Monilla palveluillta on Haka-käyttäjien lisäksi tarpeita muiden käyttäjäryhmien tunnistamiseen. Sosiaalisen media tunnusten käyttö Hakan rinnalla mahdollistaa tämän usein varsin helposti. Palvelun on kuitenkin syytä huolellisesti miettiä käyttöön liittyviä kysymyksiä Hakan rinnalla.
Olennaiset erot Hakaan
Ensitunnistus | Haka-sopimus määrittää tason, jolla käyttäjä tulee tunnistaa tunnuksia luovutettaessa. Sosiaalisen media tilit avataan ilman ensitunnistusta. |
Käyttäjätiedot | Hakan tunnuksen avulla on mahdollista saada käyttäjän kotikorkeakoulun ylläpitämiä ajantasaisi henkilö- ja roolitietoja. Sosiaalisen media tunnuksissa ei yleensä ole saatavilla kuin nimi ja sähköpostiosoite. |
Tunnusten sulkeutuminen | Haka-tunnuksen käyttöoikeus poistuu käyttäjältä hänen poistuessa korkeakoulun piiristä. |
Käyttäjätunniste | Haka-käyttäjät erotellaan eppn-attribuutin avulla. Sosiaalisen median tunnistus yleensä sähköpostiosoite käyttäjätunnisteena. |
Tietosuojakäytänteet | Hakassa palvelut sitoutuvat Haka-palvelusopimuksen velvoitteisiin. Jokaisella sosiaalisen median palveluntarjoajalla on omat käyttöehtonsa. Palvelun on sitouduttava kaikkiin niiden palvelujen käytöehtoihin, joiden tunnistusmenetelmä otetaan käyttöön. Katso alasivu palvelujen käyttöehdoista. |
Toteutusmalleja
Käyttömalli | Kuvaus | Edut | Haitat |
---|---|---|---|
Lisätään palveluun tunnistustavat | Integroidaan palveluun useita eri tunnistustapoja Hakan rinnalle. |
|
|
Keskitetty proxy-IdP | Keskistetysti ylläpidetyn proxy-palvelun avulla muutetaan sosiaalisen median käyttäjätunnistuksen erilaiset kirjautumisprotokollat palvelun tuntemaan SAML2-muotoon. |
|
|
Organisaation tunnistuspalvelu | Organisaation palvelujen ulkoiset tunnistustarpeet hoidetaan organisaation omalla tunnistuspalvelulla, joka hallitsee sosiaalisen median käyttäjätunnistuksen menetelmät. Palveluun päin tunnistuspalvelu välittää käyttäjätiedon SAML2:lla. Organisaation palvelut voidaan tulkita olevan loogisesti samaa henkilörekisteriä, vaikka ne teknisesti ovat eri toteutuksia. Kun tietojen välittäminen sosiaalisen median palvelusta tietoja hyödyntävälle palvelulle tapahtuu organisaation sisällä, ei tietoja luovuteta oikeushenkilöltä toiselle. Voidakseen olla loogisesti samaa rekisteriä, palvelujen henkilötietojen käsittelyn tarkoituksen on oltava keskenään yhteensopiva. |
|
|
Olemassa olevia ratkaisuja
Sosiaalisen identiteetin palveluntarjoajia
- Google Accounts Authentication and Authorization
- Facebook Login
- Yahoo OpenId
- Twitter Oauth
- Linkedin Oauth
Palvelut
- Eduuni
- Tarjoaa mahdollisuuden käyttää useita sosiaalisen median tunnuksia (mm. Google, Yahoo, LiveId) kytkemällä yhden SAML-tunnistuspalvelimen palvelun SAML2 SP:iin.
- Tunnistusmetodi liitetään henkilöön varmennettuun työsähköpostiosoitteeseen, joka varmennettaa vuosittain.
- Toimii esim. olemassa olevan Haka SP:n kanssa.
- Mahdollista ostaa palveluna tunnistuspalvelu ilman omia asennuksia.
- Esimerkki
Teknisiä ratkaisuja
- SimpleSAMLphp
- Php-pohjainen avoimen lähdekoodin toteutus, joka osaa useita eri tunnistustapoja ml. sosiaalisen media tunnukset.
- Toimii myös Haka SP/IdP:na.
- OKM:n Koulutuksen pilviväylä -hanke on toteuttanut SimpleSAMLphp:n päälle auttentikointiproxyn
- Azure
- Tarjoaa teknisen alustan, jolla voi rakentaa Haka-palvelimen ja sosiaalisen median tunnistuksen valmiista palasista kokoamalla.
- Social2SAML IdP -proxy (Nordunetin toteutus / Github-projekti)
- Python-pohjainen PySAML-kirjastoa hyödyntävä proxy-ratkaisu
- Palvelu, joka toimii SAML2 IdP:nä, jonka autentikaatiometodina toimivat sosiaalisen median identiteetit