Käyttäjän tunnistaminen, eKortti ja TAMK

1. Käyttäjän tunnistaminen,eKortti ja TAMK Jarmo Sorvari ATK-järjestelmäpäällikkö, TAMK jarmo.sorvari@tamk.fi

2. Perusongelma • Verkossa asioiva käyttäjä tulisi pystyä tunnistamaan ”beyond reasonable doubt” • Vaatii käytännössä: • Keskitetyn käyttäjähallinnon • Vahvan tunnistustekniikan • Uskottavan tietoturvapolitiikan, organisaatioiden välisen luottamuksen

3. Monelle tuttu tilanne Winha tunnus5 salasana5 WebCT tunnus4 salasana4 eMail tunnus3 salasana3 • Järjestelmät ja sovellukset tietohallinnollisesti erillisiä saarekkeita • Monta tunnus-salasana –paria • Paljon käsityötä tunnustenhallinnassa • Keskitetylle käyttäjähallinnolle huutava tarve! Windows tunnus1 salasana1 UNIX tunnus2 salasana2 ftp

4. TAMKin IT-infrastruktuuri Winha WebCT news Shibboleth origin intranet salasana- synkronointi LDAP hakemisto tunnus salasana Citrix posti Windows(AD) UNIX/ Linux Samba Kotihakemistot

5. TAMKin infra lyhyesti • Runsaat 1800 työasemaa, 50 palvelinta • Ylläpidetään n. 6000 käyttäjätunnusta • Tunnusten hallinnassa LDAP-hakemistopalvelin • Tietojen lähteenä Winha-tietokanta • LDAP-pohjainen intranet • Pilotteja eKortti, Shibboleth

6. Keskitetyn käyttäjähallinnon tärkeys • Tietokantapohjainen tunnusten poistoprosessi => organisaatioiden välinen luottamus • Organisaation käyttäjien tunnistaminen yhdessä pisteessä (yksi salasana, single sign-on, jne.) • Uusien palveluiden käyttöönotto helpompaa • Tietoturva, jne.

7. Heikko ja vahva tunnistaminen • Heikko tunnistaminen: • tunnus + vakiosalasana • Vahva tunnistaminen: kryptologia apuun • Julkisen avaimen (PKI) järjestelmät (esim. eKortti) • Kertakäyttösalasanat • Biometriikka • jne.

8. eKortti • Sisältää Soneran varmentaman varmenteen • PKI-tekniikka mahdollistaa esim. • sähköpostin, tiedostojen salauksen • digitaaliset allekirjoitukset • käyttäjän vahvan tunnistamisen • Kontaktiton ja kontaktillinen siru • Tampereen kaupungin ja TAMKin palvelut

9. TAMKin eKorttipilotti • < 3500 korttia • Mikroluokkiin asennettu 700 kortinlukijaa • Henkilökunnalla n. 100 lukijaa • Korttitunnisteet TAMKin LDAP-hakemistossa

10. TAMKin eKorttipalvelut • Työasemakirjautuminen • Sähköistä asiointia • terveydenhuoltoon liittyviä palveluita • terveyskysely, esitietojen täyttäminen • lääkärin konsultaatio • yliaikahakemus • Lounaan maksaminen ruokalassa • Kukkaron lataaminen

11. Kehitteillä olevia palveluita • Single sign-on joidenkin palveluiden kesken (kirjautuminen intraan jne.) • Salasananasetuspalvelu intrassa • Winhan etäkäyttötunnistus opettajille • Yksi autentikointivaihtoehto Shibbolethiin?

12. ”Esko Esimerkki, opiskelija” ”Esko Esimerkki, opiskelija” Kytkentä Shibbolethiin Esko Esimerkki,TAMK, opiskelija Portaali näyttää Eskolle opiskelijoille tarkoitetut sivut Autentikointi Origin site Yliopisto Y Origin site Tampereen amk Target site www.amk.fi Autentik. palvelin Virtuaaliamk-portaali Shibboleth Shibboleth Shibboleth Apache Apache Käyttäjä-rekisteri(LDAP)

13. Kohti organisaatiorajat ylittävää käyttäjähallintoa Organisaatio- rajat ylittävä käyttäjähallinto Shibboleth + eKortti Organisaatiotason keskitetty käyttäjähallinto Järjestelmä- kohtainen käyttäjähallinto Heikko autentikointi Vahva autentikointi [Lähde: Gnomis]