Umpio-tallennustila

Umpio-tallennustila on tietoturvallinen verkkokansio sensitiiviselle datalle. Sen käyttö onnistuu ainoastaan kaksoisautentikoivalla virtuaalikoneella.

Umpio on tarkoitettu erityistä suojaamista edellyttävän aineiston, esimerkiksi liikesalaisuuksien, keksintöjen, tunnisteellisten tai tunnistettavissa olevien erityisten henkilötietoryhmien ja suojaustasoluokitellun viranomaistiedon, käsittely-ympäristöksi tavanomaisten verkkolevyjen ja työasemien sijaan.

Kaikkea ei-julkista aineistoa ei tarvitse siirtää sinne, mutta se voi olla työskentelytavoista riippuen järkevää. Rajanveto on tapauskohtaista; jos aineiston joutuminen julkisuuteen tai vääriin käsiin aiheuttaa vahinkoa tai merkittävää haittaa yliopistolle - erityisesti maineelle, aineiston ulkopuoliselle omistajalle tai aineistosta tunnistettavalle henkilölle, kuuluu se Umpioon.

Palvelun tilaaminen

Tallennustilan tilaukset menevät ratkaisukonsulttien kautta, koska tarpeet joudutaan käymään tapauskohtaisesti läpi.

  1. Tee tilaus Helpdeskin kautta.
  2. Pääsy Umpio-tallennustilaan perustuu IAM-ryhmienhallintaan kuten muidenkin ryhmähakemistojen käytössä. Tarkista tällä työkalulla, että kansion käyttäjät rajaava IAM-ryhmä on olemassa tai tarvittaessa luo uusi ryhmä.
    HUOM: ryhmän omistaja ei ole automaattisesti ryhmän jäsen, joten jos haluat että myös omistaja pääsee käyttämään umpiota, lisää hänet myös jäseneksi.
  3. Ilmoita käyttämäsi IAM-ryhmä ja toivotun tallennustilan määrä tukipyynnön käsittelijälle. Tallennustilan hinnoittelu vastaa ryhmähakemiston hinnastoa, joten vahvista tilaus myös yksikkösi palvelukoordinaattorilla (lista Flammassa).

Palvelun käyttöönotto

Palvelu käyttää kaksinkertaista autentikointia, joka vaatii oman käyttäjätunnuksen ja salasanan lisäksi mobiililaitteella tai tietokoneella varmistetun RSA SecurID Software Token -avaimen. Tässä kappaleessa kuvatut toimenpiteet tehdään vain ensimmäisellä kerralla otettaessa palvelua käyttöön. Huomioi, että vaihtaessasi puhelinta tai tietokonetta tulee sinun tilata uusi Token-avain uutta laitetta varten.

  1. Asenna tai asennuta laitteeseesi tarvittava RSA SecurID Software Token –sovellus.
    - Mac / iPhone: lataa asennuspaketin App Storesta
    - Android: lataa asennuspaketin Google Playstä
    - Windows: Yliopiston koneelle saat ohjelman Software Centeristä, henkilökohtaiselle koneelle osoitteesta
      https://community.rsa.com/docs/DOC-73395
  2. Kirjaudu omalla HY-käyttäjätunnuksellasi RSA-konsoliin osoitteessa https://2fa.it.helsinki.fi.
    Jos konsoli kysyy mikä on Authentication method, valitse Password ja käytä HY-käyttäjätunnuksen salasanaasi.
  3. Klikkaa linkkiä request a new token ja kysyttäessä valitse se käyttöjärjestelmä, jolla käytät ohjeen vaiheessa 1 mainittua RSA SecurID Software Token -ohjelmaa.

    Konsoli pyytää myös asettamaan PIN-koodin tokenille. 

  4. Kun Token on tilattu, saat sähköpostiisi ilmoituksen tilauksen vastaanotosta otsikolla: "New or additional Software Token request is submitted.". Tokenin luominen vaatii ylläpidon toimenpiteitä, joten odota ylläpidon reagointia tämän vaiheen jälkeen. Saat sähköpostin otsikolla: "New or additional Software Token request is approved" kun uusi token on luotu.

    Seuraavat toimenpiteet riippuvat siitä millä laitteella Token-ohjelmaa käytetään.

    Jos käytät Token-ohjelmaa mobiililaitteella, kirjaudu uudelleen RSA-konsoliin osoitteessa https://2fa.it.helsinki.fi ja siirry tämän ohjeen vaiheeseen 5.

    Jos käytät Token-ohjelmaa työasemalla, ohjelman aktivointiin tarvittava linkki (HUOM: linkkiä ei avata klikkaamalla, vaan se kopioidaan tietokoneelle asennettuun RSA SecurID Software Token –sovellukseen) ja aktivointikoodi löytyvät hyväksyntäviestistä, jonka sait sähköpostitse. Aktivoituasi ohjelman saat Securedesk–työpöydälle kirjautumiseen tarvittavan 8-numeroisen koodin ja voit siirtyä ohjeen osioon Securedeskin ja Umpio-tallennustilan käyttö.

Työasemaohje

  • Avaa työasemalle asennettu RSA SecurID Software Token –sovellus.
  • Avaa ylävalikosta Import token.
  • Klikkaa Import from Web.
  • Lisää Enter URL -kohtaan sähköpostissa kohdassa Use this link to import your token: -saamasi linkki (linkki muotoa https://2fa.it.helsinki.fi:xxx/xxxxx/xxxxxxxx/xxxxxxxx).
  • Lisää Enter Activation Code –kohtaan sähköpostissa mainittu aktivointikoodi (useamman numeron sarja, ei itse määrittelemäsi PIN-koodi).
  •   Klikkaa OK.   

Siirry nyt VMWare Horizon Client –ohjelmaan.

  1. Mobiililaiteohje

a. Valitse Activate Your Token, jolloin näytölle ilmestyy kirjautumiseen tarvittava QR-koodi.

b. Avaa RSA SecurID Software Token -sovellus. Lisää uusi token +-ikonista ja valitse QR-koodin skannaus. Osoita mobiililaitteen kameralla RSA-konsolilla näkyvää QR-koodia. Jos QR-koodin skannaus pysähtyy virheeseen Invalid QR Code, käytät todennäköisesti niin vanhaa Android-puhelinta, että sovellus ei ole tuettu. Tässä tapauksessa voit käyttää Token-ohjelmaa työasemallasi tai kysyä lisää vinkkejä Helpdeskistä.

c. Skannattuasi QR-koodin saat Securedesk–työpöydälle kirjautumiseen tarvittavan 8-numeroisen koodin.

Siirry nyt VMWare Horizon Client -ohjelmaan.

 

VMWare Horizon Client -ohjelma

Avaa työasemallasi VMWare Horizon Client –sovellus tai verkkoselaimessa virtuaaliympäristö osoitteessa securedesk.it.helsinki.fi.  
Jos käytät VMWare Horizon Client –sovellusta HY-työasemalla, securedesk.it.helsinki.fi on lisättävä + New Server  -painikkeella valinnaisten VDI-palvelinten listaan. 

  • Aloita uuden palvelimen määritys Horizon Clientin New Server-valikon kautta. (1)

  • Syötä avautuvaan laatikkoon kohdeosoite securedesk.it.helsinki.fi (2)

  • Connect-napin painamisen jälkeen securedesk-kohde ilmestyy Horizonin aloitusvalikkoon, ja siitä voidaan klikata yhteyden muodostus käyntiin. (3)

 

Tunnistautumisprosessi

Kun alkuvalmistelut on suoritettu, voit alkaa muodostaa yhteyttä securedesk-kohdepalvelimelle. Huomaa, että kirjautumisprosessissa tulee kaksi peräkkäistä tunnistautumisdialogia, joista ensimmäinen on RSA-varmennettu. Alla omat ohjeensa työasemakäytölle sekä mobiililaitekäytölle.

Työasemaohje

  • Avaa VMware Horizon Client – näkymästä securedesk-it-helsinki.fi.
  • Avaa RSA SecurID ohjelma ja syötä avautuvaan ikkunaan aikaisemmin itse määrittelemäsi PIN-koodi (4-6 numeroa).
  • Kopioi saamasi SecurID-koodi ja liitä se ensimmäiseen kirjautumisikkunaan RSA passcoden kohdalle.
  • Kirjaudu seuraavana aukeavaan kirjautumisikkunaan omalla AD-tunnuksellasi (esim. rkeskiva).
  • Nyt voit avata securedesk.it.helsinki.fi –näkymästä Secure desktop & Umpio.

 

Mobiililaiteohje

  • User name -kohtaan syötetään oma yliopiston käyttäjätunnus (esim. rkeskiva).
  • RSA Passcode-kohtaan syötetään älypuhelimen RSA-appin antama kertakäyttöinen tunnusluku (katso esimerkkikuva alla). EI siis PIN-koodia tai yliopiston salasanaa!

Avaa mobiililaitteeltasi RSA SecurID Software Token -sovellus, ja anna sovellukselle käyttöönotossa asettamasi PIN-koodi.

  • Appia käynnistettäessä tulee ensimmäiseksi vastaan Enter PIN-kysely, johon on syötettävä tokenin aktivoinnin yhteydessä määritetty omavalintainen PIN-koodi. PIN-koodin antamisen jälkeen kuvan kaltainen tunnuslukunäyttö tulee esiin.

 

Huomaa, että mikäli RSA-appiin antaa väärän PIN-koodin, se ei varoita virheestä, vaan tarjoaa mielivaltaisen tunnusluvun, joka ei toimi. Tämä on tarkoituksellinen turvallisuusominaisuus.

 

Securedeskin ja Umpio-tallennustilan käyttö

Securedeskiin päästyäsi tarkista tiedostojen jakoasetukset oman työaseman ja virtuaalityöaseman välillä, jos aiot siirtää tai kopioida tiedostoja:

  • Jos käytät VMWare Horizon Client -ohjelmaa Windows-tietokoneella, valitse oikean yläkulman rataskuvakkeen takaa Sharing ja lisää Add-napilla kansiot, jotka haluat jakaa paikalliselta levyltä. Rastita myös Share your local files ja Allow access to removable storage.
     
  • Jos käytät VMWare Horizon Client -ohjelmaa Mac-tietokoneella, valitse ylävalikosta VMWare Horizon Client -> Preferences -> Sharing-välilehti ja lisää Add-napilla kansiot, jotka haluat jakaa paikalliselta levyltä. Rastita myös Share your local files ja Allow access to removable storage.
  1. Valitse virtuaalikoneiden joukosta Secure desktop & Umpio, jonka käynnistyttyä Umpio-ryhmähakemiston pitäisi näkyä tiedostojen hallinnassa U-kirjaimelle kytkettynä levyasemana ja omalta työasemaltasi jakamasi kansiot Z-asemana. Yläpalkin Connect USB Device -painikkeen takaa voi yhdistää USB-laitteita käyttöön.
  2. Umpio näkyy File Explorerissa U: -asemana:

Etäkäytettävät työpöydät (virtuaalikoneet) VDI ja VMware

Anna palautetta

Helsingin yliopiston IT-Helpdeskin ohjesivusto auttaa sinua työhösi liittyvissä IT-aiheisissa kysymyksissä. Kerro meille, miten voisimme parantaa ohjeitamme. Arvostamme suuresti palautettasi!

Kuinka parantaisit ohjeistusta?
Takaisin ylös