Lataa esitys
Esittely latautuu. Ole hyvä ja odota
JulkaistuSaara Järvenpää Muutettu yli 7 vuotta sitten
1
Federoidun identiteetin periaate Haka-käyttäjien kokoontuminen 20.1.2009 Mikael Linden Tieteen tietotekniikan keskus CSC
2
CSC - Tieteen tietotekniikan keskus Opetusministeriön omistama osakeyhtiö Non-profit Tehtävä tuottaa keskitettyjä IT-palveluita korkeakouluille ja tutkimuslaitoksille Suurteholaskenta Funet-verkko CSC ja korkeakoulujen käyttäjähallinto korkeakoulujen toimintaa kokoava ja koordinoiva työrukkanen Haka-luottamusverkoston operointi
3
1. 2. 3. 4. 1. 2. 3. 4. Identiteetin ja pääsyn hallinta Esko Esimerkki Palvelu (esim. matkanhallinta) 3. Käyttäjätunnus Salasana Henkilöllisyyden todentaminen (authentication) Palvelun omistaja esim. talous- hallinto 2. ”Laitosjohtajat hyväksyvät matkalaskut” Käyttövaltuudet (authorisation) Jäljitettävyys/raportointi (audit) esim. auditoija 4. Kenellä on oikeus? 1. Eskon henkilötiedot viedään järjestelmään Henkilötietojen ylläpito (identity) Nimi: Esko Esimerkki Käyttäjätunnus: eesimerk Rooli: Laitosjohtaja
4
Windows AD Sähköposti Oppimisalusta Intranet Kirjaston Nelli-portaali Matkanhallinta ASP Tosielämässä palveluita on useita… Esko Esimerkki
5
Palvelut joita Esko käyttää työtehtävissään Eskon kotiorganisaatio Windows AD Sähköposti Oppimisalusta Intranet Kirjaston Nelli-portaali Matkanhallinta ASP Osan niistä omistaa Eskon työnantaja, osan joku muu… Esko Esimerkki
6
Palvelut joita Esko käyttää työtehtävissään Eskon kotiorganisaatio Windows AD Sähköposti Oppimisalusta Intranet Kirjaston Nelli-portaali Matkanhallinta ASP Eskon tunnukset jokaisessa palvelussa tuppaa elämään omaa elämäänsä… Esko Esimerkki ”Saarekkeinen identiteetinhallinta (isolated IdM)”
7
Palvelut joita Esko käyttää työtehtävissään Eskon kotiorganisaatio Windows AD Sähköposti Intranet Kirjaston Nelli-portaali Matkanhallinta ASP Metahakemisto rationalisoi identiteetinhallintaa organisaation sisällä Esko Esimerkki Oppimisalusta metahakemisto ”Keskitetty identiteetinhallinta (centralised IdM)”
8
Palvelut joita Esko käyttää työtehtävissään Eskon kotiorganisaatio Windows AD Sähköposti Oppimisalusta Intranet Kirjaston Nelli-portaali Matkanhallinta ASP Federointi tuo myös talon ulkopuoliset järjestelmät saman identiteetin piiriin Esko Esimerkki metahakemisto Identity Provider ”Federoitu identiteetinhallinta (Federated IdM)”
9
Mihin korkeakoulurajat ylittävää tunnistusta voi käyttää? -Kirjastojen palvelut -Käyttäjän yksilöinti ja profilointi: Nelli-portaali, Voyager- kirjastojärjestelmä, aineistontarjoajien portaalit -Käyttäjän auktorisointi: aineistontarjoajien palvelut -Verkko-opetus/opiskelu -Oppimisalustat, opetuksen tukityökalut -Korkeakoulujen verkostojen portaalit ja palvelut -Kansalliset palvelut käyttäjille korkeakouluissa -CSC:n palvelut tutkijoille, Funet-palvelut -ASP-sovellukset -Henkilöstö/taloushallinto: Personec hr (YPJ-keskustelut), Personec F ESS (lomat ym), Rondo (ostolaskun kierrätys), Travel (matkalaskut) ym -(korkeakoulujen sisäinen käyttäjätunnistus)
10
Tekniikkaa: SAML 2.0-viestinvaihdot Kotiorganisaatio Identity Provider (SAML IdP) ”tunnistuslähde” HY Service Provider (SAML SP) Travel- matkanhallinta Avataan matkalaskun hyväksyjän näkymä 5. Username: eskoe Password: 95iEfHw 1. HTTP ”Tahdon sisään matkanhallintaan http://www.travel.fi/” 4. HTTP redirect/SAML ”Kaveri teidän korkeakoulusta haluaa Traveliin. Ottakaa hänestä selvää!” 6. HTTP POST/SAML ”Tahdon sisään Traveliin http://www.travel.fi/ Olen Esko Esimerkki, Laitoksen X johtaja HY:stä” IdP Discovery Service (WAYF) 2. HTTP ”Mistä olet?” 3. HTTP ” HY:stä” Esimerkki kuvitteellinen: todellisuudessa Travel-käyttöoikeudet eivät tule IdP:stä
11
Shibboleth-väliohjelmisto Yhdysvaltojen yliopistojen Internet2-hanke Open source http://shibboleth.internet2.edu/ v 1.0 6/2003, v 1.3 7/2005 (SAML1.1-profiili) v 2.0 3/2008 myötä SAML2.0-yhteensopiva WWW-ympäristössä Shibboleth 2.1 IdP on Javaa (Tomcat) Shibboleth 2.1 SP on C:tä (Apache, IIS) Pääosa maailman akateemisista federaatioista perustuu Shibbolethiin Haastaja: Norjan johdolla kehitetty SimpleSAMLphp
12
Skeema Attribuutit edellyttävät skeemaa riippumatta käytetystä tekniikasta (Shibboleth, LDAP, relaatiotietokanta) Skeema on sopimus, joka määrittelee attribuuttien syntaksin (kielioppi) esim. attribuutti on ’alphanumeric’= koostuu numeroista ja kirjaimista semantiikan (merkitys) esim. attribuutti tarkoittaa henkilön työpuhelinnumeroa Sanastot, esim. henkilön mahdollisia rooleja ovat ”opiskelija”/”henkilökunta”/”muu” Meillä käytössä olevia skeemoja Person, organizationalperson, inetOrgPerson ym eduPerson (Yhdysvaltojen yliopistot), schac (Euroopan yliopistot) funetEduPerson 2.1 (edellinen suomalaisin maustein)
13
Joitain attribuutteja… cn, givenname, surname = nimi mail = sähköpostiosoite eduPersonAffiliation = henkilön perusrooli(t) yliopistossa eduPersonPrincipalName = uniikki tunniste, ”käyttäjätunnus” (linden@tut.fi) schacPersonalUniqueID = henkilötunnus funetEduPersonTargetDegree = tavoitetutkinto, esim funetEduPersonTargetDegree: urn:mace:funet.fi:attribute- def:funetEduPersonTargetDegree:university:311 = teologian tohtori Lisätietoa: http://www.csc.fi/hallinto/haka/tekniikka/funeteduperson- skeema
Samankaltaiset esitykset
© 2024 SlidePlayer.fi Inc.
All rights reserved.