Julkishallinnon federointi ja Virtu
Julkishallinnon federoinnin Virtu-speksi on ollut nyt olemassa vajaan vuoden. Suurta innokkuutta Virtun käyttöönottoon ei ole tullut valtiohallinnon organisaatioiden parissa. Miksi näin?
Virtu-speksi on derivoitu yliopistojen käyttämästä Haka-speksistä. Julkishallinnon toimintaympäristö on kuitenkin kovin erilainen kuin yliopistojen välinen avoin yhteistyö. Haka:ssa kaikki käyttäjästä tarvittavat tiedot (= attribuutit) ovat mukana federointiviestissä ja järjestelmät poimivat siitä tiedot tarpeen mukaan käyttöönsä. Businessmaailmassa, jossa julkishallintokin käytännössä elää, asia on kuitenkin kovin erilainen. Iso osa sovellutuksista, joiden käyttöä juuri Virtu helpottaisi, pyörii kolmansien osapuolien ylläpitäminä tai omistamina. Ja usein näille kolmansille osapuolille on tarpeen tietää tarkka käyttäjämäärä esim. laskutusperusteeksi. Lisäksi osalla sovellutuksista on pitkä historia ja sovellus on pultattu kiinni käyttäjädataan niin tiivisti, ettei sitä pystytä purkamaan. Näissä tapauksissa käyttäjädata siis pyörii sovellutuksessa ja sitä ei voida federoida “lennossa” sovellukseen. Tällaisille sovelluksille federointi on vain puolet ratkaisusta ja käytännössä täyttää vain SSO:n vaatimukset. Käyttäjähallinnan haasteet jäävät kuitenkin jäljelle. Tällaisia ovat esimerkiksi käyttäjätilien perustaminen sovellukseen (provisioiminen) ja niiden poistaminen (deprovisiointi) ja nämä ovat usein vähintäänkin yhtä iso ongelma automatisoida kuin itse federoinnin toteutus.
Virtuun liittymisen vaatimuksiin on listattu myös valtiohallinnon tietoturvatasojen mukaiset auditoinnit. Auditointi on varsin raskas prosessi ja mielestäni jokseenkin turha vaihe pakottaa tehtäväksi tässä yhteydessä. Olisi hyvä, että auditointiin kannustettaisiin organisaatioiden oman parhaan vuoksi, eikä sitä asetettaisi rasitteeksi uusien tekniikoiden käyttöönotolle. Lisäksi sovellusten vaatimat tietoturvatasot tulisi olla määriteltyinä ennen kuin vaaditaan IdP-järjestelmille jotain tiettyä tasoa, muuten tietoturvatasot menettävät merkitystään.
Yleisesti on suositeltava, että julkishallinnon organisaatioiden olisi hyvä omistaa oma IdP tai sitten olla mukana jossakin yhteisessä IdP:ssä. IdP:n hankinta ei nykypäivänä ole ongelma, tarjontaa löytyy niin Open Source kuin kaupalliseltakin puolelta ja myös Virtuun erikoistuneita konsulttitaloja löytyy. IdP:n voi myös hankkia SaaS-palveluna, jolloin oma investointikin on minimaalinen. Viralliseen Virtuun liittyminenkään ei aina ole pakollista (tietoturva-auditoinnit) vaan tarvittaessa IdP – SP tahojen välillä voidaan tehdä kahden väliset sopimukset vaikkakin itse federointiviesti olisi Virtun mukainen. Tällöin organisaatio voisi joustavasti liittyä Virtuun suorittamalla tietoturvatasojen mukaisen auditoinnin, infra kuitenkin olisi jo yhteensopiva siihen. Jos organisaatiolla ei kuitenkaan ole perus IAM-infra kunnossa, niin IdP:n täysimittainen käyttäminen voi olla vaikeaa.
Suurimpana ongelmana näen käyttäjätietojen hallinnan (provisiointi ja deprovisiointi). Niin kauan kuin tähän problematiikkaan ei tule malliratkaisuja, joita julkishallinnon piirissä käytettäisiin, federoinnin leviäminen on hidasta ja siitä ei saada täyttä hyötyä irti. Myös tietoturva-aspektista tilanne on haastava niin kauan kun esim. deprovisioinnin laadusta ei voida mennä varmuuteen. Tätä problematiikkaa käsittelee mm. Gartnerin raportti “The Emerging Architecture of Identity Management“.
Kun miettii tarkemmin yllämainittuja seikkoja ja myöntää sen faktan, että federoinnista on turhalla jargonilla tehty hyvin monimutkainen asia ymmärtää, niin Virtun käyttöönoton innostuksen puutetta on helppo ymmärtää.
Kategoria: Blogi 
Aiheet: deprovisionti, federointi, Haka, IAM, idP, julkishallinto, käyttäjähallinta, provisionti, Virtu
Tietoturvatasojen kanssa toimineena kommentoisin, että itse auditointiprosessi ei ole kovin raskas, vaan hyvin paljon kevyempi kuin kansainvälisten standardien mukaisuuden arviointi.
Toiseksi, federointi on viime kädessä luottamuspeliä: luotammeko siihen että meidän tietojamme käyttävä organisaatio ei vuoda niitä tietoturvaongelmien vuoksi ulospäin. Tästä näkökulmasta kaikkien federoinnin osapuolten pitäisi pystyä osoittamaan se, että tietoturvallisuus on organisaatiossa otettu käytännössä huomioon, ei pelkästään puheiden tasolla.
Ehkäpä auditointia onkin “markkinoitu” raskaampana kuin mitä se todellisuudessa on. Tosiaalta usealle organisaatiolle, varsinkin nykyisessä taloudellisessa ympäristössä, auditoinnin vaatimalle tasolle pääseminen on haastava hanke. Osaajia prosessien kehittämiseen ei löydy omasta organisaatiosta ja budjetit ovat niin tiukassa ettei ulkoakaan niitä voi ostaa.
Lean esittää luottamussuhteen laadun tärkeyttä ei voi aliarvioida. Virtun leviämisen kannalta kuitenkin olisin toivonut, että auditointiin olisi kannustettu jollakin porkkanalla. Nyt organisaatiot toteavat, ettei ole rahkeita tehdä auditointia eikä sitä myöten liittyä Virtuunkaan. Näin myös federoinnin mahdollistamat hyödyt jäävät saavuttamatta – luottamusverkkohan kuitenkin toimii sitä tehokkaammin mitä enemmän siinä on tahoja mukana. Villinä heittona tällainen porkkana olisi voinut olla esimerkiksi VIP:n toteamus, että viisi ensimmäistä onnistuneesti auditoitua Virtuun liittynyttä organisaatiota olisi saanut auditoinnin ilmaiseksi.