• Suomi
  • English

Federoitu käyttäjähallinta: yhdellä tunnistautumisella lukuisiin bioinformatiikan palveluihin

Life Science AAI pyrkii tekemään sisäänkirjautumisen ja pääsyn tarjolla oleviin palveluihin mahdollisimman yksinkertaiseksi.

 

ELIXIR on luonut helppokäyttöisen ja tietoturvallisen käyttäjäidentiteetin hallinnan, jonka avulla pääsee nopeasti lukuisiin datakokoelmiin ja palveluihin. Palvelua kehitetään ja laajennetaan muiden tutkimusinfrastruktuurien kanssa, jotta tutkijat saisivat käyttöönsä myös biopankkien tarjoamia tai koe-eläimistä kerättyjä aineistopalveluita. 

Tutkijoiden tarvitsemat tietoaineistot ja tutkimusinstrumentit ovat saatavilla lukuisissa tutkimusinfrastruktuureissa. Vaikka kansainvälinen yhteistyö tutkimuksessa on tehostunut ja nopeutunut huomattavasti viimeisen vuosikymmenen aikana, tutkija joutuu kuitenkin käytännön työssä selvittämään erilaisia byrokraattisia prosesseja. Pääsy tutkimuksen tuottamiin aineistoihin edellyttää usein käyttäjän tunnistamisen sekä käyttöluvan myöntämistä. Jos jokainen datakokoelma vaatii oman salasanansa ja käyttäjätunnuksensa, niiden hallinnoiminen alkaa olla yksittäiselle käyttäjälle liian hankalaa. Salasanaviidakosta täytyy löytyä tie ulos vaarantamatta palvelun tietoturvaa tai käyttäjän omia oikeuksia, jotka ovat osa EU:n tietoturva-asetusta (GDPR). ELIXIR-tutkimusinfrastruktuurissa lähtökohtana on mahdollistaa datakokoelmien helppo käyttö tinkimättä kuitenkaan tietoturvasta.

ELIXIRin AAI-palvelu (Authentication and Authorisation Infrastructure) mahdollistaa sen, että käyttäjien tunnistaminen ja käyttöoikeuksien kommunikointi on sähköistä. Pääsystä dataan päättää aina datan omistaja, mutta AAI:n avulla pääsy dataan nopeutuu ja datan käyttöpolitiikka tehdään selkeäksi ja suoraviivaiseksi.

Yksinkertainen ja hallinnollisesti ketterä ratkaisu on federoitu käyttäjäidentiteetin hallinta. Tällöin yhdellä tunnistautumisella ja oman kotiorganisaation käyttäjätunnuksella tutkijat saavat tietoturvallisen ja luotettavan pääsyn myös tarkoin suojeltuihin datakokoelmiin.

Federaatiot antavat tutkijoille mahdollisuuden käyttää kotiorganisaatioidensa käyttäjätunnuksia. Niillä pääsee palveluihin, jotka ovat heidän organisaatioidensa ulkopuolella. Federoinnin ideana on hallinnoida, miten käyttäjien identiteettejä välitetään organisaatiorajan ylittävässä tunnistuksessa. Tähän identiteettiin voidaan liittää erilaisia ja eri tasoisia käyttöoikeuksia, jolloin varmistetaan, että oikea käyttäjä pääsee oikeisiin resursseihin oikeasta syystä.

Federoitu käyttäjähallinta ei ole uusi keksintö. Sitä on käytetty menestyksekkäästi esimerkiksi Suomen korkeakoulujen Haka-luottamusverkostossa. Haka-luottamusverkostossa on yli 300 erilaista palvelua ja sillä on yli 300 000 käyttäjää.

Vuonna 2004 eri federaatiot yhdistävä eduGAIN-projekti alkoi EU:n rahoittamana. Huhtikuussa 2011 siitä tuli pysyvä palvelu, joka yhdistää tutkimuksen identiteettifederaatiot ympäri maailmaa. eduGAIN liittää yhteen yli 50 federaatiota, jossa on 5000 organisaatiota. Se on avoinna kaikille akateemisille federaatioille maailmassa ja  mahdollistaa luotettavan käyttäjän tunnistamisen luottamusverkostojen jäsenten välillä.

 

Palvelu käytössä vuodesta 2016

 

THL käyttää ELIXIRin AAI REMS-ohjelmistoa hallinnoidakseen pääsyä biopankkiäytteisiin suomalaisesta populaatiosta ja ikäkohorteista. THL oli ensimmäinen Euroopassa joka yteistyössä ELIXIRin kanssa federoi sähköisen pääsyn arkaluontoiseen dataan. Sähköinen valtuutus datankäyttöön yhdistettynä luotettavaan tunnistamiseen on osa Suomen kansallista strategiaa, jolla noudatetaan yleisiä datansuojauksen säännöksiä.

ELIXIR AAI -palvelu otettiin käyttöön marraskuussa 2016. Se kuuluu osana ELIXIRin laskenta-alustaan (Compute Platform) yhdessä pilvi- ja datan siirtopalveluiden kanssa. Vuoden 2018 lopussa ELIXIR AAI-palvelussa oli 2174 käyttäjää ja keskimäärin 3200 sisäänkirjautumista kuukaudessa.

ELIXIR AAI -palvelussa tunnistautuneet tutkijat pääsivät vuoden 2018 lopussa kirjautumaan 50 muuhun ELIXIR-infrastuktuuriin liittyvään palveluun. Lisäksi testattiin 44 muuta palvelua, joista osaa tarjosivat muut merkittävät eurooppalaiset tutkimusinfrastruktuurit. Sellainen on esimerkiksi EGI (European Grid Infrastructure), jonka fedCloud-laskentapalveluun pääsyä testattiin. Palvelujen määrä on koko ajan kasvussa.

ELIXIR AAI -palvelua ovat kehittäneet ELIXIR-infrastruktuurin Suomen ja Tsekin keskukset. Tunnistautumisen lisäksi palvelu välittää myös käyttölupia aineiston omistajalta. Suomessa Terveyden ja hyvinvoinnin laitos (THL) testasi ensimmäisenä ELIXIR AAI:n federoitun tunnistautumiseen ja käyttöluvan hallintaan perustuvaa prosessia biopankin näytteistä kerätyille sensitiivisille aineistoille. THL:n biopankki on osa BBMRI-infrastruktuuria ja aineistojen pääsynhallinta on esimerkki kahden eurooppalaisen tutkimusinfrastruktuurin yhteistyöstä tutkijan elämän helpottamiseksi.

Tarkoituksena on, että henkilö rekisteröi yhden ELIXIR-identiteetin ja käyttää tätä identiteettiä koko uransa ajan. Ainoa asia, mikä pitää tehdä, on päivittää yhteys- ja henkilötiedot, jos ne muuttuvat. Ei ole tarkoituksenmukaista ylläpitää useita ELIXIR-identiteettejä. ELIXIR-identiteettiin ei liity salasanaa. Rekisteröitymisen yhteydessä vaaditaan vain yhteys yhteen akateemiseen tai kaupalliseen käyttäjätiliin, joita käytetään sisäänkirjautumisessa.

Jo nyt ELIXIR AAI hyväksyy osana tunnistautumista myös Googlen, LinkedInin tai Orcidin tilin. Orcidin kautta tutkija saa digitaalisen identiteetin, jolla hän pystyy erottautumaan saman nimisistä kollegoistaan. ELIXIR AAI tukee myös 721 instituution sisäänkirjautumisia eduGAIN-palvelun kautta.

 

Eri projektit tähtäävään yhteiseen käyttäjähallintaan

Aina kun mahdollista byrokratiaa pitäisi pystyä vähentämään. Siksi ELIXIR hyödyntää federoitua käyttäjähallintaa. Se on tehokas, turvallinen ja luotettava ja sitä on helppo käyttää.

 

Federaatioiden haaste on se, että tällä hetkellä ei ole laajasti käytössä määritystä, jossa voisi määritellä erilaisia identiteettien ja tunnistautumisen varmuuden tasoja. Dataturvalait saavat jotkut instituutiot epäröimään tutkijoidensa henkilökohtaisen datan jakamista muille toimivalta-alueille.

Kun kyse on suojatuista ja sensitiivisistä datakokoelmista, käyttäjän tunnistamiselle ja käyttövaltuuksien hallinnalle tulee lisää vaatimuksia. Käyttäjien pääsyoikeuksia joudutaan esimerkiksi luokittelemaan. ELIXIRin asiantuntijat ovat työskennelleet yhdessä muiden tutkimusinfrastruktuurien kanssa EOSC LIFE-projektissa, joka kartoittaa bioalan eri käyttötapauksia luodakseen yhteisen ja laajan federoidun tunnistautumispalvelun. Tätä palvelua kutsutaan nimellä Life Science AAI ja se hyödyntää tunnistautumisessa eduGAIN-federaatiota.

Koska on lisääntynyt tarve federoituun pääsyyn myös eri tutkimusinfrastruktuurien välillä, monet projektit auttavat luomaan yhteisen käyttäjähallinnan. AARC-projekti (Authentication and Authorisation for Research and Collaboration) aloitettiin toukokuussa 2015. Projektin toinen vaihe (AARC2) käynnistyi toukokuussa 2017 ja päättyi huhtikuussa 2019. Projektissa pilotoitiin integroitua eri alojen välistä tunnistautumista ja valtuuttamista.

Tavoitteena on, että jokainen uusi käyttäjä rekisteröisi vain yhden käyttäjätunnuksen, joka seuraisi heitä läpi uran, vaikka hän vaihtaisi työpaikkaansa ja kytköksiään. Koska yliopistoilla ja tutkimuslaitoksilla on kytköksiä useampaan tutkimusinfrastruktuuriin, tutkijalla olisi niihin automaattinen pääsy oman organisaationsa tunnuksilla. Tavoitteena on rakentaa tutkijan sähköinen viitekehys niin, että voidaan hallinnoida niin identiteettiä (rekisteröityminen, ensitunnistus), tunnistautumista (sisäänkirjautuminen) kuin muita lisämääreitä, kuten tutkijastatusta.

 

Yhteiset standardit

 

Yhteistyö sellaisten tahojen kanssa kuin Federated Identity Management for Research Collaboration (FIM4R) tähtää puolestaan yhteisten standardien luomiseen, jotta voitaisiin vastata eri tutkimusyhteisöjen tarpeisiin. Toinen merkittävä yhteistyökumppani on GA4GH.

GA4GH (Global Alliance for Genomics and Health) on kansainvälinen vuonna 2013 perustettu allianssi, jossa on mukana yli 500 bioalan, terveydenhuollon ja IT-alan organisaatiota tavoitteenaan luoda standardeja tutkimuskäyttöön jaettavalle datalle. ELIXIR ja GA4GH päättivät aloittaa marraskuussa 2017 yhteistyön. Sopimus antaa ELIXIR-infrastruktuurille mahdollisuuden vaikuttaa kansainvälisten standardien luomisessa. Sopimus liittyy projektiin, jonka tarkoituksena on saada datastandardit käyttöön kliinisessä potilastyössä vuoteen 2022 mennessä. Nyt päästään luomaan yli 1000 organisaation kanssa standardien ohella yhteisiä periaatteita, miten dataa käsitellään ja jaetaan.

Haaste on miten määritellä ne vaatimukset, jotka organisaation täytyy täyttää jotta se voisi tulla luotettavaksi partneriksi globaaliin allianssiin.

Rekisteröity pääsy mahdollistaa eri käyttäjien luokittelun. Se myös mahdollistaa datan uudelleenkäytön, mutta luonnollisesti vain, jos suostumus on saatu ja käyttäjä noudattaa eettisiä sitoumuksia.

The Global Alliance for Genomics and Health on jaotellut kolme erilaista mahdollisuutta päästä käsiksi ihmisdataan. Sellaisia ovat:

  1. Ei tarvetta pääsyn kontrolloimiseen
  2. rekisteröity pääsy, joka perustuu käyttäjän rooliin tutkijana
  3. kontrolloitu pääsy, joka perustuu käyttäjän saamaan yksilöityyn käyttölupaan.

”Koska data on yksityistä, federaatiot ovat tarkan tietosuojan ja säätelyn, kuten GDPR:n, alaisia. ELIXIRin jäsenorganisaatiot noudattavat eurooppalaista politiikka datan suojaamisessa. Koska tutkimus on globaalia, EU haluaa kuitenkin jakaa tutkimusdataa Kanadan ja Yhdysvaltojen kanssa”, sanoo Suomen ELIXIR-keskuksen johtaja Tommi Nyrönen. Suomen ELIXIR-keskus CSC on yhdessä Tsekin ELIXIR-keskuksen kanssa rakentanut ELIXIR AAI -palvelua.

”Siksi meidän tulee hallinnoida käyttäjäinformaatiota sekä eurooppalaisten että esimerkiksi pohjoisamerikkalaisten organisaatioiden välillä. Meillä tulee olla yhteiset sopimukset, miten dataa voidaan siirtää tutkimuksen käyttöön säädösten mukaisesti. Datasta vastuullistet tahot tarvitsevat riittävästi informaatiota käyttäjistä, jotka pyytävät pääsyä. Vasta, kun käyttäjä identiteetistä, ja mahdollisesti kotiorganisaatiosta ja statuksesta tutkijana on varmuus, lupahakemus voidaan käsitellä ja myöntää. Meillä pitää olla myös mekanismi lopettaa tai kumota pääsy dataan nopeasti, jos sitä käytetään vääriin tarkoituksiin. Asian voi hoitaa esimerkiksi ELIXIR AAI:n määrittelemällä politiikalla ja tekniikalla. ”

 

Miten päästä palveluun?

 

Jos hakija on hyväksytty, ELIXIR AAI käyttää OAuth2- protokollaa jolla tuodaan tiettäväksi pääsyoikeudet muihin ELIXIRiin luottaviin palveluihin. Autorisointi tapahtuu käyttämällä REMS 7-ohjelmistoa.

ELIXIR AAI:ssa on palvelu, jota tutkijat voivat käyttää hakeakseen pääsyoikeutta sensitiivisiin datakokoelmiin. Käyttäjä voi osoittaa tutkijastatuksensa. ELIXIR-infrastruktuurissa tutkijastatuksen rekisteröimiseksi ja henkilön identiteetin varmentamiseksi tutkijan pitää ensin kirjautua sisään kotiorganisaatioonsa, joka sitten toimittaa edelleen ajantasaiset käyttäjätiedot sisäänkirjautumisprosessissa. Rekisteröimisessä voi olla lisätietoja, kuten kategoria ”bioalan tutkija”.

Tutkimusprojektin vastuuhenkilö täyttää hakemuskaavakkeen muiden projektiin osallistuvien tutkijoiden puolesta ja hyväksyy datakokoelman lisenssiehdot. Sähköinen hakemuskaavake lähetetään sitten datan pääsyoikeuksia valvovalle elimelle, jonka datanhallinnoija on nimennyt (Data Access Committee). Pääsyoikeus joko hyväksytään tai hylätään hakulomakkeen tietojen perusteella.

Jos palvelu edellyttää monivaiheista tunnistautumista, käyttäjä uudelleenohjataan nopeutettuun ja tehostettiin tunnistuspalveluun joka suorittaa ylimääräisen peräkkäisen tunnistuksen käyttämällä toista turvatekijää. Peräkkäinen tunnistus nojautuu aikariippuvaiseen ja kertakäyttöiseen salasanastandardiin (Time-based One-Time Password (TOTP) sekä älypuhelinsovellukseen, joka rekisteröidään ELIXIR AAI -palveluun. Kun käyttäjä on rekisteröitynyt, TOTP-sovellus antaa 6-merkkisen kertakäyttöisen salasanan, joka käyttäjän tulee kirjoittaa www-selaimeensa.

Älypuhelinsovellus kytketään oikeaan ELIXIR-identiteettiin puhelimeen lähetettävän tekstiviestin avulla. Datan omistajat voivat perua tai katselmoida käyttäjän pääsyoikeuksia.ELIXIRiin luottavat organisaatiot voivat rekisteröidä omat datakokoelmansa valtuutuspalveluun ja määritellä hakukaavakkeet ja hakemiseen liittyvät prosessit.

 

ELIXIR Beacon

 

Tehokas tietoturva perustuu riskianalyysiin aineistojen sekä palvelun luonteen asettamista vaatimuksista. Esimerkiksi tutkijoiden pääsy datakokoelmien, joiden vaikutus yksityisyyteen on rajallinen, on mahdollista toteuttaa kevyemmän hakuprosessin avulla. Tällöin tutkijan ei tarvitse tehdä muuta kuin osoittaa olevansa varteenotettava tutkija ja sitoutua yleisiin rekisteröidyn pääsyn sitoumuksiin.

Hakemuksen kertaalleen tehtyään tutkijat voisivat saada pääsyn kaikkiin rekisteröitymistä edellyttäviin datakokoelmiin ja palveluihin ilman lisätyötä. Esimerkki tällaisesta pääsyprosessista on ELIXIR Beacon -palvelu. Beacon-protokolla määrittelee avoimen standardin. Sivustoa, joka tarjoaa tällaista palvelua kutsutaan ”majakaksi” (beacon). Beacon on hakukone tiedolle, mistä päin maailmaa löytyy genomiaineistoja, joissa esimerkiksi on kiinnostuksen alla olevan nukleotidin muutos, esimerkiksi proteiinia koodaavassa geenisekvenssissä muutos, jossa sytosiini (C) muuttuu guaniiniksi (G).

”Tämä muutos voi muuttaa geenistä syntyvän proteiinin rakennetta. Joskus nämä muutokset ovat vaarattomia, mutta joskus voivat myös johtaa sairauteen. Geneettisten muutosten ja harvinaisten tautien yhteyttä tutkitaan aktiivisesti, ja tuloksia voidaan saavuttaa nopeammin tekemällä aineistot löydettäväksi Beacon palvelun avulla,” sanoo Tommi Nyrönen.

Standardin ja teknologian ovat kehittäneet GA4GH:n jäsenorganisaatiot. Dataa voidaan etsiä samanlaisilla periaatteilla ELIXIRin ja Beacon-organisaatioiden verkostoista (Beacon Network). Haku on federoitu ja datakokoelmien määrä kasvaa koko ajan.

 

Ari Turunen

 

Lue artikkeli PDF-muodossa