• Created by Unknown User (atuomi@csc.fi), last modified by Unknown User (klaalo@csc.fi) on Sept 12, 2014

Monilla palveluillta on Haka-käyttäjien lisäksi tarpeita muiden käyttäjäryhmien tunnistamiseen. Sosiaalisen media tunnusten käyttö Hakan rinnalla mahdollistaa tämän usein varsin helposti. Palvelun on kuitenkin syytä huolellisesti miettiä käyttöön liittyviä kysymyksiä Hakan rinnalla.

Olennaiset erot Hakaan

EnsitunnistusHaka-sopimus määrittää tason, jolla käyttäjä tulee tunnistaa tunnuksia luovutettaessa. Sosiaalisen media tilit avataan ilman ensitunnistusta.
KäyttäjätiedotHakan tunnuksen avulla on mahdollista saada käyttäjän kotikorkeakoulun ylläpitämiä ajantasaisi henkilö- ja roolitietoja. Sosiaalisen media tunnuksissa ei yleensä ole saatavilla kuin nimi ja sähköpostiosoite.
Tunnusten sulkeutuminenHaka-tunnuksen käyttöoikeus poistuu käyttäjältä hänen poistuessa korkeakoulun piiristä.
KäyttäjätunnisteHaka-käyttäjät erotellaan eppn-attribuutin avulla. Sosiaalisen median tunnistus yleensä sähköpostiosoite käyttäjätunnisteena.
TietosuojakäytänteetHakassa palvelut sitoutuvat Haka-palvelusopimuksen velvoitteisiin. Jokaisella sosiaalisen median palveluntarjoajalla on omat käyttöehtonsa. Palvelun on sitouduttava kaikkiin niiden palvelujen käytöehtoihin, joiden tunnistusmenetelmä otetaan käyttöön. Katso alasivu palvelujen käyttöehdoista.

Toteutusmalleja

KäyttömalliKuvausEdutHaitat

Lisätään palveluun tunnistustavat

Integroidaan palveluun useita eri tunnistustapoja Hakan rinnalle.
  • Kaiken toiminnallisuuden voi hallita palvelussa.
  • Joudutaan integroimaan ja ylläpitämään useita tunnistusrajapintoja palvelussa.
  • Organisaation on rekisteröidyttävä sosiaalisen median palveluihin saadakseen rajapinnoissa tarvittavat avaimet

Keskitetty proxy-IdP

Keskistetysti ylläpidetyn proxy-palvelun avulla muutetaan sosiaalisen median käyttäjätunnistuksen erilaiset kirjautumisprotokollat palvelun tuntemaan SAML2-muotoon.

  • Palvelun ei tarvitse integroida kuin yksi rajapinta: SAML2. Kaikki toiminnallisuus on IdP-proxyssa.
  • Tavallinen Haka-asennus nopeasti muutettavissa
  • Tarvitaan ulkopuolinen kumppani hoitamaan tunnistusta
  • Sosiaalisten palvelujen käyttöehdot saattavat estää proxy-palvelun
  • Proxy-palvelun ylläpitäjä vastaa välitetyistä henkilötiedoista, kuin omasta toiminnastaan
  • Mahdollinen organisaation rekisteröityminen sosiaalisen median rajapinnan käyttäjäksi ei muuta sitä seikkaa, että tiedon välittää proxy-palvelua ylläpitävä osapuoli

Organisaation tunnistuspalvelu

Organisaation palvelujen ulkoiset tunnistustarpeet hoidetaan organisaation omalla tunnistuspalvelulla, joka hallitsee sosiaalisen median käyttäjätunnistuksen menetelmät. Palveluun päin tunnistuspalvelu välittää käyttäjätiedon SAML2:lla.

Organisaation palvelut voidaan tulkita olevan loogisesti samaa henkilörekisteriä, vaikka ne teknisesti ovat eri toteutuksia. Kun tietojen välittäminen sosiaalisen median palvelusta tietoja hyödyntävälle palvelulle tapahtuu organisaation sisällä, ei tietoja luovuteta oikeushenkilöltä toiselle.

Voidakseen olla loogisesti samaa rekisteriä, palvelujen henkilötietojen käsittelyn tarkoituksen on oltava keskenään yhteensopiva.

  • Keskitetyn proxy-IdP:n edut
  • Organisaatiolla on IdM-järjestelmänsä avulla mahdollisuus noudattaa some-palvelujen käyttöehtoja käyttäjän tietojen poistamisesta kun käyttäjä peruuttaa organisaation käyttöoikeuden some-palvelussa
  • Some-palvelusta saatua tietoa voidaan rikastaa organisaation IdM-järjestelmästä
  • Tunnistuspalvelu voidaan toteuttaa alihankintana
  • Jokainen organisaatio joutuu toteuttamaan tai hankkimaan oman tunnistuspalvelun
  • Organisaation on rekisteröidyttävä sosiaalisen median palveluihin saadakseen rajapinnoissa tarvittavat avaimet

Olemassa olevia ratkaisuja

Sosiaalisen identiteetin palveluntarjoajia

Palvelut

  • Eduuni
    • Tarjoaa mahdollisuuden käyttää useita sosiaalisen median tunnuksia (mm. Google, Yahoo, LiveId) kytkemällä yhden SAML-tunnistuspalvelimen palvelun SAML2 SP:iin. 
    • Tunnistusmetodi liitetään henkilöön varmennettuun työsähköpostiosoitteeseen, joka varmennettaa vuosittain.
    • Toimii esim. olemassa olevan Haka SP:n kanssa.
    • Mahdollista ostaa palveluna tunnistuspalvelu ilman omia asennuksia. 
    • Esimerkki

Teknisiä ratkaisuja

  • SimpleSAMLphp
    • Php-pohjainen avoimen lähdekoodin toteutus, joka osaa useita eri tunnistustapoja ml. sosiaalisen media tunnukset. 
    • Toimii myös Haka SP/IdP:na.
    • OKM:n Koulutuksen pilviväylä -hanke on toteuttanut SimpleSAMLphp:n päälle auttentikointiproxyn
  • Azure
    • Tarjoaa teknisen alustan, jolla voi rakentaa Haka-palvelimen ja sosiaalisen median tunnistuksen valmiista palasista kokoamalla.
  • Social2SAML IdP -proxy (Nordunetin toteutus / Github-projekti)
    • Python-pohjainen PySAML-kirjastoa hyödyntävä proxy-ratkaisu
    • Palvelu, joka toimii SAML2 IdP:nä, jonka autentikaatiometodina toimivat sosiaalisen median identiteetit