1 / 16

Luottamusverkosto eli federaatio Haka-luottamusverkosto.

Luottamusverkosto eli federaatio Haka-luottamusverkosto. Shibboleth-asennuskoulutus 4.2.2008 Arto Tuomi CSC – tieteen tietotekniikan keskus Oy. Esko Esimerkki käyttää päivittäin useita palveluita. Matkanhallinta ASP. Naapuriyliop. oppimisalusta. Opiskelijarekisteri. Sähköposti. Esko

lixue
Télécharger la présentation

Luottamusverkosto eli federaatio Haka-luottamusverkosto.

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Luottamusverkosto eli federaatioHaka-luottamusverkosto. Shibboleth-asennuskoulutus 4.2.2008 Arto Tuomi CSC – tieteen tietotekniikan keskus Oy

  2. Esko Esimerkki käyttää päivittäin useita palveluita Matkanhallinta ASP Naapuriyliop. oppimisalusta Opiskelijarekisteri Sähköposti Esko Esimerkki Windows AD Intranet

  3. Osan niistä omistaa Eskon kotikorkeakoulu, osan joku muu… Palvelut joita Esko käyttää osana arkeaan korkeakoulussa Matkanhallinta ASP Naapuriyliop. oppimisalusta Eskon kotikorkeakoulu Opiskelijarekisteri Sähköposti Esko Esimerkki Windows AD Intranet

  4. Eskon tunnukset jokaisessa palvelussa tuppaa elämään omaa elämäänsä… Palvelut joita Esko käyttää osana arkeaan korkeakoulussa Matkanhallinta ASP Naapuriyliop. oppimisalusta Eskon kotikorkeakoulu Opiskelijarekisteri Sähköposti Esko Esimerkki Windows AD Intranet ”Saarekkeinen identiteetinhallinta (isolated IdM)”

  5. Metahakemisto rationalisoi identiteetinhallintaa organisaation sisällä Palvelut joita Esko käyttää osana arkeaan korkeakoulussa Matkanhallinta ASP Naapuriyliop. oppimisalusta Eskon kotikorkeakoulu Opiskelijarekisteri metahakemisto Sähköposti Esko Esimerkki Windows AD Intranet ”Keskitetty identiteetinhallinta (centralised IdM)”

  6. Federointi tuo myös talon ulkopuoliset järjestelmät saman identiteetin piiriin Palvelut joita Esko käyttää osana arkeaan korkeakoulussa Matkanhallinta ASP Naapuriyliop. oppimisalusta IdentityProvider Eskon kotikorkeakoulu Opiskelijarekisteri metahakemisto Sähköposti Esko Esimerkki Windows AD Intranet ”Federoitu identiteetinhallinta (Federated IdM)”

  7. Haka-luottamusverkosto eli -federaatio Luottamusverkosto eli federaatio (CSC operoi) Kotikorkeakoulut(ATK-keskus) Palveluntarjoajat • Kotikorkeakoulu ylläpitää käyttäjän perustietoja (nimi, yhteystiedot, rooli, opintosuunta ym) • Kotikorkeakoulu autentikoi käyttäjän (esim. salasanalla) • Kotikorkeakoulu luovuttaa (käyttäjän suostumuksella) henkilötietoja palveluntarjoajalle • Palveluntarjoaja päättää henkilötietojen perusteella, millainen näkymä käyttäjälle avautuu palvelussa YO1 Kirjastojen Nelli- tiedonhakuportaali Shib IdP Shib SP Kirjastojen Voyager-kirjastojärjestelmä YO2 Shib IdP Shib SP Yksittäisen korkeakoulun oppimisympäristö YOn Shib IdP Shib SP Yliopistojen sähköinen JOO-hakujärjestelmä AMK1 Shib IdP Shib SP CSC:n Funet-extranet (info.funet.fi) AMK2 Shib IdP Shib SP AMKn Shib IdP

  8. Haka-luottamusverkosto on CSC:n palvelu korkeakouluille Luottamusverkoston operaattori CSC – Tieteen tietotekniikan keskus Oy Haka-luottamusverkoston keskitetyt osat Luottamusverkoston jäsenet Luottamusverkoston kumppanit Ohjausryhmä Tekninen ryhmä IdP Palvelu IdP Palvelu Palvelu IdP Palvelu Palvelu SP SP Palvelu SP SP SP SP Hakaan liitytään allekirjoittamalla palvelusopimus CSC:n kanssa

  9. Haka numeroin • Operationaalinen toiminta alkoi 3.8.2005 • Haka-luottamusverkostoon on liittynyt 37/46 korkeakoulua • Kattavat 290 000/330 000 loppukäyttäjää (88%) • Yliopistot: 17/20, amkit: 20/26 • Näistä IdP:n on Hakaan rekisteröinyt 28 korkeakoulua • Kattavat 250 000/330 000 loppukäyttäjää (75%) • Yliopistot: 17/20, amkit: 11/26

  10. 3,8 miljoonaa Haka-kirjautumista 2008 Kasvua vuositasolla 91%

  11. Haka-palvelusopimus: CSC luottamusverkoston operaattorina • ylläpitää luottamusverkoston metatietoa ja WAYF:ä • mitä organisaatioita, IdP:tä ja SP:tä on • mitä attribuutteja kukin SP tarvitsee • tekniset yhteystiedot ja –henkilöt • luotetut varmentajat ym • organisoi ohjausryhmän ja teknisen ryhmän toiminnan • suunnittelee luottamusverkoston toimintaa ohjausryhmän avulla • ylläpitää kansainvälisiä yhteyksiä • ylläpitää testilaitteistoa ja testaa ohjelmakomponentteja • järjestää koulutusta ja edistää tunnettavuutta • helpdesk IdP/SP-ylläpitäjille

  12. Haka-palvelusopimus: luottamusverkoston jäsenet • voivat pystyttää yhden IdP:n ja useita SP:tä • siis vain yksi IdP/korkeakoulu • nimeävät hallinnollisen yhteyshenkilön • huolehtivat SAML/Shibboleth-palvelimiensa asennuksesta ja ylläpidosta • hankkivat palvelinvarmenteen luottamusverkoston hyväksymältä varmentajalta (Sonera CA) • huolehtivat luottamusverkoston metatiedon päivityksestä

  13. Haka-palvelusopimus: kotiorganisaationa toimiva • kytkee SAML/Shibboleth IdP:n paikalliseen käyttäjätietokantaan • antaessaan käyttäjätunnuksen varmistaa hakijan henkilöllisyyden • autentikoi ainakin salasanalla ja huolehtii niiden turvallisuudesta • tarjoaa vain ajantasaisia attribuutteja noudattaen funetEduPersonia • ylläpitää Site ARP:a ja User ARP:a • tarjoaa käyttäjälle mahdollisuuden tutustua palvelun tietosuojaselosteeseen ennen kuin pyytää käyttäjältä suostumuksen henkilötietojen luovutukseen • kerää lokia ja informoi käyttäjää lokitietojen käytöstä • järjestää loppukäyttäjälle helpdesk-pisteen • laatii käyttäjähallinnostaan kuvauksen luottamusverkoston muita jäseniä varten

  14. Haka-palvelusopimus: palveluntarjoajana toimiva • asentaa SAML/Shibboleth SP:n ja integroi sen palveluun • ilmoittaa operaattorille • mitkä attribuutit ovat palvelun kannalta tarpeellisia • tietosuojaselosteen URL:n • suorittaa palvelunsa pääsynvalvontaa • kerää lokia ja luovuttaa sitä tarvittaessa kotiorganisaatiolle väärinkäytösten selvittämistä varten

  15. Hakaan liittyminen • Korkeakoulu allekirjoittaa palvelusopimuksen • http://www.csc.fi/hallinto/haka/luottamusverkosto/liittyminen • Kotikorkeakoulu pystyttää SAML/Shibboleth IdP:n • kotikorkeakoulu suorittaa käyttäjähallinnon itsearvioinnin • CSC lisää kotikorkeakoulun federaation metatietoihin (WAYF) • Laitos kotikorkeakoulussa haluaa pystyttää SAML/Shibboleth SP:n • Laitoksen edustaja täyttää Hakan sivulta saatavan lomakkeen (palvelukuvaus, tarvittavat attribuutit, tietosuojaseloste) • kotikorkeakoulun tietohallintopäällikkö tms vahvistaa allekirjoituksellaan, että palvelu on yliopiston toimintaa ja sen haluamat attribuutit ovat todellakin perusteltuja • CSC lisää SP:n federaation metatietoon

  16. Federations operational in higher education Federation since # of users # of IdPs # of SPs SWITCHaai (ch) 8/2005 260 000 (95%) 35 IdPs 265 SPs DFN (de) 11/2007 26 IdPs 17 SPs CBIC (es) 7/2002 4469 120 IdPs 145 SPs SIR (es) 4/2008 130 000 (20%) 13 IdPs 4 SPs Haka (fi) 8/2005 260 000 (80%) 27 IdPs 52 SPs CRU (fr) 10/2006 640 000 (45%) 42 IdPs 41 SPs GRNET (gr) 1/2007 30 000 (30%) 19 IdPs 4 SPs AAI@edu.hr (hr) 530 000220 IdPs 70 SPs Surfnet (nl) 11/2007 110 000 13 IdPs Feide (no) 5/2003 205 000 (80%) 17 ”IdPs” 50 SPs UK fed (uk) 11/2006 7 000 000182 IdPs 160 SPs InCommon (us) 1 700 000 53 IdPs 112 SPs IGTF (int) 10/2005 thousands 57 IdPs dozen Source: http://www.rediris.es/wiki/tf-emc2/index.php/Federations

More Related