Etikettarkiv: shibboleth

Populära shibboleth-tjänster

logoDatacentralen har tittat på statistiken för inloggning till olika Shibboleth-anslutna tjänster på Hanken under år 2014. Vi bjuder här på en presentation av de mest populära tjänsterna. Kanske du hittar någon tjänst du inte visste om – med största sannolikhet kan du logga in på tjänsten med ditt Hanken-användarnamn och lösenord!

#1 – Hankens Moodle

Hankens nya Moodle anslöts till Shibboleth våren 2014, men toppar ändå redan nu klart listan med 5633 inloggningar. Du kan bekanta dig med Hankens Moodle på https://moodle.hanken.fi/moodle/

#2 – Rondo

Rondo är Hankens applikation för elektronisk mottagning och hantering av inköpsfakturor. Rättighet att logga in i systemet har alla som sakgranskar eller godkänner Hankens fakturor i Rondo. Systement är i flitig användning vilket andra platsen och 3713 inloggningar vittnar om.

#3 – M2

M2 är Hankens applikation för behandling av resekostnader och kostnadsrersättningar och används av så gott som alla anställda. M2 används ungefär lika flitigt som Rondo och statistiken visar på 3219 inloggningar.

#4 – Personec ESS – Employee Self Service

Med hjälp av självbetjäningsmodulen ESS (Employers Self Service) administreras personalen semestrar, sjuledigheter och övriga korta ledigheter elektroniskt. 2978 inloggningar.

#5 – Mobility Online

I Mobility Online portalen administreras såväl inkommande som utgående utbytesstuderande. Studerande vid Hanken som är på väg att studera utomlands loggar in med shibboleth och får därmed en hel del uppgifter förhandsifyllda i formuläret. Mobility Online portalen med 2801 shibboleth-inloggningar kan du besöka här »

#6 – Webropol

Med Webropol (2412 inloggningar) kan man skapa frågeformulär som publiceras på webben och respondenterna själva fyller i. Datat kan tas ut och analyseras i statistikprogram som SPSS, och för enklare sammanställningar har Webropol också egna rapporter. Mer om användningen av Webropol på Hanken kan läsas på http://www.hanken.fi/student/webropol

#7 – Shs.fi

Studentkårens nya webbplats togs i bruk på våren och har med 1801 inloggningar i snabb takt tagit en plats på TOP-10 bland shibboleth-tjänsterna. http://www.shs.fi/

#8 – Datacentralens helpdesk

Användargränssnittet för Datacentralens helpdesk är i aktivt bruk bland Datacentralens personal. 1622 gånger har vi i år loggat in för att hjälpa er alla!

#9 – Stiftelsens webbaserade ansökningstjänst

Med tjänsten är det möjligt att online ansöka om stipendier från Stiftelsen Svenska Handelshögskolan. 862 inloggningar.

#10 – Helsingfors univeristet HUPnet

Alla kanske inte visste det – men via Shibboleth kan även Hankens studerande och personal logga in på Helsingfors universitets trådlösa nät HUPnet. 723 gånger har denna möjlighet utnyttjats i år. Datacentralen rekommenderar dock att man tar i bruk eduroam som kan användas på en mängd ställen världen runt!

#11 – Helsingfors universitet Moodle

Det går bra att logga in på Helsingfors universitets Moodle https://moodle.helsinki.fi/ med sitt vanliga Hanken-användarnamn. 642 inloggningar i år.

#12 – Schema

Schemaläggaren är det nya verktyget för att bygga sin egen läsordning utgående från den undervisning som ordnas. Genom att logga in kan du spara dina egna läsordningar och även synkronisera uppgifterna med andra kalenderverktyg. För inloggade studerande kommer tjänsten senare i höst att automatiskt skapa en läsordning utgående från de anmälningar som gjorts. Verktyget togs ibruk under sommaren och har för tillfället 611 inloggningar. Verktyget hittas på adressen https://schema.hanken.fi/ – instruktioner hittas här:  http://www.hanken.fi/student/lasordning

#13 – Joopas.fi

Med ansökningssystemet Joopas kan man ansöka till flexibla studier. 500 inloggningar.

#14 – Hankens nya webb

Hankens nya webb finns för tillfället endast i en utvecklingsmiljö. Med 497 inloggningar tyder det på att såväl utvecklare som utsedda testanvändare varit flitigt framme!

#15 – Hankens Öppna universitets anmälningstjänst

Studerande och personal på Hanken kan använda sina Hanken-användarkoder i anmälningstjänsten. 438 inloggningar i år (merparten av de som använder anmälningstjänsten använder lokala användarkoder eftersom de inte har användarkoder på Hanken från tidigare).

Utöver dessa ovan listade tjänster så har 4638 inloggningar till 54 andra shibboleth-anslutna tjänster gjorts! Totalt har vi registrerat ca 34000 inloggningar under tiden 1.1-14.8.2014.

Certifierade utmaningar

logo

Den 14-15 november förnyas certifikatet för Hankens shibboleth Identity Provider vilket kan medföra tillfälliga avbrott i användningen av de tjänster som använder shibboleth-inloggning. Läs mera om bakgrunden här nedan och se den planerade tidtabellen för certifikatbytet som finns i slutet av texten.

I höst har det gått tre år sedan vi på Hanken på allvar kom igång med att bli en hemorganisation eller Identity Provider (IdP) i Haka-identitetsfederationen. Själva IdP-tjänsten öppnades för allmänheten den 1 april 2011 och har sedan dess erbjudit centraliserad inloggning till många populära tjänster så som Rondo, M2 och Personec ESS. Tre år är också giltighetstiden på de certifikat som används i tjänsten, och därmed står vi nu denna vecka inför vårt första certifikatbyte inom identitetsfederationen.

I vardagliga fall är ju ett certifikatbyte allt annat än en dramatisk operation. Alla webbtjänster som används över krypterad förbindelse använder sig av certifikat som med jämna mellanrum föråldras och byts ut. Allt detta sker helt rutinmässigt. Men när det kommer till en identitetsfederation så finns det plötsligt betydligt fler bitar i pusslet som alla måste falla in på rätt plats och på rätt tid. Således är ju också sannolikheten för att något skall gå fel betydligt större, och spänningen därmed konstant närvarande.

hakaSom bakgrund en kort repetition om hur inloggningen inom identitetsfederationen går till: Användaren besöker en ansluten tjänst och skickas till sin hemoganisation för att där identifiera sig med sitt lokala användarnamn och lösenord. Från hemorganisationen (IdP) skickas användaren tillbaka till önskad tjänst med uppgifter om en lyckad inloggning och vid behov med olika attribut i bagaget. För att den här kommunikationen skall vara pålitlig och kunna bekräftas har hemorganisationen och de olika tjänsterna på förhand utbytt metadata där bland annat certifikat och tjänsternas specifika egenskaper framgår. För de tjänster och hemorganisationer som är registrerade i Haka-identitetsfederationen uppdateras denna metadata automatiskt med jämna intervaller.

SAML (Security Assertion Markup Language) som används för kommunikationen mellan hemorganisationerna och tjänsteleverantörerna är i sig mycket liberalt inställd till behandlingen av certifikat. Certifikatet behöver inte vara ett officiellt certifikat och certifikatets giltighetstid beaktas inte (även om det förstås hör till gott administratörskap att hålla certifikaten giltiga). Vidare tillåter SAML flera samtidiga certifikat, vilket möjliggör en mjuk övergång från ett gammalt certifikat till ett nytt. Detta är av praktiska orsaker en nödvändighet eftersom tjänsterna uppdaterar metadatan med olika intervall, och det kan ta upp till två veckor innan alla tjänster nåtts av den nya metadatan. Således är det alltså brukligt att under en ca två veckors period använda dubbla certifikat i metadatan så att alla tjänster fortsättningsvis skall kunna kommunicera med hemorganisationen. Utöver de tjänster som är anslutna till Haka använder vi oss också av flera tjänster där vi byter metadata direkt med tjänsteleverantören, och även i de fallen skulle det vara svårt att samordna så att alla tjänsteleverantörer skulle byta till ny metadata på exakt samma tidpunkt. Så långt alltså allt under kontroll och inga mörka moln på federationshimlen.

certifikatMen problemen uppstår när det finns aktörer som följer egna regler och tolkningar av uppgjorda definitioner. Även vi använder oss aktivt av en sådan tjänst, vilket gör den smidiga övergången betydligt mer osannolik. I vårt fall är det ADFS (Active Directory Federation Services) som används av eDuuni som har en egen tolkning av överenskomna regler. För det första godkänner ADFS inte ett föråldrat certifikat i metadatan. Det här kan ju ännu eventuellt förklaras som en skärpt tolkning av föreskrifterna i syfte att  förbättra datasäkerheten. Men fallet kompliceras ytterligare av att ADFS inte heller godkänner två samtidiga certifikat i metadatan, vilket i praktiken målar in oss i ett hörn, och gör att just t.ex. eDuuni kommer att vara onåbar minst några dagar, i värsta fall betydligt längre än det.

Även de tjänster som inte är Haka-anslutna så som Personec ESS och Stiftelsens stipendieansökningssystem kan bli föremål för kortare avbrott i inloggningen.

Tidtabell för certifikatbytet för Hankens Identity Provider:

  • Torsdag 14.11 publiceras den nya metadatan i Haka innehållande två certifikat för idp.shh.fi. Tjänsten eDuuni kommer tillfälligt att sluta fungera med Hanken-inloggning som en följd av de dubbla certifikaten.
  • Fredag 15.11: om ett tillräckligt stort antal tjänsteleverantörer uppdaterat sin metadata och en överenskommelse om tidpunkt med de tjänster som står utanför Haka (t.ex. Personec ESS, Stiftelsen) kunnat uppnås byts certifikatet ut i hemorgansiationen (IdP:n). De tjänster som inte ännu uppdaterat sin metadata kommer tillfälligt att sluta fungera med Hanken-inloggning.
  • Vid nästa uppdatering av Haka-metadatan (förhoppningsvis redan i början av veckan därpå) försvinner det gamla certifikatet från metadatan och t.ex. eDuuni kan användas normalt igen. Efter detta kan det ännu förekomma tjänster som av en eller annan orsak inte uppdaterar sin metadata automatiskt. Problem med dessa kan anmälas till help@hanken.fi

Verkställt (uppdateras under processens gång)

  • Den nya metadatan publicerades i Haka torsdag 14.11 ca kl. 10.
  • Webbservercertifikatet på idp.shh.fi förnyades 14.11 ca kl. 17.
  • Certifikaten och metadatan på idp.shh.fi böts ut 15.11 kl. 6.05

Följande tjänster har testats och fungerar med det nya certifikatet:

  • Rondo OK
  • M2 OK
  • Öppnas ansökningssystem OK
  • Pythia/RT OK
  • Joopas OK
  • Webropol OK
  • Funet/CSC (diverse tjänster) OK
  • Eduuni OK
  • Personec ESS (uppdaterad 15.11 kl. 7:40 OK)
  • Stiftelsens ansökningssystem (uppdaterad 15.11 kl. 9:30 OK)

Dessa tjänster väntar ännu på leverantörens åtgärd innan man kan logga in:

  • För tillfället är vi inte medvetna om system där man inte kan logga in. Meddela help@hanken.fi om du har problem med att logga in på någon tjänst.

Datacentralen beklagar eventuella problem certifikatbytet förorsakar, men påminner även om att detta är något som endast sker med tre års mellanrum.