käyttäjän tunnistaminen, ekortti ja tamk
DESCRIPTION
Käyttäjän tunnistaminen, eKortti ja TAMK. Jarmo Sorvari ATK-järjestelmäpäällikkö, TAMK [email protected]. Perusongelma. Verkossa asioiva käyttäjä tulisi pystyä tunnistamaan ”beyond reasonable doubt” Vaatii käytännössä: Keskitetyn käyttäjähallinnon Vahvan tunnistustekniikan - PowerPoint PPT PresentationTRANSCRIPT
Käyttäjän tunnistaminen,eKortti ja TAMK
Jarmo Sorvari
ATK-järjestelmäpäällikkö, TAMK
Perusongelma
Verkossa asioiva käyttäjä tulisi pystyä tunnistamaan ”beyond reasonable doubt”
Vaatii käytännössä:Keskitetyn käyttäjähallinnonVahvan tunnistustekniikanUskottavan tietoturvapolitiikan,
organisaatioiden välisen luottamuksen
Monelle tuttu tilanne
Järjestelmät ja sovellukset tietohallinnollisesti erillisiä saarekkeita
Monta tunnus-salasana –paria
Paljon käsityötä tunnustenhallinnassa
Keskitetylle käyttäjähallinnolle huutava tarve!
Windowstunnus1
salasana1
UNIXtunnus2
salasana2
eMailtunnus3
salasana3
Winhatunnus5
salasana5
WebCTtunnus4
salasana4
ftp
TAMKin IT-infrastruktuuri
Windows(AD)
UNIX/Linux
posti
Citrix
LDAPhakemisto
tunnussalasana
WebCT
Kotihakemistot
Winha
intranetsalasana- synkronointi
Samba
newsShibboleth
origin
TAMKin infra lyhyesti
Runsaat 1800 työasemaa, 50 palvelinta
Ylläpidetään n. 6000 käyttäjätunnusta
Tunnusten hallinnassa LDAP-hakemistopalvelin
Tietojen lähteenä Winha-tietokanta
LDAP-pohjainen intranet
Pilotteja eKortti, Shibboleth
Keskitetyn käyttäjähallinnon tärkeys
Tietokantapohjainen tunnusten poistoprosessi => organisaatioiden välinen luottamus
Organisaation käyttäjien tunnistaminen yhdessä pisteessä (yksi salasana, single sign-on, jne.)
Uusien palveluiden käyttöönotto helpompaa
Tietoturva, jne.
Heikko ja vahva tunnistaminen
Heikko tunnistaminen: tunnus + vakiosalasana
Vahva tunnistaminen: kryptologia apuunJulkisen avaimen (PKI) järjestelmät (esim.
eKortti)KertakäyttösalasanatBiometriikka jne.
eKortti
Sisältää Soneran varmentaman varmenteen
PKI-tekniikka mahdollistaa esim. sähköpostin, tiedostojen salauksen digitaaliset allekirjoitukset käyttäjän vahvan tunnistamisen
Kontaktiton ja kontaktillinen siru
Tampereen kaupungin ja TAMKin palvelut
TAMKin eKorttipilotti
< 3500 korttia
Mikroluokkiin asennettu 700 kortinlukijaa
Henkilökunnalla n. 100 lukijaa
Korttitunnisteet TAMKin LDAP-hakemistossa
TAMKin eKorttipalvelut
TyöasemakirjautuminenSähköistä asiointia terveydenhuoltoon liittyviä palveluita
terveyskysely, esitietojen täyttäminen lääkärin konsultaatio
yliaikahakemus
Lounaan maksaminen ruokalassaKukkaron lataaminen
Kehitteillä olevia palveluita
Single sign-on joidenkin palveluiden kesken (kirjautuminen intraan jne.)
Salasananasetuspalvelu intrassa
Winhan etäkäyttötunnistus opettajille
Yksi autentikointivaihtoehto Shibbolethiin?
Origin siteYliopisto Y
Target sitewww.amk.fi
Origin siteTampereen amk
Kytkentä Shibbolethiin
ShibbolethShibboleth
Autentik. palvelin
Apache
Shibboleth
Virtuaaliamk-portaali
Apache
Käyttäjä-rekisteri(LDAP)
”Esko Esimerkki,opiskelija”
”Esko Esimerkki, opiskelija”
Autentikointi
Esko Esimerkki,
TAMK, opiskelija
Portaali näyttää Eskolle
opiskelijoille tarkoitetut sivut
Kohti organisaatiorajat ylittävää käyttäjähallintoa
Järjestelmä-kohtainen
käyttäjähallinto
Organisaatiotasonkeskitetty
käyttäjähallinto
Organisaatio-rajat ylittävä
käyttäjähallinto
Heikko autentikointi Vahva autentikointi[Lähde: Gnomis]
Shibboleth + eKortti