LDAP-hakemistoa kehitetään
Minna Harjuniemi
Mappiposti, WebOodi, käyttäjätunnuksen jatkaminen, liikuntatilojen varaus - näitä kaikkia yhdistää keskitetty autentikointipalvelu. Käyttäjä voi siis tunnistautua eri järjestelmissä olevillä käyttäjätunnuksilla ”omaksi itsekseen” eli palveluita käyttääkseen ei tarvitse toista, kolmatta tai neljättä käyttäjätunnusta.

Palveluiden käyttämiseen ja käyttöoikeuksien tarkistamiseen on toistaiseksi riittänyt tieto siitä, että käyttäjä osaa antaa oikean salasanan. Nykyisellä menetelmällä ei siis voida välittää tietoa siitä, onko kyseessä kenties humanistisen vai matemaattis-luonnon- tieteellisen tiedekunnan käyttäjä tai kuuluuko käyttäjä henkilökuntaan vai opiskelijoihin.

Rooli- ja ryhmä-
tiedot hakemis-
toon

 Edellä kuvattujen roolitietojen välittäminen tulee tarpeelliseksi viimeistään yliopiston uutta portaalijärjestelmää käyttöönotettaessa: portaalissahan on tarkoitus muokata käyttäjälle näytettävää tietosisältöä sen mukaan, minkä oletetaan häntä roolinsa mukaisesti kiinnostavan - esimerkiksi humppalogian laitoksen opiskelija saa portaalietusivulleen tiedon humppalogian laitoksen ajankohtaisista asioista.

Rooli- ja ryhmätietoja on helpointa tallettaa hakemistoon. Hakemisto tässä yhteydessä on oikeastaan tietovarasto, johon voidaan tallettaa käyttäjiin - tai oikeastaan mihin tahansa tietokoneet mukaan lukien - liittyvää dataa. Julkisen avaimen menetelmää käytettäessä käyttäjäkohtaiset julkiset avaimet voidaan laittaa näkyville hakemistoon, jonka ylläpitäjään käyttäjät luottavat.

Tavanomaisten tietokantojen sijaan hakemistot on optimoitu nimenomaan luettaviksi. Hakemistot on rakennettu hierarkisiksi, joten alemmalle tasolle voidaan periyttää ylemmän tason ominaisuuksia, esimerkiksi käyttöoikeuksia tai organisaatiotietoja.

Standardiksi tavaksi lähestyä sähköisiä hakemistoja on tullut LDAP (Lightweight Directory Access Protocol). Yleiskielessä LDAP-hakemistolla tarkoitetaan siis LDAP:illa lähestyttävää hakemistoa.

Yliopistolla on jo useita vuosia ollut käytössä LDAP-hakemisto, josta on voinut hakea käyttäjien yhteystietoja, erityisesti sähköpostiosoitteita. Yhteystietohakemiston rinnalle rakennetaan nyt käyttäjien todentamiseen ja käyttöoikeuksien tarkistukseen käytettävä keskitetty hakemisto. Tässä yhteydessä toteutetaan myös ohessa mainittu autentikointijärjestelyiden muutos.

Autenti-
kointi

 LDAP-pohjaista keskitettyä autentikointipalvelua hyödyntäviä järjestelmiä on melko helppo rakentaa - periaatteessa myös laitosten omat järjestelmät voisivat tällaista palvelua hyödyntää. Menetelmä ei kuitenkaan ole täysin ongelmaton: jos käyttäjät tottuvat antamaan tunnus-salasana-parinsa mitä moninaisimmissa yhteyksissä, on mahdollista, että ilkeämielinen ylläpitäjä perustaa näennäisesti kunnollisen näköisen www-palvelun, jonka pohjimmaisena tarkoituksena onkin kerätä käyttäjien antamat tunnus-salasana-parit tietoonsa. Ideaalitilanteessa käyttäjille voitaisiin kertoa, että on vain yksi osoite, jossa he saavat antaa tunnuksensa ja salasanansa.

Käyttömukavuuden ylläpitämiseksi ei käyttäjän pidä joutua kirjoittamaan salasanaansa useita kertoja yhden ”istunnon” aikana. Ensimmäisen kirjautumisen jälkeen voidaan käyttöoikeus välittää muille sitä vaativille palveluille ns. tiketin avulla. Tällainen kertakirjautuminen on välttämätön ominaisuus esimerkiksi tulevassa portaalissa: kun käyttäjä on kirjautunut omalle portaalisivulleen, hän pääsee esimerkiksi webmailiinsa tai käyttölupatietoihinsa käsiksi tarvitsematta antaa salasanaansa uudestaan.

Yliopistolla on käytettävissä jo nyt tällainen tikettipohjainen autentikointimahdollisuus, jossa on joitakin puutteita. Itse tehtävien muutosten lisäksi harkitaan myös, onko järkevämpää siirtyä johonkin yleisemmin käytössä olevaan järjestelmään (esim. pubCookie tai WebISO). Käyttäjälle autentikoinnin taustalla oleva järjestelmä ei varsinaisesti näy, vaan kyse on enemmänkin ylläpidon ongelmasta.

Tunnistamistarpeita on myös erilaisten organisaatioiden - kuten yliopistojen - välillä: voi olla palveluita, jotka on tarkoitettu myös muiden yliopistojen opiskelijoille (esimerkiksi www-kursseja tai kirjastotietokantoja). Tällöin ei välttämättä ole tarpeen edes välittää tietoa siitä, kuka yksittäinen käyttäjä on, vaan pikemminkin, mitä hän on: humppalogian opiskelijalla Helsingin yliopistosta voi olla oikeus käyttää tiettyä tietokantaa vaikkapa Joensuun yliopistossa.

Tälle opiskelijalle voitaisiin toki myöntää käyttölupa Joensuun yliopiston tietojärjestelmiin eli käyttäjä tarvitsi taas yhden tunnus-salasana-parin lisää. Elegantimmassa ratkaisussa käyttöoikeus pystytään todentamaan käyttäjän olemassaolevalla tunnuksella, ja tämän toteuttaminen vaatii yhteisen ”tarkistusrajapinnan” organisaatioiden välille.

Tuota rajapintaa - samoin kuin yhteisiä määrityksiä LDAP-hakemistoille - ollaan Suomessa määrittämässä Funetin Hakemistot käyttäjähallinnossa -projektissa. Yhtenä vahvimmista ehdokkaista on Shibboleth, amerikkalaisissa yliopistoissa kehitetty standardeihin pohjautuva tekniikka, jossa käyttäjän tietosuoja on viety mahdollisimman korkealle tasolle. Tässä käyttäjä pystyy tarkkaan määrittelemään, mitä tietoja hän suostuu itsestään millekin taholle antamaan.

Palaute Ohjeet Yliopiston kotisivulle Atk-osaston kotisivulle edellinen juttu Atk-lehti seuraava juttu