Identiteetinhallinnan uudet palvelumallit Sami Saarikoski, OKM Haka- ja Virtu -seminaari 17.1.2012

1. IdentiteetinhallinnanuudetpalvelumallitSami Saarikoski, OKMHaka- ja Virtu -seminaari 17.1.2012

2. Taustaa • Opetus- ja kulttuuriministeriön toimialalla on laajalti omaksuttu verkostomainen sähköinen työskentely yli organisaatiorajojen. • Kuluttajille tarkoitettujen ilmaisten tai halpojen palveluiden käyttö on lisääntynyt. (esim. Google Docs, Dropbox, SkyDrive jne.) • Useaan verkostoon tai ns. virtuaaliorganisaatioon kuuluvat käyttäjät tarvitsevat useita käyttäjätunnuksia työtehtävien hoitoon. (Haka, Virtu, Google, Live ID jne.) • IT:n kuluttajistuminen aiheuttaa organisaatioiden tietohallinnoille tietoturvahaasteita. • Suuriakin tietomassoja saattaa huomaamatta tallentua henkilökohtaisten päätelaitteiden varmistusten muodossa pilveen. (esim. iCloud) • Business kriittisen tietoaineiston suojaamiseen ei ole riittäviä mekanismeja

3. Eduuni ID • OKM:n omistama ja CSC:n ylläpitämä Eduuni on sähköisen työskentelyn ja verkostoitumisen palveluympäristö, jonka tarpeisiin on luotu identiteetinhallintajärjestelmä Eduuni ID. • Eduuni ID on hajautettu identiteetinhallintajärjestelmä, joka perustuu federoituihin identiteetteihin. • Käyttäjän identiteetti syntyy hänen rekisteröidessä ja vahvistaessa työsähköpostiosoitteensa. Eduuni ID sisältää tiedon käyttäjästä ja hänen edustamastaan organisaatiosta. • Kirjautumiseen tai autentikointiin käytettävät tunnukset käyttäjä valitsee itse luotettujen tunnistuslähteiden listalta. • Luotettuja tunnistuslähteitä tällä hetkellä ovat Haka- ja Virtu-luottamusverkostot sekä Google, LiveID ja Yahoo. Käyttäjän valitsema kirjautumistapa liitetään rekisteröityyn työsähköpostiosoitteeseen, eli Eduuni ID:hen. Vahvaa tunnistusta varten luotettuihin tunnistuslähteisiin lisätään Vetuma, joka mahdollistaa pankkitunnistuksen ja jatkossa myös mobiilivarmenteet.

4. Eduuni ID jatkuu… • Eduuni ID mahdollistaa toimialan sisäisten sekä sidosryhmien käyttäjien samanarvoisen identiteetinhallinnan ilman erillisratkaisuja. • Kenellekään ei lähetetä erillisiä tunnuksia ja salasanoja, vaan kaikki käyttää omaa itse valitsemaansa tunnistustapaa. • Tunnistustavasta riippumatta käyttäjät esiintyvät palveluissa kuitenkin omien organisaatioidensa edustajina. • Tunnistustapaa ei näytetä Eduuni ID:tä hyödyntävissä palveluissa. • Eduuni ID helpottaa myös käyttöoikeuksien hallintaa eri palveluissa, koska käyttöoikeudet voidaan kohdistaa sähköpostiosoitteeseen kenelle tahansa. • Tämä sama pätee myös työnkulkuja tai tickettejä sisältäviin järjestelmiin, joissa henkilöitä voidaan osoittaa työsähköpostiosoitteella yli organisaatiorajojen.

5. Eduuni ID tulevaisuudessa • Virtuaaliorganisaatioiden käyttöoikeuksien hallinta • Käyttöliittymä, jonka kautta hallittuja jäsenyyksiä, rooleja tms. voidaan välittää eri palveluihin. • Omien palveluiden julkaisu toimialalle ja sidosryhmille • Esim. korkeakoulu voi julkaista omia palveluita hyödyntäen Eduuni ID:tä. • Julkisen pilven palveluiden käyttö Eduuni ID:n kautta • Valmiiden SaaS palveluiden tai PaaS alustoille kehitettyjen sovellusten käyttö. • Tietosisältöjen käyttöoikeuksien hallinta Eduuni ID:hen perustuen • Tallennuspaikasta riippumattomaan tietosisältöjen käyttöoikeuksien hallintaan etsitään soveltuvaa tuotetta. Microsoftin Rights Management Servicen mahdollisuuksia selvitetään Office dokumenttien osalta.

6. Kiitos! sami.saarikoski@minedu.fi