1 / 14

Shibboleth-tekniikan yleisesittely

Shibboleth-tekniikan yleisesittely. Haka-käyttäjien kokoontuminen 15.1.2008 Mikael Linden tieteen tietotekniikan keskus CSC. Tieteen tietotekniikan keskus CSC. Opetusministeriön omistama osakeyhtiö non-profit tehtävä tuottaa keskitettyjä IT-palveluita korkeakouluille ja tutkimuslaitoksille

hanna-riggs
Download Presentation

Shibboleth-tekniikan yleisesittely

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Shibboleth-tekniikan yleisesittely Haka-käyttäjien kokoontuminen 15.1.2008 Mikael Linden tieteen tietotekniikan keskus CSC

  2. Tieteen tietotekniikan keskus CSC • Opetusministeriön omistama osakeyhtiö • non-profit • tehtävä tuottaa keskitettyjä IT-palveluita korkeakouluille ja tutkimuslaitoksille • Suurteholaskenta • Funet-verkko • CSC ja korkeakoulujen käyttäjähallinto • korkeakoulujen toimintaa kokoava ja koordinoiva työrukkanen • Haka-luottamusverkosto

  3. Sisältö • Peruskäsitteitä • Shibboleth-väliohjelmisto • Skeema ja attribuutit

  4. Palvelunomistaja esim. talous- hallinto 1. Henkilötietojen ylläpito (identity) 2. Käyttövaltuudet (authorisation) 3. Henkilöllisyyden todentaminen(authentication) 2. ”Laitosjohtajat hyväksyvät matkalaskut” 4. Jäljitettävyys (audit) 3. KäyttäjätunnusSalasana 4. Kenellä on oikeus? Nimi: Esko Esimerkki Käyttäjätunnus: eesimerk E-mail: esko.esimerkki@korkeakoulu.fi Rooli: laitosjohtaja 1. Eskon henkilötiedot viedään järjestelmään Auditoija Käyttäjähallinto Palvelu (esim. matkanhallinta) Esko Esimerkki

  5. WWW esim. FinELibin Nelli-portaali esim. Virtuaalikurssin oppimisalusta Moodle Käyttäjän tunnistus yli korkeakoulurajojen (”federoitu identiteetti”) Paikalliset käyttäjätunnukset Korkeakoulu A Paikalliset käyttäjätunnukset Korkea- koulu B Paikalliset käyttäjätunnukset Korkeakoulu C

  6. Mihin korkeakoulurajat ylittävää tunnistusta voi käyttää? • Kirjastojen palvelut • Käyttäjän yksilöinti ja profilointi: Nelli-portaali, Voyager-kirjastojärjestelmä, aineistontarjoajien portaalit • Käyttäjän auktorisointi: aineistontarjoajien palvelut • verkko-opetus/opiskelu • Oppimisalustat, opetuksen tukityökalut • korkeakoulujen verkostojen portaalit ja palvelut • Kansalliset palvelut käyttäjille korkeakouluissa • Suomen Akatemia: tutkimusrahoitushakemus • YTHS: terveystarkastusajanvaraus • CSC:n palvelut tutkijoille, Funet-palvelut • ASP-sovellukset • henkilöstö/taloushallinto: Personec hr (UPJ-keskustelut), Rondo (ostolaskun kierrätys), Travel (matkalaskut) ym • (korkeakoulujen sisäinen käyttäjätunnistus)

  7. Sisältö • Peruskäsitteitä • Shibboleth-väliohjelmisto • Skeema ja attribuutit

  8. Shibboleth-väliohjelmisto • Yhdysvaltojen yliopistojen Internet2-hanke • Protokollan määrittely ja sen open source –toteutus • nojaa SAML:iin, SOAP:iin ja XML:ään • v 1.0 6/2003, v 1.3 7/2005 (SAML1.1) • v 2.0:n myötä Liberty-yhteensopivuus (SAML 2.0) • WWW-ympäristössä • Tuotantokäytössä korkeakouluissa Yhdysvalloissa, Sveitsissä, Suomessa, Britanniassa, Ranskassa • Kehitys/käyttöönottovaiheessa Australiassa, Ruotsissa, Saksassa, Belgiassa… • http://www.rediris.es/wiki/tf-emc2/index.php/Federations

  9. 3. Username: eskoe Password: 95iEfHw Shibboleth 1.x-viestinvaihdot 1. HTTP ”Tahdon sisään portaaliinhttp://www.nelliportaali.fi/” Service Provider(Shibboleth SP) Nelli-portaali 2. HTTP redirect ”Kaveri teidän korkeakoulusta haluaa portaaliin.Ottakaa hänestä selvää!” Kotiorganisaatio Identity Provider(Shibboleth IdP) HY 4. HTTP POST/SAML ”Tahdon sisään portaaliinhttp://www.nelliportaali.fi/ Kahvani on F49E4065A…” näytetään lääketieteilijöidenportaali 5. SAML SOAP ”Kertokaa kaverista jonka kahva on F49E4065A…” 6. SAML SOAP ”Hän on lääketieteen opiskelija”

  10. Shibboleth 1.3:n sisärakenne Service Provider (SP) http GET Esko Esimerkki, HY Kahvanpyytäjä REDIRECT Mikä on organisaatiosi? WAYF Autentikointi Kahvapyyntö Identity Provider (IdP) Auth.palvelin(Pubcookie) Kahva-palvelin Kahva (handle) Attribuutin-pyytäjä Attribuuttipyyntö+kahva LDAP taiRDB Attribuutti-palvelin Attribuutit Pääsynvalvoja Resurssi

  11. Sisältö • Peruskäsitteitä • Shibboleth-väliohjelmisto • Skeema ja attribuutit

  12. Skeema • Attribuutit edellyttävät skeemaa riippumatta käytetystä tekniikasta (Shibboleth, LDAP, relaatiotietokanta) • Skeema on sopimus, joka määrittelee attribuuttien • syntaksin (kielioppi) • esim. attribuutti on ’alphanumeric’= koostuu numeroista ja kirjaimista • semantiikan (merkitys) • esim. attribuutti tarkoittaa henkilön työpuhelinnumeroa • Sanastot, esim. henkilön mahdollisia rooleja ovat ”opiskelija”/”henkilökunta”/”muu” • Meillä käytössä olevia skeemoja • Person, organizationalperson, inetOrgPerson ym • eduPerson (Yhdysvaltojen yliopistot), schac (Euroopan yliopistot) • funetEduPerson 2.0 (edellinen suomalaisin maustein)

  13. Joitain attribuutteja… • Cn, givenname, surname = nimi • Mail = sähköpostiosoite • eduPersonAffiliation = henkilön perusrooli(t) yliopistossa • eduPersonPrincipalName = uniikki tunniste, ”käyttäjätunnus” (linden@tut.fi) • schacPersonalUniqueID = henkilötunnus • funetEduPersonTargetDegree = tavoitetutkinto, esim • funetEduPersonTargetDegree: urn:mace:funet.fi:attribute-def:funetEduPersonTargetDegree:university:311 = teologian tohtori • Lisätietoa:http://www.csc.fi/hallinto/haka/tekniikka/funeteduperson-skeema

  14. Shibboleth: Attribuutit ja tietosuoja • Shibboleth-toteutuksessa attribuuttien käsittelyä voidaan säätää kolmella tasolla • Site ARP (attribute release policy) • kotikorkeakoulu ottaa kantaa, mitä attribuutteja Shibboleth IdP luovuttaa millekin Shibboleth SP:lle • User ARP • kukin käyttäjä määrittelee, mitä henkilötietoja hänestä luovutetaan millekin Shibboleth SP:lle • AAP (attribute acceptace policy) • palvelu (Shibboleth SP) määrittelee, mitä attribuutteja se hyväksyy • Muistakaa noudattaa henkilötietolakia!

More Related