VETUMA, verkkotunnistaminen ja - maksaminen Tietotekniikkaosasto Ismo Aulaskari 15.12.2006.

Esitys aiheesta: "VETUMA, verkkotunnistaminen ja - maksaminen Tietotekniikkaosasto Ismo Aulaskari 15.12.2006."— Esityksen transkriptio:

1 VETUMA, verkkotunnistaminen ja - maksaminen Tietotekniikkaosasto Ismo Aulaskari 15.12.2006

2 VETUMA Verkkotunnistautuminen ja maksaminen Fujitsu Services OY:n kehittämä ja ylläpitämä autentikointiportaali Tarjoaa yhdenmukaisen tunnistautumisrajapinnan organisaatioille useilla eri vahvoilla autentikointimenetelmillä Käyttäjän tunnistaminen, sähköiset allekirjoitukset, maksatus Avoin rajapinta, muistuttaa pankkien Tupasta

3 VETUMA.. jatkuu Palvelusta vastaa valtiovarainministeriö ja sen tuottaa Fujitsu Services Oy, hanke aloitettu vuonna 2004. Tavoitteena hankkia yhteisesti ja levittää koko julkishallinnon käyttöön yhteinen verkkotunnistamisen ja - maksamisen alusta. Alkuvaiheessa verkkotunnistamisen ja maksamisen alustan ottaa käyttöön 60 kuntaa valtionhallinnon virastojen ja laitosten ohella “Verkkotunnistamisen ja -maksamisen alusta rahoitetaan keskitetysti valtion budjettivaroin.” Lähde: suomi.fi

4 Vahva autentikointi VETUMA tukee tällä hetkellä tunnistusta Tupas-pankkitunnuksilla HST-sähköisellä henkilökortilla (ns. kansalaisvarmenne, myöntäjänä poliisi) Tulossa OPM:n organisaatiovarmenne (?) Mobiilivarmenteet (?)

5 Vetuma.pm Fujitsu Services myy valmista toolkitia Java- ja.NET- alustoille, sisältää valmiita VETUMA-komponentteja ja sorsakoodia HY:lla toteutettu HAKA-pilottina Perl-kielinen open-source toteutus VETUMA-rajapintaa käyttävästä autentikointimoduulista Puhdas Perl-toteutus TY:n Tupas.pm:n hengessä Lisäksi Shibboleth-integraatio Apachen ja mod_auth_tkt- sessionhallinnan kanssa Vetuma.pm tukee alkuvaiheessa autentikointia Tupaksella ja varmennekorteilla, jatkossa myös sähköisen allekirjoituksen tekemistä

6 Vetuma.pm - toiminta 1)Käyttäjä tulee HY:n Vetuma-kirjautumissivulle 2)Käyttäjä ohjataan Fujitsun VETUMA-palveluun 3)Käyttäjä autentikoi itsensä henkilökortilla tai pankin palvelussa 4)Käyttäjän henkilötunnus palautetaan HY:lle 5)Käyttäjä etsitään HY:n LDAP-hakemistosta hetun avulla 6)Käyttäjälle luodaan sessio 7)Käyttäjä ohjataan tunnistamisen vaatineeseen palveluun

7 Käyttötarkoitukset HY:llä Salasananvaihtopalvelu Uusien opiskelijoiden rekisteröinti ja käyttölupien luonti Vahvaa tunnistautumista vaativat (ei-korkean volyymin) palvelut Esim. vahva työasemaautentikointi halvempi toteuttaa organisaation sisäisestä lähteestä

8 Salasananvaihtopalvelu (tulossa!) Vahvan VETUMA-tunnistautumisen jälkeen käyttäjä voi vaihtaa salasanansa tunnuksille HY:n järjestelmissä Edirectory, Active Directory, Unix Salasananvaihtoon kaksi rajapintaa LDAP yksinkertainen Web Service-rajapinta

9 Shibboloitu VETUMA-idp Vetuma.pm kytkettiin helpohkosti osaksi HY:n sisäistä Shibboleth-sessionhallintaa HY:n sisäisessä luottamusverkostossa voi jatkossa autentikoitua vahvasti, jos tarvetta Shibboleth pystyy välittämään tiedon autentikoinnin vahvuudesta palvelulle

10 Pilottiprojektin kotisivu http://www.helsinki.fi/~aulaskar/tietos/vetuma/doc.html Koodi ja dokumentaatio julkaistaan viilauksen ja auditoinnin jälkeen osana HAKA-pilottivaatimuksia Vetuma.pm astuu tuotantoon HY:llä kun kaikki sopimukset saadaan solmittua ja kaikki on valmista Fujitsun sopimus Pankkisopimukset VRK-sopimukset

11 Kysyttävää?