Identiteetin- ja pääsynhallinnan dokumentaatio
Helsingin yliopiston käyttäjähallinnon visiona on toteuttaa helppokäyttöinen ja turvallinen tapa kirjautua tietojärjestelmiin.
Sovellus halutaan yleensä suojata niin, että vain tietyt käyttäjät pääsevät käyttämään sitä. Suojaamisessa on käytännössä kaksi eri tasoa:
- Tunnistaminen (authentication): käyttäjä tunnistetaan siksi kuka hän väittää olevansa esim. pyytämällä yliopiston käyttäjätunnus ja salasana. Katso lisää aiheesta sivulta Keskitetyn käyttäjätunnistuksen vaihtoehdot
- Valtuuttaminen (authorization): tunnistuksen lisäksi käyttäjän valtuus sovelluksen käyttöön tarkistetaan. Tällöin vain tietyt tunnistetut käyttäjät pääsevät käyttämään sovellusta ja/tai sovelluksen sisällä käyttövaltuudet vaihtelevat eri käyttäjien välillä. Katso lisää aiheesta sivulta Rooli vai ryhmä? Miten hallitsen pääsyä järjestelmään?
Ennen kuin sovelluksen suojaamisessa käytettävää teknistä ratkaisua päätetään, on sovelluksen omistajan ja pääkäyttäjän syytä tutustua keskitetyn käyttäjätunnistuksen palvelukuvaukseen sekä yliopiston yleisiin IAM-periaatteisiin.
Ohjeita tuoteomistajille eli product owner:lle eli PO:lle
Miten keskitetyn käyttäjätunnistuksen saa käyttöön?
1) Tutustu palvelukuvaukseen Tiken palveluluettelossa https://helpdesk.it.helsinki.fi/palvelut/keskitetty-kayttajatunnistus
2) Ota yhteys oman yksikkösi tai tiedekuntasi asiakasvastaavaan ja kerro tarpeistasi. Palvelun käyttömahdollisuus selvitetään aina tapauskohtaisesti.
3) Tutustu ohjeisiin
- Keskitetyn käyttäjätunnistuksen vaihtoehdot https://wiki.helsinki.fi/pages/viewpage.action?pageId=197657102&src=contextnavpagetreemode
- Rooli vai ryhmä? Miten rajaan pääsyä sovelukseeni https://wiki.helsinki.fi/pages/viewpage.action?pageId=367933819&src=contextnavpagetreemode
- Identiteetin- ja käyttövaltuuksienhallinnan periaatteet https://wiki.helsinki.fi/pages/viewpage.action?pageId=149314010&src=contextnavpagetreemode
4) Kannattaa katsoa myös:
- IT-projektien tukiwiki https://wiki.helsinki.fi/pages/viewpage.action?spaceKey=itprojekti&title=IT+-+Projektien+tuki
- Tietojärjestelmän elinkaariwiki https://wiki.helsinki.fi/display/elinkaari/
- Tietojärjestelmän omistajan it-palvelut Flammassa https://flamma.helsinki.fi/fi/group/it-ja-puhelin/tietojarjestelman-omistajan-it-palvelut
Huomioitavaa käyttäjätunnistuksessa
Autentikoinnin eli käyttäjätunnistuksen suunnittelu ja tarvittavien oikeuksien ja varmenteiden tilaaminen kannattaa tehdä aikaisessa vaiheessa. Hyvin suunniteltu autentikointi ja oikeat ratkaisut alkuvaiheessa vähentävät jatkossa turhaa työtä sekä ehkäisevät vaikeita ja kalliita tietoteknisiä ongelmia ja tarpeettomia integrointeja. Ajoissa tehdyt tilaukset Tikeltä varmistavat, ettei sovelluksen kehitys jää odottamaan työjonoihin esim. varmenteita. Autentikoituja sovelluksia on satoja ja uusia tulee kiihtyvällä vauhdilla. Keskimäärin tilauksen käsiteltyyn kannattaa varata vähintään pari viikkoa. Hyvin täytetyt lähtötiedot auttavat Tiken asiantuntijoita tekemään ja toimittamaan asetukset nopeasti ja mahdollisesti ennakoimaan sovelluksen kehittämiseen liittyviä riskejä. Lopputuloksena on paras mahdollinen käyttökokemus, kun autentikointi on tehty Shibbolethin/SAML2 kertakirjautumista hyödyntäen (SSO - Single Sign-On). Yliopiston verkkopalveluiden ja tietojärjestelmien yhteinen tunnistusjärjestelmä mahdollistaa useiden palveluiden käytön tietoturvallisesti yhdellä kirjautumisella ja se sisältää myös järjestelmien käyttövaltuuksien hallinnan.
Tähän kootaan dokumentit eri ratkaisuvaihtoehtoihin. Jos jotain oleellista puuttuu, niin ota yhteyttä palveluvastaavaan Janne Peltoseen.