Kim Westerlund johtava konsultti, Nixu

Federoinnin vaikeat käyttötapaukset

palveluntarjoajille (SP)

© Nixu 2010

We must defend the Customer from risks, but purely defensive approach may prevent us from 

seeing opportuni:es. 

Nixun taustaa   Useita WebSSO + SAML -projekteja julkishallinnossa ja

suuryrityksille   Projektit ovat usein muuta kuin suoraviivaisia SAML-

integraatioprojekteja   Nixulla on käyttöönottoon keskittyvä menetelmä, koska

tekniikka on liian helppoa (johtaa).

© Nixu 2010

SARA apurahahakemuspalvelu tutkijoille 

>7 000 käy9äjää 

60%‐70%                   ‐käy9äjiä 

KTJ selainAetopalvelu kunnille, viranomaisille, kiinteistöväli9äjille ja luotonantajille 

>10 000 käy9äjää 

Paljon                  ‐käy9äjiä 

SP:n tulee tunnistaa käyttötapaukset

© Nixu 2010

Yhdistä paikalliseen tunnukseen 

Koskee vain paikallisia

Koskee vain federoituja käyttäjiä

Koskee molempia käyttötapauksia

Federoitu tunnus Pääkäyttäjä

Sisäinen käyttäjä

Paikallinen tunnus

Kirjautuminen 

SSO 

Logout 

Rekisteröityminen 

Käy9övaltuus‐hallinta 

Tilin luominen 

Ongelmanhallinta 

Palauta unohtunut salasana 

Vaihda salasana 

Omien k.Aetojen hallinta 

Yhdiste9yjen Alien hallinta 

Esimerkki Akatemian SARA-SP:n suunnittelusta

© Nixu 2010

Muistilista SP:lle   Onko järjestelmässä paikallinen tili tai profiili?   Luodaanko käyttäjä automaattisesti?   Miten tili poistuu kun käyttäjältä poistuu syy käyttää järjestelmää?

  Miten paikallisten tilien yhdistäminen hoidetaan?   Mitä tehdään yhdistetyn tilin paikalliselle salasanalle?   Säilyykö tili organisaatiovaihdon yhteydessä?   Miten omat käyttäjät tunnistetaan? Entä pääkäyttäjät?

  Valitse tunnistustasot – hyväksytäänkö weak kaikkiin toimintoihin?   Miten tarkistetaan että virtuHomeOrganization vastaa IdP:n organisaatiota   Mihin palvelun käyttövaltuudet perustuvat?   Mitä tietoja (attribuutteja) palvelu tarvitsee esim. tilin provisiointiin?

  Miten hoidetaan käyttäjän hätäpoisto/-muokkaus?   Miten hoidetaan valvonta ja end-to-end ongelmanselvitys?   …

© Nixu 2010

h9p://www.csc.fi/sivut/virtu/tekniikka/ohjeet_ja_suositukset/sp‐kay9oono9osuunnitelma.pdf h9p://www.csc.fi/sivut/virtu/tekniikka/ohjeet_ja_suositukset/idp‐kay9oono9osuunnitelma.pdf 

Miten Nixu voi auttaa liittymään luottamusverkkoon? Poistamalla yllätykset!

© Nixu 2010

•  Käy9ötapaukset •  VaaAmusmääri9ely •  [Prosessikartoitus] •  Tietoturvatason määri9ely 

Esiselvitys 

•  Tarjouspyyntö (valmistohjelmisto tai palvelu) •  VaaAmustenmukaisuuden arvioinA •  Sopimusneuvotelut Hankinta 

•  Ke9erä tekninen toteutus •  [Uusien prosessien määri9ely] •  Testaus eri IdP/SP –tahojen kanssa •  Tietoturva‐auditoinA 

Toteutus 

•  Palvelun rekisteröinA CSC:lle/VIP:lle •  2 kk:n pilo` •  Käy9öönoton suunni9elu  •  Ratkaisutuki jatkuvana palveluna  

Käy9ööno9o  

nixu.sales@nixu.com

tai

kim.westerlund@nixu.com p. 040 5123 125

Kiitos

Nixu kumppanina   Pohjoismaiden suurin tietoturvan

asiantuntijapalveluyritys – 80 henkeä   Perustettu 1988, liikevaihto > 8 M€   Sertifioitu maksukorttitietoturvan (PCI DSS)

auditoija   Tuotteistetut menetelmät ja jatkuva kehitys   n. 100 asiakasta yli 200 projektissa vuonna 2008   95 % asiakkaistamme on valmis suosittelemaan

kollegalleen (kevät ’09)   www.nixu.fi

2/4/10 © Nixu 2009

Nixun palvelualueet

Feb-4-10 © Nixu 2009

Develop kehi+ää 

Advise ohjeistaa

Build rakentaa

Inspect tarkastaa

•  Tietoturvastrategia •  Riskienhallinta •  Jatkuvuussuunnittelu •  Tietoturvapolitiikat ja ohjeistot •  Tietoturvakulttuurin luonti ja jalkautus •  Vaatimustenmukaisuus

•  Identiteetinhallinnan konsultointi ja toteutus •  Pääsynhallinta •  PKI kehitys •  Lokienhallinnan konsultointi •  Turva-arkkitehtuuri

•  PCI DSS auditoinnit •  Tietoturva-auditoinnit •  Verkon murtotestaus •  Web-sovellusten murtotestaus •  Forensiikka •  Testausautomaatio

•  Turvallinen ohjelmistokehitys •  Linux/embedded ohjelmistokehitys •  Secure SDLC