Käyttäjän tunnistaminen,eKortti ja TAMK

Jarmo Sorvari

ATK-järjestelmäpäällikkö, TAMK

jarmo.sorvari@tamk.fi

Perusongelma

Verkossa asioiva käyttäjä tulisi pystyä tunnistamaan ”beyond reasonable doubt”

Vaatii käytännössä:Keskitetyn käyttäjähallinnonVahvan tunnistustekniikanUskottavan tietoturvapolitiikan,

organisaatioiden välisen luottamuksen

Monelle tuttu tilanne

Järjestelmät ja sovellukset tietohallinnollisesti erillisiä saarekkeita

Monta tunnus-salasana –paria

Paljon käsityötä tunnustenhallinnassa

Keskitetylle käyttäjähallinnolle huutava tarve!

Windowstunnus1

salasana1

UNIXtunnus2

salasana2

eMailtunnus3

salasana3

Winhatunnus5

salasana5

WebCTtunnus4

salasana4

ftp

TAMKin IT-infrastruktuuri

Windows(AD)

UNIX/Linux

posti

Citrix

LDAPhakemisto

tunnussalasana

WebCT

Kotihakemistot

Winha

intranetsalasana- synkronointi

Samba

newsShibboleth

origin

TAMKin infra lyhyesti

Runsaat 1800 työasemaa, 50 palvelinta

Ylläpidetään n. 6000 käyttäjätunnusta

Tunnusten hallinnassa LDAP-hakemistopalvelin

Tietojen lähteenä Winha-tietokanta

LDAP-pohjainen intranet

Pilotteja eKortti, Shibboleth

Keskitetyn käyttäjähallinnon tärkeys

Tietokantapohjainen tunnusten poistoprosessi => organisaatioiden välinen luottamus

Organisaation käyttäjien tunnistaminen yhdessä pisteessä (yksi salasana, single sign-on, jne.)

Uusien palveluiden käyttöönotto helpompaa

Tietoturva, jne.

Heikko ja vahva tunnistaminen

Heikko tunnistaminen: tunnus + vakiosalasana

Vahva tunnistaminen: kryptologia apuunJulkisen avaimen (PKI) järjestelmät (esim.

eKortti)KertakäyttösalasanatBiometriikka jne.

eKortti

Sisältää Soneran varmentaman varmenteen

PKI-tekniikka mahdollistaa esim. sähköpostin, tiedostojen salauksen digitaaliset allekirjoitukset käyttäjän vahvan tunnistamisen

Kontaktiton ja kontaktillinen siru

Tampereen kaupungin ja TAMKin palvelut

TAMKin eKorttipilotti

< 3500 korttia

Mikroluokkiin asennettu 700 kortinlukijaa

Henkilökunnalla n. 100 lukijaa

Korttitunnisteet TAMKin LDAP-hakemistossa

TAMKin eKorttipalvelut

TyöasemakirjautuminenSähköistä asiointia terveydenhuoltoon liittyviä palveluita

terveyskysely, esitietojen täyttäminen lääkärin konsultaatio

yliaikahakemus

Lounaan maksaminen ruokalassaKukkaron lataaminen

Kehitteillä olevia palveluita

Single sign-on joidenkin palveluiden kesken (kirjautuminen intraan jne.)

Salasananasetuspalvelu intrassa

Winhan etäkäyttötunnistus opettajille

Yksi autentikointivaihtoehto Shibbolethiin?

Origin siteYliopisto Y

Target sitewww.amk.fi

Origin siteTampereen amk

Kytkentä Shibbolethiin

ShibbolethShibboleth

Autentik. palvelin

Apache

Shibboleth

Virtuaaliamk-portaali

Apache

Käyttäjä-rekisteri(LDAP)

”Esko Esimerkki,opiskelija”

”Esko Esimerkki, opiskelija”

Autentikointi

Esko Esimerkki,

TAMK, opiskelija

Portaali näyttää Eskolle

opiskelijoille tarkoitetut sivut

Kohti organisaatiorajat ylittävää käyttäjähallintoa

Järjestelmä-kohtainen

käyttäjähallinto

Organisaatiotasonkeskitetty

käyttäjähallinto

Organisaatio-rajat ylittävä

käyttäjähallinto

Heikko autentikointi Vahva autentikointi[Lähde: Gnomis]

Shibboleth + eKortti