohti organisaatiorajat ylittävää käyttäjähallintoa Shibboleth + eKortti Organisaatiotason keskitetty käyttäjähallinto Järjestelmä- kohtainen käyttäjähallinto Heikko autentikointi Vahva autentikointi [Lähde: Gnomis]