Kaikilla Metropolian käyttäjillä on käytettävissä VPN-etäyhteys. Etäyhteyttä tarvitaan, kun halutaan käyttää sisäisiä palveluita Metropolian toimipisteiden ulkopuolelta. Sisäisistä palveluista esimerkkejä ovat mm. talous- ja henkilöstöhallinnon palvelut sekä opetusta tukevat projektipalvelimet, educloud ja laboratorioiden järjestelmät. VPN-etäyhteydellä saatava pääsy sisäverkkoon määräytyy käyttäjän roolin ja päätelaitteen perusteella.
Metropolian ylläpitämissä päätelaitteissa Cisco AnyConnect VPN-client on esiasennettuna. Metropolian ylläpitämään koneeseen ei pidä itse päivittää clienttia VPN-päätelaitteesta, sillä se voi rikkoa langattoman verkkoyhteyden.
Omien laitteiden osalta käyttäjä vastaa itse AnyConnect-clientin asennuksesta. Windows-, macOS (aiemmin Mac OS X) - ja Linux-käyttöjärjestelmille ajantasainen client on saatavilla VPN-päätelaitteesta kirjautumalla selaimella osoitteeseen https://vpn.metropolia.fi, jonka jälkeen valitaan vasemmalta AnyConnect ja Start AnyConnect. Mikäli clientin automaattinen asennus ei onnistu, asenna client manuaalisesti lataamalla client klikkaamalla AnyConnect VPN -linkkiä.
AnyConnect-clientilla kirjaudutaan osoitteeseen vpn.metropolia.fi.
Autentikoinnissa ei käytetä sertifikaattia, joten mahdollisen sertifikaattikyselyn voi ohittaa.
Tarvittaessa voit lukea tarkemmat asennusohjeet Windows-tietokoneita varten täältä: VPN-apuohjelman asennus ja käyttö omassa tietokoneessa
Mobiililaitteisiin AnyConnect-client asennetaan valmistajakohtaisesta sovelluskaupasta. Client löytyy hakusanoilla "anyconnect" tai "cisco anyconnect".
Metropolian VPN-yhteys lisätään kohdasta Connections > Add New VPN Connection. Kohtaan "Server Address" täytetään VPN-palvelimen osoite "vpn.metropolia.fi".
Tämän jälkeen Valitaan Done ja palataan ohjelman etusivulle takaisin-nuolella.
Yhteys käynnistetään klikkaamalla "AnyConnect VPN" ja syöttämällä Metropolian tunnus ja salasana.
Yhteyden ollessa suojattu Androidin yläpalkissa on lukon kuva ja iPhonen yläpalkissa on teksti VPN.
1. Klikkaa tietokoneesi ruudun oikeasta alanurkasta löytyvää Cisco AnyConnect -kuvaketta. (Kuvake on valkoinen pallo, jossa on kaksi vihreää ja sinistä kaarta. Kuvake on merkitty ao. kuvaan punaisella nuolella.)
2. Valitse "Ready to connect" -tekstin alapuolella sijaitsevasta alasvetovalikosta "Metropolia-StaffManaged" tai opiskelijakoneissa "Metropolia-StudentManaged".
3. Klikkaa Cisco AnyConnect Secure Mobility Client -ikkunan VPN-osiosta löytyvää Connect-painiketta.
4. Kirjaudu palveluun omalla Metropolian käyttäjätunnuksellasi.
Metropolian ylläpitämissä Windows-tietokoneissa kirjaudutaan valitsemalla AnyConnect-clientin alasvetovalikosta esiasetettu profiili. Henkilökunnan hallituissa koneissa valitaan MetropoliaStaff ja opiskelijoiden hallituissa koneissa MetropoliaStudent. VPN-clientissa käytettävä käyttäjätunnus on sama verkkotunnus, jolla kirjaudutaan muihin Metropolian palveluihin, esimerkiksi Omaan ja sähköpostiin. Mahdollisista poikkeuksista ohjeistetaan kyseistä käyttäjää erikseen. |
Tietohallinnon ylläpitämiin Apple macOS-tietokoneisiin Cisco AnyConnect-client asentuu automaattisesti Managed Software Center-ohjelman päivitysten kautta.
Ohjelma asentuu paikkaan: /Applications/Cisco/Cisco AnyConnect Secure Mobility Client.app.
VPN-etäyhteys käynnistetään seuraavasti:
3. Anna Metropolia-tunnuksesi ja sen salasana. Sitten paina "OK".
4. Kun yhteys on muodostunut niin yhteysikkuna näyttää tältä:
AnyConnect VPN-yhteyden tilan voi myös todeta ylävalikon pienestä AnyConnect-kuvakkeesta.
Kun yhteys on kunnossa niin kuvakkeessa on pieni suljetun lukon kuva:
VPN-yhteyden sulkeminen tapahtuu lopettamalla AnyConnect-ohjelma.
Yhteys katkeaa automaattisesti myös silloin kun tietokone sammutetaan tai laitetaan nukkumaan.
VPN-yhteydellä saatavat palvelut riippuvat sekä käyttäjän roolista että käytetystä päätelaitteesta. Tietoturvasyistä etäyhteydellä saatavaa pääsyä sisäisiin resursseihin rajoitetaan.
VPN-etäyhteyttä käytettäessä käyttäjän tietoliikenne on lähtöisin Metropoliasta, jolloin VPN-yhteydellä voi käyttää etänä sellaisia internet-palveluita, jotka ovat rajattu Metropoliaan käyttäjän IP-osoitteen perusteella, tai joihin tarvitaan suomalainen lähdeosoite.
VPN-etäyhteydellä saatavia palveluita voidaan rajoittaa tilapäisesti tai pysyvästi tietoturvatilanteen niin vaatiessa.
Metropolian ylläpitämillä laitteilla on käytettävissä käyttäjän roolin mukaisesti pääsääntöisesti samat palvelut kuin henkilökunnan työasemilla ja atk-luokkien työasemilla. Tietoturvasyistä levypalvelut ja monet muut sisäiset resurssit ovat käytettävissä etänä vain Metropolian omistamin laittein, joiden tietoturvasta vastaa Metropolian tietohallinto.
Käyttäjien omien laitteiden teknisen tietoturvan tasoa ei kontrolloida millään tavalla, mikä mahdollistaa VPN-palveluiden tarjoamisen kaikille käyttäjille ja laitteille, mutta johtaa rajoitettuun pääsyyn. Pääsääntöisesti omilta laitteilta on pääsy sekä henkilökunnan että opiskelijoiden selainkäyttöisiin sisäisiin järjestelmiin. Tietokantayhteyksiä, lisenssejä ja muita sisäisiä resursseja vaativien palveluiden käyttö omilla laitteilla harkitaan tapauskohtaisesti perustuen tietoturvariskiin, joka heikosti ylläpidetystä laitteesta mahdollisesti aiheutuu.
Opetuksen osalta omilla laitteilta on pääsy soveltuvin osin mm. educloudin virtuaalipalvelimiin, projektipalvelimiin ja laboratorioympäristöihin. Opetuksessa käytettävien järjestelmien osalta etäkäyttöä voi tietoturvan lisäksi rajoittaa taustajärjestelmien ja sovellusten lisenssiehdot.
Muita tapoja käyttää etänä Metropolian IT-paveluita ovat mm.