Kansalaisen tunnistus- ja maksamispalvelu VETUMA Tietotekniikkaosasto Ismo Aulaskari
VETUMA Verkkotunnistautuminen ja maksaminen, Kansalaisen tunnistus- ja maksamispalvelu VETUMA Fujitsu Services OY:n kehittämä ja ylläpitämä autentikointiportaali Tarjoaa yhdenmukaisen avoimen tunnistautumisrajapinnan organisaatioille useilla eri vahvoilla autentikointimenetelmillä, muistuttaa pankkien Tupasta Käyttäjän tunnistaminen, sähköiset allekirjoitukset, maksatus
VETUMA.. jatkuu Palvelusta vastaa valtiovarainministeriö ja sen tuottaa Fujitsu Services Oy, hanke aloitettu vuonna Tavoitteena hankkia yhteisesti ja levittää koko julkishallinnon käyttöön yhteinen verkkotunnistamisen ja - maksamisen alusta. Alkuvaiheessa verkkotunnistamisen ja maksamisen alustan otti käyttöön 60 kuntaa valtionhallinnon virastojen ja laitosten, ja korkeakoulujen ohella “Verkkotunnistamisen ja -maksamisen alusta rahoitetaan keskitetysti valtion budjettivaroin 2009 loppuun asti.” Lähde: suomi.fi
Vahva autentikointi VETUMA tukee tällä hetkellä tunnistusta Tupas-pankkitunnuksilla HST-sähköisellä henkilökortilla (ns. kansalaisvarmenne, myöntäjänä poliisi) Tulossa OPM:n organisaatiovarmenne (?) Mobiilivarmenteet (?)
Vetuma.pm Fujitsu Services myy valmista toolkitia Java- ja.NET- alustoille, sisältää valmiita VETUMA-komponentteja ja sorsakoodia HY:lla toteutettu HAKA-pilottina Perl-kielinen avoimen lähdekoodin toteutus VETUMA-rajapintaa käyttävästä autentikointimoduulista Puhdas Perl-toteutus TY:n Tupas.pm:n hengessä Vetuma.pm tukee VETUMA-tunnistusta Tupaksella ja varmennekorteilla(lue: kaikkia VETUMA-portaalin vahvempia tunnistustapoja)
Vetuma.pm – toiminta, vanha sovelluskohtainen asennus 1)Käyttäjä tulee HY:n Vetuma-kirjautumissivulle 2)Käyttäjä ohjataan VETUMA-palveluun 3)Käyttäjä autentikoi itsensä henkilökortilla tai pankin palvelussa 4)Käyttäjän henkilötunnus palautetaan HY:lle 5)Käyttäjä etsitään HY:n LDAP-hakemistosta hetun avulla 6)Käyttäjälle luodaan sessio 7)Käyttäjä ohjataan tunnistamisen vaatineeseen palveluun
Sittemmin tapahtunutta Sovelluskohtaisia VETUMA-asiakkaita on turha ylläpitää Ne on kaikenlisäksi vielä työläitä asentaa Joten kaikessa mikä ei vaadi äärimmäistä tehokkuutta ja kustomoitavuutta: Keskitetään HY:n Vetuma-tunnistuspalvelu Asennetaan tunnistusta vaativien palveluiden eteen yksinkertainen Apache+mod_perl-kombo Käsitellään sovelluksissa samalla tavalla kuin esim. Shibboleth-tunnistus
Vetuma.pm, toiminta, keskitetty asennus (suositellaan!) 1)Käyttäjä saapuu suojattavan sovelluksen suojatulle sivulle 2)Sovellusta suojaavan Apachen mod_perl-moduuli ohjaa käyttäjän HY:n keskitetylle Vetuma-kirjautumis-sivulle 3)Käyttäjä tunnistautuu Valtion IT-palvelukeskuksen VETUMA-portaalissa 4)Käyttäjä ohjataan alkuperäiseen sovellukseen, Apacheen asetetaan käyttäjän henkilötunnus ympäristömuuttujaksi, tarvittaessa muutakin käyttäjän dataa 5)Mod_perl-valvoo käyttäjän session voimassaoloa SOAP- kutsuilla kirjautumispalvelimelle, ohjaa tarvittaessa uuteen kirjautumiseen
Käyttötarkoitukset HY:llä Salasananvaihtopalvelu Uusien opiskelijoiden rekisteröinti ja käyttölupien itseaktivointi Avoimen yliopiston käyttäjien rekisteröinti Kertakäyttösalasanalistojen luonti Vahvaa tunnistautumista vaativat (ei-korkean volyymin) palvelut, kuten kadunmiesten tunnistaminen Esim. vahva työasemaautentikointi halvempi toteuttaa organisaation sisäisestä lähteestä
Pilottiprojektin kotisivu Koodi ja dokumentaatio julkaistu osana HAKA- pilottivaatimuksia Vetuma.pm astunut tuotantoon HY:llä 2007 sopimusten solminnan jälkeen opiskelijakäyttölupien aktivointipalveluna ja salasanojen resetointipalveluna Fujitsun sopimus Pankkisopimukset VRK-sopimukset Valmiutta VETUMA-tunnistuksen korvaamiseksi Tupas- tunnistuksella ylläpidetään jos kustannukset nousevat 2010
Kysyttävää? Keskitetty asennus, Apachen konfiguraatio: erl/ erl/ JSF-viewhandler: