Tulostusversio

1/2012

Tunnistaminen: 1 käyttäjätunnus, 122 verkkopalvelua

Teksti: Mikael Linden

Haka-järjestelmä tarjoaa opiskelijoille ja henkilöstölle pääsyn korkeakoulujen yhteisiin palveluihin yhdellä käyttäjätunnus-salasanaparilla.

Haaga-Helia-ammattikorkeakoulun opiskelija kirjautuu verkossa oppimisalustalle osallistuakseen neljän oppilaitoksen yhdessä järjestämälle kiinan kielen verkkokurssille. Kirjautumiseen hän käyttää käyttäjätunnusta ja salasanaa, jotka hän sai aloittaessaan opinnot Haaga-Heliassa.

Kielitieteiden tutkija Turun yliopistosta tarvitsee väitöskirjaansa aineistoa saamen kielen rakenteesta. Sitä hän saa verkosta kirjautumalla kotiyliopistonsa tunnuksilla saamen kielen aineistokokoelmaan, jota ylläpitää Helsingin yliopiston nykykielten laitos.

Korkeakouluissa on runsaasti edellä kuvatun kaltaisia tilanteita, joissa tutkijan, opettajan tai opiskelijan täytyy kirjautua oman korkeakoulunsa ulkopuoliseen verkkopalveluun. Moni näistä palveluista edellyttää käyttäjän tunnistamista ja hänen käyttövaltuuksiensa varmistamista.

Melkein 300 000 käyttäjää

Aikaisemmin käyttäjiä rasitettiin lukuisilla järjestelmäkohtaisilla käyttäjätunnus-salasanapareilla. Suuret käyttäjämäärät ja käyttäjien suuri vaihtuvuus pakotti suuremmat korkeakoulut rationalisoimaan identiteetinhallintaansa jo 90-luvulla siirtymällä yhden käyttäjätunnuksen ja salasanan periaatteeseen.

Kun Suomen yliopistojen, ammattikorkeakoulujen ja tutkimuslaitosten yhteinen Haka-käyttäjätunnistusjärjestelmä otettiin käyttöön elokuussa 2005, yhden tunnuksen periaate laajentui koskemaan myös käyttäjän kirjautumista oman korkeakoulunsa ulkopuolella oleviin palveluihin.

Viime vuonna Hakalla oli noin 280 000 loppukäyttäjää, jotka tekivät vuoden aikana 9,4 miljoonaa kirjautumista.

Tällä hetkellä Hakaan kuuluu 38 korkeakoulua, ja Haka-kirjautumisen piirissä on 122 opiskelijoiden, opettajien ja tutkijoiden tarvitsemaa palvelua.

Luottamusverkosto määrää pelisäännöt

Haka-käyttäjätunnistus perustuu korkeakoulujen luottamusverkostomaiseen toimintatapaan. Luottamusverkostoon liittyneet korkeakoulut ja palvelut sitoutuvat pelisääntöihin, jotka luovat pohjan Haka-tunnistuksen luotettavuudelle.

Haka-luottamusverkostoa koordinoi ja operoi valtion omistama Tieteen tietotekniikan keskus CSC, joka tuottaa IT-palveluja ja -infrastruktuuria Suomen korkeakoulujen ja tutkimuslaitosten tarpeisiin.

Kotikorkeakoulu hoitaa tunnushallinnon

Hakassa kukin korkeakoulu huolehtii omien opiskelijoidensa ja työntekijöidensä ensitunnistuksen lisäksi heidän käyttäjätunnustensa sekä rooli- ja käyttäjätietojensa ajantasaisuudesta.

Kun opiskelijan opinnot tai työntekijän palvelussuhde päättyy, kotikorkeakoulu huolehtii hänen käyttäjätunnuksensa sulkemisesta järjestelmässään, jolloin myöskään Haka-kirjautuminen ei ole enää mahdollista.

Tietosuoja huomion keskipisteessä

Kun käyttäjä kirjautuu verkkopalveluun, kotikorkeakoulun tunnistuspalvelu tunnistaa käyttäjän salasanan perusteella. Mikäli käyttäjätunnus ja salasana täsmäävät, tunnistuspalvelu luovuttaa käyttäjän henkilötietoja verkkopalvelulle.

Luovutettavien henkilötietojen joukko riippuu palvelun tarpeista. Jos kyse on esimerkiksi pääsystä korkeakoulukirjaston tutkijoille tilaamiin sähköisiin lehtiin, riittävää voi olla tieto siitä, että kirjautuva käyttäjä on yliopistotutkija.

Usein palvelut tarvitsevat kuitenkin myös tietoja, joiden avulla käyttäjä voidaan yksilöidä. Myös käyttäjän nimi ja sähköpostiosoite ovat usein palvelun tarvitsemia henkilötietoja.

Ennen henkilötietojen luovuttamista kotikorkeakoulun tunnistuspalvelu näyttää, mitä henkilötietoja palvelu tulee saamaan hänestä ja tarjoaa mahdollisuuden tutustua palvelun tietosuojaselosteeseen.

Henkilötietojen siirron turvana käytetään salausta ja palvelinvarmenteita.

Haka-käyttäjätunnistuksen tekniikka perustuu Suomen julkishallinnon käyttämään SAML 2.0 -standardiin ja -profiiliin. Kaikki korkeakoulut käyttävät avoimen lähdekoodin toteutuksia.

Riittävän turvallinen salasana

Haka-järjestelmässä olisi mahdollista käyttää myös vahvaa tunnistamista, mutta useimmissa käyttötilanteissa salasanatunnistus on katsottu kustannustehokkaaksi ja riittävän luotettavaksi.

Yhden käyttäjätunnuksen ja salasanan periaate luo myös edellytyksiä salasanatunnistuksen tukevoittamiseen, esimerkiksi entistä pidempien ja vaikeampien salasanojen vaatimiseen ja niiden säännölliseen vaihtamiseen: Kun käyttäjällä on vain yksi usein käytettävä salasana, voidaan kohtuudella edellyttää vaikeankin salasanan ulkoa oppimista.

---

[KIRJOITTAJA]

Mikael Linden on vanhempi sovellusasiantuntija Tieteen tietotekniikan keskus CSC:ssä.

Lue myös

Tunnistaminen: Kalmarin unioni 2.0 »
Tunnistaminen: Hyvät salasanat on pakko säilöä »
Tunnistaminen: Salasanoista ei päästä eroon vielä vuosiin »
Tunnistaminen: Voiko varmentajaan luottaa? »
Tunnistaminen: Uusi uhka - biometriset tunnisteet verkossa »
Tunnistaminen: Nimellä, nimimerkillä vai molemmilla? »
Tunnistautumalla viesti nopeammin julki »
Tunnistaminen: Mobiilivarmenteelle lisää käyttöä »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.