Haka-infrastruktuuri: korkeakoulujen yhteinen käyttäjätunnistusjärjestelmä

Suomen yliopistoissa ja ammattikorkeakouluissa on 40 000 työntekijää ja 300 000 tutkinto-opiskelijaa. Opetus ja tutkimus tukeutuvat yhä enemmän tietoverkossa avautuviin palveluihin, joiden käyttäminen edellyttää tyypillisesti sisäänkirjautumista.

Aikaisemmin kunkin palvelun käyttäjähallinnosta (käyttäjätunnusten, salasanojen ja käyttöoikeuksien antamisesta ja ylläpidosta) on vastannut kunkin korkeakoulun kyseinen yksikkö itse, esim. opetusta antava laitos oppimisympäristöistä, korkeakoulun kirjasto kirjastopalveluista, opintoasiainhallinto opiskelijarekisteristä, taloushallinto osto- ja matkalaskujen hallintasovelluksista jne. Tämä on kuormittanut sekä palvelun ylläpitoa (opettajat, tutkijat ja hallintohenkilökunta joutuvat ylläpitämään samojen käyttäjien päällekkäisiä käyttäjätietoja) että loppukäyttäjiä (yhdellä henkilöllä useita muistettavia käyttäjätunnus/salasanapareja).

Korkeakoulut ovat verkostoituneet opetuksessa, tutkimuksessa ja hallinnossa. Tämä on johtanut siihen, että yksittäisten korkeakoulujen verkkopalveluissa ylläpidetään käyttäjätunnustietoja nyt myös muiden korkeakoulujen loppukäyttäjistä. Lisäksi korkeakoulut ovat hankkineet yhteisiä keskitettyjä tietojärjestelmiä, jotka edellyttävät sisäänkirjautumista: esimerkiksi korkeakoulukirjastoilla on pitkä historia yhteisistä tietojärjestelmistä. Myös korkeakoulujen talous- ja henkilöstöhallinnot ovat siirtyneet keskitettyjen ASP-sovellusten käyttöön (mm. ostolaskujen kierrätys, matkanhallinta, henkilöstörekisteri/Employee Self-Service). Suurella osalla korkeakoulujen henkilökunnasta on tarve kirjautua näihin sovelluksiin.

Haka-infrastruktuuri on korkeakoulujen tietohallintoyksiköiden ja tieteen tietotekniikan keskus CSC:n kehittämä yhteistoimintamuoto, joka tavoittelee yhden käyttäjätunnuksen periaatetta Suomen koko korkeakoulukentässä. Loppukäyttäjä (korkeakouluopiskelija tai -työntekijä) saa yhden käyttäjätunnuksen oman korkeakoulunsa tietohallinnosta, ja käyttää sitä kirjautumisessa korkeakoulumaailman verkkopalveluihin riippumatta siitä, tuotetaanko palvelu omassa korkeakoulussa vai muissa organisaatioissa.

Haka-infrastruktuuri vapauttaa palvelujen omistajat (opetus-, tutkimus-, ja hallintohenkilökunnan) loppukäyttäjien tietojen ylläpidosta ja unohtuneiden salasanojen uusimisesta. Kun käyttäjätietojen ylläpito on keskitetty tietohallintoon, voivat muut yksiköt korkeakouluissa keskittyä omaan ydinalueeseensa: opettajat opettamiseen, tutkijat tutkimuksen harjoittamiseen ja korkeakoulujen hallinnon muut yksiköt asiakkaidensa palvelemiseen. Tietohallinto puolestaan voi erikoistua käyttäjähallintoon liittyvissä tehtävissä ja kytkeä käyttäjätietokannan korkeakoulun opiskelija- ja henkilökuntarekisteriin, jolloin käyttäjätietojen ajantasaisuus paranee ja ylläpito automatisoituu.

Haka-infrastruktuuri noudattaa niin sanottua federoidun identiteetin periaatetta: korkeakoulurajat ylittävissä verkkopalveluissa kukin korkeakoulu huolehtii omien opiskelijoidensa ja työntekijöidensä käyttäjätunnistuksesta. Samalla käyttäjän henkilötiedot siirretään kyseiseen verkkopalveluun hänen kotikorkeakoulustaan, jossa ne ovat yleensä parhaiten ajantasalla. Haka-infrastruktuurissa ei tarvita korkeakoulujen yhteistä keskitettyä käyttäjähakemistoa.

Haka-infrastruktuuri poistaa korkeakoulujen yhteistyön esteitä käytännön tasolla. Korkeakoulujen yhteisten palveluiden käyttöönotto helpottuu, kun palveluissa ei tarvitse ylläpitää käyttäjätunnuksia. Edelleen palvelun käyttöoikeuksien hallinta voidaan rajata kotikorkeakoulusta saataviin käyttäjätietoihin; esimerkiksi pääsy lääketieteen opetusverkoston kokoamaan yhteiseen, sensitiivisiä tapauskuvauksia sisältävään tietokantaan voidaan rajata vain lääketieteen opiskelijoille ja lääketieteellisten tiedekuntien henkilökunnalle yliopistoissa. Loppukäyttäjille rima uusien palveluiden käyttöönottoon alenee, kun palvelun käyttöönotto ei edellytä rekisteröitymistä ja uuden salasanan opettelua.

Loppukäyttäjän näkökulmasta kirjautumisen kulku on seuraava. Loppukäyttäjä, esimerkkinä lääketieteen opiskelija Tampereen yliopistossa, menee selaimellaan lääketieteen opetusverkoston palveluun. Hän painaa [Haka login] -nappia, jonka jälkeen häntä pyydetään valitsemaan pudotusvalikosta kotikorkeakoulunsa. Loppukäyttäjä ohjataan Tampereen yliopiston tietokonekeskuksen tuttuun kirjautumispalveluun, johon hän antaa yliopistolta saamansa peruspalvelutunnuksen ja salasanan. Jos tunnus ja salasana olivat oikein, tietokonekeskuksen palvelin pyytää vielä loppukäyttäjältä lupaa opintosuuntatiedon luovuttamiseen lääketieteen opetusverkoston palveluun. Opintosuuntatiedon perusteella lääketieteen opetusverkoston palvelin huolehtii, että vain lääketieteilijät lasketaan sisään.

Loppukäyttäjän yksityisyyden suojelu ja henkilötietolain noudattaminen ovat saaneet erityistä huomiota Haka-infrastruktuurin käyttöönotossa. Haka-infrastruktuurin kautta voi kirjautua vain korkeakoulujen palveluun (HeTiL 7§). Kukin palvelu saa käyttäjästä vain tarvitsemansa henkilötiedot (HeTiL 9§). Henkilötietojen luovutus palveluun perustuu käyttäjän suostumukseen (HeTiL 8§), jota antaessaan hänellä on tilaisuus tutustua palvelun tietosuojaselosteeseen (HeTiL 24§).

Haka-infrastruktuurin kehitystyö alkoi keväällä 2002, ja elokuusta 2005 lukien Haka on ollut tieteen tietotekniikan keskus CSC:n tuotantokäyttöinen palvelu korkeakouluille. Kesäkuuhun 2006 mennessä Hakaan on liittynyt 17 yliopistoa ja ammattikorkeakoulua, joiden piirissä on 180 000 loppukäyttäjää. Palveluja Hakaan on rekisteröity 8, ja kirjautumisia niihin on kertynyt kevään kuluessa noin 50 000 kpl/kuukausi. Haka-infrastruktuurin tekninen toteutus nojaa avoimiin standardeihin (SAML, Security Assertion Markup Language) ja niiden avoimen lähdekoodin ilmaiseen toteutukseen (Yhdysvaltojen yliopistojen kehittämä Shibboleth).

Linkki: http://www.csc.fi/suomi/funet/middleware/haka

Haka-infrastruktuurin kotisivut