Käyttäjähallinto, LDAP, Shibboleth ja VETUMA Tietotekniikkaosasto Ismo Aulaskari
LDAP HY:n keskitetty tunnistaminen Radiuksen päälle rakennetun LDAP-käyttäjähakemiston (ldap-internal) varassa Standardeja noudattava, laajalti tuettu ja yksinkertainen tunnistamistapa joka on helposti lisättävissä omiin sovelluksiin Luotettavuus kehittynyt kahdentamisen myötä. Toimii eri tietojärjestelmille käyttäjätietojen selauspaikkana
LDAP: tiedon kaatopaikka? Laaja, kustomoitava ja dokumentoitu tietosisältö Tieto valuu ldap-internaliin muista tietojärjestelmistä, ldap- lähtöistä tietoa pyritään välttämään jo ylläpitosyistä Tarkoitus on pysyä olennaisessa, ydintoimintaa tukevassa tiedossa Jokainen Almassa näkyvä työryhmä(ja muutama muukin) löytyy ldap-internalista Tiedot synkronoituvat ldapiin viimestään vuorokauden sisällä
LDAP-hyödyntämisen alkuun uid=kasitunnus=yksiselitteinen hakukriteeri Jokaisella tunnistautuneella käyttäjällä oikeus lukea omat tietonsa Organisaatioyksiköt julkisesti luettavissa Vastuuhenkilöillä lukuoikeudet omien ryhmien jäsenlistoihin atk-ldap-palveluosoite auttaa ongelmissa konsultointi vianetsintä esimerkkikoodi
LDAP-käyttäjätiedot Laaja sisältö, päämääränä auktorisointi/järjestelmäintegraatio Kansallinen ja kansainvälinen sanasto mm. Shibboleth- käyttöön HY:n sisäiset koodit, käyttölupatekniset tiedot POSIX-tuki Roolit, laskutustunnukset(työ- ja oppilaitokset), ryhmäjäsenyydet, asiointikieli, syntymäaika.. Vanhojen sovellusten huomattava siirtyä FunetEduPerson - attribuuttien käytössä version 2.0 mukaisiin attribuutteihin..kohti yleiseurooppalaista skeemaa ja järkevää laajennettavuutta Koko funetEduPerson 1.0 meni uusiksi
LDAP-hierarkia
Oikeaoppiseen LDAP-käyttöön Tunnistaminen onnistuu vain salatun yhteyden yli Myös LDAP-palvelin syytä tunnistaa HY-CA-sertifikaatin avulla Tunnistaminen tehdään bind-operaatiolla, salasanavertailut yms. epästandardit lähestymistavat ei toimi Hakemisto tarkoitettu yksittäisen käyttäjän autentikointiin käyttäjän suostumuksella(salasana-autentikointi) Haetaan vain tarvittavat käyttäjän tiedot
Oikeaoppinen käyttö - optimointi Hakemisto optimoitu vain yleisimpiin yhden käyttäjän autentikointikyselyihin, tapauskohtaisesti voidaan optimoida muitakin kyselyitä indeksoimalla Eräajo-luonteisiin laajempiin kyselyihin voi pyytää vahvemmat lukuoikeudet omaavaa tunnusta, todennäköisesti joku SQL-näkymä olisi tällöin parempi tietolähde Tarkemmat kyselyt parantavat tuloksia :)
Oikeaoppinen käyttö - varjotietokannat Keskitetty tunnistaminen tarkoittaa että tieto saadaan keskitetysti ldap-internalista, eli tietoa ei tarvitse synkronoida asiakasjärjestelmän omaan tietokantaan ajantasaisuus ldap-internalin kuormitus luotettavuus välimuistin käyttö on kuitenkin aina hyvä idea LDAP-protokollan yli ldap-internal sallii maksimissaan 500 objektia palauttavat kyselyt(yliopiston käyttäjästä), sivutus on toteutettava itse
LDAP-ryhmillä auktorisointi Tunnistaminen on vasta alkua, käyttäjän attribuuteilla kuten rooleilla ja ryhmäjäsenyyksillä voi kontrolloida pääsyä asiakasjärjestelmiin Kaksisuuntaiset ryhmäjäsenyydet uutuutena Valtuusryhmiä voi luoda käsin Almassa(työryhmät) Voi myös hyödyntää automaatin ylläpitämiä laitos-/tdk- /rooliryhmä suoraan tai lisäämällä sellaisen almaryhmään Vuorokauden päivitysviive! Sitten vain autentikoinnin yhteydessä katsotaan onko käyttäjä tuon ryhmän jäsen
Dokumentaatiota on Hakemiston rakenne Attribuuttikuvaukset Artikkeleita Uutiset mitä muuta?
Shibboleth Luottamusverkostopohjainen käyttäjän tunnistaminen Internet2:n avoimella lisenssillä julkaistu Java/C++-sovellus Kasvaa ja kehittyy SAML 2.0-yhteensopivuuden myötä HY:n Shibboleth-identiteetintarjoaja ohjaa kirjautumisen LDAPiin (tai jopa VETUMAan) HY:llä käytössä vuodesta 2003 kansallinen HAKA-federaatio 2006: HY:n sisäinen federaatio 2006: Muiden organisaatioiden Shibboleth-idp-hostaus Pelkkää LDAP-tunnistamista huomattavasti vaikeampi pystyttää, mutta monessa asiassa parempi
Shibboleth, käyttäjähallinnon tulevaisuus Ideaalimenetelmä www-tunnistamiseen Autentikointimenetelmän ulkoistaminen keskittämällä Valinnaisia autentikointitapoja Yhdellä tunnuksella ja salasanalla/muulla varmenteella pääsy vaikka kaikkiin maailman tietojärjestelmiin Käyttäjä hyväksyy itse tietojensa luovuttamisen kohdepalvelulle Sessiot Muitten oppilaitosten tunnuksilla HY:n palveluun Kyky hakea auktorisointitietoja useasta rinnakkaisesta lähteestä
Nyt kaikki palvelua shibboloimaan Asennetaan Apache-www-palvelin ja Shibboleth- autentikointimoduuli Liiitytään johonkin luottamusverkostoon(sopimukset, yhteiset tietosisällöt, palvelinvarmenteet) Palveluun saapuva käyttäjä ohjataan tunnistautumaan kotiorganisaatioonsa tai aina HY:n login-palvelimeen
Shibboleth ja allaoleva palvelu Shibboleth-moduuli palauttaa palvelulle onnistuneesta käyttäjän tunnistamisesta käyttäjän tiedot ympäristömuuttujina ja sessiopiparit HY:n luottamusverkostossa kaikki ldap-internalin käyttäjäkohtaiset tiedot käytettävissä esim. ryhmä-auktorisointi (Ohjelmistojakelu) Lisäksi olemassa liityntä SQL-tietokantojen tiedoille (esim. Oodi)
Shibboleth-dokumentaatio Sivusto julkaistu ja kehitteillä Palvelun Shibbolointiohje HY:n sisäisestä federaatiosta linkkejä kansalliseen ja kansainväliseen dokumentaatioon..
VETUMA Autentikointiportaali, joka tukee monia vahvan tunnistamisen menetelmiä sähköinen henkilökortti, pankkitunnukset, mobiilivarmenne HY:llä julkaistu avoin toteutus VETUMA- autentikointirajapinnasta VETUMAa hyödyntäviä sovelluksia salasananvaihtopalvelu (pian) uusien opiskelijoiden lupien luonti (syksyksi?)