Esitys käsittelee HAKA tai Virtu -luottamusverkkojen SP-toteutusten haasteita lähinnä kun federoitujen identiteettien lisäksi on paikallisia käyttäjiä (Finnish).

1. Federoinnin vaikeat
käyttötapaukset
palveluntarjoajille (SP)
Kim Westerlund
johtava konsultti, Nixu
We must defend the Customer from risks, but
purely defensive approach may prevent us from
seeing opportuni:es.
© Nixu 2010

2. Nixun taustaa
 Useita WebSSO + SAML -projekteja julkishallinnossa ja
suuryrityksille
 Projektit ovat usein muuta kuin suoraviivaisia SAML-
integraatioprojekteja
 Nixulla on käyttöönottoon keskittyvä menetelmä, koska
tekniikka on liian helppoa (johtaa).
SARA apurahahakemuspalvelu tutkijoille KTJ selainAetopalvelu kunnille,
viranomaisille, kiinteistöväli9äjille ja
>7 000 käy9äjää luotonantajille
60%‐70% ‐käy9äjiä >10 000 käy9äjää
Paljon ‐käy9äjiä
© Nixu 2010

3. SP:n tulee tunnistaa käyttötapaukset
Yhdistä Yhdiste9yjen Alien
paikalliseen hallinta
tunnukseen
Ongelmanhallinta
Kirjautuminen
Federoitu SSO Käy9övaltuus‐
Pääkäyttäjä
tunnus hallinta
Logout
Tilin luominen
Paikallinen Rekisteröityminen
tunnus
Palauta unohtunut
salasana
Vaihda salasana
Sisäinen
Koskee vain paikallisia
käyttäjä
Omien k.Aetojen
hallinta Koskee vain federoituja käyttäjiä
© Nixu 2010
Koskee molempia käyttötapauksia

4. Esimerkki Akatemian SARA-SP:n
suunnittelusta
© Nixu 2010

5. Muistilista SP:lle
 Onko järjestelmässä paikallinen tili tai profiili?
 Luodaanko käyttäjä automaattisesti?
 Miten tili poistuu kun käyttäjältä poistuu syy käyttää järjestelmää?
 Miten paikallisten tilien yhdistäminen hoidetaan?
 Mitä tehdään yhdistetyn tilin paikalliselle salasanalle?
 Säilyykö tili organisaatiovaihdon yhteydessä?
 Miten omat käyttäjät tunnistetaan? Entä pääkäyttäjät?
 Valitse tunnistustasot – hyväksytäänkö weak kaikkiin toimintoihin?
 Miten tarkistetaan että virtuHomeOrganization vastaa IdP:n organisaatiota
 Mihin palvelun käyttövaltuudet perustuvat?
 Mitä tietoja (attribuutteja) palvelu tarvitsee esim. tilin provisiointiin?
 Miten hoidetaan käyttäjän hätäpoisto/-muokkaus?
 Miten hoidetaan valvonta ja end-to-end ongelmanselvitys?
 …
h9p://www.csc.fi/sivut/virtu/tekniikka/ohjeet_ja_suositukset/sp‐kay9oono9osuunnitelma.pdf
h9p://www.csc.fi/sivut/virtu/tekniikka/ohjeet_ja_suositukset/idp‐kay9oono9osuunnitelma.pdf
© Nixu 2010

6. Miten Nixu voi auttaa liittymään luottamusverkkoon?
Poistamalla yllätykset!
• Käy9ötapaukset
Esiselvitys •
•
VaaAmusmääri9ely
[Prosessikartoitus]
• Tietoturvatason määri9ely
• Tarjouspyyntö (valmistohjelmisto tai palvelu)
Hankinta • VaaAmustenmukaisuuden arvioinA
• Sopimusneuvotelut
• Ke9erä tekninen toteutus
Toteutus •
•
[Uusien prosessien määri9ely]
Testaus eri IdP/SP –tahojen kanssa
• Tietoturva‐auditoinA
• Palvelun rekisteröinA CSC:lle/VIP:lle
Käy9ööno9o •
•
2 kk:n pilo`
Käy9öönoton suunni9elu
• Ratkaisutuki jatkuvana palveluna
© Nixu 2010

7. Kiitos
nixu.sales@nixu.com
tai
kim.westerlund@nixu.com
p. 040 5123 125

8. Nixu kumppanina
 Pohjoismaiden suurin tietoturvan
asiantuntijapalveluyritys – 80 henkeä
 Perustettu 1988, liikevaihto > 8 M€
 Sertifioitu maksukorttitietoturvan (PCI DSS)
auditoija
 Tuotteistetut menetelmät ja jatkuva kehitys
 n. 100 asiakasta yli 200 projektissa vuonna 2008
 95 % asiakkaistamme on valmis suosittelemaan
kollegalleen (kevät ’09)
 www.nixu.fi
2/4/10 © Nixu 2009

9. Nixun palvelualueet
Advise Build Develop Inspect
ohjeistaa rakentaa kehi+ää tarkastaa
• Tietoturvastrategia • Identiteetinhallinnan • Turvallinen • PCI DSS auditoinnit
• Riskienhallinta konsultointi ja toteutus ohjelmistokehitys • Tietoturva-auditoinnit
• Jatkuvuussuunnittelu • Pääsynhallinta • Linux/embedded • Verkon murtotestaus
• Tietoturvapolitiikat ja • PKI kehitys ohjelmistokehitys • Web-sovellusten
ohjeistot • Lokienhallinnan • Secure SDLC murtotestaus
• Tietoturvakulttuurin konsultointi • Forensiikka
luonti ja jalkautus • Turva-arkkitehtuuri • Testausautomaatio
• Vaatimustenmukaisuus
Feb-4-10 © Nixu 2009