Viimeaikainen keskustelu Shibboleth-konsortion postilistalla ja aiemmassa artikkelissa viitattu tietoturvasuositus ovat tuoneet uuteen valoon SAML-vastauksen salaamisen. Shibboleth IdP -ohjelmiston pääkehittäjä on esittänyt näkemyksen, että henkilötietojen suojaamiseksi ainoat riittävät vaihtoehdot ovat: tiedon siirtäminen taustakanavalla suoraan palvelimien välillä (artifact) tai autentikaatiovastauksen assertion salaaminen.
Tämä mielipide heijastelee jo saml2int-profiilin luonnoksessa, johon on kirjattu IdP-palvelimelle vaatimukseksi:
In the event the HTTP-POST binding [SAML2Bind] is used, assertions MUST be encrypted and transmitted via a <saml:EncryptedAssertion> element.
Hakassa HTTP-POST on ainoa sallittu yhteystapa autentikaatiovastauksen välittämiseen. Nyt luonnoksena esitetty profiili edellyttäisi jatkossa Hakassa SAML-viestien salaamista. Jatkossa pelkkä HTTPS ei riittäisi viestien suojaamiseen.
Nykyisin Hakassa SP:n on tuettava salausta, eli pystyttävä avaamaan salattu SAML-viesti. Tästä syystä Hakassa SP:n on rekisteröitävä metadataan varmenne. IdP:lle SAML-viestien salaaminen on vapaaehtoista. Koska SP:lle kyky salauksen purkuun on pakollista, on ollut IdP:n valittavissa, salataanko viestit vai ei.
Vaikka Hakassa ei olisi palveluja, jotka eivät tue salausta, operoinnin tiedossa on, että käytössä on paljon tuotteita, joilla ei ole kykyä tukea salattuja SAML-viestejä. Hakaan liitetyillä IdP-palvelimilla voi olla kahdenvälisiä luottosuhteita tällaisille palveluille. Jos salaus Hakassa tulee pakolliseksi, IdP:n on luontevaa kytkeä salaus päälle kategorisesti kaikkien palvelujen osalta. IdP:n konfiguraatiossa on mahdollista tehdä poikkeussääntö ja jättää viestit salaamatta sellaisille palveluille, jotka salausta ei tue, jos se on organisaation toimintokäytänteiden mukaista.
Haka-operointi suosittaa jo etupainotteisesti kartoittamaan muutoksen vaikutuksia organisaation kertakirjautumiselle ja kytkemään SAML-viestien salauksen kategorisesti päälle IdP:palvelimella heti, kun mahdollista.
Lisätietoa:
- Shibboleth-postilistan keskustelu: https://marc.info/?t=151741666900001&r=1&w=2
- Saml2int-profiilin luonnos: https://kantarainitiative.github.io/SAMLprofiles/saml2int.html#_idp_requirements
- Aiempi tiedote SAML-viestien luottamuksellisuudesta: https://wiki.eduuni.fi/x/i4usAw
Briefly in english
Recent discussion implicates to encryption of SAML-assertions becoming mandatory in Haka. Please see relevant discussion in Shibboleth mailing list and the draft document for new version of saml2int-profile.
- Shibboleth mailing list: https://marc.info/?t=151741666900001&r=1&w=2
- Saml2int-profile draft: https://kantarainitiative.github.io/SAMLprofiles/saml2int.html#_idp_requirement
IAM-verkoston tapaamisessa keskusteltiin avoimen yliopiston opiskelijoiden roolista. Monessa yliopistossa he käyvät samoja kursseja tuntkinto-opiskelijoiden kanssa, mutta eivät pääse samoihin resursseihin, koska eivät funetEduperson-skeeman perusteella voi saada eduPersonAffiliation-attribuutin arvoa student. IAM-verkoston tapaamisessa keskusteltiin mahdollisuudesta muuttaa Hakan attribuuttiskeemaa niin, että myös avoimen yliopiston opiskelijat laskettaisiin affiliation-attribuutin arvoon student.
Muutoksella voi olla vaikutuksia Hakan kotiorganisaation IdM-käytänteisiin ja esimerkiksi palvelujen lisensointiin mahdollisesti lisääntyvänä käyttäjämääränä. Muutos voi vaikuttaa myös palvelujen (SP - Service Provider) pääsynhallintaan. Muutoksen toteutuessa palvelut joutuisivat pääsynhallinnassa luottamaan funetEduPersonStudentCategory-attribuutin arvoon eduPersonAffiliation-attribuutin sijasta silloin, jos avoimen yliopiston opiskelijat halutaan poissulkea palvelun tai sen osan käyttöoikeudesta.
Jatkokeskustelua muutoksesta käydään parhaillaan IAM-verkoston sähköpostilistalla. Haka-operointi suosittaa kotiorganisaatioita seuraamaan keskustelua ja tarpeen mukaan osallistumaan siihen. Postilistan voi tilata ja sen arkistoa voi selata osoitteessa: https://postit.csc.fi/sympa/info/haka-iam .
Open university students to be added to eduPersonAffiliation student-value
There is an ongoing discussion about including open university students in eduPersonAffiliation-attribute with value student. The change may have an effect in Haka home organisations' IdM-practices and e.g. licensing costs. We suggest following the Haka-iam mailing list for IdM specialists in Haka home organisations. The discussion is held in Finnish.
If the proposal will be approved, the change may also affect Service Providers, if they want to use current granularity in authorisation. If open university students should be excluded after the change, the Service Provider shall need to use funetEduPersonStudentCategory attribute instead.
Please, see the Haka-iam mailing list (in Finnish): https://postit.csc.fi/sympa/info/haka-iam
Shibboleth-konsortio on julkaissut tiedotteen HTTP-liikenteen salaukseen kohdistuvien hyökkäysmekanismien vaikutuksista SAML-viestien vaihtoon. On löydetty haavoittuvuuksia, jotka mahdollistavat palvelimen salaisen avaimen urkkimisen tiettyjä heikkoja algoritmeja ja salaustoteutuksia käytettäessä [1]. Haka-operoinnin suositus on, että SAML-viestien salaamisessa ja allekirjoituksessa käytetään eri avainta, kuin palvelujen HTTP-liikenteen suojaamisessa.
Eri avainten käyttäminen estää SAML-avaimen pääsyn vääriin käsiin, jos HTTP-palvelinohjelmiston toteutuksessa on virheitä. Heartbleed-hyökkäysmekanismi työllisti huomattavasti Haka-operointia ja palvelujen ylläpitoa avaimien vaihdossa.
Haka operoinnin näkemys on, että SAML-viestien vaihdossa käytettävä avain on vaihdettava, mikäli on olemassa epäilys sen joutumisesta vääriin käsiin. Epäilykseksi riittää tieto, että heikko toteutus on ollut saatavilla. Ei riitä perusteeksi olla vaihtamatta avainta, jos heikko toteutus on ollut saatavilla, mutta ei ole tietoa, että sitä olisi hyödynnetty. Sama pätee HTTPS-avaimeen.
Seuraa Shibbolethin tiedotteita
Haka-operointi välittää tietoa Haka-tech postituslistalle kriittisistä tietoturvauhkista. Haka-operointi suosittaa seuraamaan myös suoraan Shibboleth-konsortion tiedotuslistaa. Siellä on hyödyllistä tietoa myös muita SAML-tuotteita käyttäville, sillä tämä kyseinen heikkous koskee kaikkia SAML-tuotteita, joissa käytetään samaa avainta, jota käytetään HTTP-liikenteen salaamiseen.
Lisätietoa
Shibboleth-konsortion tiedote: https://marc.info/?l=shibboleth-announce&m=151673698511556&w=2
Shibboleth postilistat: https://www.shibboleth.net/community/lists/
ROBOT: https://robotattack.org/
Heartbleed: http://heartbleed.com
Briefly in english
Please, see critical security advisory from Shibboleth Consortium.
[1] Tiedotetta tarkennettu 24.1.2018. Vaikuttaa, että ei ole osoitettu ROBOT-haavoittuvuuden aiheuttavan riskiä palvelimen salaisen avaimen paljastumisesta. Sen sijaan voi olla mahdollista tallentaa salattua liikennettä ja myöhemmin purkaa salaus ilman salaista avainta. Tämä saattaa vaarantaa muut salatussa kanavassa välitetyt salaisuudet. Tiedotteessa annettu suositus pätee. Palvelun toteuttajan on arvioitava, onko olemassa epäilys salaisen avaimen joutumisesta vääriin käsiin ja jos on, avain on vaihdettava.
IAM-verkoston vuoden 2018 tapaamisten päivämäärät on sovittu. Tapaamisia järjestetään seuraavasti:
- Keskiviikko ja Torstai 18.-19.4.2018 Jyväskylän ammattikorkeakoulu
- Keskiviikko 26.9.2018 Lahden AMK
- Torstai 17.1.2019 CSC, Espoo
Päivämäärien linkeistä saa ladattua tapaamisten alustavat kalenterimerkinnät (ics-tiedosto).
Tapaaminen järjestetään perinteisesti Espoossa CSC:llä
Ohjelmassa niin ikään perinteiset statuspäivitykset IAM-projekteista ja Hakaan liittyvistä ajankohtaisista asioista. Lisäksi taas vuoden alkaessa päätetään ohjausryhmän kokoonpanosta ja vuoden tapaamisten paikkakunnat ja aikataulut. Mukana myös esityket TAMK:n uudistuneesta käyttäjärekisteröinnistä sekä kuinka Suomi.fi-tunnistusta voidaan hyödyntää NetIQ:n salasanan itsepalveluresetoinnissa. Avataan myös keskustelu onko eduPersonAffiliation attribuutin student arvon määritelmä edelleen ajankohtainen vai tarvitaanko siihen muutoksia.
Kokouspaikan tarkempi osoite, ohjelma aikatauluineen ja ilmoittautuminen löytyvät tapahtumasivulta: https://www.csc.fi/web/training/-/iam-verkoston-tapaamin-5 Ohjelma löytyy kun klikkaa Program-palkkia.
Ilmoittautuminen päättyy 15.1.2018 kello 9:00 mutta käykääpä nyt samantien ilmoittautumassa niin ei pääse unohtumaan joulun ja uudenvuoden lomien aikana. ;)
This is a brief excerpt of Finnish notification. If questions, please Contact.
The certificate used to sign Haka-metadata will change on 20.12. Service Provider and Identity Provider administrators can test their service's interoperability with the new certificate in advance. Please see details of the Haka metadata.
Timeline
| Päivämäärä | Tapahtumat |
|---|---|
| 29.11.2017 |
|
| 30.11. - 19.12.2017 |
|
| 20.12.2017 |
|
Haka-metadatan allekirjoittamisessa käytettävä varmenne vaihtuu. Allekirjoittamisessa käytettävä julkinen avain pysyy ennallaan, vain varmenne päivitetään voimassaolon päättyessä. Muutoksella ei ole teknisesti vaikutusta SAML-määritysten mukaisesti toimiviin SAML-tuotteisiin. Haka-operaattori suosittelee ja SAML-määritykset edellyttävät, että Haka-metadataan luottavat osapuolet käyttävät metadatan allekirjoituksen tarkastamisessa ajantasaista varmennetta. Metadataan luottava on myös velvollinen noudattamaan varmentajan julkaisemaa varmennepolitiikkaa. Hakassa käytetään Funet varmennepalvelun varmennetta.
Haka-palvelut voivat jo etukäteen varmistua SAML-tuotteensa tuesta uudelle varmenteelle. Tästä päivästä 29.11.2017 lähtien julkaistaan kaksi metadataa, jotka eroavat toisistaan vain allekirjoituksessa käytetyn varmenteen osalta. Rinnakkainen, uudella varmenteella allekirjoitettu metadata löytyy osoitteesta:
Uusi varmenne otetaan käyttöön varsinaisen metadatan allekirjoituksessa 20.12.2017. Tähän päivään mennessä Haka-metadataan luottavien on varmistettava, että voivat käyttää uudella varmenteella allekirjoitettua metadataa. Varsinainen metadata julkaistaan nyt ja jatkossa osoitteessa:
Yksityiskohdat metadatan jakelusta ja kulloinkin voimassaolevat varmenteet: Metadata.
Yhteenveto
| Päivämäärä | Tapahtumat |
|---|---|
| 29.11.2017 |
|
| 30.11. - 19.12.2017 |
|
| 20.12.2017 |
|
Lisätietoja, katso: Yhteystiedot
SAML2-standardin osaksi on tulossa uusi tapa esittää käyttäjätunniste (https://wiki.oasis-open.org/security/SAMLSubjectIDAttr). Hakassa käyttäjätunnisteina käytetään tällä hetkellä EduPersonPrincipalName- (EPPN) ja EduPersonTargetedId-attribuutteja (EPTID) sekä NameID:na esitettäviä transientid:ta ja persistentid:ta.
Korkeakoulut Suomessa ovat havainneet ongelmaksi EPPN-attribuutin mahdollisen kierrättämisen uusille käyttäjille ja sopineet sitoutuvansa sen pysyvyyteen. EduPersonTargetedId:n käyttämiseen on alusta asti liittynyt ongelmia, joten se ei ole yleistynyt käyttöön.
Uudet esitellyt tunnisteet ovat Standard Subject Identifier ja Pairwise Subject Identifier. Ensimmäisen ollessa käyttäjälle muuttumaton tunniste kaikissa käyttäjän käyttämissä palveluissa, jälkimmäinen tunniste on käyttäjä- ja palvelukohtainen. Muistuttavat siis hyvin paljon EPPN- ja EPTID-tunnisteita.
Jatkossa tunnisteina voisi siis toimia seuraanvalaiset tunnisteet:
Esko Esimerkin standard-tunniste: eskoesim@organisaatio.fi
Esko Esimerkin pairwise-tunnisteet:
- Palvelulle 1: randomtunniste1@organisaatio.fi
- Palvelulle 2: randomtunniste2@organisaatio.fi
Uusien tunnisteiden tukeminen Hakassa on selvityksen alla ja IAM-ryhmä ja Hakan tekninen ryhmä pääsevät ensi vuoden puolella lausumaan asiasta osana Hakan EPPN-tunnisteen kierrätyskeskustelua.
Haka-käyttäjätunnistusverkostossa kirjautumisen luotettavuus pohjautuu teknisesti metadataan, jonka perusteella tunnistuspalvelimet välittävät henkilötietoa palveluille.
Jatkossa haka-metadata.xml on ainoa auktoritatiivinen tekninen tietolähde federaation palvelujen (SP - Service Provider) ja tunnistuslähteiden (IdP - Identity Provider) välillä. Kuten on tiedotettu, myös attribuuttien luovutuslupien hallinnassa aiemmin käytetyn attribute-filter.xml -tiedoston julkaiseminen päättyy. Aiemmasta tiedotteesta voit käydä lukemassa, miten luovutuslupien hallinta nykyään määritellään Shibboleth Identity Provider -ohjelmistossa.
11.12.2017 jälkeen vanhoja aiemmin metadatatiedoston rinnalla julkaistuja tiedostoja ei päivitetä.
Lisätietoa: Yhteystiedot
Haka-metadata is only authoritative trust anchor
In Haka user authentication federation the metadata is only technical source of information for trust between identity providers and service providers. As announced earlier (in Finnish), also attribute-filter.xml file will become obsolete.
After 11.12.2017 additional files will not be updated.
For additional information please, contact Haka servicedesk.
Hakassa yleisesti henkilöiden yksilöimiseen käytetyn eduPersonPrincipalName (eppn) -tunnisteen muuttamista pysyväksi valmistellaan. Eppn-attribuutin käyttö Hakassa määritetään funetEduPerson-skeemassa. Hakan-attribuuttiskeemaan eppn-attribuutti on omaksuttu eduPerson-skeemasta. Hakassa on sallittu henkilökohtaisten eppn-tunnisteiden kierrättäminen uudelle käyttäjälle 24 kk:n jäähdytysajan jälkeen. Palvelun (SP - Service Provider) on pitänyt olettaa eppn-tunnisteen haltijan vaihtuneen, mikäli sillä ei ole kirjauduttu palveluun 24 kk:n ajanjaksolla.
IAM-verkosto päätti tapaamisessaan 10.10.2017 esittää Hakan tekniselle ryhmälle muutosta Hakan attribuuttiskeemaan niin, että jatkossa eppn-tunnisteiden kierrättäminen estetään. Muutoksen toteutuessa eppn-tunniste on pysyvästi henkilökohtainen. Kun tietty eppn-tunniste annetaan henkilön käyttöön, samaa arvoa ei voi käyttää uudelleen toisen henkilön tunnisteena.
Muutoksesta hyötyy käyttäjä, kun tunniste muuttuu luotettavammaksi. Hyötyjiä ovat myös Hakan palvelut (SP), kun niiden ei tarvitse toteuttaa Hakaa varten erityistä prosessia käyttäjien henkilötietojen poistamisessa, vaan voivat tukeutua prosesseihin, joihin henkilötietolaki ja jatkossa EU:n tietosuoja-asetuksesta toteuttava kansallinen lainsäädäntö velvoittaa.
Eppn-tunniste on Hakassa sidottu organisaatioon. Jos sama henkilö on käyttäjänä useammassa organisaatiossa, hänellä on useita tunnisteita. Tunniste voi olla myös roolikohtainen, eli yhdellä henkilöllä saattaa olla useampia tunnisteita yhdessä organisaatiossa. Hakassa tehtiin keväällä 2017 kysely, jolla selvitettiin muutoksen vaikutusta organisaatioiden käyttäjähallinnolle. Suurin osa vastanneista organisaatioista ilmoitti, että muutos on vaivaton tai että muutoksen vaikutuksen ovat vähäisiä.
IAM-verkosto ehdottaa eppn-tunnisteen pysyväksi muuttamiselle aikataulua:
- päätöksen prosessointi Hakan toimielimissä: viimeistään kesällä 2018
- Organisaatiot lakkaavat eppn-tunnisteiden kierrättämisen: viimeistään 1.1.2019
- Palvelut voivat luottaa eppn-tunnisteiden pysyvyyteen: aikaisintaan 1.1.2021
Haka-operaattori valmistelee funetEduPerson-skeemaan muutoksen, jolla toteutetaan eppn-tunnisteen pysyvyys. Operaattori esittelee muutoksen tekniselle ryhmälle, joka vie asian Haka-ohjausryhmän päätettäväksi.
Hakassa kehitettävä vahvemman tunnistamisen palvelu oli esillä Nordunetin teknisessä työpajassa. Liitteenä esitysmateriaali. Myös MPASS esiteltiin työpajassa.
Haka Multi Factor Authentication Service was presented in Nordunet Technical Workshop 2017. If you have any questions, please contact us by email or Twitter. See contact details here. You can find the presentation slide set below. The demonstration video and the links presented in the workshop are also below for your convenience. Have a nice conference day!
Source code of the implementation:
Related
Also MPASS was presented in the workshop. See: http://www.mpass.fi/en/english-mpass-presentation-at-ntw-2017/
Hakan tunnistuslähteen päättelypalvelu, tai toiselta nimeltään organisaatiovalinta (DS - Discovery Service) on päivitetty käyttämään Hakan uutta ulkoasua siirtämällä palvelu vaihtoehtoiselle alustalle. DS-palvelulla on kaksi vaihtoehtoista alustaa, joiden välillä vaihdetaan vikatilanteen sattuessa tai olennaisten konfiguraatiomuutosten yhteydessä. Koska alusta voi vaihtua vikatilanteen johdosta, vaihtumisesta ei anneta etukäteisilmoitusta. Tunnistuslähteen päättelypalvelu toimii osoitteessa:
https://haka.funet.fi/shibboleth/WAYF
Palvelua tarjotaan alustoilta:
https://haka-ds01.funet.fihttps://haka-ds02.funet.fi
Uusi ulkoasu
Hakan ulkasua uudistetaan osana vahvemman tunnistamisen kehittämistä. Ulkoasu otetaan käyttöön vaiheittain ja uudet logot ovat jo olleetkin käytössä viestinnässä. Ohjeet logojen käyttämiseen Hakaan tukeutuvissa palveluissa löytyy wikin sivulta: Haka-logo ja graafinen ohje.
Kohti vahvempaa tunnistamista
Suomalaisten yliopistojen, ammattikorkeakoulujen ja tutkimuslaitosten on mahdollista tarjota käyttäjilleen vahvempi tunnistaminen liittymällä Hakan vahvemman tunnistamisen palvelun (MFA - Multi Factor Authentication) käyttäjäksi. Haka-organistaation Shibboleth IdP-palvelin liitetään MFA-palvelun asiakkaaksi, jolloin vahvempaa tunnistamista vaaditaan niiltä palveluilta, jotka sitä erikseen pyytävät.
Vahvempi tunnistaminen perustuu käyttäjän tunnistusvälineen rekisteröintiin tekstiviestin avulla. Liittyäkseen palveluun organisaation on hallittava käyttäjien puhelinnumeroita luotettavasti. Rekisteröinnin jälkeen vahvempi tunnistaminen toteutetaan aikaperusteisten kertakäyttösalasanojen avulla. Näitä tuottaa OTP-sovellus käyttäjän mobiililaitteessa (esim. Google Authenticator).
Lisätietoa Hakan MFA-palvelusta wikin alasivulla: Kohti vahvempaa tunnistamista .
Pysy ajan tasalla
Paras tapa pysyä ajan tasalla Hakan tapahtumista on seurata blogimerkintöjä Haka-wikissä. Voit tilata työsähköpostiisi muistutusviestin, kun blogiin tulee uusia merkintöjä.
- Kirjaudu wikiin sivun oikeasta yläkulmasta
- Eduuni-wiki tukee kirjautumisessa Hakan lisäksi mm. Virtu, eduGAIN ja sosiaalisen median tunnuksia
- Klikkaa tästä blogin etusivulle
- Klikkaa oikeasta yläkulmasta "Watch this Blog"
Voit myös seurata meitä Twitterissä: https://twitter.com/HakaFederation
Korkeakoulujen IAM-verkosto sparraa korkeakoulujen identiteetinhallinnan (IdM/IAM) kehittämistä vertaistukiperiaatteella. Seuraava tapaaminen järjestetään Vaasan yliopistolla. Ohjelma ja ilmoittautuminen:
Hakan kotiorganisaatioiden tietoturvallisuuden itseauditointi on jälleen ajankohtaista. Itseauditointi tapahtuu viime vuonna julkaistulla Web-lomakkeella jonka pitäisi toimia useimmilla päätelaitteilla. Lomakeen vaatimukset seuraavat edelleen vahvasti Kantara Identity Assurance Framework kehikon määrityksiä. Kriteeristö löytyy Service Assessment Criteria (SAC) dokumentista, jonka käytetty versio on 4.0bis. HAF-Lomakkeen lopusta löytyy myös "Haka laajennos", joka pitää sisällään Hakan omia erityisvaatimuksia.
Haka-ohjausryhmän päätöksen perusteella (29.9.2011) on kehitetty itseauditointimalli. Itseauditoinnissa jokainen organisaatio täyttää lomakkeen määräpäivään mennessä. Vastauksien perusteella tehdään yhteenveto ja esitetään jatkotoimenpiteitä Haka-ohjausryhmälle.
Lomakkeeseen pääsee kirjautumaan ainoastaan henkilöt joilla on muokkausoikeudet organisaation IdP-palvelimeen Hakan resurssirekisterissä. Lomakkeen kaikkiin kenttiin tulee vastata. Tyhjäksi jättäminen tarkoittaa N/A, jolloin myöskään pisteitä ei tästä vähennetä. Kun kymmenen organisaatiota on täyttänyt lomakkeen, näytetään graafissa myös Hakan keskiarvo.
Lomake löytyy osoitteesta: https://rr.funet.fi/haf.
- Lomakkeessa voit myös katsoa vuoden 2016 vastaukset ja muokata näitä tarvittavin osin, lomake tallentuu vuodelle 2017
Kysely | Osio | Määräaika |
|---|---|---|
| Kotiorganisaation itseauditointi | Haka Identity Assurance Level 1 Profile | 30.6.2017 |
Lisätietoja: Yhteystiedot
12.4.2017 klo 09:15 järjestetään seuraava infotilaisuus vahvemman tunnistamisen pilotista Hakassa. Infossa esitellään paitsi Hakan uusi ulkoasu, myös vahvemman kaksivaiheisen tunnistamisen pilottissa toteutetut käyttötapaukset.
Tilaisuus järjestetään verkossa: https://connect.funet.fi/haka ja siihen ei tarvitse etukäteen ilmoittautua. Kanavalle voi liittyä jo kello 09:00. Jos haluat esittää kysymyksiä infon päätteeksi, varmista ennen klo 09:15, että äänilaitteesi toimivat. Valitse kokoushuoneen vasemman yläreunan valikosta: Meeting->Audio Setup Wizard. Kysymyksiä voi esittää myös chat-ikkunassa.
Jos et pääse paikalle, mutta haluat liittää palvelusi (SP) tai Haka kotiorganisaation tunnistuspalvelimen (IdP) vahvemman tunnistamisen ratkaisuun, kysy lisätietoa Haka-helpdeskistä.
Next info about multifactor authentication in Haka will be held tomorrow 12.4.2017 at 09:15. The info will be held in Finnish online at https://connect.funet.fi/haka . Registration in advance is not required.