| Status | ||||
|---|---|---|---|---|
|
| Aika: | ke 9.9. klo 13.00-14.00 |
| Paikka: | Videokokous Huom! Liittyessä videokokoukseen kirjaa osallistujanimeksesi: Etunimi Sukunumi (Organisaatio), jotta osallistujat voidaan todeta asiakohdassa 3. |
| Osallistujat: | Operaattori (4): Jani Heikkinen (pj, CSC), Kristel Virtanen (sihteeri, CSC), Arto Tuomi (CSC), Jari Toropainen (CSC), , Osallistujat (25): Veli-Matti Mäkelä (seAMK), Elina Toivanen (Turun yo), Heikki Ruhanen (KAMK), Jari Auvinen (TUNI), Jari Värälä (TaiY), Jim Björklund (Novia), Joona Rantapere (Turun AMK), Juho Lehto (Hamk), Jukka Karvonen (Hy), Lotta Mämmi (HAMK), Mika Salo (Laurea), Timo Alatalo (TUNI), Ville liukkonen (Xamk), Kenneth Mattson (Novia), Magnus Sundelin (VY), Sami Mäkinen (JAMK), Janne Korhonen (Xamk), Janne Repo (TUNI), Eeva Vanhala (TY), Reijo Rosti (Certia Oy), Barbro Sjöblom (ÅA), Miska Sulander (Jyväskylän yliopisto), Marko K, Scott Alexander, Pekka Tonteri, Pekka |
...
- Kokouksen avaus
- Kokousta avatessa kerrottiin, että kokous nauhoitetaan. Esiteltiin Kerrottiin paikalla olevat operaattorin edustajat. Todettiin, että edellinen teknisen ryhmän kokous pidettiin 2018.
- Kerrottiin kokouksen tausta lyhyesti
- Valitaan puheenjohtaja ja sihteeri
- Puheenjohtajaksi ehdotettiin ja nimettiin Jani Heikkinen, sihteeriksi Kristel Virtanen
- Todetaan läsnäolijat
- Todettiin, että läsnäololisya läsnäololista on zoomin osallistujalistan mukainen. Kerrottiin paikalla olevat operaattorin edustajat. Todettiin, että pyydetty organisaatiotieto puuttuu osalta zoomissa.
funetEduPerson-skeeman (fEP) versio 2.4 käyttöönotto
Esittely: Haka-luottamusverkosto perustuu vahvaan ensitunnistuksen varmuuteen. Viime aikoina on kuitenkin noussut esiin tarpeita mahdollistaa palveluita tai palvelujen toimintoja myös muilla varmuustasoilla. REFEDS Assurence Framework (RAF) määritys koostuu kolmesta osasta, joiden avulla palvelut voivat hallita paremmin pääsynhallintaan liittyviä riskejä luottamusverkostoissa. RAF määrityksen peruskriteerit täyttyvät nykyisen Haka-luottamusverkoston liittymissopimuksen ja operaattorin tulkintaohjeen mukaisesti.
Asia on esitelty IAM-verkoston tapaamisessa 1-2020. RAF määritys edellyttää eduPersonAssurance attribuutin luovuttamisen. Tässä teknisen ryhmän kokouksessa esitetään eduPersonAssurance attribuutin muuttamista pakolliseksi sekä tarkentamalla sen luovutusta Haka-luottamusverkoston paikallisella tulkinnalla.
Muutosta on käsitelty ohjausryhmän kokouksessa. Ohjausryhmä puoltaa muutosta. Haka liittymissopimuksen mukaisesti tekninen ryhmä päättää muutoksen käyttöönotosta.
Muutos ehdotetaan astuvan voimaan 1.1.2021, jolloin myös palvelut voivat luottaa ePPN-tunnisteen pysyvyyteen. Kotiorganisaatiot voivat jo tätä ennen luovuttaa eduPersonAssurance attribuuttia RAF määrityksen mukaisesti noudattaen Hakan paikallisia tulkintaa ensitunnistuksen varmuudesta.
Operointi on valmistellut funetEduPerson-skeemasta luonnoksen versiolla 2.4. Luonnoksessa on huomioitu myös eduPerson2020-1 skeema. Luonnos on saatavilla tästä linkistä.
Haka-operoinnin esitysKeskustelu: Esitetään Esitettiin Haka tekniselleryhmälle operoinnin valmisteleman funetEduPerson-skeeman version 2.4 vahvistamista käyttöönotettavaksi. Versiomuutos tulee kerrottiin tulevan voimaan 1.1.2021. Operaattorin ehdotusta kannatettiin.
- Keskustelussa Kokouksen keskustelussa varmistettiin, onko tiedotettu muutos ainoa, mistä päätetään. Todettiin muutos ainoaksi, ja että tämän lisäksi on muuta vain tiedotettavaa asiaa.
- Kysymys Tiedusteltiin määritellystä high-tasosta , ja sen suhteesta suhteessa nyt voimassa olevaan. Operaattori vastasi, että high-taso tulkitaan saman tasoiseksi kuin tällä hetkellä voimassa oleva. Asiasta oli keskustelua.
→ Esitettii kysymysPohdittiin, että voidaanko tunnistaa ne mitä tähän asti on tunnistettu samantasoisesrtisamojen vaatimusten mukaan, ja merkitä tasolle high
Ehdotusta kannatettiin. Todettiin, että kyllä, jos henkilö on vahvasti tunnistettu.
Päätettiin, että muutokset funetEduPerson-skeemaan 2.4 otetaan käyttöön 1.1.2021.
Päätettiin, että asiasta tiedotetaan lisää loppusyksystä sekä palveluntarjoajille että kotiorganisaatioille.
Todettiin, että palveluntarjoajille sopiva siirtymäaika on vähintään 6kk, ja 1.1.2021 toimeenpantava muutos koskee kotiorganisaatioiden muutosta skeemaan 2.4 sopivaksi.
Päätös: Päätettiin, että muutokset funetEduPerson-skeemaan 2.4 otetaan käyttöön 1.1.2021.
Päätettiin, että asiasta tiedotetaan lisää loppusyksystä sekä palveluntarjoajille että kotiorganisaatioille.
- Tiedotusasiat
- Hakan SAML2-profiilin päivitystarpeet ja toimenpiteet mukaan lukien subject-id tunnisteen lisääminen osaksi tuettuja attribuutteja. Arto Tuomi alustaa.
- Todettiin, että aikataulun osalta muutos tarkentuu myöhemmin ja, että asia viedään ohjausryhmän keskusteltavaksi. Ei kommentteja.
- eduPersonAffiliation attribuutin student-arvosta
- Todettiin, että attribuutin käytöstä on lähetetty organisaatioille muistutuskirje elokuussa.
- Hakan SAML2-profiilin päivitystarpeet ja toimenpiteet mukaan lukien subject-id tunnisteen lisääminen osaksi tuettuja attribuutteja. Arto Tuomi alustaa.
- Muut keskusteluasiat
- Palattiin vielä ensimmäiseen kohtaan 4, keskustelua (Elina Toivanen): Tällä :
- Todettiin, että tällä hetkellä affiliate-arvoa käytetään Hakassa tarkemmin kuin
- on tarpeellista. Muutoksesta lähtien palvelut voivat tehdä omia pääsynhallinnan päätöksiä halutessaan, mahdollistaa vahvempaa heikomman tunnistuksen. Esim. tasot iap/medium, iap/high.
- Todettiin, että jos määritellään ylin taso, määritellään myös kaikki alemmat.
- Keskusteltiin siitä, että on ulkomaisia opiskelijoita,
- joille ei voi tehdä vahvaa ensitunnistusta.
- Nykyisellään, jos ulkomaista opiskelijaa ei ole tunnistettu vahvasti, ei voi määritellä
- vahvasti tunnistetuksi, eikä välittää tietoa näin eteenpäin
- Hakassa.
- Heikommin tunnistetut opiskelijat eivät tällä hetkellä pääse Hakalla käyttämään oman organisaation palveluja. Jatkossa voivat määrittää heikomman tunnistuksen tason.
- Keskusteltiin, että muutos on hyvä ja toivottu.
- Keskusteltiin siitä, että muutos vaatii toimia palveluntarjoajilta. Operaattori totesi, että palveluiden täytyy ennen aikarajaa tehdä tarkistusta arvojen välittämisen suhteen.
- Miska Sulander: Ongelmaa ulkomaisten opiskelijoiden kanssa, ei pääse Hakalla käyttämään oman organisaation palveluja, koska ei ole vahvaa tunnistusta. Jatkossa voivat määrittää heikomman
- Todettiin, että jos hyväksytään heikompi tunnistuis kuin Haka-sopimuksessa, palveluille tulisi antaa hyvissä ajoin ennakkovaroitus. Jukka Karvonen totesi nyt ilmoitetun siirtymäajan liian lyhyeksi, koska ennen palvelut ovat voineet luottaa vahvaan tunnistukseen
- .
- Todettiin, että teknisen ryhmän esityksestä ensitunnistuksen vahvuuden muutos tehdään siirtymäajan jälkeen (esim 6kk)
- , ja 1.1.2021
- aletaan vasta määrittämään uusia arvoja kotiorganisaatioilta. Näin annetaan palveluntarjoajille tarpeeksi pitkän siirtymäajan. Toki omien palvelujen suhteen voidaan tehdä muutoksia jo aikaisemmin, jolloin kotiorganisaatioista viestitään palveluille itse.
- Keskusteltiin, että mitä tapahtuu, jos SP:ssä ei ole tehty muutosta määräaikaan mennessä? Ei vaikuta palveluntarjoajiin tässä vaiheessa, mutta jos kotiorganisaatio ei aseta ja noudata voimassa olevaa skeemaa, se
- rikkoo Hakan käyttöehtoja.
- Todettiin kuitenkin, että Hakan toimintakulttuuriin
- on kuulunut varoittaa sääntörikkomuksista ennen kuin käyttäjä pätetään estää sopimusrikkomuksen vuoksi.
- StudentKeskusteltiin myös student-arvon määrityksestä liittyen operaattorin elokuussa 2020 lähettämään muistutuskirjeeseen. Todettiin, että student-arvoon kuuluu tutkinto-opiskelijat ja vaihto-opiskelijat. Kirje koski avoimen yliopiston tai avoimen ammattikorkean tutkinto-opiskelijoita. Eeva Vanhala totesi, että ei ole vielä saanut paimenkirjettä.
- Palattiin vielä ensimmäiseen kohtaan 4, keskustelua (Elina Toivanen): Tällä :
- Kokouksen päätös
- Kokous päätettiin klo 13.46