Versio | |
|---|---|
| 1 | Tunnistautumisjärjestelmän minimivaatimukset luotu (9.8.2013 PK) |
| 2 | Vaatimuksia täydennetty (21.8.2013 PK) |
| 3 | Vaatimuksia täydennetty (4.11.2013 PK) |
| 4 | Vaatimuksia täydennetty (6.11.2013 PK) |
| 5 | Vaatimuksia täydennetty (9.12.2013 PK) |
| 6 | Vaatimuksia täydennetty (18.12.2013 PK) |
Yleistä
UKJ:n tunnistautumisjärjestelmä kattaa sekä kirjastojen henkilökunnan että asiakkaiden tunnistamisen. Jokaiselle UKJ:n asiakkaalle ja kirjastojen henkilökunnalle luodaan järjestelmään sähköinen identiteetti. Tunnistautuminen on pyrittävä toteuttamaan niin, että pystytään mahdollisimman tehokkaasti hyödyntämään ulkoisia autentikointijärjestelmiä sekä useita tunnistusmekanismeja. Käyttäjien tulee voida valita usean tarjoalla olevan vaihtoehdon väliltä itselleen parhaiten sopiva tunnistautumismenetelmä. Järjestelmän on tuettava sekä heikkoa että vahvaa tunnistusta. Joidenkin järjestelmän tarjoamien toimintojen suorittaminen edellyttää vahvaa tunnistusta.
Asiakkaat
Asiakkaan rekisteröityminen palveluun vaatii vahvaa tunnistamista, esim. Vetuma-palvelu. Rekisteröitymisen yhteydessä asiakkaalle luodaan järjestelmään sähköinen identiteetti ja hän saa UKJ:n oman käyttäjätunnuksen ja salasanan. Rekisteröitymisen jälkeen asiakas voi jatkossa kirjautua palveluun saamansa UKJ:n oman käyttäjätunnus-salasana parin avulla tai vahvaa tunnistusta käyttäen. Rekisteröitymisen yhteydessä asiakas yksilöidään tarkistuksella väestötietojärjestelmästä, jotta voidaan varmistua, että asiakkaalla ei ole useita identiteettejä palvelussa. UKJ:n omien asiakaskäyttäjätunnusten toteutustapa ja hallinnointi tullaan määrittelemään tarkemmin toteutusvaiheessa.
Kirjastojen henkilökunta
Kirjastojen henkilökunnan tunnistaminen voidaan toteuttaa Kansalliskirjaston Kirjastoverkkopalvelujen tekeillä olevan Atlasian Crowd -ohjelmistoon perustuvan tunnistuspalvelun kautta. Kirjastojen henkilökunnalle luodaan tunnistuspalveluun sähköinen identiteetti sekä siihen liittyvä käyttäjätunnus, joka mahdollistaa UKJ:hin kirjautumisen lisäksi myös kirjautumisen kaikkiin muihin KVP:n tarjoamiin palveluihin. Käyttäjätunnusten ohella tunnistuspalvelu mahdollistaa UKJ:hin kirjautumisen useiden ulkoisten autentikointijärjestelmien ja tunnistusmekanismien avulla, kuten esimerkiksi LDAP-käyttäjähakemisto, Vetuma-palvelu ja Haka-tunnistus. Ulkoiset järjestelmät eivät ole suoraan yhteydessä UKJ:hin, vaan niiden käyttö tapahtuu tunnistuspalvelun kautta. Ulkoisten järjestelmien käyttäminen UKJ:hin kirjauduttaessa edellyttää, että käyttäjällä on jo olemassa oleva identiteetti tunnistuspalvelussa ja että ulkoisesta lähteestä saatavat tiedot pystytään luotettavasti yhdistämään identiteettiin. Pelkkä identiteetin luominen ei anna kirjastojen henkilökunnalle mitään käyttöoikeuksia, vaan käyttöoikeudet määritellään erikseen. Käyttäjien hallinta eli käyttäjien lisääminen, muokkaaminen ja poistaminen tapahtuu alkuvaiheessa tunnistuspalvelun tarjoaman käyttöliittymän kautta. Pidemmällä tähtäimellä käyttäjien hallintaan liittyvä toiminallisuus toteutetaan UKJ:n omassa käyttöliittymässä tunnistuspalvelun tarjoamia rajapintoja hyödyntäen.
Sähköiseen identiteettiin liittyviä tietoja:
- tunnistuspalvelun yksikäsitteinen käyttäjä-id (=käyttäjätunnus)
- yksikäsitteinen viitetunniste, joka liittää tunnistuspalvelun käyttäjätunnuksen ulkoiseen identiteettiin
- henkilötunnus, OID-oppija-ID
- henkilötietoja
- nimi, email, puhelinnumero
- organisaatio
- KVP:n palvelut, joihin käyttäjällä oikeus
- tiedot UKJ:n sisäisistä käyttöoikeuksista ja rooleista eivät tunnistuspalvelussa
Vaatimukset
Alla olevaan taulukkoon on kirjattu tunnistautumisjärjestelmään kohdistuvia minimivaatimuksia. Monet vaatimukset liittyvät järjestelmän tietoturvaan ja saattavat jatkossa siirtyä tietoturvavaatimusten puolelle.
| ID | Vaatimus | Lähde |
|---|---|---|
| TJMV-1 | Järjestelmän on kyettävä hyödyntämään useita ulkoisia autentikointijärjestelmiä. | |
| TJMV-2 | Järjestelmän täytyy käyttää salausta tunnistautumistietoja liikuteltaessa. | |
| TJMV-3 | Salasanojen tallentamista järjestelmään pitää välttää. | Vahti 1/2013 (SNT-010) |
| TJMV-4 | Järjestelmään tallennetuista salasanoista tulee tallentaa vain salt-arvojen kanssa lasketut tiivisteet. | Vahti 1/2013 (SNT-013) |
| TJMV-5 | Järjestelmään tallennettujen salasanojen vaatimusten on oltava kofiguroitavissa: salasanan pituus, erikoismerkkien määrä, salasanalauseiden käyttö, salasanan vanhenemisaika. | Vahti 1/2013 (SNT-010) |
| TJMV-6 | Järjestelmään tallennetujen salasanojen vaihtoväli on voivata määritellä pakolliseksi. | |
| TJMV-7 | Salasanan vaihtamisen yhteydessä uusi salasana on pyydettävä käyttäjältä kahteen kertaan. | |
| TJMV-8 | Järjestelmän on mahdollistettava tunnuksen lukkiutuminen määräajaksi liian monen epäonnistuneen kirjautumisyrityksen jälkeen. | Vahti 1/2013 (SNT-010) |
| TJMV-9 | Korkeakoulujen henkilöstön ja opiskelijan täytyy voida kirjautua järjestelmään HAKA-tunnuksilla. | |
| TJMV-10 | Kirjastojen henkilöstön tunnistautumisen on oltava mahdollista LDAP-hakemiston avulla. | |
| TJMV-11 | Kirjastojen henkilöstön ja asiakkaiden täytyy voida tunnistautua Vetuma-tunnistautumisen kautta. | |
| TJMV-12 | Tunnistautumisen on oltava mahdollista Crowd-järjestelmän avulla. | |
| TJMV-13 | Jokaisella käyttäjällä on oltava uniikki käyttäjän yksilöivä tunniste. | |
| TJMV-14 | Organisaatioasiakkaiden on voitava kirjautua järjestelmään KATSO-tunnuksella. | |
| TJMV-15 | Tunnistautumisen on oltava mahdollista mobiilivarmenteen avulla. | |
| TJMV-16 | Tunnistautumisen on oltava mahdollista hst-kortin avulla. | |
| TJMV-17 | Tunnistautumisen on oltava mahdollista Shibboleth-järjestelmän avulla. | |
| TJMV-18 | Käyttäjätunnukseen tulee pystyä liittämään useita viitetunnuksia, jotka liittävät käyttäjätunnuksen ulkoiseen identiteettiin, esim. hetu, OID. | |
| TJMV-19 | Käyttäjän on voitava muuttaa järjestelmään tallennettua salasanaansa. |