Esittely latautuu. Ole hyvä ja odota

Esittely latautuu. Ole hyvä ja odota

Shibboleth-tekniikan yleisesittely Haka-käyttäjien kokoontuminen 15.1.2008 Mikael Linden tieteen tietotekniikan keskus CSC.

JulkaistuArto Härkönen Muutettu yli 9 vuotta sitten

Samankaltaiset esitykset

Esitys aiheesta: "Shibboleth-tekniikan yleisesittely Haka-käyttäjien kokoontuminen 15.1.2008 Mikael Linden tieteen tietotekniikan keskus CSC."— Esityksen transkriptio:

1 Shibboleth-tekniikan yleisesittely Haka-käyttäjien kokoontuminen 15.1.2008 Mikael Linden tieteen tietotekniikan keskus CSC

2 Tieteen tietotekniikan keskus CSC  Opetusministeriön omistama osakeyhtiö  non-profit  tehtävä tuottaa keskitettyjä IT-palveluita korkeakouluille ja tutkimuslaitoksille Suurteholaskenta Funet-verkko  CSC ja korkeakoulujen käyttäjähallinto korkeakoulujen toimintaa kokoava ja koordinoiva työrukkanen Haka-luottamusverkosto

3 Sisältö  Peruskäsitteitä  Shibboleth-väliohjelmisto  Skeema ja attribuutit

4 Käyttäjähallinto Esko Esimerkki Palvelu (esim. matkanhallinta) Nimi: Esko Esimerkki Käyttäjätunnus: eesimerk E-mail: esko.esimerkki@korkeakoulu.fi Rooli: laitosjohtaja 1. Eskon henkilötiedot viedään järjestelmään 1. Henkilötietojen ylläpito (identity) 3. Käyttäjätunnus Salasana 3. Henkilöllisyyden todentaminen (authentication) Palvelun omistaja esim. talous- hallinto 2. ”Laitosjohtajat hyväksyvät matkalaskut” 2. Käyttövaltuudet (authorisation) Auditoija 4. Jäljitettävyys (audit) 4. Kenellä on oikeus?

5 Käyttäjän tunnistus yli korkeakoulurajojen (”federoitu identiteetti”) Korkeakoulu C Korkea- koulu B Korkeakoulu A Paikalliset käyttäjätunnukset WWW esim. FinELibin Nelli-portaali Moodle esim. Virtuaalikurssin oppimisalusta Paikalliset käyttäjätunnukset

6 Mihin korkeakoulurajat ylittävää tunnistusta voi käyttää? -Kirjastojen palvelut -Käyttäjän yksilöinti ja profilointi: Nelli-portaali, Voyager- kirjastojärjestelmä, aineistontarjoajien portaalit -Käyttäjän auktorisointi: aineistontarjoajien palvelut -verkko-opetus/opiskelu -Oppimisalustat, opetuksen tukityökalut -korkeakoulujen verkostojen portaalit ja palvelut -Kansalliset palvelut käyttäjille korkeakouluissa -Suomen Akatemia: tutkimusrahoitushakemus -YTHS: terveystarkastusajanvaraus -CSC:n palvelut tutkijoille, Funet-palvelut -ASP-sovellukset -henkilöstö/taloushallinto: Personec hr (UPJ-keskustelut), Rondo (ostolaskun kierrätys), Travel (matkalaskut) ym -(korkeakoulujen sisäinen käyttäjätunnistus)

7 Sisältö  Peruskäsitteitä  Shibboleth-väliohjelmisto  Skeema ja attribuutit

8 Shibboleth-väliohjelmisto  Yhdysvaltojen yliopistojen Internet2-hanke  Protokollan määrittely ja sen open source –toteutus  nojaa SAML:iin, SOAP:iin ja XML:ään  v 1.0 6/2003, v 1.3 7/2005 (SAML1.1)  v 2.0:n myötä Liberty-yhteensopivuus (SAML 2.0)  WWW-ympäristössä  Tuotantokäytössä korkeakouluissa Yhdysvalloissa, Sveitsissä, Suomessa, Britanniassa, Ranskassa  Kehitys/käyttöönottovaiheessa Australiassa, Ruotsissa, Saksassa, Belgiassa… http://www.rediris.es/wiki/tf-emc2/index.php/Federations

9 Shibboleth 1.x-viestinvaihdot Kotiorganisaatio Identity Provider (Shibboleth IdP) HY Service Provider (Shibboleth SP) Nelli-portaali näytetään lääketieteilijöiden portaali 3. Username: eskoe Password: 95iEfHw 1. HTTP ”Tahdon sisään portaaliin http://www.nelliportaali.fi/” 2. HTTP redirect ”Kaveri teidän korkeakoulusta haluaa portaaliin. Ottakaa hänestä selvää!” 4. HTTP POST/SAML ”Tahdon sisään portaaliin http://www.nelliportaali.fi/ Kahvani on F49E4065A…” 5. SAML SOAP ”Kertokaa kaverista jonka kahva on F49E4065A…” 6. SAML SOAP ”Hän on lääketieteen opiskelija”

10 Shibboleth 1.3:n sisärakenne Identity Provider (IdP) Service Provider (SP) http GET AutentikointiKahvapyyntö Kahva (handle) Attribuuttipyyntö+kahva Attribuutit REDIRECT Kahvanpyytäjä Mikä on organisaatiosi? WAYF Kahva- palvelin Auth.palvelin (Pubcookie) Attribuutti- palvelin LDAP tai RDB Attribuutin- pyytäjä Pääsynvalvoja Resurssi Esko Esimerkki, HY

11 Sisältö  Peruskäsitteitä  Shibboleth-väliohjelmisto  Skeema ja attribuutit

12 Skeema  Attribuutit edellyttävät skeemaa riippumatta käytetystä tekniikasta (Shibboleth, LDAP, relaatiotietokanta)  Skeema on sopimus, joka määrittelee attribuuttien syntaksin (kielioppi) esim. attribuutti on ’alphanumeric’= koostuu numeroista ja kirjaimista semantiikan (merkitys) esim. attribuutti tarkoittaa henkilön työpuhelinnumeroa Sanastot, esim. henkilön mahdollisia rooleja ovat ”opiskelija”/”henkilökunta”/”muu”  Meillä käytössä olevia skeemoja Person, organizationalperson, inetOrgPerson ym eduPerson (Yhdysvaltojen yliopistot), schac (Euroopan yliopistot) funetEduPerson 2.0 (edellinen suomalaisin maustein)

13 Joitain attribuutteja…  Cn, givenname, surname = nimi  Mail = sähköpostiosoite  eduPersonAffiliation = henkilön perusrooli(t) yliopistossa  eduPersonPrincipalName = uniikki tunniste, ”käyttäjätunnus” (linden@tut.fi)  schacPersonalUniqueID = henkilötunnus  funetEduPersonTargetDegree = tavoitetutkinto, esim funetEduPersonTargetDegree: urn:mace:funet.fi:attribute- def:funetEduPersonTargetDegree:university:311 = teologian tohtori  Lisätietoa: http://www.csc.fi/hallinto/haka/tekniikka/funeteduperson- skeema

14 Shibboleth: Attribuutit ja tietosuoja  Shibboleth-toteutuksessa attribuuttien käsittelyä voidaan säätää kolmella tasolla  Site ARP (attribute release policy) kotikorkeakoulu ottaa kantaa, mitä attribuutteja Shibboleth IdP luovuttaa millekin Shibboleth SP:lle  User ARP kukin käyttäjä määrittelee, mitä henkilötietoja hänestä luovutetaan millekin Shibboleth SP:lle  AAP (attribute acceptace policy) palvelu (Shibboleth SP) määrittelee, mitä attribuutteja se hyväksyy  Muistakaa noudattaa henkilötietolakia!

Lataa ppt "Shibboleth-tekniikan yleisesittely Haka-käyttäjien kokoontuminen 15.1.2008 Mikael Linden tieteen tietotekniikan keskus CSC."

Samankaltaiset esitykset

Kansallinen digitaalinen kirjasto - lyhyt johdatus Jukka Liedes 11.4.2012.

Kansallinen digitaalinen kirjasto - lyhyt johdatus Jukka Liedes
Active directory.

Active directory.
Videoneuvottelu IP- verkossa Jussi Talaskivi atk-suunnittelija Jyväskylän yliopisto.

Videoneuvottelu IP- verkossa Jussi Talaskivi atk-suunnittelija Jyväskylän yliopisto.
Luottamusverkosto eli federaatio Haka-luottamusverkosto.

Luottamusverkosto eli federaatio Haka-luottamusverkosto.
Tieteellinen kirjoittaminen Taulukot, kuviot, esimerkit

Tieteellinen kirjoittaminen Taulukot, kuviot, esimerkit
Digitaalisten kirjastopalveluiden arkkitehtuuri UUSI ARKKITEHTUURI – PAREMMAT PALVELUT Järjestelmäarkkitehtuurihankkeet 12.3.2008 Ari Rouvari ja Esa Kurki.

Digitaalisten kirjastopalveluiden arkkitehtuuri UUSI ARKKITEHTUURI – PAREMMAT PALVELUT Järjestelmäarkkitehtuurihankkeet Ari Rouvari ja Esa Kurki.
Korkeakoulujen ja opetus- ja kulttuuriministeriön yhteinen tietohallintohanke, jota CSC koordinoi RAkenteellisen KEhittämisen Tukena TIetohallinto RAKETTI-KOKOA.

Korkeakoulujen ja opetus- ja kulttuuriministeriön yhteinen tietohallintohanke, jota CSC koordinoi RAkenteellisen KEhittämisen Tukena TIetohallinto RAKETTI-KOKOA.
Ohjeita Oppimisympäristön WWW-osoite ja etusivu.

Ohjeita Oppimisympäristön WWW-osoite ja etusivu.
CSC – Tieteen tietotekniikan keskus Oy CSC – IT Center for Science Ltd. Luottamusverkosto eli federaatio. Haka-luottamusverkosto 10.2.2009 Tieteen tietotekniikan.

CSC – Tieteen tietotekniikan keskus Oy CSC – IT Center for Science Ltd. Luottamusverkosto eli federaatio. Haka-luottamusverkosto Tieteen tietotekniikan.
Ennen asentamista  Autentikointilähde LDAP, SQL-tietokanta…  Autentikointimetodi Olemassa oleva kirjautumisjärjestelmä (Pubcookie, CAS…) Uusi autentikointijärjestelmä.

Ennen asentamista  Autentikointilähde LDAP, SQL-tietokanta…  Autentikointimetodi Olemassa oleva kirjautumisjärjestelmä (Pubcookie, CAS…) Uusi autentikointijärjestelmä.
URI Universal Resource Identifier Matti BrockmanMatti Brockman, 16.4.2002, TKTLTKTL.

URI Universal Resource Identifier Matti BrockmanMatti Brockman, , TKTLTKTL.
Etäkäyttö ja tietoturvatasot

Etäkäyttö ja tietoturvatasot
Federoidun identiteetinhallinnan periaatteet

Federoidun identiteetinhallinnan periaatteet
AAIEye – Palveluiden valvonta ja käyttötilastot Hakassa Mika Suvanto Tieteen tietotekniikan keskus CSC 15.1.2008.

AAIEye – Palveluiden valvonta ja käyttötilastot Hakassa Mika Suvanto Tieteen tietotekniikan keskus CSC
Käyttäjätunnukset ja salasanat Mika Pasanen Osao Myllytulli ja Mytlpt09E 2010.

Käyttäjätunnukset ja salasanat Mika Pasanen Osao Myllytulli ja Mytlpt09E 2010.
Ajankohtaista Haka-luottamusverkostossa Haka-käyttäjien kokoontuminen 15.1.2008 Mikael Linden tieten tietotekniikan keskus CSC.

Ajankohtaista Haka-luottamusverkostossa Haka-käyttäjien kokoontuminen Mikael Linden tieten tietotekniikan keskus CSC.
Helsingin yliopiston tietohallinto Tietotekniikkapalveluita tuotetaan Helsingin yliopistossa keskitetysti tietotekniikkakeskuksessa sekä hajautetusti tiedekunnissa.

Helsingin yliopiston tietohallinto Tietotekniikkapalveluita tuotetaan Helsingin yliopistossa keskitetysti tietotekniikkakeskuksessa sekä hajautetusti tiedekunnissa.
Viitelistat tietopalvelusta tilauksesta –kenelle ja miten Leena Koivula HY:n käyttäytymistieteellisen tiedekunnan kirjasto Arja Niskala HY:n oikeustieteellisen.

Viitelistat tietopalvelusta tilauksesta –kenelle ja miten Leena Koivula HY:n käyttäytymistieteellisen tiedekunnan kirjasto Arja Niskala HY:n oikeustieteellisen.
Korkeakoulujen ja opetus- ja kulttuuriministeriön yhteinen tietohallintohanke, jota CSC koordinoi RAkenteellisen KEhittämisen Tukena TIetohallinto Korkeakoulujen.

Korkeakoulujen ja opetus- ja kulttuuriministeriön yhteinen tietohallintohanke, jota CSC koordinoi RAkenteellisen KEhittämisen Tukena TIetohallinto Korkeakoulujen.
Kansalliskirjaston käyttäjäkysely 2008 Opetusministeriön kirjastopäivät 3.12.2008 Aki Kangas.

Kansalliskirjaston käyttäjäkysely 2008 Opetusministeriön kirjastopäivät Aki Kangas.

Samankaltaiset esitykset

Iklan oleh Google