Keskitetyn käyttäjätunnistuksen vaihtoehdot

Last modified by Jukka Karvonen on 2024/03/19 09:29

Helsingin yliopistossa on käytettävissä erilaisia keskitetyn käyttäjätunnistuksen palveluita. Näillä palveluilla voidaan toteuttaa palvelun käyttäjätunnistusta ja pääsyvaltuutuksia.

  1. Shibboleth (login.helsinki.fi)
    • Ensisijainen vaihtoehto keskitettyyn käyttäjätunnistukseen. Käytössä yli sadassa Helsingin yliopiston järjestelmässä.
    • Tuetut protokollat: SAML2 ja OIDC.
    • Kertakirjautumisen kesto on selainsessio, kuitenkin korkeintaan 10 tuntia, jonka jälkeen käyttäjän on syötettävä tunnukset uudelleen kirjautuessaan uuteen palveluun. Huom. kirjautumisen kesto palvelussa on palvelukohtainen ja voi olla tätä pitempi.
    • Yliopiston keskitetyssä ylläpidossa olevilla työasemilla voidaan tunnistautua myös työasemakirjautumisella, jolloin käyttäjä pääsee palveluihin suoraan niillä tunnuksilla, joilla on kirjautunut työasemille.
    • MFA-kirjautuminen mahdollinen.
    • SAML2-autentikointiin saadaan tarvittaessa mukaan myös muiden kotimaisten ja ulkomaisten korkeakoulujen käyttäjät silloin, kun he ovat Hakan tai muun vastaavan luottamusverkoston jäseniä.
    • Mahdollisuus tunnistautua myös ns. kevyttunnuksilla.
    • Kirjautumisen yhteydessä voidaan välittää kattavasti erilaisia käyttäjätietoja, joita voi käyttää pääsyvaltuuksien myötämiseen palveluun. Katso tarkemmin sivulta Shibboleth käyttäjäattribuutit.
  2. Azure AD
    • Vaihtoehto tilanteisiin, joissa tarvitaan pitkäaikaista token-pohjaista kirjautumista.
    • Tuetut protokollat: SAML2 ja OIDC.
    • MFA käytössä aina. Toisataiseksi pieni osa käyttäjäryhmistä on yleisen MFA-vaatimuksen ulkopuolella, mutta tulee mukaan jossain vaiheessa.
    • Kertakirjautumisen kesto selaimessa on käytännössä pysyvä, MFA-vahvistus kysytään 90 vuorokauden välein.
    • Kaikki erikoistunnukset eivät ole tuettuina Azuressa.
  3. Active Directory (AD)
    • Suora AD-autentikointi tulee kyseeseen ainoastaan silloin, kun muut yllämainituista vaihtoehdoista eivät järjestelmän teknisten ominaisuuksien vuoksi sovellu.
    • Huom. Teknologia-arkkitehtuurissa tämä on pudotetut tasolle "siedetty".
    • ADFS on teknisesti SAML2-kirjautuminen, eli lähes kaikissa tapauksissa Shibboleth-kirjautuminen on mahdollinen vaikka palveluntarjoajan ohjeet väittävät muuta.
  4. LDAP-hakemisto
    1. Myös LDAP-hakemiston kautta tapahtuva autentikointi ja auktorisointi on teoriassa mahdollinen vaihtoehto.
      1. Tämä ei ole mahdollista enää uusissa Web-palveluissa.
      2. Huom. Teknologia-arkkitehtuurissa tämä on pudotetut tasolle "siedetty".
      3. LDAP soveltuu autentikointiin komentorivisovelluksissa ym, mutta web- tai mobiili-sovelluksissa sitä ei tule uusissa palveluissa enää käyttää ja vanhat järjestelmät tulisi päivittää SAML2/OIDC protokolliin viimeistään suurempien uudistusten yhteydessä. Jos koet, että järjestelmänne on poikkeus, ole yhteys käyttäjähallintoon esim. Helpdeskin tai Tiken asiakasvastaavan kautta.

Tarvittaessa lisätietoja sekä apua palvelulle sopivan käyttäjätunnistusratkaisun valintaan saa sähköpostitse osoitteesta atk-autentikointi@helsinki.fi