VETUMA, verkkotunnistaminen ja - maksaminen Tietotekniikkaosasto Ismo Aulaskari
VETUMA Verkkotunnistautuminen ja maksaminen Fujitsu Services OY:n kehittämä ja ylläpitämä autentikointiportaali Tarjoaa yhdenmukaisen tunnistautumisrajapinnan organisaatioille useilla eri vahvoilla autentikointimenetelmillä Käyttäjän tunnistaminen, sähköiset allekirjoitukset, maksatus Avoin rajapinta, muistuttaa pankkien Tupasta
VETUMA.. jatkuu Palvelusta vastaa valtiovarainministeriö ja sen tuottaa Fujitsu Services Oy, hanke aloitettu vuonna Tavoitteena hankkia yhteisesti ja levittää koko julkishallinnon käyttöön yhteinen verkkotunnistamisen ja - maksamisen alusta. Alkuvaiheessa verkkotunnistamisen ja maksamisen alustan ottaa käyttöön 60 kuntaa valtionhallinnon virastojen ja laitosten ohella “Verkkotunnistamisen ja -maksamisen alusta rahoitetaan keskitetysti valtion budjettivaroin.” Lähde: suomi.fi
Vahva autentikointi VETUMA tukee tällä hetkellä tunnistusta Tupas-pankkitunnuksilla HST-sähköisellä henkilökortilla (ns. kansalaisvarmenne, myöntäjänä poliisi) Tulossa OPM:n organisaatiovarmenne (?) Mobiilivarmenteet (?)
Vetuma.pm Fujitsu Services myy valmista toolkitia Java- ja.NET- alustoille, sisältää valmiita VETUMA-komponentteja ja sorsakoodia HY:lla toteutettu HAKA-pilottina Perl-kielinen open-source toteutus VETUMA-rajapintaa käyttävästä autentikointimoduulista Puhdas Perl-toteutus TY:n Tupas.pm:n hengessä Lisäksi Shibboleth-integraatio Apachen ja mod_auth_tkt- sessionhallinnan kanssa Vetuma.pm tukee alkuvaiheessa autentikointia Tupaksella ja varmennekorteilla, jatkossa myös sähköisen allekirjoituksen tekemistä
Vetuma.pm - toiminta 1)Käyttäjä tulee HY:n Vetuma-kirjautumissivulle 2)Käyttäjä ohjataan Fujitsun VETUMA-palveluun 3)Käyttäjä autentikoi itsensä henkilökortilla tai pankin palvelussa 4)Käyttäjän henkilötunnus palautetaan HY:lle 5)Käyttäjä etsitään HY:n LDAP-hakemistosta hetun avulla 6)Käyttäjälle luodaan sessio 7)Käyttäjä ohjataan tunnistamisen vaatineeseen palveluun
Käyttötarkoitukset HY:llä Salasananvaihtopalvelu Uusien opiskelijoiden rekisteröinti ja käyttölupien luonti Vahvaa tunnistautumista vaativat (ei-korkean volyymin) palvelut Esim. vahva työasemaautentikointi halvempi toteuttaa organisaation sisäisestä lähteestä
Salasananvaihtopalvelu (tulossa!) Vahvan VETUMA-tunnistautumisen jälkeen käyttäjä voi vaihtaa salasanansa tunnuksille HY:n järjestelmissä Edirectory, Active Directory, Unix Salasananvaihtoon kaksi rajapintaa LDAP yksinkertainen Web Service-rajapinta
Shibboloitu VETUMA-idp Vetuma.pm kytkettiin helpohkosti osaksi HY:n sisäistä Shibboleth-sessionhallintaa HY:n sisäisessä luottamusverkostossa voi jatkossa autentikoitua vahvasti, jos tarvetta Shibboleth pystyy välittämään tiedon autentikoinnin vahvuudesta palvelulle
Pilottiprojektin kotisivu Koodi ja dokumentaatio julkaistaan viilauksen ja auditoinnin jälkeen osana HAKA-pilottivaatimuksia Vetuma.pm astuu tuotantoon HY:llä kun kaikki sopimukset saadaan solmittua ja kaikki on valmista Fujitsun sopimus Pankkisopimukset VRK-sopimukset
Kysyttävää?