Page tree
Skip to end of metadata
Go to start of metadata

  

 

Käyttäjähallinnan tavoitetilankuvaus

 

Tekniset reunaehdot

 

Opintopolku.fi-palvelu toteutetaan SOA-periaatteiden mukaisesti (palvelukeskeinen arkkitehtuuri) ja kokonaisuus tehdään avoimen lähdekoodin ratkaisuilla. Palveluiden ohjelmointikielenä käytetään pääasiassa Javaa ja tuotokset lisensoidaan EUPL:lle (Euroopan unionin yleinen lisenssi) http://joinup.ec.europa.eu/software/page/eupl . Myös varsinaiset teknologiatuotteet on nimetty https://confluence.csc.fi/display/kshj/Teknologiatuotevalinnat ja niistä käyttäjähallinnan kannalta keskeisimmät ovat:

  • Käyttöliittymäkerros: Liferay- ja Alfresco
  • Palvelukerros: ServiceMix (ESB), Camel
  • Tietovarantokerros: PostgreSQL
  • Palveluita koodataan itse alkaen 1.3.2012

  

Kokonaisuus

 
Opintopolku.fi-palvelu liittyy ympäröivään maailmaan ja sen liitokset tulee mahdollistaa mahdollisimman laajasti. Opintopolku.fi-palvelulla on sisäisiä ja ulkoisia riippuvuuksia.

Sisäiset tarpeet ja riippuvuudet:

  • Toteutettavat palvelut (näitä koskevat osaprojektit: KSHJ, TOR, ALPE, AIKU)
  • OPH:n omat muut palvelut
  • Muut vielä tunnistamattomat

 

Ulkoiset tarpeet ja riippuvuudet:

  • Oppilaitokset: esim. peruskoulut, lukiot, ammattikorkeakoulut, yliopistot
  • Viranomaiset: VRK, KELA, Migri, OKM, Vero, TEM
  • Muut vielä tunnistamattomat

 
Edellisten lisäksi tunnistautumisen kannalta on tunnistettu seuraavia tarpeita:

  • Korkeakoulujen henkilöstölle (ja opiskelijoille) Haka (integraatio perustuen SAML2 HTTP POST -standardiin)
  • Valtion virastojen henkilöstölle Virtu (sisältäen: oman organisaation käyttäjätunnus ja salasana sekä virkakortti) (integraatio perustuen SAML2 HTTP POST -standardiin)
  • Oppijalle ja tämän edustajalle tunnistautumispalvelu Vetuma (sisältäen: useimpien kotimaisten pankkien tunnistus, mobiilivarmenne, HST) (integraatio perustuen SAML2 HTTP POST -standardiin)
  • Muille organisaatiokäyttäjille KATSO (integraatio perustuen SAML2 HTTP POST -standardiin)
  • AD-domain kertakirjautuminen Voidaan toteuttaa määrittelemällä OPH:n AD yhdeksi IdP:ksi muiden joukossa ja kirjautuminen on silent login.
  • Sosiaalisen median tunnusten hyödyntäminen rekisteröitymisessä (Facebook, OpenID, Google jne.)
  • Opintopolku.fi-palvelun oma käyttäjätunnus ja salasana

 

Yleiset periaatteet

  1. Käyttäjä tunnistetaan, esim. käyttäjätunnus
  2. Käyttäjä todennetaan, esim. käyttäjätunnuksen salasana
  3. Käyttäjä yksilöidään
  4. Käyttäjän käyttöoikeudet haetaan Oppijan rooli- ja ryhmätiedoista
  5. Käyttäjä valitsee edustajuutensa (edustaako organisaatiota, itseään vai huollettavaa)
  6. Sovellus muodostaa käyttöoikeuksien ja edustajuuden perusteella personoidun näkymän, siten että käyttäjä näkee ja pääse käsiksi vain sellaisiin tietoihin ja toimintoihin joihin hänelle on myönnetty oikeudet. 


Käyttöoikeuksien muodostuminen

 
Henkilön käyttöoikeudet koostetaan tietojoukoista ja kokonaisuus määrittyy rooli-, palvelu- ja organisaatiotietojoukkojen yhdistelmien perusteella. Näiden yhdistelmää kutsutaan käyttöoikeudeksi, johon liitetään voimassaoloaika.

Käyttöoikeuden muodostuminen


 Rooli 

  • rajaa oikeudet koskemaan vain tiettyjä toimenpiteitä
  • roolit käyttävät CRUD-mallia:
    • Katselija (R = Read), Oikeus katsella tietoja
    • Tallentaja (RU = Read, Update), Oikeus katsella ja muokata tietoja
    • Vastuukäyttäjä (CRUD = Create, Read, Update, Delete*), Oikeus katsella, muokata, luoda ja poistaa tietoja
    • * virkailijoiden D (= delete), tarkoittaa käytänössä passivointia. Rekisterinpitäjällä voi olla varsinainen delete-ominaisuus, jolla poistetaan jotain kokonaan.

 

Palvelu

  • esim. koulutustarjontatieto, asiakaspalvelu, hakupalvelu, leimasinpalvelu
  • rajaa oikeudet koskemaan vain tiettyä palvelua

 

Organisaatiotieto

  • esim. oppilaitos, oppilaitoksen osa, virasto, koulutuksen järjestäjä
  • rajaa oikeudet koskemaan vain tiettyä organisaatiota tai sen osaa
  • hierarkkinen, ylhäältä alas kulkevat tasot
  • tiedot tulisi saada sellaisenaan yleisistä organisaatiotiedoista

 
 
Käyttäjät käyttöoikeuksineen voidaan jakaa edelleen neljään osaan: oppija, toisen puolesta toimiva henkilö, virkailija ja järjestelmä:
OPPIJAn käyttöoikeusrooleja ovat:

  • tunnistamaton oppija
    • oppijalla on suomalainen hetu, mutta ei ole tunnistautunut
  • tunnistettu oppija
    • oppija on tunnistautunut heikosti tai vahvasti
    • heikosti tunnistautunut oppija (oppija on rekisteröitynyt palveluun)
      • voitaisiin yhdistää johonkin sosiaalisen median käyttäjätiliin (esim. gmail) - pitää ehkä selvittää lisää
    • vahvasti tunnistautunut oppija (oppija on käyttänyt VETUMAa, käyttää luottamusverkostojen tunnusta, virkailija on tehnyt tunnistuksen tai muita vastaavia tapoja)

 
TOISEN PUOLESTA TOIMIVA HENKILÖ

  • kaikki roolit ovat vahvasti tunnistettuja
  • katselija (voi katsella rajattuja tietoja)
  • tallentaja (edellisten lisäksi, voi tallentaa ja poistaa rajattuja tietoja)
  • henkilöiden välinen yhdistämien tapahtuu joko automaattisesti viranomaislähteiden kautta tai edustettavan henkilön omaehtoisella tahdonilmauksella

 
VIRKAILIJAn käyttöoikeusrooleja ovat:

  • kaikki virkailijan roolit ovat vahvasti tunnistettuja
  • katselija (voi katsella rajattuja tietoja)
  • tallentaja (edellisten lisäksi, voi tallentaa ja poistaa rajattuja tietoja)
  • vastuukäyttäjä (edellisten lisäksi, voi muuttaa rakenteita ja joitain koodistoja)
  • pääkäyttäjä (edellisten lisäksi, voi hallinnoida käyttöoikeuksia)

 
JÄRJESTELMÄ

  • järjestelmäoikeuden käyttävät samaa mallia, kuin henkilöt
  • järjestelmätunnukselle on oltava siitä vastaava henkilö

 
 
Samalla henkilöllä voi olla useita käyttöoikeuksia edellisten yhdistelmien perusteella. Rooli + Palvelu -yhdistelmiä voidaan edelleen yhdistää käyttöoikeusryhmiksi. Myös organisaatio voi olla useasta organisaatiosta koostuva organisaatioryhmä.
Käyttöoikeudet koostetaan kaavan mukaisesti: <rooli><palvelu><organisaatio>
Esim. virkailija Orvokki Vahtorannan käyttöoikeudet: Rääkkylän opiston koulutustarjontatiedon tallentaja, Rääkkylän opiston hakemusten katselija.

Käyttöoikeusryhmä Henkilön käyttöoikeudet

Käyttöoikeuksien koostamisella voidaan toteuttaa nykyisten järjestelmien moninaiset tarpeet Nykyisissä järjestelmissä on rooleja yhteensä 54 kpl., joissa käytännössä rooli sisälsi erikseen ja itsenäisesti luokittelun toimijasta, palvelusta, organisaatiosta jne. Tavoitetilan mallin tarkoitus on tehdä käyttöoikeuksien rakenne ymmärrettävämmäksi.


Henkilön edustajuus valitaan samalla kun kirjaudutaan sisään Opintopolku.fi-palveluun. Käyttäjä voi vaihtaa edustajuuttaan missä vaiheessa tahansa ilman, että joutuu kirjautumaan ulos palvelukokonaisuudesta. Edustajuuden vaihto tapahtuu pudotusvalikosta tms. jossa näkyy luokitellut rooliryhmät. Tunnistautuminen ja edustajuuden valinta kannattaa irrottaa varsinaisesta Liferay-toteutuksesta, jotta sen uudelleen käytettävyys paranee. Tämä voidaan toteuttaa upottamalla tunnistautumismoduulin näkymä käyttöliittymään yhtenä osana.

Autorisointipalvelin
Käyttöoikeuksien määrittely toteutetaan roolientiteettien avulla. Käyttöoikeuksissa voi olla sallivia ja kieltäviä sääntöjä. Käyttöoikeuksien säännöstöt voidaan muodostaa käyttämällä erillistä autorisointi- tai sääntömoottoria (esim. Drools). Käyttöoikeuksiin liittyvät säännöt tallennetaan autorisointipalvelimeen, josta palvelu tai sovellus hakee autorisointitiedon tehtävään tai toimintoon (tietoon?) liittyen. Säännöstössä pyritään mahdollisimman suureen uudelleenkäytettävyyteen sääntöjen ja toisaalta käyttöoikeuksien kautta. Käyttämällä suoraan tietoa tehtävän tai toiminnon suorittamisen edellytyksistä, voidaan näistä johtaa säännöstö käyttövaltuuksien määräytymisperusteista. Käyttövaltuussäännöstön säännöt voidaan jakaa kolmeen luokkaan Tikesos: Avoimen lähdekoodin kehitysympäristö ja pari sääntöpohjaisen ohjelmistokehityksen esimerkkiä. 11.4.2011:

 

  1. Tapauksen tunnistamisen säännöt – tapaus tunnistetaan ja luokitellaan esim. käyttäjän käyttöoikeiden, suoritettavan toimenpiteen ja toimenpiteen perusteluiden avulla
  2. Tapaukseen liittyvät käyttövaltuussäännöt – tunnistetun tapauksen käyttövaltuudet määritellään
  3. Käyttövaltuuksien poikkeussäännöt – määriteltyjä käyttövaltuuksia rajoitetaan tai korotetaan tapaukseen liittyvien erityispiirteiden vuoksi

 

Tapauskohtaisen valtuuksien määrittelyn avulla on mahdollista saavuttaa huomattavasti korkeampi tietoturvataso ja samalla säilyttää riittävät tiedonsaantioikeudet.

 

Virkailijan käyttöoikeuksien hallintatavat

 
Jokaiselle organisaatiolle nimetään pääkäyttäjä, joka hallinnoi ja on vastuussa oman organisaationsa käyttöoikeuksista. Organisaation pääkäyttäjä voi olla hallinnollisesti vastuutettu henkilö, ja varsinaisen operoinnin suorittaa organisaation sisällä joku toinen henkilö hänen puolestaan.
Organisaation pääkäyttäjä voi lisätä henkilöitä Opintopolku.fi-palveluun ja antaa näille käyttöoikeuksia omien oikeuksiensa ja organisaatiorajoitusten sisällä. Kyseisen organisaation käyttäjä voi myös anoa tunnusta ja käyttöoikeuksia oman organisaationsa pääkäyttäjältä Sähköisellä virkailijan käyttöoikeuksien anomis- ja myöntämispalvelulla. Organisaatioiden tulee päättää oma käyttöoikeuksiensa hallinnan prosessi omien tarpeidensa perusteella.
Käyttäjätunnusten ja käyttöoikeuksien teknisessä hallinnassa on kaksi vaihtoehtoa, joko Opintopolku.fi-palvelun sisäinen tai ulkoinen käyttäjätunnus.

Opintopolku.fi-palvelun sisäinen käyttäjätunnus

  • käyttäjätunnuksen ja salasanan hallinnointi tapahtuu Opintopolku.fi-palvelussa

 
Opintopolku.fi-palvelun ulkoinen käyttäjätunnus

  • Ulkoisten tunnistuspalveluiden käyttäjätunnus käy sellaisenaan Opintopolku.fi-palvelulle. Ulkoiselle käyttäjätunnukselle tulee kuitenkin määritellä (yhdistää) Opintopolku.fi-palvelun sisäiset käyttöoikeudet, joko siten että Organisaation pääkäyttäjä määrittelee tunnukselle Opintopolku.fi-palvelun käyttöoikeudet palvelun sisäisessä käyttöoikeuksien muokkauspalvelussa tai käyttäjätunnuksen mukana tulee Opintopolku.fi-palvelun tarvitsemat oikeustiedot.
  • käyttäjätunnuksen ja salasanan hallinnointi tapahtuu luottamusverkoston tai muun vastaavan palvelun omassa asiakaspalvelussa


Opintopolku.fi-palvelun virkailijakäyttäjätunnus ja muihin tunnuksiin liitetyt virkailijakäyttöoikeudet ovat voimassa vuoden kerrallaan. Tämän jälkeen käyttöoikeus tulee uusia. Samassa yhteydessä Opintopolku.fi-palvelun sisäisen käyttäjätunnuksen salasana tulee vaihtaa.
Ensisijainen malli voi olla myös hybridi, jossa tunnistus tapahtuu pääosin Opintopolku.fi-palvelun ulkopuolella, mutta käyttövaltuushallinta sisäpuolella.

 

Sähköinen virkailijan käyttöoikeuksien anomis- ja myöntämispalvelu

 
Opintopolku.fi-palvelun sähköisellä käyttöoikeuksien anomis- ja myöntämispalvelulla hallinnoidaan virkailijoiden käyttöoikeuksien myöntämistä. Käyttäjä hakee sähköisesti tunnusta sekä siihen liittyviä käyttöoikeuksia organisaationsa pääkäyttäjältä. Kyseisen organisaation pääkäyttäjä saa tiedon uudesta käyttöoikeuspyynnöstä sähköisesti Kaikki ne tavat, jotka ovat käytössä Opintopolku.fi-palvelun viestintäratkaisussa. kerran vuorokaudessa. Pääkäyttäjä voi myös hakea avoimet käyttöoikeuspyynnöt erikseen käsiteltäväkseen.
Pääkäyttäjä voi myöntää käyttöoikeuksia omien oikeuksiensa rajoissa ja vastaa myöntämistään käyttöoikeuksista. Pääkäyttäjä joko myöntää ja jättää myöntämättä tunnuksen tai siihen liittyviä käyttöoikeuksia. Käyttöoikeuden hakija saa prosessin etenemisestä tiedon sähköisesti. Uuden tunnuksen anominen edellyttää käyttäjältä rekisteröintiä sekä vahvaa tunnistautumista Luottamusverkostojen tunnukset katsotaan vahvaksi tunnisteeksi.. Käyttäjä voi myös itse perua jo hyväksytyn käyttöoikeushakemuksensa.
Tunnus on voimassa enintään vuoden kerrallaan. Kun käyttäjätunnus on vanhentumassa palvelu lähettää tästä sähköisesti tiedon käyttäjälle ja pääkäyttäjälle. Käyttäjä voi anoa oikeuksien jatkamista. Pääkäyttäjä voi myös jatkaa oikeuksia ilman erillistä anomusta.
Palvelu koskee kaikkia Opintopolku.fi-palvelun piirissä olevia palveluita.

Henkilön yksilöinti ja tunnistaminen

 


Henkilö on Opintopolku.fi-palvelussa joko yksilöity tai yksilöimätön:

  • yksilöimätön henkilö
    • henkilöllä ei ole suomalaista hetua suomalainen henkilötunnus, joka annetaan Suomen kansalaisille sekä Suomessa pysyvästi tai pitkäaikaisesti oleskeleville ulkomaalaisille ja samalla syntymäajalla löytyy useita henkilöitä, eikä virkailija ole vielä tehnyt yhdistämis-yksilöintitoimenpidettä
  • yksilöity henkilö
    • henkilöllä on suomalainen hetu tai virkailija on yksilöinyt samalla syntymäajalla olevat henkilöt
    • yksilöidylle henkilölle myönnetään globaalisti yksilöivä OID-tunnus

 
h7.Sähköisessä asioinnissa oppijaa, jolla ei ole suomalaista henkilötunnusta, kannustetaan rekisteröitymään palveluun. Rekisteröintiin vaaditaan oppijalta yksilöllinen sähköpostiosoite. Sama sähköpostiosoite ei siis voi olla useamman oppijan käytössä. Oppijan yksilöinti rekisteröitymisvaiheessa muodostuu syntymäajan, etu- ja sukunimien sekä sähköpostiosoitteen vertailulla. Näin estetään tuplatilien muodostuminen. Henkilötiedot tulee merkitä siinä muodossa kuin ne ovat oppijan passissa. Rekisteröityessä lähetetään oppijalle kertakäyttöinen linkki ilmoitettuun sähköpostiosoitteeseen. Kertakäyttölinkillä aktivoidaan varsinainen tili. Näin varmistetaan samalla sähköpostiosoitteen toimivuus.


Oppijan tunnistamisessa voidaan käyttää myös virkailija-avusteista vahvaa tunnistamista. Siinä virkailija todentaa oppijan henkilöllisyyden asiakirjasta esim. henkilöllisyystodistus, passi tai muuten pystyy todistamaan oppijan henkilöllisyyden.
Virkailija-avusteista tunnistamista vaativat sekä kotimaiset että ulkomaiset (esim. oppijat Alankomaista ja Venäjältä) alaikäiset oppijat, oppijat joilla ei ole suomalaista hetua sekä muut erityisryhmät. Virkailijoita voivat olla tässä tapauksessa tyypillisesti oppilaitoksen opo tai muu virkailija, oppijan huoltaja, holhooja tai edunvalvoja sekä lähetystövirkailija. Tunnistamisen yhteydessä jää lokiin merkintä tunnistuksesta, tunnistajasta ja ajankohdasta. Oppijoille, joilla ei ole suomalaista hetua, merkitään oppilaitoksessa tieto saapumisesta paikalle. Voidaan hyödyntää viranomaistietoja Migrille. Pitääkö tietoa pystyä välittämään myös Rajavartiolaitokselle?
Oppijan rekisteröitymisen yhteydessä häneltä pyydetään yksilöllinen sähköpostiosoite ja nimi. Oppijan voi käydä täydentämässä omiin tietoihinsa lisätietoja jos näin tahtoo. Hakemuksen jättämisen yhteydessä oppijalta pyydetään kuitenkin hetu, mikäli sellainen löytyy. Hakemisen ja valinnan prosessin etenemisen kannalta kaikki Opintopolku.fi-palvelun oppijat tulee olla yksilöityjä. Kaikille yksilöidyille henkilöille muodostetaan globaalisti yksilöivä OID-tunnus, jota voidaan käyttää asiakasnumerona ja yksilöivänä tunnisteena. OID-tunnus muodostetaan siten, ettei se ole arvattavissa eikä se kerro mitään haltijastaan.


 Virkailijan rekisteröitymisen yhteydessä tältä pyydetään edellisten lisäksi hetu ja virkailija yksilöidään välittömästi. Virkailijoiden yksilöinnillä pyritään estämään vaaralliset työyhdistelmät ja tilanteet joissa virkailija käsittelisi itseään tai huollettavia koskevia tietoja.
Hetua vasten tehdään tarkistus, että henkilö ylipäätään on olemassa ja haetaan viranomaislähteistä oppijaa koskevat tiedot jatkokäsittelyä varten. Viranomaistietoja ei näytetä oppijalla, ellei hän ole vahvasti tunnistautunut. Oppijalle voidaan siis näyttää vain hänen itsensä syöttämät tiedot ja yksilöinnin yhteydessä muodostettu erillinen oppijan yksilöivä uniikkikoodi (OID). Jos oppijan ilmoittamat tiedot poikkeavat VTJ:stä haettuihin tietoihin, ilmoitetaan tästä virkailijalle. Yhteystietojen osalta käytetään ensisijaisesti oppijan itsensä ilmoittamia tietoja.

Henkilöstä löytyy tarkemmin tietoja omalta sivulta.

 

Vaatimuksia

 
Keskeisiä tunnistettuja vaatimuksia ovat:

  • Käyttäjätunnus
    • Yksi tunnus, joka käy kaikkiin Oppijan palvelukokonaisuuden palveluihin = V_KAUH_51
    • Oppijan palvelukokonaisuuden käyttäjien tulee pystyä hyödyntämään luottamusverkostoja ja tunnistuspalveluita = V_KAUH_8.x ja 16.x
    • Oppijan käyttäjätunnus on voimassa vähintään 5 vuotta = V_KAUH_52
    • kun käyttäjätunnus on vanhenemassa lähetetään käyttäjälle ja pääkäyttäjälle siitä heräte = V_KAUH_19
    • Virkailijan käyttäjätunnus on voimassa vuoden kerrallaan, jonka jälkeen se tulee uusia = V_KAUH_17
    • Oppijan sisäisen virkailijan käyttäjätunnuksen salasana tulee uusia voimassaoloajan jatkamisen yhteydessä kerran vuodessa = V_KAUH_18
    • identiteetti on sulkemisen jälkeen "jäädytettynä" tietyn määräajan (kaksi vuotta), jonka jälkeen se arkistoituu = V_KAUH_52
    • Käyttövaltuuksien poistoon kuluvaa aikaa seurataan ja tilastoidaan
    • jos henkilöllä on useita sähköisiä identiteettejä tulee siirtymien niiden välillä olla sujuvia, esim. pudotusvalikko josta valitaan roolitaso
    • tunnukseen tulee pystyä liittämään hetu jälkikäteen = V_KJHH_27
    • Oppijan voi aktivoida tilinsä käyttäen vahvaa tunnistamista = V_KAUH_16.4
    • käyttöoikeuksien tarkistus etenee vahvimmasta heikoimpaan
    • Heikko tunnistautuminen ja rekisteröinti voi tapahtua sosiaalisen median tilien kautta (esim. gmail, twitter, facebook) = V_KAUH_16.1-3
    • Henkilö yksilöidään (uniikki yksilöivä tunniste)
      • virkailijat ja oppijat yksilöidään = V_KJHH_6
      • Henkilöllä pitää olla jokin muukin yksilöivä tunnus kuin hetu (kv-oppijat) = V_KJHH_7
      • OID-koodi, jolla yksilöidään henkilö hetun sijaan = V_KJHH_6-8
      • hetusta suojattu hash, ei ratkaise hetuttomien ongelmaa
      • Passin numero ei ole toimiva yksilöintitieto
  • Raportti tunnuksista ja voimassaoloista organisaatioittain ja palveluittain = V_KAUH_104 (67)
  • Tunnusten hallinnassa on massapäivitysmahdollisuus
    • Erilaiset palvelut/palvelutasot riippuen oppijan tunnistautumisen tasosta:
      • anonyymi
      • rekisteröitynyt (heikko tunnistautuminen)
      • tunnistautunut (vahva tunnistautuminen)
  • Loki
    • Käyttöloki: kuka käsittelee ja mitä tietoa, pitääkö kohdistaa toimintoon tai tiettyyn näyttöön?
    • Lokeja ei voi muuttaa jälkikäteen
  • Yleiset
    • Palvelu toteutetaan korotetun tietoturvatasovaatimusten mukaisesti
    • Käyttäjähallinnon tulee olla myöhemmin laajennettava ja skaalattava uusilla palveluilla tai uusien palveluiden tarpeisiin, sekä uusilla tunnistautumis/rekisteröitymistavoilla
    • Prosessista ja toimenpiteistä on kirjalliset ohjeet
    • henkilötietojen master data on VRK
    • tulee huomioida vallitseva lainsäädäntö
    • palvelun rajapintojen tulee olla muuttumattomia ja avoimia (tai versioituja)
    • arkistointia koskevat ohjeet, säännöt ja määräykset tulee huomioida
    • Pääsynvalvonta, joka estää käyttäjää pääsemästä muualle kuin mihin hänellä on oikeus, voiko olla toisin päin eli kaikki suljettua ja sallitaan vain erikseen?
    • käyttöoikeudesta vastaavalla henkilöllä tulee olla voimassaoleva tunnus
    • Oppijan puolesta toimiva henkilö (huoltaja, opo, lähetystövirkailija) pitää mahdollistaa ja tämän tulee pystyä oppijan suostumuksella:
      • tunnistamaan oppija
      • tekemään toimenpiteitä oppijan puolesta
      • saamaan tiedoksi oppijan tekemiä asioita
    • Session ja/tai identiteetin siirtäminen Oppijasta ulkopuoliseen palveluun ja päinvastoin tulee onnistua

Korotetun tietoturvatason vaatimukset

 
SADe Oppijan palvelukokonaisuuden tietoturva-projekti tuottaa myöhemmässä vaiheessa lisävaatimuksia tietoturvan suhteen. VAHTI 2/2010 –ohjeen mukaiset vaatimukset koskien korotettua tietoturvatasoa: Pääsynvalvonta

  • Tietojärjestelmän omistaja hyväksyy kuinka luotettavaa identiteettiä ja vahvaa tunnistamista järjestelmän sisältämien tietojen käyttöön tarvitaan.
  • Sekä onnistuneet että epäonnistuneet sisäänkirjautumiset kirjoitetaan lokiin niin, että yksittäisen käyttäjän kirjautumiset järjestelmään voidaan selvittää ja yhdistää hänen henkilöllisyyteensä luotettavasti.
  • Huonolaatuisten salasanojen käyttöä estetään.
  • Organisaatiossa on kirjallinen pääsynvalvontapolitiikka, jossa kerrotaan mm. eri turvatasoilla hyväksyttävät tekniset tunnistusmenetelmät, tunnusten lukitus- ja avausperiaatteet sekä salasanan tai muiden tunnisteiden laatuvaatimukset ja vaihtoperiaatteet.
  • Pääsynvalvontalokit säilytetään niin, että niitä ei päästä jälkikäteen muuttamaan.
  • Tunnistuksen epäonnistuminen liian monta kertaa peräkkäin tärkeimpiin järjestelmiin tai palveluihin aiheuttaa tunnuksen lukittumisen.
  • Varmenteiden myöntämisestä, käytöstä ja uusimisesta on kirjallinen ohjeisto ja käytössä olevista varmenteista ajantasainen lista.
  • Korkean tason järjestelmissä pääsynvalvontalokeja ja kirjausketjuja tuotetaan myös järjestelmän sisällä toimimisesta toiminnan vaatimusten mukaisesti.
  • Tunnistuksen epäonnistumista sekä muita valtuuksien puutteeseen kariutuvia toimenpideyrityksiä tilastoidaan.

 
Käyttäjien ja käyttövaltuuksien hallinta

  • Organisaatiossa on sovittu käyttövaltuuksien hallintaperiaatteet. Tunnusten ja valtuuksien myöntö, muuttaminen ja poisto on organisoitu ja vastuutettu periaatteiden mukaisesti.
  • Käyttövaltuudet ovat henkilö- tai roolikohtaisia.
  • Käyttövaltuudet perustuvat palvelussuhteeseen tai muuhun kirjalliseen sopimukseen ja järjestelmien käyttö estetään teknisesti ilman tarpeetonta viivytystä perusteen päätyttyä.
  • Yksittäisen käyttäjän käyttövaltuudet voidaan selvittää.
  • Uuden henkilön tullessa organisaatioon ensimmäinen tunnistus tehdään valokuvallisesta henkilöllisyystodistuksesta tai sähköiseen palveluun rekisteröitymisen osalta käyttäen samantasoista todennusmenetelmää.
  • Organisaatiossa on kirjallinen käyttövaltuuspolitiikka ja hallintaprosessi.
  • Jokaisella käyttövaltuudella on omistaja.
  • Järjestelmien käyttövaltuudet katselmoidaan vähintään kerran vuodessa ja tarpeettomat tunnukset, roolit ja valtuudet suljetaan tai poistetaan.
  • Myöntöprosessista jää jälki, millä perusteella käyttäjälle on myönnetty käyttövaltuus.
  • Kielletyt työ- ja rooliyhdistelmät on dokumentoitu ja valtuuksia myönnettäessä tai muutettaessa kiellettyjen yhdistelmien syntymistä seurataan ja estetään.
  • Ylläpito- ja pääkäyttäjäoikeuksien määrää seurataan ja tilastoidaan.
  • Käyttövaltuuksien poistoon kuluvaa aikaa seurataan ja tilastoidaan.
  • Organisaatiossa on dokumentoitu menettely käyttäjätunnuksen tai käyttövaltuuksien välittömään poistoon tai passivointiin.

 

  • käyttäjätunnus lukittuu, kun salasana syötetään kolme kertaa väärin
  • käyttäjätunnuksen lukitus vapautuu 30 min kuluttua automaattisesti

 

Haasteita

 

  • Tunnistautumisen palveluita ja tasoja on monia: vahva, heikko (rekisteröityminen), luottamusverkostot.
  • On oppijoita, joilla ei ole tunnistusvälineitä kuten: kansainväliset oppijat (ei myöskään hetua, yksilöinti), alaikäiset oppijat, muut oppijat
  • Käyttäjähallinnan prosessi pitää saada yhtenäistettyä
    • työsuhteen päättyminen
  • Riittävä tietoturva ja hyvä tietosuoja, muttei käytettävyyden kustannuksella
  • Oppijan käyttäjätunnuksen luotettavuus suhteessa muihin palveluihin
  • Tunnuksen mukana tulee Oppijan tarvitsemat oikeustiedot (IAM)?
  • Digitaalinen allekirjoitus esim. todistuksiin?
  • onko valintaryhmissä vain yksi vastuullinen taso, joka voi delegoida sitä eteenpäin (esim. yhteisvalinta hallinnoidaan OPH:ssa, OPH voi siirtää hallinnoinnin vastuutasolle)?
  • tietokantalinkit: tiedon syötössä voisi olla mahdollista käyttää vain organisaatiotasoa, eikä siis välttämättä tarvita henkilötasoa, onko hyvä?
  • käyttöoikeuden suhde asiointitiliin
  • rooleja lisää: opo, toisen puolesta toimiva, super sysadmin?
  • session voimassaoloaika
  • Hakukohteet vs. käyttöoikeudet: liitetäänkö hakukohteiden oikeudet virkailijaan vai organisaatiotietoon, joka liitetään virkailijaan? Valinta, koulutusala liittyy tähän
  • kauanko lokitietoja säilytetään?
  • käyttövaltuuspolitiikka
  • muuttuuko käyttäjätunnus palveluväylässä johonkin geneerisempään käyttöoikeuteen?

 

Käyttäjähallintaprosessin vaiheet

 
Seuraavassa on eroteltu prosessin vaiheet käyttäjien rooliryhmien kautta. Jokainen kohta voi toimia joko käyttötapauksen otsikkona https://confluence.csc.fi/pages/viewpage.action?pageId=9309105 tai scrum-menetelmän mukaisen product backlogin iteminä. Lista ei ole sellaisenaan vielä täydellinen.

Yleinen prosessi:

  • käyttäjä rekisteröityy palveluun
  • käyttäjä tunnistautuu vahvasti palvelussa
    • käyttäen Vetuma
    • käyttäen luottamusverkostot
    • käyttäen muut
  • käyttäjä syöttää salasanan väärin kolme kertaa ja tili lukkiutuu tunniksi
  • käyttäjä unohtaa salasanan
    • ja pyytää pääkäyttäjältä sen resetointia
    • ja resetoi sen itse Vetumaa käyttäen
  • käyttäjä vaihtaa salasanan
  • käyttäjä kirjautuu sisään Oppijan palvelukokonaisuuteen
  • käyttäjä kirjautuu ulos Oppijan palvelukokonaisuudesta
  • käyttäjä yrittää kirjautua sisään väärällä tunnuksella sisään
  • käyttäjä yrittää tehdä jotain mihin hänellä ei ole oikeuksia (ei pitäisi mahdollistaa)
  • henkilö pyytää saada tietää, ketkä ovat tutkineet häneen liittyviä tietoja

 

Virkailijan prosessi:

  • pääkäyttäjä lisää uuden henkilön
  • pääkäyttäjä lisää käyttäjälle käyttöoikeuden
  • käyttäjä hakee käyttöoikeuksia
  • pääkäyttäjä saa tiedon käyttöoikeuden hakemisesta
  • pääkäyttäjä myöntää / hylkää hakemuksen
  • käyttäjä seuraa lupa-anomuksen etenemistä
  • pääkäyttäjä hakee avoimet lupa-anomukset
  • käyttäjä saa tiedon käyttöoikeuden myöntämisestä / hylkäämisestä
  • käyttäjä hakee lisäoikeuksia myönnettyyn käyttöoikeuteen
  • käyttäjä peruu käyttöoikeushakemuksensa
  • käyttäjä saa ilmoituksen tunnuksen vanhentumisesta
  • pääkäyttäjä saa ilmoituksen tunnuksen vanhentumisesta
  • pääkäyttäjä jatkaa käyttöoikeuksia
  • pääkäyttäjä ottaa raportin voimassa olevista käyttöoikeuksista
    • voimassaoloittain
    • palveluittain
    • käyttöoikeuksittain
    • henkilön nimen mukaan
  • pääkäyttäjä sulkee käyttäjätunnuksen
  • pääkäyttäjä poistaa käyttäjätunnuksen (jääkö kuitenkin johonkin arkistoon)
  • käyttäjä vaihtaa roolia kesken session
  • pääkäyttäjä muuttaa käyttäjän käyttöoikeuksia
  • käyttäjä tarkistaa mitkä kaikki oikeudet hänellä on ja mihin asti ne ovat voimassa
  • käyttäjä yrittää kirjautua sisään vanhentuneella tunnuksella
  • pääkäyttäjä uusii useita käyttöoikeuksia kerralla
  • virkailija yksilöi oppijan Käyttötapaukset: https://confluence.csc.fi/pages/viewpage.action?pageId=8130290
  • virkailija liittää oppijalle myönnetyn hetun

 

Järjestelmään liittyvä prosessi:

  • järjestelmäoikeuksien ylläpito
    • sama malli kuin henkilön kohdalla
  • lokitus

 

Oppijan prosessi:

  • edustajuuden (toisen puolesta toimiminen) ylläpito

 

Sähköinen allekirjoitus

Todennetun osaamisen rekisteriin tuotavat todistukset varmennetaan vahvalla sähköisellä allekirjoituksella. Todistukset allekirjoitetaan koulutuksen järjestäjän allekirjoitusavaimella. Opintopolku.fi-palvelussa toimii Varmennus-palvelu, johon koulutuksen järjestäjä kirjautuu ja tunnistautuu vahvasti. Koulutuksen järjestäjän järjestelmästä siirretty todistustieto varmennetaan Opintopolku.fi-palvelussa ja koulutuksen järjestäjän auktorisoima rehtori tai muu virkailija allekirjoittaa ne omalla allekirjoitusavaimellaan. Todistuksia tai muita varmennettavia dokumentteja voi allekirjoittaa yksittäin tai merkata ne varmennettavaksi erissä.
Asiakirjojen sähköinen allekirjoitus tapahtuu Opintopolku.fi-palvelussa käyttäen Leimasin-palvelua. Allekirjoituksen tekijä kirjautuu palveluun ja asettaa todistukselle tms. allekirjoituksen. Toimenpide voidaan tehdä samanaikaisesti useille eri dokumenteille.
Esim. Tutkinnon myöntämisen yhteydessä oppilaitos voi ajaa eräajona tarvittavat tiedot Opintopolku.fi-palveluun ja todistuksen myöntäjä (rehtori tms.) voi todentaa ja hyväksyä kaikki todistukset kerrallaan.
Sähköiseen allekirjoituksen liittyy jo tunnistettuja palveluita:

Arkistointipalvelu 

  • Tarkentuu Todennetun osaamisen rekisteri –hankkeen ja SADe Oppijan palvelukokonaisuuden arkistointi -projektien yhteydessä.
  • Arkistointiin liittyy Arkistolaitoksen SÄHKE-normit, jotka tulee huomioida. Tiedon siirtämisessä pysyväissäilytykseen tulee Arkistolaitokselle olla määriteltynä organisaatio ja tietojärjestelmä, mistä tieto tulee. Varsinainen asiakirja sisältää Opetushallituksen oman määrittelyn mukaisen sisällön ja mahdolliset valtuudet ja allekirjoitukset. Tähän liittyy myös asiakirjan yksilöivä tunniste.

 
eTodistus

  • Tarkentuu Todennetun osaamisen rekisteri –hankkeen yhteydessä.

 
eCV-palvelu

  • Tarkentuu mahdollisesti myöhemmin Todennetun osaamisen rekisteri –hankkeen yhteydessä.
  • Henkilö voi jakaa näkymää omista tiedoistaan kertakäyttölinkin kautta. Linkki on voimassa rajoitetun ajan esim. 30 pv, koulutustietoja). Henkilön on voitava rajata tiedot, jotka haluaa jakaa linkin välityksellä. Linkkejä voi olla useita, erilaisilla sisällöillä, voimassa samanaikaisesti.

 

Käyttäjähallinnan jäsentämismalli (SOLEA-projekti)

 
Oheisella taulukolla voidaan hahmottaa sisäisten projektien erilaisia tarpeita.

 

 

Organisaation hallinnoimat käyttäjät / työntekijät

Asiakas- tai kansalaiskäyttäjät

Kumppaniorganisaatioiden hallinnoimat käyttäjät (luottamusverkosto)

käyttäjien, roolien ja valtuuksien määrittely

   

käyttäjien tunnistaminen ja todentaminen

   

pääsynvalvonta

   

käytön seuranta

   

 

Vaiheistus

 
On esitetty tarkemmin yksittäisten toiminnallisuuksien priorisoinnissa ja sekä Opintopolku.fi-palvelun Backlogilla.

 

Oppijan henkilökohtaiset palvelut ja vaadittu tunnistautuminen -luokittelu

Osaprojektit (KSHJ, TOR, ALPE, AIKU) tuottavat tarjottavat palvelut, joiden pääsyä hallitaan käyttäjähallinnan ratkaisulla. Lähtökohtaisesti hakemus tulee pystyä tekemään ilman vahvaa tunnistautumista. Tämä luokittelu on koottu erilliselle sivulle: Oppijan henkilökohtaiset palvelut ja vaadittu tunnistautuminen.

 

 

 

Roolitaulukko

Opintopolku-palvelussa käytössä olevat käyttöoikeusryhmät ja niiden sisällöt kootaan erilliselle sivulle. Määrittelyssä tulee tunnistaa ensisijaisesti käytettävät palvelut ja niiden oikeustasot (palvelu+rooli). Tämän lisäksi tulisi tunnistaa mahdollisuuksien mukaan, mitä palveluita ensisijaiset palvelut tarvitsevat toimiakseen.

 

Taulukkoon on koottu arkkitehtuuridokumentaatiosta rooleja ja niiden ilmentymiä.

Rooli

kuvaus

vastuu

TOR

Hakeutuja

Henkilö joka etsii tietoa koulutuksesta ja harkitsee hakeutumista koulutukseen

asiakas

 

Hakija

Koulutukseen hakenut henkilö

asiakas

 

Opiskelija

Jonkin oppilaitoksen piirissä opiskeleva henkilö

asiakas

 

Virkailija

 

 

Teknisesti ok

katselija

voi katsella rajattuja tietoja

 

Katseluoikeuksia pystyttävä rajattava organisaatio / Henkilö / ryhmä (valtuutuksen kautta esim kertakäyttölinkki). Toinen toivomus on ”linkin” jako tietyille henkilöille tai ryhmille.

tallentaja

edellisten lisäksi, voi tallentaa ja poistaa rajattuja tietoja

Vastaa paikallisella tasolla valintaperusteiden hallinnoinnista.

Muokkaa olemassa olevaa tietoa

vastuukäyttäjä

edellisten lisäksi, voi muuttaa rakenteita ja joitain koodistoja

 

Tuo suoritustiedot TOR:iin

3 Comments

  1. Salasanojen huonoudesta: otetaan jokin valmis malli salasanan tarkastusmoottoriksi, eiköhän niitä ole tarjolla. Esim. "vähintään 8 merkkiä, mukana isoja ja pieniä ja joku erikoismerkki/numero". Ei tässä jouda keksimään mitään nerokkaampaa, vaikkei tämä mikään loistava heuristiikka ole.

    1. Anonymous

      Jos käyttäjätunnus/salasana-tunnistus tehdään Liferayn avaulla, niin siinä on valmiina salasanapolitiikkojen hallinta.

      Password Policy Settings #

      Changeable Settings #

      • Changeable: Allow user to change his own password
      • Change Required: Require the user to change his password (?)
      • Minimum Age: This determines how long a user must wait before changing their password again

      Syntax Checking #

      • Syntax Checking Enabled: Enable portal to check for certain words and length requirements
      • Allow Dictionary Words: Allow a dictionary word to be used as the password
      • Minimum Length: The minimum length of a password

      Password History #

      • History Enabled: Enable tracking of password history, to prevent reuse of old passwords
      • History Count: The number of passwords to keep in the history

      Password Expiration #

      • Expiration Enabled: Enable passwords to expire after a specified time
      • Maximum Age: The maximum time that a password is valid, before it needs to be changed again
      • Warning Time: The time before a password expires, in which to warn the user of the upcoming password expiration
      • Grace Limit: The number of logins allowed after the password has already expired

      User Account Lockout #

      • Lockout Enabled: Enable user accounts to get locked out after a specified number of failed logins
      • Maximum Failure: The maximum number of failed login attempts before the account is locked out
      • Reset Failure Count: The time before the "failed login count" is reset
      • Lockout Duration: The time that a user is locked out, preventing them from logging inkts http://www.liferay.com/community/wiki/-/wiki/Main/Password+Policy+and+Account+Lockout
  2. Keskustelu 25.10.: Tarvitaan henkilöiden haku myös lajiteltuna oikeuksien perusteella, esim. näytä kaikki tietyn oikeuden haltijat. Kari Kammosen mukaan tämä voidaan toteuttaa henkilöhallinnan puolella, ei välttämättä syytä toteuttaa oikeuksien hakemisen puolella. Kts. SPECS-352.

    Keskustelua vetumasta ja muista tunnistuspalveluista. Pitäisi hoitua. Tunnistautumisesta pitää täsmentää vielä virkailija-avusteista tunnistamista.

    Keskustelua käyttöliittymien tekstien hallinnasta: nappien yms. tekstejä ylläpidetään erillisissä tekstitiedostoissa jokaiselle kielelle erikseen. Tekstitiedostot voidaan oikolukea erikseen ja liittää sitten takaisin sovellukseen. Toteutus hallinnoi näitä tekstitiedostoja. Ei ole tarkoituksenmukaista rakentaa siihen erillistä muokkaussovellusta, tämä on Javan standardikäytäntö.

    Käyttöliittymää täytyy vaiheittain kohentaa, kts. SPECS-352.  

    Hetuttomien yksilöintitoimenpiteen prosessimäärittely on vielä kesken.

    Valtuutusten hallinta kaipaa täsmennystä.