Lataa esitys
Esittely latautuu. Ole hyvä ja odota
JulkaistuArto Härkönen Muutettu yli 9 vuotta sitten
1
Shibboleth-tekniikan yleisesittely Haka-käyttäjien kokoontuminen 15.1.2008 Mikael Linden tieteen tietotekniikan keskus CSC
2
Tieteen tietotekniikan keskus CSC Opetusministeriön omistama osakeyhtiö non-profit tehtävä tuottaa keskitettyjä IT-palveluita korkeakouluille ja tutkimuslaitoksille Suurteholaskenta Funet-verkko CSC ja korkeakoulujen käyttäjähallinto korkeakoulujen toimintaa kokoava ja koordinoiva työrukkanen Haka-luottamusverkosto
3
Sisältö Peruskäsitteitä Shibboleth-väliohjelmisto Skeema ja attribuutit
4
Käyttäjähallinto Esko Esimerkki Palvelu (esim. matkanhallinta) Nimi: Esko Esimerkki Käyttäjätunnus: eesimerk E-mail: esko.esimerkki@korkeakoulu.fi Rooli: laitosjohtaja 1. Eskon henkilötiedot viedään järjestelmään 1. Henkilötietojen ylläpito (identity) 3. Käyttäjätunnus Salasana 3. Henkilöllisyyden todentaminen (authentication) Palvelun omistaja esim. talous- hallinto 2. ”Laitosjohtajat hyväksyvät matkalaskut” 2. Käyttövaltuudet (authorisation) Auditoija 4. Jäljitettävyys (audit) 4. Kenellä on oikeus?
5
Käyttäjän tunnistus yli korkeakoulurajojen (”federoitu identiteetti”) Korkeakoulu C Korkea- koulu B Korkeakoulu A Paikalliset käyttäjätunnukset WWW esim. FinELibin Nelli-portaali Moodle esim. Virtuaalikurssin oppimisalusta Paikalliset käyttäjätunnukset
6
Mihin korkeakoulurajat ylittävää tunnistusta voi käyttää? -Kirjastojen palvelut -Käyttäjän yksilöinti ja profilointi: Nelli-portaali, Voyager- kirjastojärjestelmä, aineistontarjoajien portaalit -Käyttäjän auktorisointi: aineistontarjoajien palvelut -verkko-opetus/opiskelu -Oppimisalustat, opetuksen tukityökalut -korkeakoulujen verkostojen portaalit ja palvelut -Kansalliset palvelut käyttäjille korkeakouluissa -Suomen Akatemia: tutkimusrahoitushakemus -YTHS: terveystarkastusajanvaraus -CSC:n palvelut tutkijoille, Funet-palvelut -ASP-sovellukset -henkilöstö/taloushallinto: Personec hr (UPJ-keskustelut), Rondo (ostolaskun kierrätys), Travel (matkalaskut) ym -(korkeakoulujen sisäinen käyttäjätunnistus)
7
Sisältö Peruskäsitteitä Shibboleth-väliohjelmisto Skeema ja attribuutit
8
Shibboleth-väliohjelmisto Yhdysvaltojen yliopistojen Internet2-hanke Protokollan määrittely ja sen open source –toteutus nojaa SAML:iin, SOAP:iin ja XML:ään v 1.0 6/2003, v 1.3 7/2005 (SAML1.1) v 2.0:n myötä Liberty-yhteensopivuus (SAML 2.0) WWW-ympäristössä Tuotantokäytössä korkeakouluissa Yhdysvalloissa, Sveitsissä, Suomessa, Britanniassa, Ranskassa Kehitys/käyttöönottovaiheessa Australiassa, Ruotsissa, Saksassa, Belgiassa… http://www.rediris.es/wiki/tf-emc2/index.php/Federations
9
Shibboleth 1.x-viestinvaihdot Kotiorganisaatio Identity Provider (Shibboleth IdP) HY Service Provider (Shibboleth SP) Nelli-portaali näytetään lääketieteilijöiden portaali 3. Username: eskoe Password: 95iEfHw 1. HTTP ”Tahdon sisään portaaliin http://www.nelliportaali.fi/” 2. HTTP redirect ”Kaveri teidän korkeakoulusta haluaa portaaliin. Ottakaa hänestä selvää!” 4. HTTP POST/SAML ”Tahdon sisään portaaliin http://www.nelliportaali.fi/ Kahvani on F49E4065A…” 5. SAML SOAP ”Kertokaa kaverista jonka kahva on F49E4065A…” 6. SAML SOAP ”Hän on lääketieteen opiskelija”
10
Shibboleth 1.3:n sisärakenne Identity Provider (IdP) Service Provider (SP) http GET AutentikointiKahvapyyntö Kahva (handle) Attribuuttipyyntö+kahva Attribuutit REDIRECT Kahvanpyytäjä Mikä on organisaatiosi? WAYF Kahva- palvelin Auth.palvelin (Pubcookie) Attribuutti- palvelin LDAP tai RDB Attribuutin- pyytäjä Pääsynvalvoja Resurssi Esko Esimerkki, HY
11
Sisältö Peruskäsitteitä Shibboleth-väliohjelmisto Skeema ja attribuutit
12
Skeema Attribuutit edellyttävät skeemaa riippumatta käytetystä tekniikasta (Shibboleth, LDAP, relaatiotietokanta) Skeema on sopimus, joka määrittelee attribuuttien syntaksin (kielioppi) esim. attribuutti on ’alphanumeric’= koostuu numeroista ja kirjaimista semantiikan (merkitys) esim. attribuutti tarkoittaa henkilön työpuhelinnumeroa Sanastot, esim. henkilön mahdollisia rooleja ovat ”opiskelija”/”henkilökunta”/”muu” Meillä käytössä olevia skeemoja Person, organizationalperson, inetOrgPerson ym eduPerson (Yhdysvaltojen yliopistot), schac (Euroopan yliopistot) funetEduPerson 2.0 (edellinen suomalaisin maustein)
13
Joitain attribuutteja… Cn, givenname, surname = nimi Mail = sähköpostiosoite eduPersonAffiliation = henkilön perusrooli(t) yliopistossa eduPersonPrincipalName = uniikki tunniste, ”käyttäjätunnus” (linden@tut.fi) schacPersonalUniqueID = henkilötunnus funetEduPersonTargetDegree = tavoitetutkinto, esim funetEduPersonTargetDegree: urn:mace:funet.fi:attribute- def:funetEduPersonTargetDegree:university:311 = teologian tohtori Lisätietoa: http://www.csc.fi/hallinto/haka/tekniikka/funeteduperson- skeema
14
Shibboleth: Attribuutit ja tietosuoja Shibboleth-toteutuksessa attribuuttien käsittelyä voidaan säätää kolmella tasolla Site ARP (attribute release policy) kotikorkeakoulu ottaa kantaa, mitä attribuutteja Shibboleth IdP luovuttaa millekin Shibboleth SP:lle User ARP kukin käyttäjä määrittelee, mitä henkilötietoja hänestä luovutetaan millekin Shibboleth SP:lle AAP (attribute acceptace policy) palvelu (Shibboleth SP) määrittelee, mitä attribuutteja se hyväksyy Muistakaa noudattaa henkilötietolakia!
Samankaltaiset esitykset
© 2024 SlidePlayer.fi Inc.
All rights reserved.