YubiKey: Ylläpito ja Primus-käyttäjät

YubiKey

Päivitetty viimeksi: 7.4.2020

Primukseen ja Wilmaan voi kirjatua myös YubiKeyn avulla. YubiKey on fyysinen avain, muistitikun näköinen pieni laite, joka kytketään tietokoneen USB-porttiin. YubiKeytä käytettäessä Primukseen kirjaudutaan kirjaimellisesti nappia painamalla, ilman tunnuksen ja salasanan syöttämistä.

YubiKeytä voi käyttää myös muihin kuin Visma InSchool -ohjelmiin kirjautumiseen. Sen avulla voi kirjautua esim. sähköpostiin ja sosiaalisen median palveluihin, jos nämä palvelut tukevat YubiKeytä. Yubicon sivuilla on esimerkkejä käyttökohteista.

YubiKeytä voi käyttää kaikilla tietokoneilla ja mobiililaitteilla, joissa on USB-portti. Käyttäjä voi kirjautua Wilmaan myös entiseen tapaan tunnus+salasana -yhdistelmällä, jos laitteessa ei ole USB-porttia.

Yubikey-kirjautuminen ei toimi, jos Primus OpenID tai Wilma OpenID on käytössä.

Kentät

  1. Ota Primuksen Koulun tiedot -rekisterissä esiin kentät YubiKey Client ID ja YubiKey Secret Key. Kenttiin tulee täyttää Yubicolta saatava kunta/oppilaitoskohtainen Client ID ja salasana.
  2. Ota Käyttäjätunnukset-rekisterissä esiin kenttä YubiKey Client ID.
  3. Jos myös Wilma-käyttäjät käyttävät jatkossa YubiKeyta, ota myös Wilman käyttäjätunnukset -rekisterissä esiin kenttä YubiKey Client ID.

Palvelinyhteys

Primuksen palvelinosa varmentaa sisäänkirjatumiset Yubicon pilvipalvelusta, joten sillä tulee olla oikeus tehdä http-kyselyitä palvelimille: api.yubico.com, api2.yubico.com... api5.yubico.com.

Seuraavaa vaihetta varten tarvitset YubiKeyn, avaimen. Toiminnon käyttöönottoon riittää yksi avain, mutta avaimia on edullisempaa ostaa isoissa erissä. Hakukoneilla löytyy helposti YubiKey-avaimia myyviä yrityksiä.

  1. Mene selaimella osoitteeseen https://upgrade.yubico.com/getapikey/.
  2. Anna ylemmälle riville jokin sähköpostiosoite. YubiKeyn käyttöä varten tulee rekisteröidä jokin sähköpostiosoite, esim. oma työsähköpostiosoite. Tähän osoitteeseen ei tule varmennusviestejä tai muutakaan postia.
  3. Älä syötä alemmalle riville mitään näppäimistöltä, vaan klikkaa hiirellä salasanakenttää ja laita YubiKey tietokoneen USB-porttiin. Paina YubiKeyn painiketta.
  4. Saat ruudulle oman ID:n ja Secret keyn. Syötä nämä tiedot Koulun tiedot -rekisterin vastaaviin kenttiin. Tiedot täytetään vain oletuskoululle (yleensä rekisterikortti nro 1).

Huom. Ainakin Firefox-selaimella Secret Keyn alkuun tulee helposti ylimääräisiä välilyöntejä, jos sen kopioi selainruudulta leikepöydälle. Kannattaakin kopioida ja liittää Secret Key ensin esim. Muistioon ja poistaa mahdolliset välilyönnit ja kopioida uudelleen siitä. Primuksen kentässä Secret Key näytetään salattuna, jolloin ylimääräiset merkit jäävät huomaamatta.

Tämän jälkeen ylläpitäjä voi aktivoida Primus-käyttäjien avaimet. Wilma-käyttäjät voivat aktivoida itse omat Yubikeynsä.

Koska Primus-käyttäjillä ei yleensä ole pääsyä Käyttäjätunnukset-rekisteriin, jää Primus-käyttäjien avainten aktivointi ylläpitäjän tehtäväksi. Ne käyttäjät, jotka pääsevät Käyttäjätunnukset-rekisteriin, voivat rekisteröidä itse omat avaimensa.

Jos ylläpitäjä aktivoi kerralla useampia avaimia, kannattaa avaimet merkitä etukäteen jotenkin. Näin ylläpitäjä osaa jakaa oikean avaimen oikealle Primus-käyttäjälle.

YubiKey-aktivointi Primuksessa

  1. Avaa Käyttäjätunnukset-rekisteri.
  2. Valitse oikea henkilö/tunnus käyttäjätunnusluettelosta.
  3. Aseta tälle henkilölle annettava YubiKey USB-porttiin.
  4. Klikkaa Yubikey ID -kenttä aktiiviseksi ja paina YubiKeyn painiketta.
  5. Kenttään tulee 12 merkkiä pitkä pätkä YubiKeyn antamaa salasanaa. Tallenna.
  6. Toimita YubiKey tälle käyttäjälle ja anna ohjeet kirjautumiseen.
  1. Käynnistä Primus ja aseta YubiKey koneen USB-porttiin.
  2. Valitse kirjautumisruudussa koulu, jos avaimeen on yhdistetty eri koulujen Primus-tunnuksia.
  3. Klikkaa Käyttäjätunnus- tai Salasana-kenttää.
  4. Paina YubiKeyn painiketta. Kenttään ilmestyy pitkä merkkijono. Primus aukeaa samantien.
  5. Avaimen voi poistaa USB-portista heti kirjautumisen jälkeen. Avainta ei tarvitse "pysäyttää" tai "poistaa turvallisesti" kuten muistitikkuja, vaan sen voi vetää irti koska tahansa.

Samalla avaimella voi olla useampia tunnuksia per Primus, esim. MultiPrimuksessa koulukohtaiset ylläpitotunnukset ja pääkäyttäjän kouluton tunnus.

Jos avain katoaa, poistetaan YubiKey käytöstä. Primukseen (ja Wilmaan) kirjaudutaan tällöin aiemmalla tunnus + salasana -yhdistelmällä.

YubiKeyn poisto käytöstä Primus-käyttäjältä

Jos Primus-käyttäjä on hukannut YubiKeynsa, toimi seuraavasti:

  1. Avaa Käyttäjätunnukset-rekisteri, valitse avaimensa hukanneen henkilön rekisterikortti ja tyhjää YubiKey ID -kenttä. Tallenna.
  2. Jos avaimeen liittuyy useampia Primus-tunnuksia, tyhjää YubiKey ID näiltä kaikilta korteilta. Kaikissa on sama merkkijono YubiKey ID -kentässä, joten tunnukset löytyvät ponnahdusvalikon Hae samat -toiminnolla.

YubiKeyn poisto käytöstä Wilma-käyttäjältä

Jos Wilma-käyttäjä on hukannut YubiKeynsa eikä muista Wilma-salasanaansa (eli ei voi itse poistaa Wilman kautta YubiKeyta käytöstä), toimi seuraavasti:

  • Jos henkilön Wilma-tunnus on uudentyyppinen, avaa Wilman Käyttäjätunnukset-rekisteri, valitse avaimensa hukanneen henkilön rekisterikortti ja tyhjää YubiKey ID -kenttä. Tallenna.
  • Jos henkilön Wilma-tunnus on vanhantyyppinen, valitse Opiskelijat-, Opettajat- tai Henkilökunta-rekisteristä hänen rekisterikorttinsa ja tyhjää YubiKey ID -kenttä. Tallenna.