Skip to Content

MFA-pilotti

Last modified by akheiska@helsinki_fi on 2025/02/04 07:11


Warning

Duo pilotti on päättynyt. Testipalveluna toimineessa palvelurekisterissä on toistaiseksi käytössä aikaisempi Haka MFA. Haka MFA:n käyttöön ei ole rajoitetusta kohderyhmästä johtuen HY:n omia ohjeistuksia, mutta Hakan malliohjeet löytyvät tarvittaessa osoitteesta https://wiki.eduuni.fi/pages/viewpage.action?pageId=44566020.

Shibboleth-kertakirjatumispalvelussa testataan vahvemman tunnistuksen käyttöä rajatuilla käyttäjäryhmillä. Testijakso kestää näillä näkymin huhtikuun loppuun asti.

Testipalveluna on Duo Securityn vahvemman tunnistuksen palvelu.

Vahvemman tunnistuksen käyttäminen

Ohjeet käyttöön ja rekisteröintiin löytyvät sivulta Kaksivaiheinen tunnistus yliopiston palveluissa.

Apua ja palautetta

Ohjeita päivitetään näille sivulle. Apua annetaan ja palautetta otetaan mielellään vastaan Teams-ryhmässä "MFA pilotti".

Milloin vahvempaa tunnistusta vaaditaan

Testiryhmän käyttäjiltä vaaditaan vahvempaa tunnistusta kaikkiin login.helsinki.fi -kertakirjatumista käyttäviin palveluihin (mm. Flamma, Moodle, SAP) ja testissä mukana olevissa palveluissa sitä vaaditaan kaikilta käyttäjiltä.

  • Vahvemman tunnistuksen antaminen muistetaan samalta selaimelta korkeintaan 5 vuorokautta, olettaen että käyttäjä on aiemmin kirjautunut sitä vaativaan palveluun 32 tunnin aikana.
  • Vahvempaa tunnistusta kysytään vähintään 10 kirjautumisen välein, vaikka yllä mainittu aikaraja ei olisi ylittynyt.
  • Poikkeuksena on https://attributetest.it.helsinki.fi/ palvelu, joka kysyy vahvempaa tunnistusta uudelleen jos edellisestä kirjautumisesta on yli minuutti.

Miksi?

HY on viime aikoina ollut monien kalastelukampanjoiden kohteena ja vahvempi tunnistus on yksi tapa ehkäistä kalastelun aiheuttamia haittoja. Vahvemmalla tunnistuksella tarjotaan myös parempaa suojaa etenkin luottamuksellisten ja arkaluonteisten tietojen käsittelyyn ja sen käyttö voi jo nyt olla ehtona esimerkiksi tutkimusrahoituksen saamiselle.

Tämän pilotin tarkoituksena on kerätä käyttäjäkokemuksia erilaisilta käyttäjäryhmiltä ja tätä tietoa käytetään myöhemmin suunnitellessa vahvemman tunnistuksen laajempaa käyttöönottoa.

Testiryhmä

Testiryhmän jäsenyyksiä hallinnoi käyttäjähallinnon Jukka Karvonen ja Päivi Pääkkö. Hätätilassa myös tietoturvan Simo Örri ja Tero Kärkkäinen voivat muokata jäsenyyksiä.

Testiryhmää laajennetaan vaiheittain eri käyttäjäryhmiin.

Palvelun kokeileminen

Palvelua on mahdollista kokeilla kirjautumalla https://attributetest.it.helsinki.fi/ palveluun ja napauttamalla siellä nappia "Kirjaudu käyttäen vahvennettua tunnistusta".

Huom. vaikka olisit osa testiryhmää, näkyy kirjautuessa oletuksena yksivaiheinen tunnistus. Tämä johtuu siitä, että kaksivaiheisella tunnistuksella tunnistautunut käyttäjä on tunnistunut myös salasanalla tai vastaavalla tunnisteella ja palvelulle raportoidaan ensisijaisesti palvelun pyytämä tunnistustaso. Tämä on attribuuttitestipalvelun tapauksessa perinteinen salasanatunnistautuminen tai tätä vastaava työasema-/kertakirjautuminen, ellei käyttäjä ole erikseen palvelussa vaatinut vahvennettua tunnistusta.