1 / 11

Eduuni-työtilat ja Sharepoint/ADFS Toni Sormunen, OKM Haka- ja Virtu -seminaari 17.1.2012

Eduuni-työtilat ja Sharepoint/ADFS Toni Sormunen, OKM Haka- ja Virtu -seminaari 17.1.2012. Opetus- ja kulttuuriministeriön (OKM:n) toimialan ja sidosryhmien yhteinen sähköinen palveluympäristö. Eduuni-palveluiden tarkoituksena on mahdollistaa joustava työskentely yli organisaatiorajojen.

nevada-meyer
Download Presentation

Eduuni-työtilat ja Sharepoint/ADFS Toni Sormunen, OKM Haka- ja Virtu -seminaari 17.1.2012

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Eduuni-työtilat ja Sharepoint/ADFSToni Sormunen, OKMHaka- ja Virtu -seminaari 17.1.2012

  2. Opetus- ja kulttuuriministeriön (OKM:n) toimialan ja sidosryhmien yhteinen sähköinen palveluympäristö. • Eduuni-palveluiden tarkoituksena on mahdollistaa joustava työskentely yli organisaatiorajojen. • Eduunin omistaa OKM ja sen palvelut tuotetaan in-house periaatteella toimialalle. • Eduunin lähtökohdaksi on otettu opetus- ja kulttuuriministeriön hallinnonalan tietohallintostrategia 2006–2015, jonka keskeiset sanomat ovat sähköinen työskentely ja verkostomainen toimintatapa. • Eduunia ylläpitää ja kehittää CSC - Tieteen tietotekniikan keskus Oy yhteistyössä OKM:n ja asiakasorganisaatioiden kanssa. • Eduunin ohjausryhmänä toimii OKM:n toimialan tietohallinnon johtoryhmä (OpIT).

  3. Eduunin ensimmäinen palvelu otettiin tuotantokäyttöön hallinnonalan virastoille 7.9.2009 • Hallinnonalan Eduuni-palveluja ovat työryhmäpalvelu (SharePoint), Eduuni- pikaviestit ja verkkoneuvottelut (OCS) ja SALAMA-asianhallinta • Ensimmäinen toimialalle suuntautuva palvelu on Eduuni-työtilat

  4. Eduuni-ID • Hajautettu identiteetinhallintajärjestelmä, joka perustuu federoituihin identiteetteihin. • Identiteettinä käyttäjän työsähköpostiosoite, jonka hallinta varmistetaan rekisteröitymisen yhteydessä. • Kirjautumiseen käytettään jotain luotetuista tunnistuslähteistä (Haka, Virtu, Google, LiveID, Yahoo!) • Vahvaa tunnistusta varten tulossa Vetuma

  5. Eduuni-työtilat ja Oma Eduuni • OKM:n toimialan yhteinen sähköisen työskentelyn ja verkostoitumisen alusta. • Palvelu toteutettu Microsoft SharePoint 2010 tuotteella • Laaja tuki eri selaimille • Eduuni-työtilat • SharePoint 2010 työtiloja • sivustot voivat sisältää mm. asiakirjoja, kuvia, tehtäviä, keskusteluja, kalentereita, wiki tai blogi-sivuja jne. • Työtilojen käyttövaltuutus Eduuni-ID:llä Oma Eduuni • Tarjoaa jokaiselle palveluun rekisteröityneelle mahdollisuuden verkostoitua ja käyttää sosiaalisen median ominaisuuksia • Tallennustilaa omille tiedostoille • Tuki eri selaimille tuotteella mahdollisimman käyttöjärjestelmä/selain riippumattomasti

  6. SharePoint 2010 ja ADFS 2.0 • SharePoint 2010 • Claims-based WebApplicationit • Useita autentikointitapoja voidaan hyödyntää samassa WebApplicationissa • SharePointissa on oma STS, jossa tuki WS-federation protokollalle • ADFS 2.0 • SAML 2.0 ja WS-federation tuki • ADFS Claims Engine • Mahdollisuus asentaa vikasietoinen farmi

  7. SharePoint ympäristö

  8. SharePoint STS asetukset • Asetetaan SharePoint STS luottamaan ADFS:ään PowerShell - New-SPTrustedIdentityTokenIssuer $tokensigningcert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2(”tokensigning.cer") $map1 = New-SPClaimTypeMapping "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "By Email" -SameAsIncoming $map2 = New-SPClaimTypeMapping "http://schemas.domain.fi/claims/edupersonprincipalname" -IncomingClaimTypeDisplayName "By eduPersonPrincipalName" –SameAsIncoming $map3 = New-SPClaimTypeMapping "http://schemas.domain.fi/claims/virtupersonprincipalname" -IncomingClaimTypeDisplayName "By virtuPersonPrincipalName" –SameAsIncoming $realm = "https://testi.domain.fi/_trust/" $signinurl = "https://adfs.domain.fi/adfs/ls/" $ap = New-SPTrustedIdentityTokenIssuer -Name "Identity" -Description "ADFS 2.0" -Realm $realm - ImportTrustCertificate $tokensigningcert -ClaimsMappings $map1,$map2,$map3 -SignInUrl $signinurl -IdentifierClaim $map1.InputClaimType $rootca = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("RootCA.cer") New-SPTrustedRootAuthority-Name "ADFS Token Signing Root Authority- fs.domain.fi" -Certificate $rootca • Tämän jälkeen voidaan SharePoint Web Applicationissa valita Trusted Identity Provideriksi ADFS

  9. ADFS 2.0 asetukset • Asetetaan ADFS luottamaan SharePointin STS:ään • ADFS 2.0 Management Console – Relying Party Trusts • Add Relying Party Trust Wizard • Valitaan AD FS 1.0 and 1.1 profile • ADFS 2.0:n voi myös konfiguroida PowerShell cmdleteillä • PowerShell komentoja • Add-ADFSAttributeStore Adds an attribute store to the Federation Service. • Add-ADFSCertificate Adds a new certificate to the Federation Service for signing, decrypting, or securing communications. • Add-ADFSClaimDescription Adds a claim description to the Federation Service. • Add-ADFSClaimsProviderTrust Adds a new claims provider trust to the Federation Service. • Add-ADFSRelyingPartyTrust Adds a new relying party trust to the Federation Service.

  10. ADFS 2.0 ja Virtun metadata • ADFS ei voi suoraan hyödyntää Virtun metadataa. • Kaikki IdP:t ja SP:t samassa metatiedossa • Sertifikaattien käsittelyssä eroja • Myös Virtun vaatimukset metatiedon käsittelystä huomioitava. • Toteutus Powershell skriptillä ja ohjelmoimalla • XML:n käsittely Powershell:n avulla helppoa. • ADFS:n mukana paljon valmiita Powershell komentoja joita on hyödynnetty toteutuksessa. • Metadatan allekirjoituksen tarkastaminen ohjelmoimalla • Osa tarkastuksista ADFS Claim Rule Language:n avulla • Keskeiset kohdat metadatan käsittelyssä • Metadatasta haetaan per IdP tarvittavat tiedot. • Tiedot parametreina Add-ADFSClaimsProviderTrust komennolle . • Encryption sertifikaatti

  11. Kiitos! toni.sormunen@minedu.fi

More Related