Rakendamise näide Tallinna Tehnikaülikooli õppeinfosüsteemi ja arvutitesse sisselogimisel

Allikas: eid.eesti.ee

Rakendamise näide Tallinna Tehnikaülikooli õppeinfosüsteemi ja arvutitesse sisselogimisel

TTÜ

Ülevaade organisatsioonist

Tallinna Tehnikaülikool (TTÜ) on üks kahest suurimast Eesti õppeasutusest. Tehnikaülikoolil on ca 2000 töötajat ja 13000 üliõpilast. Ülikooli hooned – kokku 55 - on peamiselt koondunud Mustamäel asuvasse campusesse.

Ülevaade

Tehnikaülikooli töötajad, õppurid ja partnerid logivad regulaarselt sisse erinevatesse TTÜ kriitilistesse süsteemidesse (töö- ja õppearvutid, õppeinfosüsteem, oma konto haldus) mis on seotud Windows Active Directory põhise kontosüsteemiga, mis omakorda hoiab kasutajate avalikke sertifikaate. Viimaseid tõmmatakse/uuendatakse regulaarselt ja automaatselt Sertifitseerimiskeskusest.

Konkreetseid kulusid realisatsioonile on suhteliselt raske hinnata, kuid võrreldes seotud süsteemide põhi-arenduskuludega on kulud eID integratsioonile marginaalsed. Kõigis ehitatud autentimissüsteemides on esialgu tekkinud probleeme, mis on suudetud mõistlike pingutustega lahendada. Igakuiselt tekitab paarisaja eurose kulu kehtivuskinnituse teenus, mis on mobiil-ID kasutamisel kohustuslik ja mida ID-kaardi kasutamisel minimeeritakse.

Peamised võidud:

  • IT-osakonna vabanemine muidu massilisest uute paroolide genereerimise ja ununenud paroolide asendamise vajadusest.
  • Paroolipõhisest autentimisest oluliselt suurem turvatase kriitilise õppeinfo haldamisel.
  • Välise partneri realiseeritud trükkimis- ja kopeerimisteenuse võimaldamine kõigi tudengite jaoks.

Probleemipüstitus

Sisselogimisega on TTÜs seotud tüüpilised probleemid ja raskused:

  • Kasutusel on hulk erinevaid süsteeme, mille kõigi jaoks eraldi kasutajatunnuste ja paroolide omamine/haldamine on ebamugav.
  • IT-haldusosakonnale tekitab uute ja ununenud paroolide loomine/teatamine/haldamine suure töökoormuse.
  • Kriitilise info haldamisel veebis (näiteks hinnete sisestamine) ei ole harilikud paroolid piisavalt turvalised: neid on väga kerge teistele inimestele edasi anda.

eID kasutuselevõtt TTÜ erinevates süsteemides ongi üldjuhul motiveeritud mainitud kolme probleemi lahendamise või leevendamise vajadusest.

Käesoleva ülevaate fookus on eeskätt oma kontole, arvutisse või infosüsteemi sisselogimisel ehk autentimisel. Autentimine on võimalik nii parooli kui ka ID-kaardi (mõnes süsteemis ka mobiil-ID) abil. Kättesaadavad funktsionaalsused sõltuvad kohati sellest, kumba autentimisviisi kasutati. Konkreetsemalt on TTÜs sisselogimisega seotud järgmised tegevused ja süsteemid:

  • Oma paroolide muutmine ja oma keskse TTÜ konto haldamine.
  • Uute paroolide saatmine kasutajatele, kui kasutaja mingil põhjusel ei saa seda ise oma TTÜ konto kaudu teha.
  • Trükkimine ja kopeerimine Overalli printerite ja koopiamasinate tasulise teenuse abil.
  • Sisselogimine arvutiklasside ja töötajate isiklikesse arvutitesse, mis on ühendatud Microsofti nn domeeni ning on TTÜ IT osakonna hallatavad.
  • Sisselogimine õppeinfosüsteemi veebirakendusse: regulaarselt vajalik kõigile üliõpilastele oma ainete deklareerimiseks ning hinnete vaatamiseks, samuti õppejõududele, kes sisestavad aineid, hindeid ja tegelevad muude õppetööd administreerimistöödega.


Oma paroolide muutmine ja keskse TTÜ konto haldamine

Tehnikaülikoolis on kasutusel Windows Active Directory põhine tsentraliseeritud kontosüsteem: nii töötajatel kui õppejõududel on oma konto, millega on seotud üks universaalne kasutajatunnus/parool ja eelmainitud süsteemikomplektid: outlooki/emaili-funktsionaalsus, trükkimine, arvutitesse sisselogimine ja õppeinfosüsteemi sisselogimine.

Kasutaja saab ise

  • Lisada/muuta oma fotot, seada telefoni, Facebooki ja Skype kontaktinfot jms.
  • Muuta oma parooli: konto haldamise põhivajadus tekib kasutajatel eeskätt oma parooli unustamise korral.

Muutmiseks/seadmiseks peab kasutaja sisse logima oma keskse konto haldamise veebilehele https://pass.ttu.ee/: see on võimalik nii parooli kui ID-kaardiga. Mobiil-ID-ga siseneda ei saa. Sisse saavad logida nii TTÜ töötajad, tudengid kui välised partnerid.

Siinkirjeldatav konto haldamise võimalus – erinevalt mainitud süsteemidesse sisselogimisest – ei ole igapäevaselt vajalik.

Kulud ja võit kasutajale ja IT-osakonnale:

Süsteem realiseeriti 2012 sügiseks TTÜ IT osakonna oma jõududega, ajakulu realisatsioonile hinnanguliselt üks nädal tööd.

Suuremad plussid:

  • Peamise väärtusena: hoiab kokku IT osakonna aega, mis muidu kuluks kadumaläinud paroolide muutmiseks/uute tegemiseks.
  • Suurendab mugavust kasutajatele, kes saavad ise hallata oma paroole ja isikuandmeid ja ei pea kontakteeruma süsteemihalduse osakonnaga.
  • Võimaldab reaalselt lisada/hallata mitmekesist kontaktinfot, pilti jms, mis ilma kasutaja enda aktiivsuseta jääks süsteemi sisestamata.

Kadunud parooli uuendamine

Kuigi üldjuhul ei ole IT-osakonnal kadunud paroole vaja uuendada (sest kasutajad saavad neid ise muuta) on see vahetevahel siiski vajalik.

Seejuures tekib vajadus saata kasutajale uus parool turvalisel viisil.

TTÜ-s kasutatakse selleks reeglina parooli sisaldava tekstifaili krüpteerimist kasutaja avaliku võtme abil ja krüpteeritud teksti e-postitamist kasutajale.

Krüpteerimist ja kasutajapoolset dekrüpteerimist tehakse standardse ID-kaardi tarkvara abil ilma mingi eri-arenduseta. Olulise aspektina on IT-osakonnal lihtne saada iga kasutaja avalik võti otse kasutaja Windows Active Directory kontolt, mida sinna süsteemi poolt kord nädalas juba muudeks vajadusteks niikuinii automaatselt loetakse.

Kulud ja võit kasutajale ja IT-osakonnale:

Selline parooli-saatmise meetod ei vaja mingit arendustööd ja ei tekita TTÜ-le mingeid kulusid, hoiab kokku IT-haldusosakonna aega ja on kasutajale mugav.

Trükkimine ja kopeerimine

TTÜs on avalikus kasutuses – näiteks arvutiklasside juures – suurel hulgal printereid ja koopiamasinaid, mille abil Overall pakub ID-kaardiga seotult tasulist trükkimise ja kopeerimise teenust. Iga ID-kaardi omanik saab Overalli vastavale kontole raha kanda, mis võimaldab tal trükkida mistahes süsteemi ühendatud arvutil.

ID-kaardi põhine trükkimisteenus on realiseeritud Overalli poolt ja vajab ainult liidestust TTÜ infosüsteemiga, seega ei olnud TTÜ-l süsteemi kasutuselevõtuga seotud ka suuremaid kulusid.

Kulud ja võit kasutajale ja IT-osakonnale:

Hinnanguline töömaht vajalike seoste tekitamiseks Overalli trükkimissüsteemiga oli TTÜs paar päeva kuni nädal. Kriitilise eeldusena on TTÜs kasutajatel juba olemas kesksed Windows domeeni kontod vajaliku informatsiooniga (eeskätt isikukood) ja neid kontosid kasutatakse arvutitesse sisselogimisel.

Kopeerimise korral ei ole TTÜ infosüsteemil üldse mingit seost Overalli süsteemiga ja TTÜ-poolseid kulusid ei ole.

Võit seisneb trükkimise ja kopeerimise võimaldamises suurtele õppurite hulkadele. Ilma taolise tehnoloogiata oleks trükkimise ja kopeerimise võimaldamine reaalne ainult suurte arvutiklasside juures, kus selleks oleks spetsiaalne töötaja, kes kogub tudengitelt trükkimise eest raha ja trükib e-mailitud tekste: kallis ja mõlemale poolele väga ebamugav lahendus.

Sisselogimine arvutiklasside ja töötajate isiklikesse arvutitesse

Kõik arvutid arvutiklassides ning rõhuv enamus töötajate arvuteid on alates 2012 sügisest ühendatud Windowsi nn domeeni ning neid haldab IT osakond. Kasutajal endal tüüpiliselt administraatoriõiguseid ei ole.

Arvutisse sisselogimiseks saab TTÜs kasutada kas parooli või ID-kaarti. Paroolide haldus toimub eelmainitud https://pass.ttu.ee/ lehe kaudu: vaata eelmist kasutuslugu.

Suur osa TTÜ arvuteid on kohe varustatud ID kaardi lugejaga. Paroolipõhist sisselogimist kasutatakse oluliselt rohkem, kui ID-kaardi põhist sisselogimist.

Kulud ja võit kasutajale ja IT-osakonnale:

Arvestades, et (a) Windows domeen on juba olemas, (b) arvutil juba on ID-kaardi lugeja, kulub antud võimaluse realiseerimiseks (sisuliselt tsentraalse süsteemi seadistamiseks) ca üks päev.

Samas ei ole ID-kaardiga arvutisse logimise võimaldamisest olulist võitu ei kasutajale ega IT-osakonnale, kuna reeglina logivad kasutajad arvutisse parooli abil. ID-kaart aitab sisse logida parooli kaotamise korral, misjärel on kasutajal mõistlik logida oma tsentraalse konto veebivormile ja parool ära muuta.

Sisselogimine õppeinfosüsteemi veebirakendusse

Õppeinfosüsteem on TTÜ suurim infosüsteem, kus hallatakse nii õppekavu, õppeaineid, eksameid, õppurite tulemusi jne jne. Iga üliõpilane peab semestri algu süsteemi logima, täitmaks oma õpingukava. Hiljem saab ta süsteemi kaudu näha oma tulemusi ja muud õpingutega seonduvat. Õppejõud peavad süsteemi regulaarselt sisse logima, eeskätt haldamaks oma õppeainete kirjeldusi, sisestamaks eksamiaegu ja hindeid, kinnitamaks tulemusi.

Kuna õpingutes edasijõudmine on olulise tähtsusega ning mh otseselt seotud võimalike stipendiumite, õppemaksude, lõpetamise, eksmatrikuleerimisvõimaluse jms asjaoludega, on süsteemi turvalisus küllalt oluline. Sisselogimiseks on kolm võimalust:

  • Kasutajatunnus ja parool.
  • ID-kaart.
  • Mobiil-ID.

Olulised aspektid

Sisselogimisel rakendatakse põhimõtet, et omaenda info vaatamise ja haldamise jaoks piisab paroolipõhisest autentimisest, teiste inimeste info haldamiseks – näiteks hinnete sisestamiseks – peab aga sisse logima kas ID-kaardi või mobiil-ID-ga.

Seetõttu on ID kaardi kasutamine TTÜ õppeinfosüsteemis oluliselt rohkem levinud, kui TÜ-s või TLÜ-s. TTÜl on perspektiivis plaan paroolide kasutamisest õppeinfosüsteemis üldse loobuda, mis aga eeldab spetsiaalse ülikoolisisene ID-kaardi loomist. Vastasel juhul tekib probleem välisüliõpilastega, kes peavad saama süsteemi sisse logida kohe õppeaasta algul, kui kellele väljastataks Eesti ID-kaart alles kuu-paar peale sisseastumist.

Praegu on mobiil-ID kasutamine üpris marginaalne võrreldes ID-kaardiga. Üliõpilasel on ainult ühes kohas id kaardi kasutamise kohustus: kui soovid tekitada/muuta arvutitesse/isiklikku kontosse sisselogimise parooli või õppeinfosüsteemi parooli, siis pead sisse logima.

Kuivõrd õppeinfosüsteemi sisselogimine on massiline, siis ei tehta sellesse süsteemi sisselogimisel ID-kaardi kehtivuskinnituse kontrolli, eeskätt põhjusel, et see on tasuline teenus. Küll tehakse kehtivuskinnituse kontrolli mobiil-ID-ga sisselogimisel, kus see on kohustuslik.

Kulud ja võidud:

TTÜ õppeinfosüsteem on välja töötatud Fujitsu Eesti poolt. Sama süsteemi modifikatsiooni kasutab ka näiteks Tallinna Ülikool. Konkreetsed autentimislahendused on välja töötatud Fujitsu Eesti ja TTÜ koostöös vastavalt TTÜs ilmnenud vajadustele.

Ei ole võimalik konkreetselt välja tuua eID autentimissüsteemide realiseerimise kulu kogu projektis: hinnanguliselt on need suuremad, kui paar nädalat ja väiksemad, kuid paar kuud, kuid kogu õppeinfosüsteemi projekti tervikvaates on kulud eID kasutuselevõtule täiesti marginaalsed.

Samas tekitab TTÜ-le jooksvat kulu suurusjärgus mõnedsajad eurod kuus AS Sertifitseerimiskeskuse kehtivuskinnituse teenus. Ühes kuus teostatakse TTÜs kokku (nii õppeinfosüsteemi kui oma konto halduse raames toimuval sisselogimisel) ca 6000 kehtivuskinnituse päringut, neist autentimise juures ca 5500 ja allkirjastamise juures ca 600, reeglina on põhjuseks mobiil-ID kasutamine, kus kehtivuskinnitus on kohustuslik.

Juhime tähelepanu, et kui TTÜ asuks tegema igal ID-kaardiga sisselogimisel kehtivuskinnituse kontrolli, tõuseks kehtivuskinnituse kulud väga tõsiseks, kuna ID-kaardiga sisselogimiste arv õppeinfosüsteemi on väga suur.

Võit ID-kaardi kasutamisel õppeinfosüsteemi sisselogimiseks on eeskätt oluliselt suurem turvalisus kriitilise info (peamiselt hinnete) haldamisel. Kasutusmugavuse aspektist on lõppkasutajal parem tarvitada kasutajatunnust/parooli (mis on tudengite jaoks domineeriv sisselogimise viis), mille keskseks haldamiseks ja ID-kaardiga kasutamiseks on juba loodud eelnevas kirjeldatud süsteemid.