Exchange, SharePoint ja Office Communicator tarvitsevat varmenteita toimiakseen oikein ja muodostaakseen tietoturvallisen toimintaympäristön. Tämä on lisännyt PKI:n tunnettavuutta, ja siitä on muodostunut osa suurempia infrastruktuurihankkeita.

Nyt Microsoft tuo markkinoille seuraavan keskeisen teknologian. Blogissammekin paljon puhuttu federointi on valittu tehokkaimmaksi tavaksi toteuttaa saumaton loppukäyttäjäkokemus kun kirjaudutaan Microsoftin pilvipalveluihin.

Federointi helpottaa pilvipalveluun siirtymistä

Federointi ei varsinaisesti ole vaatimus Office 365 käyttöönottoon, mutta ratkaisee suuren osan juuri niistä pahimmista kipukynnyksistä, joita on pilvipalveluun siirtymisessä. Tästä hyvänä esimerkkinä on kertakirjautuminen, vahvatunnistautuminen tai pragmaattinen esimerkki mahdollisuudesta siirtää loppukäyttäjän postilaatikko pilveen ilman tarvetta Outlook-profiilin uusimiseen.

Se, mikä näkyy loppukäyttäjälle sähköpostilaatikon saumattomana siirtymisenä, tarkoittaa pellin alla saman identiteetin säilymistä. Tämä saattaa kuulostaa joko todella huimalta tai merkityksettömältä. Eron ratkaisee se kuinka vahvasti identiteetin merkitys on sisäistetty.

Samoin kuin PKI:n käyttöönoton suunnittelussa myös federoinnin yhteydessä on hyvä ymmärtää, mitä mahdollisuuksia se tarjoaa, ja mitä ollaan varsinaisesti tekemässä. Kun siirrytään Microsoftin pilvipalveluihin tavoitteena voi olla säilyttää käyttäjähallinta aidosti paikallisessa aktiivihakemistossa tietojen replikoimisen sijaan.

Palvelimiin investointi maksaa itsensä takaisin

Tavoitteen saavuttamiseksi vikasietoiseen federointiympäristöön joutuu investoimaan neljän palvelimen verran (vikasietoinen federointi – ja vikasietoinen federointi proxy -palvelin). Palvelimet antavat lisää levytilaa sekä laskentatehoa ja palvelut helpottavat käyttöä, eikä käyttäjän tarvitse esimerkiksi kirjautua useaan järjestelmään vaan kertakirjautuminen riittää.

Jotta palvelimiin investoimisesta saataisiin kaikki hyöty irti, on hyvä miettiä mitä muita tekniikoita vaadittu AD FS 2.0 mahdollistaa. Esimerkiksi voidaan mainita seuraavat hyödyt:

• kumppanit voivat federoitua yrityksen itse tuottamaan sisältöön
• tiedon suojaamiseen käytettyjen RMS-palveluiden federointi
• mahdollisuus federoitua muihin pilvipalveluihin (matkalaskut, jne), ja
• mahdollisuus toteuttaa hallittuja ympäristöjä oman aktiivihakemiston ulkopuolelle, joihin federoidaan omien työntekijöiden identiteetit.

Federointistrategiasta paljon hyötyä

Blogin tarkoituksena on herättää keskustelua siitä, miten yhden ongelman ratkaisuun vaadittua teknologiaa voidaan hyödyntää laajemmin, mutta vaatimuksena on teknologian ymmärrys. Federointi ei itsessään tarkoita mitään vaan on lähinnä kattotermi useammalle toteutustavalle, kilpaileville standardeille, ja toisestaan hyvin poikkeaville tuotteille.

Vaikka federointi tai pilvipalvelut eivät tuntuisikaan vielä ajankohtaiselta, suosittelen että yrityksen kannattaisi tehdä federointistrategia. Tällä strategialla voidaan varmistaa, että käyttöönotetut ratkaisut tukevat valittuja teknologioita sekä vaadittuja tietoturva- ja toiminnallisuusvaatimuksia.

Strategian avulla voidaan palveluita ostaessa varmistaa, että yhdellä hankitulla ratkaisulla voidaan ratkaista ostettujen palveluiden identiteettivaatimukset. Lisäksi voidaan varmistaa, että yhteistyöyritysten kanssa rakennettaviin palveluihin valitaan ratkaisuja, jotka myös tukevat valittua linjaa.

Virtu-speksi on derivoitu yliopistojen käyttämästä Haka-speksistä. Julkishallinnon toimintaympäristö on kuitenkin kovin erilainen kuin yliopistojen välinen avoin yhteistyö. Haka:ssa kaikki käyttäjästä tarvittavat tiedot (= attribuutit) ovat mukana federointiviestissä ja järjestelmät poimivat siitä tiedot tarpeen mukaan käyttöönsä. Businessmaailmassa, jossa julkishallintokin käytännössä elää, asia on kuitenkin kovin erilainen. Iso osa sovellutuksista, joiden käyttöä juuri Virtu helpottaisi, pyörii kolmansien osapuolien ylläpitäminä tai omistamina. Ja usein näille kolmansille osapuolille on tarpeen tietää tarkka käyttäjämäärä esim. laskutusperusteeksi. Lisäksi osalla sovellutuksista on pitkä historia ja sovellus on pultattu kiinni käyttäjädataan niin tiivisti, ettei sitä pystytä purkamaan. Näissä tapauksissa käyttäjädata siis pyörii sovellutuksessa ja sitä ei voida federoida “lennossa” sovellukseen. Tällaisille sovelluksille federointi on vain puolet ratkaisusta ja käytännössä täyttää vain SSO:n vaatimukset. Käyttäjähallinnan haasteet jäävät kuitenkin jäljelle. Tällaisia ovat esimerkiksi käyttäjätilien perustaminen sovellukseen (provisioiminen) ja niiden poistaminen (deprovisiointi) ja nämä ovat usein vähintäänkin yhtä iso ongelma automatisoida kuin itse federoinnin toteutus.

Virtuun liittymisen vaatimuksiin on listattu myös valtiohallinnon tietoturvatasojen mukaiset auditoinnit. Auditointi on varsin raskas prosessi ja mielestäni jokseenkin turha vaihe pakottaa tehtäväksi tässä yhteydessä. Olisi hyvä, että auditointiin kannustettaisiin organisaatioiden oman parhaan vuoksi, eikä sitä asetettaisi rasitteeksi uusien tekniikoiden käyttöönotolle. Lisäksi sovellusten vaatimat tietoturvatasot tulisi olla määriteltyinä ennen kuin vaaditaan IdP-järjestelmille jotain tiettyä tasoa, muuten tietoturvatasot menettävät merkitystään.

Yleisesti on suositeltava, että julkishallinnon organisaatioiden olisi hyvä omistaa oma IdP tai sitten olla mukana jossakin yhteisessä IdP:ssä. IdP:n hankinta ei nykypäivänä ole ongelma, tarjontaa löytyy niin Open Source kuin kaupalliseltakin puolelta ja myös Virtuun erikoistuneita konsulttitaloja löytyy. IdP:n voi myös hankkia SaaS-palveluna, jolloin oma investointikin on minimaalinen. Viralliseen Virtuun liittyminenkään ei aina ole pakollista (tietoturva-auditoinnit) vaan tarvittaessa IdP – SP tahojen välillä voidaan tehdä kahden väliset sopimukset vaikkakin itse federointiviesti olisi Virtun mukainen. Tällöin organisaatio voisi joustavasti liittyä Virtuun suorittamalla tietoturvatasojen mukaisen auditoinnin, infra kuitenkin olisi jo yhteensopiva siihen. Jos organisaatiolla ei kuitenkaan ole perus IAM-infra kunnossa, niin IdP:n täysimittainen käyttäminen voi olla vaikeaa.

Suurimpana ongelmana näen käyttäjätietojen hallinnan (provisiointi ja deprovisiointi). Niin kauan kuin tähän problematiikkaan ei tule malliratkaisuja, joita julkishallinnon piirissä käytettäisiin, federoinnin leviäminen on hidasta ja siitä ei saada täyttä hyötyä irti. Myös tietoturva-aspektista tilanne on haastava niin kauan kun esim. deprovisioinnin laadusta ei voida mennä varmuuteen. Tätä problematiikkaa käsittelee mm. Gartnerin raportti “The Emerging Architecture of Identity Management“.

Kun miettii tarkemmin yllämainittuja seikkoja ja myöntää sen faktan, että federoinnista on turhalla jargonilla tehty hyvin monimutkainen asia ymmärtää, niin Virtun käyttöönoton innostuksen puutetta on helppo ymmärtää.

Tapahtuma järjestettiin osana valtakunnallista tietoturvaviikkoa jonka takana on mm. viestintävirasto Ficora. Siinä missä tietoturvaviikko keskittyy enemmänkin kansalaisten ja pk-yritysten ohjeistamiseen turvallisesta netin käytöstä, pureutui Tietoturvatapahtuma yritysten ja organisaatioiden tietoturvastrategioihin.
Ja niistähän riitti puhuttavaa. Kun lasketaan yhteen kaikki 28 ohjelmapuheenvuoroa, vieraiden ja asiantuntijoiden väliset henkilökohtaiset tapaamiset sekä keskustelut tietoturvaständeillä, vaihdettiin tietoturvasta ajatuksia päivän aikana valtava määrä. Haasteena onkin saada nuo ajatukset käytäntöön.

Amazon Kindle –lukulaite, jota aiemmassa blogikirjoituksessamme ”mainostimme” osoittautui tapahtuman, tai ainakin Trusteqin ständin, vetonaulaksi. Samoin Federoijan pikaopas, jota jaoimme tapahtumavieraille. Federointi on aiheena ajankohtainen monessa organisaatiossa, ja tämä näkyi suoraan myös oppaan menekissä.
Jatkoa oppaalle seuraa myöhemmin keväällä, IAM-kirjan muodossa, joten jos aihe kiinnostaa, kannatta pitää silmät auki. Tulevassa opuksessa on tarkoitus syventyä identiteetin ja pääsynhallinnan maailmaan niin teknisestä kuin business –näkökulmasta. Kirja tulee tilattavaksi nettisivuillemme, ja ilmoittelemme siitä tarkemmin blogissamme.

Tutustu Lead Architectimme Juha Kervisen pitämään puheenvuoroon tästä.