Päivitetty viimeksi 28.1.2005

Takaisin sisällysluetteloon
IT Universitas nro 7 / 28. tammikuuta 2005

Vuoden 2004 HAKA-pilotit toivat kokemuksia palveluiden shibboloinnista

Mikael Linden, CSC

Vuonna 2004 korkeakouluissa toteutetut HAKA-pilotit syventyivät Shibboleth-tekniikan niveltämiseen olemassa oleviin palveluihin. Viidessä CSC:n rahoittamassa pilotissa tasoitettiin tietä korkeakoulujen oppimisalustojen ja WLAN-verkon kytkemiseen rakenteilla olevaan HAKA-infrastruktuuriin.

Tieteen tietotekniikan keskus CSC on yhdessä korkeakoulujen kanssa rakentamassa tietoteknistä infrastruktuuria korkeakoulurajat ylittävään käyttäjätunnistukseen (engl. federated identity). HAKA-infrastruktuuri tarjoaa korkeakoulujen opiskelijoille ja työntekijöille kertakirjautumisen korkeakoulumaailman palveluihin riippumatta siitä, mikä organisaatio palvelun tuottaa. HAKA-infrastruktuurin tekninen toteutus nojaa Yhdysvaltojen Internet2-hankkeessa kehitettyyn Shibboleth-tekniikkaan. Vuoden 2004 piloteissa Shibboleth-palvelin integroitiin mm. kolmeen oppimisalustaan, opetuksen tukityökaluun sekä WLAN-verkon pääsynvalvontaan.

WLAN-verkkovierailu ja Shibboleth

Korkeakoulujen ja tutkimuslaitosten Funet-verkon piirissä on ollut vireillä RADIUS-tekniikkaan perustuva Eduroam-verkkovierailu, jossa korkeakoulujen opiskelijat ja henkilökunta voivat kytkeytyä WLAN-verkkoon pistäytyessään toisen korkeakoulun kampuksella. Helsingin yliopisto toteutti RADIUS-pohjaisen verkkovierailun vaihtoehdoksi Shibboleth-tekniikkaa käyttävän verkkovierailun, joka tarjoaa mm. rooliin perustuvan pääsynvalvonnan ja kertakirjautumisen. Pilotin myötä Helsingin yliopiston HUPnet-verkkoa pääseekin käyttämään henkilökunta myös muista korkeakouluista. Avoimen lähdekoodin HUPnet-toteutus on nyt saatavilla ja se onkin herättänyt kiinnostusta Euroopassa ja Yhdysvalloissa.

Oppimisalustoihin yhdellä käyttäjätunnuksella

Monessa korkeakoulussa on käytössä useita oppimisalustoja, joita varten opiskelijoilla on perinteisesti erilliset käyttäjätunnukset ja salasanat. Shibbolethin käyttöönoton jälkeen oppimisalustaan kirjaudutaan korkeakoulun IT-keskuksen käyttäjätunnuksella ja samalla opiskelijan ajantasaiset henkilötiedot noudetaan käyttäjätunnustietokannasta. Oppimisalustan ylläpitäjä vapautuu käyttäjätunnustietojen ja salasanojen ylläpidosta oppimisalustassa - opiskelija puolestaan pääsee yhdellä käyttäjätunnuksella ja kertakirjautumisella myös oppimisalustoihin. Tampereen teknillisen yliopiston (TTY) hypermedialaboratorio rakensi Shibboleth-kirjautumisen A&O-oppimisalustaansa ja pilotoi sitä viidellä kurssilla syksyn 2004 aikana. Noin 400 eri käyttäjää kirjautui pilotissa A&O-oppimisalustaan yhteensä 6500 kertaa. "Käyttökokemukset ovat olleet erittäin positiivisia, järjestelmä on toiminut erittäin luotettavasti", sanoo projektipäällikkö Lauri Pohjanen TTY:n hypermedialaboratoriosta.

"Järjestelmä on toiminut erittäin luotettavasti," kertoi projektipäällikkö Lauri Pohjanen testattuaan Shibboleth-kirjautumista A&O-oppimisalustassa. Kuva: Katja Ayres

Helsingin yliopiston tietotekniikkaosasto nivelsi Shibbolethin WebCT-oppimisalustaan ja Kuopion yliopisto Moodle-oppimisalustaan. Moodle on nopeasti yleistyvä avoimen lähdekoodin oppimisalusta, jonka jakeluun on nyt sisällytetty pilotissa tehty Shibboleth-autentikointimoduli. Myös Jyväskylän ammattikorkeakoulussa pilotoitiin Shibbolethia R5 Generation-oppimisalustan yhteydessä.

Shibboleth - vakaa käytössä mutta asennus monimutkaista

Piloteissa palveluihin nivelletty Shibboleth target on Apache-www-palvelimen laajennus, joka ohjaa loppukäyttäjän autentikoitavaksi hänen kotikorkeakoulunsa ATK-keskuksen Shibboleth origin -palvelimelle. Onnistuneen autentikoinnin jälkeen target noutaa käyttäjän henkilötietoja origin-palvelimesta.

Yhdysvaltojen yliopistojen Shibboleth target -implementaatio nojaa muihin avoimen lähdekoodin kirjastoihin (mm. OpenSSL, Xerces, OpenSAML), joiden kääntämisessä lähdekoodista raportoitiin ongelmia. Jotkut käännettävistä osista ovat tarkkoja muiden osien tai kääntäjän versionumeroista. "Shibboleth käännettiin uudella kääntäjällä kun taas valmiina olevat ohjelmat esim. Apache oli käännetty gcc:n versiolla 2.96, mistä seurasi PHP:n uudelleenkääntämisen jälkeen epävakausongelmia", raportoi Pasi Tiirikainen Kuopion yliopiston Moodle-pilotista.

Kun kääntäminen ja asentaminen on saatu onnistumaan, on Shibboleth osoittautunut varsin vakaaksi käyttää. "Asennuksen jälkeen Shibboleth on toiminut kiitettävästi, eikä se ole kertaakaan kaatunut tai aiheuttanut muita vastaavia ongelmia", sanoo Aapo Mäkelä TTY:n ohjelmistotekniikan laitoksen OsCu-pilotista. Ohjelmistotekniikan laitos nivelsi Shibbolethin kurssimateriaalipankkiin, johon yliopistojen tietojenkäsittelytieteilijöiden OsCu-opetusverkosto taltioi yliopistoissa tuotettua opetusmateriaalia

Piloteilla kokemusta käyttäjätunnistuksen uusista tekniikoista

Järjestettyjen pilottien päämääränä oli rohkaista pilottikorkeakouluja kokeilemaan uusia käyttäjätunnistustekniikoita korkeakoulumaailmassa. Pilotteja järjestettiin myös muista tekniikoista kuin Shibbolethista. Tampereen yliopiston (TaY) tietokonekeskuksen TUPAS-pilotissa toteutettiin järjestelmä, jonka avulla loppukäyttäjä voi vaihtaa unohtuneen salasanansa itse verkkopankkien kertakäyttösalasanojen avulla (Lue lisää IT Universitas -numerosta 6). TaY on nyt julkaissut pilotissa toteutetun Perl-modulin.

CSC:n rahoittamien käyttäjätunnistuspilottien historia alkaa vuodesta 2001, jolloin HSTYA-projektin piloteissa käyttäjien henkilöllisyyden vahvaan todentamiseen etsittiin ratkaisua toimikorteista. Vuonna 2003 järjestettiin paitsi ensimmäiset kokeilut Shibboleth-tekniikasta, myös pilotit www-kertakirjautumisesta ja metahakemistoista. Useimmat tuolloin pilottina alkaneet palvelut ovat nykyisin tuotantokäytössä.

Vuodelle 2005 haettavaksi annetut pilotit syventyvät laajentamaan Shibboleth-tekniikan käyttöä uusille palvelualueille, kuten kurssiroolien siirtoon. Vuoden 2005 pilottien hakuaika päättyy 31.1.2005.

Lisätietoa ja loppuraportit vuoden 2004 piloteista HAKA-projektin verkkosivuilta.