Shibboleth-tekniikan yleisesittely Haka-käyttäjien kokoontuminen Mikael Linden tieteen tietotekniikan keskus CSC

Tieteen tietotekniikan keskus CSC  Opetusministeriön omistama osakeyhtiö  non-profit  tehtävä tuottaa keskitettyjä IT-palveluita korkeakouluille ja tutkimuslaitoksille Suurteholaskenta Funet-verkko  CSC ja korkeakoulujen käyttäjähallinto korkeakoulujen toimintaa kokoava ja koordinoiva työrukkanen Haka-luottamusverkosto

Sisältö  Peruskäsitteitä  Shibboleth-väliohjelmisto  Skeema ja attribuutit

Käyttäjähallinto Esko Esimerkki Palvelu (esim. matkanhallinta) Nimi: Esko Esimerkki Käyttäjätunnus: eesimerk Rooli: laitosjohtaja 1. Eskon henkilötiedot viedään järjestelmään 1. Henkilötietojen ylläpito (identity) 3. Käyttäjätunnus Salasana 3. Henkilöllisyyden todentaminen (authentication) Palvelun omistaja esim. talous- hallinto 2. ”Laitosjohtajat hyväksyvät matkalaskut” 2. Käyttövaltuudet (authorisation) Auditoija 4. Jäljitettävyys (audit) 4. Kenellä on oikeus?

Käyttäjän tunnistus yli korkeakoulurajojen (”federoitu identiteetti”) Korkeakoulu C Korkea- koulu B Korkeakoulu A Paikalliset käyttäjätunnukset WWW esim. FinELibin Nelli-portaali Moodle esim. Virtuaalikurssin oppimisalusta Paikalliset käyttäjätunnukset

Mihin korkeakoulurajat ylittävää tunnistusta voi käyttää? -Kirjastojen palvelut -Käyttäjän yksilöinti ja profilointi: Nelli-portaali, Voyager- kirjastojärjestelmä, aineistontarjoajien portaalit -Käyttäjän auktorisointi: aineistontarjoajien palvelut -verkko-opetus/opiskelu -Oppimisalustat, opetuksen tukityökalut -korkeakoulujen verkostojen portaalit ja palvelut -Kansalliset palvelut käyttäjille korkeakouluissa -Suomen Akatemia: tutkimusrahoitushakemus -YTHS: terveystarkastusajanvaraus -CSC:n palvelut tutkijoille, Funet-palvelut -ASP-sovellukset -henkilöstö/taloushallinto: Personec hr (UPJ-keskustelut), Rondo (ostolaskun kierrätys), Travel (matkalaskut) ym -(korkeakoulujen sisäinen käyttäjätunnistus)

Sisältö  Peruskäsitteitä  Shibboleth-väliohjelmisto  Skeema ja attribuutit

Shibboleth-väliohjelmisto  Yhdysvaltojen yliopistojen Internet2-hanke  Protokollan määrittely ja sen open source –toteutus  nojaa SAML:iin, SOAP:iin ja XML:ään  v 1.0 6/2003, v 1.3 7/2005 (SAML1.1)  v 2.0:n myötä Liberty-yhteensopivuus (SAML 2.0)  WWW-ympäristössä  Tuotantokäytössä korkeakouluissa Yhdysvalloissa, Sveitsissä, Suomessa, Britanniassa, Ranskassa  Kehitys/käyttöönottovaiheessa Australiassa, Ruotsissa, Saksassa, Belgiassa…

Shibboleth 1.x-viestinvaihdot Kotiorganisaatio Identity Provider (Shibboleth IdP) HY Service Provider (Shibboleth SP) Nelli-portaali näytetään lääketieteilijöiden portaali 3. Username: eskoe Password: 95iEfHw 1. HTTP ”Tahdon sisään portaaliin 2. HTTP redirect ”Kaveri teidän korkeakoulusta haluaa portaaliin. Ottakaa hänestä selvää!” 4. HTTP POST/SAML ”Tahdon sisään portaaliin Kahvani on F49E4065A…” 5. SAML SOAP ”Kertokaa kaverista jonka kahva on F49E4065A…” 6. SAML SOAP ”Hän on lääketieteen opiskelija”

Shibboleth 1.3:n sisärakenne Identity Provider (IdP) Service Provider (SP) http GET AutentikointiKahvapyyntö Kahva (handle) Attribuuttipyyntö+kahva Attribuutit REDIRECT Kahvanpyytäjä Mikä on organisaatiosi? WAYF Kahva- palvelin Auth.palvelin (Pubcookie) Attribuutti- palvelin LDAP tai RDB Attribuutin- pyytäjä Pääsynvalvoja Resurssi Esko Esimerkki, HY

Sisältö  Peruskäsitteitä  Shibboleth-väliohjelmisto  Skeema ja attribuutit

Skeema  Attribuutit edellyttävät skeemaa riippumatta käytetystä tekniikasta (Shibboleth, LDAP, relaatiotietokanta)  Skeema on sopimus, joka määrittelee attribuuttien syntaksin (kielioppi) esim. attribuutti on ’alphanumeric’= koostuu numeroista ja kirjaimista semantiikan (merkitys) esim. attribuutti tarkoittaa henkilön työpuhelinnumeroa Sanastot, esim. henkilön mahdollisia rooleja ovat ”opiskelija”/”henkilökunta”/”muu”  Meillä käytössä olevia skeemoja Person, organizationalperson, inetOrgPerson ym eduPerson (Yhdysvaltojen yliopistot), schac (Euroopan yliopistot) funetEduPerson 2.0 (edellinen suomalaisin maustein)

Joitain attribuutteja…  Cn, givenname, surname = nimi  Mail = sähköpostiosoite  eduPersonAffiliation = henkilön perusrooli(t) yliopistossa  eduPersonPrincipalName = uniikki tunniste, ”käyttäjätunnus”  schacPersonalUniqueID = henkilötunnus  funetEduPersonTargetDegree = tavoitetutkinto, esim funetEduPersonTargetDegree: urn:mace:funet.fi:attribute- def:funetEduPersonTargetDegree:university:311 = teologian tohtori  Lisätietoa: skeema

Shibboleth: Attribuutit ja tietosuoja  Shibboleth-toteutuksessa attribuuttien käsittelyä voidaan säätää kolmella tasolla  Site ARP (attribute release policy) kotikorkeakoulu ottaa kantaa, mitä attribuutteja Shibboleth IdP luovuttaa millekin Shibboleth SP:lle  User ARP kukin käyttäjä määrittelee, mitä henkilötietoja hänestä luovutetaan millekin Shibboleth SP:lle  AAP (attribute acceptace policy) palvelu (Shibboleth SP) määrittelee, mitä attribuutteja se hyväksyy  Muistakaa noudattaa henkilötietolakia!