1 / 10

Haka: Suomen korkeakoulujen luottamusverkosto

Haka: Suomen korkeakoulujen luottamusverkosto. Haka-käyttäjien kokoontuminen 15.1.2008 Mikael Linden tieteen tietotekniikan keskus CSC. Luottamusverkosto eli federaatio. SAML/Shibbolethia voi käyttää IdP:n ja SP:n välisellä kahdenvälisellä sopimuksella

tanek
Download Presentation

Haka: Suomen korkeakoulujen luottamusverkosto

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Haka: Suomen korkeakoulujen luottamusverkosto Haka-käyttäjien kokoontuminen 15.1.2008 Mikael Linden tieteen tietotekniikan keskus CSC

  2. Luottamusverkosto eli federaatio • SAML/Shibbolethia voi käyttää IdP:n ja SP:n välisellä kahdenvälisellä sopimuksella • Mutta kahdenvälisiä sopimuksia tulee tolkuttomasti, kun korkeakouluja on mukana paljon • esim. nyt Hakassa 22 IdP:tä ja 32 SP:tä, 22x32=704 • helpommalla pääsee, kun SAML/Shibbolethia käyttävät korkeakoulut muodostavat yhteisön joka sopii porukalla pelisäännöistä (”policy”) • syntyy luottamusverkosto eli federaatio (engl. federation, Circle of Trust) • Suomen korkeakoulujen ja tutkimuslaitosten luottamusverkosto on nimeltään Haka

  3. Mistä luottamusverkoston pitää sopia • Luottamus (Hakassa: Haka-palvelusopimus): • kuinka osapuolet luottavat toisiinsa • käyttäjätiedot kotikorkeakoulussa ajan tasalla • käyttäjä autentikoidaan riittävän tukevasti • käyttäjän yksityisyyttä ei loukata (henkilötietolaki) • Luottamusverkostoa operoidaan sovittujen pelisääntöjen mukaan • Skeema (Hakassa: funetEduPerson): • esim. kuinka ilmaistaan ”lääketieteen opiskelija” • esim. kuinka Matti Virtanen erotetaan kaimoistaan • Protokolla (Hakassa: SAML1.1/Shibboleth): • esim. Shibboleth, Liberty ID-FF 1.2, SAML 2.0, WS-Federation, OpenID • Tietoturvainfrastruktuuri (Hakassa: Sonera CA): • PKI=palvelinvarmenteet

  4. Haka-luottamusverkosto Luottamusverkosto eli federaatio (CSC operoi) Kotikorkeakoulut(ATK-keskus) Palveluntarjoajat • Kotikorkeakoulu ylläpitää käyttäjän perustietoja (nimi, yhteystiedot, rooli, opintosuunta ym) • Kotikorkeakoulu autentikoi käyttäjän (esim. salasanalla) • Kotikorkeakoulu luovuttaa (käyttäjän suostumuksella) henkilötietoja palveluntarjoajalle • Palveluntarjoaja päättää henkilötietojen perusteella, millainen näkymä käyttäjälle avautuu palvelussa YO1 Kirjastojen Nelli- tiedonhakuportaali Shib IdP Shib SP Kirjastojen Voyager-kirjastojärjestelmä YO2 Shib IdP Shib SP Yksittäisen korkeakoulun oppimisympäristö YOn Shib IdP Shib SP Yliopistojen sähköinen JOO-hakujärjestelmä AMK1 Shib IdP Shib SP CSC:n Funet-extranet (info.funet.fi) AMK2 Shib IdP Shib SP AMKn Shib IdP

  5. Haka-luottamusverkosto on CSC:n palvelu korkeakouluille Luottamusverkoston operaattori CSC – Tieteellinen laskenta oy Haka-infrastruktuurin keskitetyt osat Luottamusverkoston jäsenet Luottamusverkoston kumppanit Ohjausryhmä Tekninen ryhmä IdP Palvelu IdP Palvelu Palvelu IdP Palvelu Palvelu SP SP Palvelu SP SP SP SP Hakaan liitytään allekirjoittamalla palvelusopimus CSC:n kanssa

  6. Haka-palvelusopimus: CSC luottamusverkoston operaattorina • ylläpitää luottamusverkoston metatietoa ja WAYF:ä • mitä organisaatioita, IdP:tä ja SP:tä on • mitä attribuutteja kukin SP tarvitsee • tekniset yhteystiedot ja –henkilöt • luotetut varmentajat ym • organisoi ohjausryhmän ja teknisen ryhmän toiminnan • suunnittelee luottamusverkoston toimintaa ohjausryhmän avulla • ylläpitää kansainvälisiä yhteyksiä • ylläpitää testilaitteistoa ja testaa ohjelmakomponentteja • järjestää koulutusta ja edistää tunnettavuutta • helpdesk IdP/SP-ylläpitäjille

  7. Haka-palvelusopimus: luottamusverkoston jäsenet • voivat pystyttää yhden IdP:n ja useita SP:tä • siis vain yksi IdP/korkeakoulu • nimeävät hallinnollisen yhteyshenkilön • huolehtivat SAML/Shibboleth-palvelimiensa asennuksesta ja ylläpidosta • hankkivat palvelinvarmenteen luottamusverkoston hyväksymältä varmentajalta (Sonera CA) • huolehtivat luottamusverkoston metatiedon päivityksestä

  8. Haka-palvelusopimus: kotiorganisaationa toimiva • kytkee SAML/Shibboleth IdP:n paikalliseen käyttäjätietokantaan • antaessaan käyttäjätunnuksen varmistaa hakijan henkilöllisyyden • autentikoi ainakin salasanalla ja huolehtii niiden turvallisuudesta • tarjoaa vain ajantasaisia attribuutteja noudattaen funetEduPersonia • ylläpitää Site ARP:a ja User ARP:a • tarjoaa käyttäjälle mahdollisuuden tutustua palvelun tietosuojaselosteeseen ennen kuin pyytää käyttäjältä suostumuksen henkilötietojen luovutukseen • kerää lokia ja informoi käyttäjää lokitietojen käytöstä • järjestää loppukäyttäjälle helpdesk-pisteen • laatii käyttäjähallinnostaan kuvauksen luottamusverkoston muita jäseniä varten

  9. Haka-palvelusopimus: palveluntarjoajana toimiva • asentaa SAML/Shibboleth SP:n ja integroi sen palveluun • ilmoittaa operaattorille • mitkä attribuutit ovat palvelun kannalta tarpeellisia • tietosuojaselosteen URL:n • suorittaa palvelunsa pääsynvalvontaa • kerää lokia ja luovuttaa sitä tarvittaessa kotiorganisaatiolle väärinkäytösten selvittämistä varten

  10. Hakaan liittyminen • Korkeakoulu allekirjoittaa palvelusopimuksen • http://www.csc.fi/hallinto/haka/luottamusverkosto/liittyminen • Kotikorkeakoulu pystyttää SAML/Shibboleth IdP:n • kotikorkeakoulu suorittaa käyttäjähallinnon itsearvioinnin • CSC lisää kotikorkeakoulun federaation metatietoihin (WAYF) • Laitos kotikorkeakoulussa haluaa pystyttää SAML/Shibboleth SP:n • Laitoksen edustaja täyttää Hakan sivulta saatavan lomakkeen (palvelukuvaus, tarvittavat attribuutit, tietosuojaseloste) • kotikorkeakoulun tietohallintopäällikkö tms vahvistaa allekirjoituksellaan, että palvelu on yliopiston toimintaa ja sen haluamat attribuutit ovat todellakin perusteltuja • CSC lisää SP:n federaation metatietoon

More Related