pptx - CSC

Report
Eduuni-työtilat ja
Sharepoint/ADFS
Toni Sormunen, OKM
Haka- ja Virtu -seminaari 17.1.2012
• Opetus- ja kulttuuriministeriön (OKM:n) toimialan ja sidosryhmien
yhteinen sähköinen palveluympäristö.
• Eduuni-palveluiden tarkoituksena on mahdollistaa joustava
työskentely yli organisaatiorajojen.
• Eduunin omistaa OKM ja sen palvelut tuotetaan in-house periaatteella
toimialalle.
– Eduunin lähtökohdaksi on otettu opetus- ja kulttuuriministeriön hallinnonalan
tietohallintostrategia 2006–2015, jonka keskeiset sanomat ovat sähköinen
työskentely ja verkostomainen toimintatapa.
– Eduunia ylläpitää ja kehittää CSC - Tieteen tietotekniikan keskus Oy yhteistyössä
OKM:n ja asiakasorganisaatioiden kanssa.
– Eduunin ohjausryhmänä toimii OKM:n toimialan tietohallinnon johtoryhmä (OpIT).
• Eduunin ensimmäinen palvelu otettiin tuotantokäyttöön hallinnonalan
virastoille 7.9.2009
• Hallinnonalan Eduuni-palveluja ovat työryhmäpalvelu (SharePoint),
Eduuni- pikaviestit ja verkkoneuvottelut (OCS) ja SALAMAasianhallinta
• Ensimmäinen toimialalle suuntautuva palvelu on Eduuni-työtilat
Eduuni-ID
• Hajautettu identiteetinhallintajärjestelmä, joka perustuu federoituihin
identiteetteihin.
• Identiteettinä käyttäjän työsähköpostiosoite, jonka hallinta
varmistetaan rekisteröitymisen yhteydessä.
• Kirjautumiseen käytettään jotain luotetuista tunnistuslähteistä (Haka,
Virtu, Google, LiveID, Yahoo!)
• Vahvaa tunnistusta varten tulossa Vetuma
Eduuni-työtilat ja Oma Eduuni
•
•
OKM:n toimialan yhteinen sähköisen työskentelyn ja verkostoitumisen
alusta.
Palvelu toteutettu Microsoft SharePoint 2010 tuotteella
– Laaja tuki eri selaimille
•
•
Eduuni-työtilat
SharePoint 2010 työtiloja
– sivustot voivat sisältää mm. asiakirjoja, kuvia, tehtäviä, keskusteluja, kalentereita, wiki tai
blogi-sivuja jne.
•
Työtilojen käyttövaltuutus Eduuni-ID:llä Oma Eduuni
– Tarjoaa jokaiselle palveluun rekisteröityneelle mahdollisuuden verkostoitua ja käyttää
sosiaalisen median ominaisuuksia
– Tallennustilaa omille tiedostoille
•
Tuki eri selaimille tuotteella mahdollisimman käyttöjärjestelmä/selain
riippumattomasti
SharePoint 2010 ja ADFS 2.0
• SharePoint 2010
– Claims-based WebApplicationit
– Useita autentikointitapoja voidaan hyödyntää samassa WebApplicationissa
– SharePointissa on oma STS, jossa tuki WS-federation protokollalle
• ADFS 2.0
– SAML 2.0 ja WS-federation tuki
– ADFS Claims Engine
– Mahdollisuus asentaa vikasietoinen farmi
SharePoint ympäristö
SharePoint STS asetukset
•
Asetetaan SharePoint STS luottamaan ADFS:ään
PowerShell - New-SPTrustedIdentityTokenIssuer
$tokensigningcert = New-Object
System.Security.Cryptography.X509Certificates.X509Certificate2(”tokensigning.cer")
$map1 = New-SPClaimTypeMapping "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" IncomingClaimTypeDisplayName "By Email" -SameAsIncoming
$map2 = New-SPClaimTypeMapping "http://schemas.domain.fi/claims/edupersonprincipalname" IncomingClaimTypeDisplayName "By eduPersonPrincipalName" –SameAsIncoming
$map3 = New-SPClaimTypeMapping "http://schemas.domain.fi/claims/virtupersonprincipalname" IncomingClaimTypeDisplayName "By virtuPersonPrincipalName" –SameAsIncoming
$realm = "https://testi.domain.fi/_trust/"
$signinurl = "https://adfs.domain.fi/adfs/ls/"
$ap = New-SPTrustedIdentityTokenIssuer -Name "Identity" -Description "ADFS 2.0" -Realm $realm ImportTrustCertificate $tokensigningcert -ClaimsMappings $map1,$map2,$map3 -SignInUrl $signinurl IdentifierClaim
$map1.InputClaimType
$rootca = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("RootCA.cer")
New-SPTrustedRootAuthority -Name "ADFS Token Signing Root Authority- fs.domain.fi" -Certificate $rootca
•
Tämän jälkeen voidaan SharePoint Web Applicationissa valita Trusted Identity
Provideriksi ADFS
ADFS 2.0 asetukset
• Asetetaan ADFS luottamaan SharePointin STS:ään
– ADFS 2.0 Management Console – Relying Party Trusts
– Add Relying Party Trust Wizard
• Valitaan AD FS 1.0 and 1.1 profile
• ADFS 2.0:n voi myös konfiguroida PowerShell cmdleteillä
– PowerShell komentoja
• Add-ADFSAttributeStore Adds an attribute store to the Federation Service.
• Add-ADFSCertificate Adds a new certificate to the Federation Service for
signing, decrypting, or securing communications.
• Add-ADFSClaimDescription Adds a claim description to the Federation
Service.
• Add-ADFSClaimsProviderTrust Adds a new claims provider trust to the
Federation Service.
• Add-ADFSRelyingPartyTrust Adds a new relying party trust to the Federation
Service.
ADFS 2.0 ja Virtun metadata
• ADFS ei voi suoraan hyödyntää Virtun metadataa.
– Kaikki IdP:t ja SP:t samassa metatiedossa
– Sertifikaattien käsittelyssä eroja
– Myös Virtun vaatimukset metatiedon käsittelystä huomioitava.
• Toteutus Powershell skriptillä ja ohjelmoimalla
– XML:n käsittely Powershell:n avulla helppoa.
– ADFS:n mukana paljon valmiita Powershell komentoja joita on hyödynnetty
toteutuksessa.
– Metadatan allekirjoituksen tarkastaminen ohjelmoimalla
– Osa tarkastuksista ADFS Claim Rule Language:n avulla
• Keskeiset kohdat metadatan käsittelyssä
– Metadatasta haetaan per IdP tarvittavat tiedot.
– Tiedot parametreina Add-ADFSClaimsProviderTrust komennolle .
– Encryption sertifikaatti
Kiitos!
[email protected]

similar documents