ݺߣ

ݺߣShare a Scribd company logo

SAML SP - vaikeat käyttotapaukset, HAKA - Virtu päivä 3.2.2010

Kim Westerlund
Kim Westerlund

Esitys käsittelee HAKA tai Virtu -luottamusverkkojen SP-toteutusten haasteita lähinnä kun federoitujen identiteettien lisäksi on paikallisia käyttäjiä (Finnish).

1 of 9
Downloaded 12 times
1
2
3
4
5
6
7
8
9
Federoinnin vaikeat käyttötapaukset palveluntarjoajille (SP) Kim Westerlund johtava konsultti, Nixu WemustdefendtheCustomerfromrisks,but purelydefensiveapproachmaypreventusfrom seeingopportuni:es. © Nixu 2010
Nixun taustaa   Useita WebSSO + SAML -projekteja julkishallinnossa ja suuryrityksille   Projektit ovat usein muuta kuin suoraviivaisia SAML- integraatioprojekteja   Nixulla on käyttöönottoon keskittyvä menetelmä, koska tekniikka on liian helppoa (johtaa). SARAapurahahakemuspalvelututkijoille KTJselainAetopalvelukunnille, viranomaisille,kiinteistöväli9äjilleja >7000käy9äjää luotonantajille 60%‐70%‐käy9äjiä >10000käy9äjää Paljon‐käy9äjiä © Nixu 2010
SP:n tulee tunnistaa käyttötapaukset Yhdistä Yhdiste9yjenAlien paikalliseen hallinta tunnukseen Ongelmanhallinta Kirjautuminen Federoitu SSO Käy9övaltuus‐ Pääkäyttäjä tunnus hallinta Logout Tilinluominen Paikallinen Rekisteröityminen tunnus Palautaunohtunut salasana Vaihdasalasana Sisäinen Koskee vain paikallisia käyttäjä Omienk.Aetojen hallinta Koskee vain federoituja käyttäjiä © Nixu 2010 Koskee molempia käyttötapauksia
Esimerkki Akatemian SARA-SP:n suunnittelusta © Nixu 2010
Muistilista SP:lle   Onko järjestelmässä paikallinen tili tai profiili?   Luodaanko käyttäjä automaattisesti?   Miten tili poistuu kun käyttäjältä poistuu syy käyttää järjestelmää?   Miten paikallisten tilien yhdistäminen hoidetaan?   Mitä tehdään yhdistetyn tilin paikalliselle salasanalle?   Säilyykö tili organisaatiovaihdon yhteydessä?   Miten omat käyttäjät tunnistetaan? Entä pääkäyttäjät?   Valitse tunnistustasot – hyväksytäänkö weak kaikkiin toimintoihin?   Miten tarkistetaan että virtuHomeOrganization vastaa IdP:n organisaatiota   Mihin palvelun käyttövaltuudet perustuvat?   Mitä tietoja (attribuutteja) palvelu tarvitsee esim. tilin provisiointiin?   Miten hoidetaan käyttäjän hätäpoisto/-muokkaus?   Miten hoidetaan valvonta ja end-to-end ongelmanselvitys?   … h9p://www.csc.fi/sivut/virtu/tekniikka/ohjeet_ja_suositukset/sp‐kay9oono9osuunnitelma.pdf h9p://www.csc.fi/sivut/virtu/tekniikka/ohjeet_ja_suositukset/idp‐kay9oono9osuunnitelma.pdf © Nixu 2010
Miten Nixu voi auttaa liittymään luottamusverkkoon? Poistamalla yllätykset! •  Käy9ötapaukset Esiselvitys •  •  VaaAmusmääri9ely [Prosessikartoitus] •  Tietoturvatasonmääri9ely •  Tarjouspyyntö(valmistohjelmistotaipalvelu) Hankinta •  VaaAmustenmukaisuudenarvioinA •  Sopimusneuvotelut •  Ke9erätekninentoteutus Toteutus •  •  [Uusienprosessienmääri9ely] TestauseriIdP/SP–tahojenkanssa •  Tietoturva‐auditoinA •  PalvelunrekisteröinACSC:lle/VIP:lle Käy9ööno9o •  •  2kk:npilo` Käy9öönotonsuunni9elu •  Ratkaisutukijatkuvanapalveluna © Nixu 2010
Kiitos nixu.sales@nixu.com tai kim.westerlund@nixu.com p. 040 5123 125
Nixu kumppanina   Pohjoismaiden suurin tietoturvan asiantuntijapalveluyritys – 80 henkeä   Perustettu 1988, liikevaihto > 8 M€   Sertifioitu maksukorttitietoturvan (PCI DSS) auditoija   Tuotteistetut menetelmät ja jatkuva kehitys   n. 100 asiakasta yli 200 projektissa vuonna 2008   95 % asiakkaistamme on valmis suosittelemaan kollegalleen (kevät ’09)   www.nixu.fi 2/4/10 © Nixu 2009
Nixun palvelualueet Advise Build Develop Inspect ohjeistaa rakentaa kehi+ää tarkastaa •  Tietoturvastrategia •  Identiteetinhallinnan •  Turvallinen •  PCI DSS auditoinnit •  Riskienhallinta konsultointi ja toteutus ohjelmistokehitys •  Tietoturva-auditoinnit •  Jatkuvuussuunnittelu •  Pääsynhallinta •  Linux/embedded •  Verkon murtotestaus •  Tietoturvapolitiikat ja •  PKI kehitys ohjelmistokehitys •  Web-sovellusten ohjeistot •  Lokienhallinnan •  Secure SDLC murtotestaus •  Tietoturvakulttuurin konsultointi •  Forensiikka luonti ja jalkautus •  Turva-arkkitehtuuri •  Testausautomaatio •  Vaatimustenmukaisuus Feb-4-10 © Nixu 2009
Ad

Recommended

Tietovastuu - Pilvipalveluiden turvallisuus
Tietovastuu - Pilvipalveluiden turvallisuus
Nixu Corporation
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuus
guest6a238ed
Nixu 2012 Mittarit Tietoturvan Johtamiseen - Tilannekuva Hallintaan
Nixu 2012 Mittarit Tietoturvan Johtamiseen - Tilannekuva Hallintaan
Pietari Sarjakivi
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
Nixu Corporation
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Petri Aukia
Nixu 2012 Mista business case lokienhallintaan
Nixu 2012 Mista business case lokienhallintaan
Pietari Sarjakivi
Turvallinen ja helppo pääsy
Turvallinen ja helppo pääsy
Finceptum Oy
PCI DSS 3.0 - Merkittävimmät muutokset
PCI DSS 3.0 - Merkittävimmät muutokset
Nixu Corporation
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuus
Kim Westerlund
IAM projektit, Tampereen teknillinen yliopisto 2010
IAM projektit, Tampereen teknillinen yliopisto 2010
Kim Westerlund
Pilvipalveluhanke tietoturvan nakokulmasta
Pilvipalveluhanke tietoturvan nakokulmasta
Tomppa Kuusi (formerly Järvinen)
Tieturi-internet-ohjelmointi-1998
Tieturi-internet-ohjelmointi-1998
japijapi
Tietovastuu sosiaalisessa mediassa v3
Tietovastuu sosiaalisessa mediassa v3
Nixu Corporation
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Nixu Corporation
Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta...
Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta...
Mirva Tapaninen
Tietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
Tietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
Valtiokonttori / Statskontoret / State Treasury of Finland
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Nixu Corporation
Tietoturvapalveluiden kehitysnäkymät - Tietoturvaseminaari 2013 - Tapio Ranta...
Tietoturvapalveluiden kehitysnäkymät - Tietoturvaseminaari 2013 - Tapio Ranta...
Sonera
Tiedonhallinnan haasteista tietovuotojen estämiseen - Information Assurance -...
Tiedonhallinnan haasteista tietovuotojen estämiseen - Information Assurance -...
Mikko Jakonen
MIGRATION_EXAMPLE_Eero_Siljander_150223.pdf
MIGRATION_EXAMPLE_Eero_Siljander_150223.pdf
Eero Siljander
Lcty 2010 Vaasa: jari yli koivisto
Lcty 2010 Vaasa: jari yli koivisto
Jukka-Pekka Sorvisto
Lcty 2010 vaasa jari yli koivisto final
Lcty 2010 vaasa jari yli koivisto final
Jukka-Pekka Sorvisto
IdM, salaus ja cyberspace - Läpinäkyvä käyttäjähallinta ja salaus kyberulottu...
IdM, salaus ja cyberspace - Läpinäkyvä käyttäjähallinta ja salaus kyberulottu...
Mikko Jakonen
IdM
IdM
Mikko Jakonen
TechNetTV 30.3.2011: Dynaaminen infra ja System Center
TechNetTV 30.3.2011: Dynaaminen infra ja System Center
Jarno Mäki
Kajaani2010
Kajaani2010
Juhani Anttila
SQL Server 2012 aamiaisseminaari
SQL Server 2012 aamiaisseminaari
Salcom Group
Tietovastuu – yritysjohdon grc ratkaisut v4
Tietovastuu – yritysjohdon grc ratkaisut v4
Nixu Corporation

More Related Content

Similar to SAML SP - vaikeat käyttotapaukset, HAKA - Virtu päivä 3.2.2010 (20)

Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuus
Kim Westerlund
IAM projektit, Tampereen teknillinen yliopisto 2010
IAM projektit, Tampereen teknillinen yliopisto 2010
Kim Westerlund
Pilvipalveluhanke tietoturvan nakokulmasta
Pilvipalveluhanke tietoturvan nakokulmasta
Tomppa Kuusi (formerly Järvinen)
Tieturi-internet-ohjelmointi-1998
Tieturi-internet-ohjelmointi-1998
japijapi
Tietovastuu sosiaalisessa mediassa v3
Tietovastuu sosiaalisessa mediassa v3
Nixu Corporation
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Nixu Corporation
Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta...
Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta...
Mirva Tapaninen
Tietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
Tietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
Valtiokonttori / Statskontoret / State Treasury of Finland
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Nixu Corporation
Tietoturvapalveluiden kehitysnäkymät - Tietoturvaseminaari 2013 - Tapio Ranta...
Tietoturvapalveluiden kehitysnäkymät - Tietoturvaseminaari 2013 - Tapio Ranta...
Sonera
Tiedonhallinnan haasteista tietovuotojen estämiseen - Information Assurance -...
Tiedonhallinnan haasteista tietovuotojen estämiseen - Information Assurance -...
Mikko Jakonen
MIGRATION_EXAMPLE_Eero_Siljander_150223.pdf
MIGRATION_EXAMPLE_Eero_Siljander_150223.pdf
Eero Siljander
Lcty 2010 Vaasa: jari yli koivisto
Lcty 2010 Vaasa: jari yli koivisto
Jukka-Pekka Sorvisto
Lcty 2010 vaasa jari yli koivisto final
Lcty 2010 vaasa jari yli koivisto final
Jukka-Pekka Sorvisto
IdM, salaus ja cyberspace - Läpinäkyvä käyttäjähallinta ja salaus kyberulottu...
IdM, salaus ja cyberspace - Läpinäkyvä käyttäjähallinta ja salaus kyberulottu...
Mikko Jakonen
IdM
IdM
Mikko Jakonen
TechNetTV 30.3.2011: Dynaaminen infra ja System Center
TechNetTV 30.3.2011: Dynaaminen infra ja System Center
Jarno Mäki
Kajaani2010
Kajaani2010
Juhani Anttila
SQL Server 2012 aamiaisseminaari
SQL Server 2012 aamiaisseminaari
Salcom Group
Tietovastuu – yritysjohdon grc ratkaisut v4
Tietovastuu – yritysjohdon grc ratkaisut v4
Nixu Corporation
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuus
Kim Westerlund
IAM projektit, Tampereen teknillinen yliopisto 2010
IAM projektit, Tampereen teknillinen yliopisto 2010
Kim Westerlund
Pilvipalveluhanke tietoturvan nakokulmasta
Pilvipalveluhanke tietoturvan nakokulmasta
Tomppa Kuusi (formerly Järvinen)
Tieturi-internet-ohjelmointi-1998
Tieturi-internet-ohjelmointi-1998
japijapi
Tietovastuu sosiaalisessa mediassa v3
Tietovastuu sosiaalisessa mediassa v3
Nixu Corporation
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Nixu Corporation
Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta...
Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta...
Mirva Tapaninen
Tietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
Tietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
Valtiokonttori / Statskontoret / State Treasury of Finland
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Nixu Corporation
Tietoturvapalveluiden kehitysnäkymät - Tietoturvaseminaari 2013 - Tapio Ranta...
Tietoturvapalveluiden kehitysnäkymät - Tietoturvaseminaari 2013 - Tapio Ranta...
Sonera
Tiedonhallinnan haasteista tietovuotojen estämiseen - Information Assurance -...
Tiedonhallinnan haasteista tietovuotojen estämiseen - Information Assurance -...
Mikko Jakonen
MIGRATION_EXAMPLE_Eero_Siljander_150223.pdf
MIGRATION_EXAMPLE_Eero_Siljander_150223.pdf
Eero Siljander
Lcty 2010 Vaasa: jari yli koivisto
Lcty 2010 Vaasa: jari yli koivisto
Jukka-Pekka Sorvisto
Lcty 2010 vaasa jari yli koivisto final
Lcty 2010 vaasa jari yli koivisto final
Jukka-Pekka Sorvisto
IdM, salaus ja cyberspace - Läpinäkyvä käyttäjähallinta ja salaus kyberulottu...
IdM, salaus ja cyberspace - Läpinäkyvä käyttäjähallinta ja salaus kyberulottu...
Mikko Jakonen
IdM
IdM
Mikko Jakonen
TechNetTV 30.3.2011: Dynaaminen infra ja System Center
TechNetTV 30.3.2011: Dynaaminen infra ja System Center
Jarno Mäki
Kajaani2010
Kajaani2010
Juhani Anttila
SQL Server 2012 aamiaisseminaari
SQL Server 2012 aamiaisseminaari
Salcom Group
Tietovastuu – yritysjohdon grc ratkaisut v4
Tietovastuu – yritysjohdon grc ratkaisut v4
Nixu Corporation

SAML SP - vaikeat käyttotapaukset, HAKA - Virtu päivä 3.2.2010

  • 1. Federoinnin vaikeat käyttötapaukset palveluntarjoajille (SP) Kim Westerlund johtava konsultti, Nixu WemustdefendtheCustomerfromrisks,but purelydefensiveapproachmaypreventusfrom seeingopportuni:es. © Nixu 2010
  • 2. Nixun taustaa   Useita WebSSO + SAML -projekteja julkishallinnossa ja suuryrityksille   Projektit ovat usein muuta kuin suoraviivaisia SAML- integraatioprojekteja   Nixulla on käyttöönottoon keskittyvä menetelmä, koska tekniikka on liian helppoa (johtaa). SARAapurahahakemuspalvelututkijoille KTJselainAetopalvelukunnille, viranomaisille,kiinteistöväli9äjilleja >7000käy9äjää luotonantajille 60%‐70%‐käy9äjiä >10000käy9äjää Paljon‐käy9äjiä © Nixu 2010
  • 3. SP:n tulee tunnistaa käyttötapaukset Yhdistä Yhdiste9yjenAlien paikalliseen hallinta tunnukseen Ongelmanhallinta Kirjautuminen Federoitu SSO Käy9övaltuus‐ Pääkäyttäjä tunnus hallinta Logout Tilinluominen Paikallinen Rekisteröityminen tunnus Palautaunohtunut salasana Vaihdasalasana Sisäinen Koskee vain paikallisia käyttäjä Omienk.Aetojen hallinta Koskee vain federoituja käyttäjiä © Nixu 2010 Koskee molempia käyttötapauksia
  • 5. Muistilista SP:lle   Onko järjestelmässä paikallinen tili tai profiili?   Luodaanko käyttäjä automaattisesti?   Miten tili poistuu kun käyttäjältä poistuu syy käyttää järjestelmää?   Miten paikallisten tilien yhdistäminen hoidetaan?   Mitä tehdään yhdistetyn tilin paikalliselle salasanalle?   Säilyykö tili organisaatiovaihdon yhteydessä?   Miten omat käyttäjät tunnistetaan? Entä pääkäyttäjät?   Valitse tunnistustasot – hyväksytäänkö weak kaikkiin toimintoihin?   Miten tarkistetaan että virtuHomeOrganization vastaa IdP:n organisaatiota   Mihin palvelun käyttövaltuudet perustuvat?   Mitä tietoja (attribuutteja) palvelu tarvitsee esim. tilin provisiointiin?   Miten hoidetaan käyttäjän hätäpoisto/-muokkaus?   Miten hoidetaan valvonta ja end-to-end ongelmanselvitys?   … h9p://www.csc.fi/sivut/virtu/tekniikka/ohjeet_ja_suositukset/sp‐kay9oono9osuunnitelma.pdf h9p://www.csc.fi/sivut/virtu/tekniikka/ohjeet_ja_suositukset/idp‐kay9oono9osuunnitelma.pdf © Nixu 2010
  • 6. Miten Nixu voi auttaa liittymään luottamusverkkoon? Poistamalla yllätykset! •  Käy9ötapaukset Esiselvitys •  •  VaaAmusmääri9ely [Prosessikartoitus] •  Tietoturvatasonmääri9ely •  Tarjouspyyntö(valmistohjelmistotaipalvelu) Hankinta •  VaaAmustenmukaisuudenarvioinA •  Sopimusneuvotelut •  Ke9erätekninentoteutus Toteutus •  •  [Uusienprosessienmääri9ely] TestauseriIdP/SP–tahojenkanssa •  Tietoturva‐auditoinA •  PalvelunrekisteröinACSC:lle/VIP:lle Käy9ööno9o •  •  2kk:npilo` Käy9öönotonsuunni9elu •  Ratkaisutukijatkuvanapalveluna © Nixu 2010
  • 7. Kiitos nixu.sales@nixu.com tai kim.westerlund@nixu.com p. 040 5123 125
  • 8. Nixu kumppanina   Pohjoismaiden suurin tietoturvan asiantuntijapalveluyritys – 80 henkeä   Perustettu 1988, liikevaihto > 8 M€   Sertifioitu maksukorttitietoturvan (PCI DSS) auditoija   Tuotteistetut menetelmät ja jatkuva kehitys   n. 100 asiakasta yli 200 projektissa vuonna 2008   95 % asiakkaistamme on valmis suosittelemaan kollegalleen (kevät ’09)   www.nixu.fi 2/4/10 © Nixu 2009
  • 9. Nixun palvelualueet Advise Build Develop Inspect ohjeistaa rakentaa kehi+ää tarkastaa •  Tietoturvastrategia •  Identiteetinhallinnan •  Turvallinen •  PCI DSS auditoinnit •  Riskienhallinta konsultointi ja toteutus ohjelmistokehitys •  Tietoturva-auditoinnit •  Jatkuvuussuunnittelu •  Pääsynhallinta •  Linux/embedded •  Verkon murtotestaus •  Tietoturvapolitiikat ja •  PKI kehitys ohjelmistokehitys •  Web-sovellusten ohjeistot •  Lokienhallinnan •  Secure SDLC murtotestaus •  Tietoturvakulttuurin konsultointi •  Forensiikka luonti ja jalkautus •  Turva-arkkitehtuuri •  Testausautomaatio •  Vaatimustenmukaisuus Feb-4-10 © Nixu 2009
About
© 2025 ݺߣ