Vahva tunnistautuminen (Suomi.fi)
TL;DR:
Sovelluksen voi kytkeä pankkitunnistautumiseen DVV:n kansallisessa palvelussa. Teknisesti suoraviivainen SAML2.0-autentikointi. Huomattava haastekerroin hallinnollisista/lakiteknisistä koukeroista, varaa viikkoja tai kuukausia kalenteriaikaa. Koordinoi huolella HY:n käyttäjähallinnon kanssa.
Mikä on Suomi.fi
Suomi.fi-tunnistus on julkishallinnon yhteinen tunnistuspalvelu. Tunnetaan myös lempinimellä "pankkitunnistautuminen". Liittyminen ja käyttö on maksutonta. Palvelun tuottaa Väestörekisterikeskus. Palvelu on pikku hiljaa laajenemassa yleiseurooppalaiseksi EIDAS-tunnistautumiseksi.
https://palveluhallinta.suomi.fi/fi/sivut/tunnistus/esittely
HY:ssä on mahdollista käyttää Suomi.fi-tunnistusta, jos sovellus täyttää sen edellytykset. Lue lisää HY:n keskitetystä käyttäjätunnistuksesta: Keskitetyn käyttäjätunnistuksen vaihtoehdot (ei sisällä vielä tietoa Suomi.fi:stä spesifisti).
Prosessi tiivistetysti
- Lue ensin tekninen intro: https://palveluhallinta.suomi.fi/fi/sivut/tunnistus/yleiskuvaus
- Olennaisesti samanlainen SAML 2.0-autentikointi kuin HY:n oma Shibboleth-tunnistuskin
- Sovelluksen tulee osata sisäisesti käsitellä eri tunnistustavat, koska esim. Suomi.fi:stä saattaa tulla vain nimi ja hetu, siinä missä Shibboleth-kredentiaaleissa kulkeutuu myös ryhmäjäsenyyksiä mutta ei hetua jne.
- Käyttäjästä voi hakea eri laajuisia tietoja (suppea/keski/laaja)
- Lue ja sisäistä käyttöönoton vaiheet: https://palveluhallinta.suomi.fi/fi/sivut/tunnistus/kayttoonotto/kayttoonoton-vaiheet
- HY on jo organisaationa Suomi.fi:ssä, joten uusien palveluiden käyttöönotossa ei tarvita organisaatioksi rekisteröitymisvaihetta
- Uudelle palvelulle pitää anoa käyttölupaa (1-2 vkoa)
- Uuden palvelun metadata pitää toimittaa testi- ja tuotantoympäristöä varten erikseen (1 vko)
- Käyttöönotto edellyttää mm.
- Virallisesti allekirjoitettua CA-sertifikaattia
- Palvelun virallista tietosuojaselostetta (se sama joka pitää GDPR-syistä joka tapauksessa tehdä)
- Nimettyjä vastuuhenkilöitä & palveluosoitteita
- Jo testiympäristön metadata edellyttää lisäksi palvelun selkokielistä nimeä ja käyttötarkoitusta kolmella kielellä
- Huomioi aikaavievä hallinnollinen prosessi
- Testiympäristö tulee DVV:lta nopeasti, mutta tuotantoonvienti vaatii hyvin eksakteja hallinnollisia kiemuroita ja voi viedä useita viikkoja kalenteriaikaa
- Pisin yksittäinen prosessi: käyttöluvan anominen DVV:lta sähköisesti Suomi.fi-palveluhallinnassa HY:n Käyttäjähallintoryhmän kautta (esim. Jukka Karvonen Käyttäjähallinto-ryhmästä ja Sami Nikander Ratkaisukonsultointi-ryhmästä tietävät asiasta) - PISTÄ TÄMÄ VIREILLE JO ENNEN TESTAUSVAIHETTA!
- Varmista että käyttölupa-anomuksessa on selkeästi ilmaistu lakisääteinen peruste, miksi tunnistautumista tarvitaan
Alla on kuvattu prosessi yksityiskohtaisemmin.
Käyttöönottoprosessi
Lue ja sisäistä käyttöönoton vaiheet: https://palveluhallinta.suomi.fi/fi/sivut/tunnistus/kayttoonotto/kayttoonoton-vaiheet
- HY on jo organisaationa Suomi.fi:ssä, joten uusien palveluiden käyttöönotossa ei tarvita enää organisaatioksi rekisteröitymisvaihetta
- Uudelle palvelulle pitää anoa käyttölupaa
- Uuden palvelun metadata pitää toimittaa testi- ja tuotantoympäristöä varten erikseen
Käyttöluvan hakeminen tuotantoon (2+ vkoa)
HUOM: Laita tämä prosessi vireille hyvissä ajoin, jo ennen testiympäristön käyttöönottoa!
HY:llä on oma organisaatiotili Suomi.fi:ssä, johon on liitetty useita eri palveluita. Jokaiselle eri tuotantopalvelulle pitää hakea DVV:lta erikseen käyttölupa. Esim. salasanan resetointipalvelu on vaatinut oman käyttölupansa, FIMM:in geenitutkimussuostumus omansa, HR:n työsopimustietojen toimittaminen omansa. Vain poikkeustapauksissa saattaa päästä helpommalla, jos uusi palvelu on riittävän samassa scopessa jonkin olemassaolevan kanssa ja vastuuhenkilöt ym. samat.
Tee DVV:lle käyttölupahakemus sähköisesti:
- Sähköinen lomake Suomi.fi-palvelunhallinnassa, pääsy vain HY:n käyttäjähallinnolla (esim. Jukka Karvonen) ja muutamilla muilla Tikessä (esim. Sami Nikander)
- Huom. palvelun käyttöehdot hyväksytään sähköisesti ja lomakkeen täyttäjällä tulee olla oikeus hyväksyä palvelun käyttöehdot Helsingin yliopiston puolesta.
- Nykyisen tulkinnan ja käytännön mukaan tämä vaatii, että palvelusta vastaavasta organisaatiohaarasta HY:n nimenkirjoitusoikeudellinen henkilö valtuuttaa (esim. sähköpostitse) lomakkeen täyttäjän hyväksymään käyttöluvan edellytykset ja käyttöehdot HY:n puolesta:
- Suomi.fi-palveluiden Käyttölupa: https://palveluhallinta.suomi.fi/storage/cms.files/S75EjtipM_jfZPBs.pdf
- Suomi.fi-tunnistamisen käyttöehdot: https://palveluhallinta.suomi.fi/storage/cms.files/UIldjvnmyRor2DM8.pdf
- Nykyisen tulkinnan ja käytännön mukaan tämä vaatii, että palvelusta vastaavasta organisaatiohaarasta HY:n nimenkirjoitusoikeudellinen henkilö valtuuttaa (esim. sähköpostitse) lomakkeen täyttäjän hyväksymään käyttöluvan edellytykset ja käyttöehdot HY:n puolesta:
- Huom. palvelun käyttöehdot hyväksytään sähköisesti ja lomakkeen täyttäjällä tulee olla oikeus hyväksyä palvelun käyttöehdot Helsingin yliopiston puolesta.
- Lomake on perusteellinen, ja sen täyttö vaatii todennäköisesti iterointia asiakkaan kanssa.
- Lomakkeen tietosisällöstä ks. malli-PDF
- Lomakkeessa on kymmeniä knoppikysymyksiä, joista osaan vastaaminen voi olla työlästä. Runsaasti GDPR-asiaa (käyttöperuste: hallintotehtävä, oikeutettu etu jne), jonka voi tietosuojaselosteesta löytää jotakuinkin sellaisenaan. Kannattaa siis laatia tietosuojaseloste etupainotteisesti.
- Anomuksen käsittelyyn DVV:lla menee aikaa, todennäköisesti ainakin viikko. Ilmeisesti anomuksia käsitellään batcheissa viikoittain, ei päivittäin.
- Vasta kun anomus on hyväksytty, DVV antaa luvan tuotantopalvelun käyttöönotolle.
Testiympäristön käyttöönotto (1+ vko)
Käyttöönotto on melko suoraviivaista, koska siihen ei tarvita erillistä käyttölupaa. Ohjeet: https://palveluhallinta.suomi.fi/fi/sivut/tunnistus/kayttoonotto/asiakastestiymparisto
Tarvitaan SAML2.0-metadatakuvaus, jossa kuvataan sovelluksen kirjautumiskonfiguraatio.
- Metadatatietojen kuvaus: https://palveluhallinta.suomi.fi/fi/tuki/artikkelit/590adae814bbb10001966f53
- Malliesimerkki tiedostosta: https://palveluhallinta.suomi.fi/fi/tuki/artikkelit/5a814d109ea47311bfd599a3
- Pyydä HY:n Käyttäjähallintoryhmää toimittamaan metadatatiedosto DVV:lle sähköisessä palveluhallinnassa. Testipuolen metadataa päivitetään DVV:lla n. kerran viikossa.
Metadatassa sisällöntuotantoa vaativat mm.
- Palvelun näyttönimi (max. 50 merkkiä) ja kuvaus (max. 255 merkkiä). Toimitettava kolmella kielellä, mutta DVV:ta ei sinänsä kiinnosta vaikka kaikissa kieliversioissa olisi sama suomenkielinen teksti. HY:tä sen sijaan kiinnostaa viimeistään tuotantoympäristössä, joten kannattaa viilata kuntoon etupainotteisesti jo testiympäristöön
- Yhteyshenkilöiden yhteystiedot (ainakin rooli technical, lisäksi mielellään roolit support, administrative). Testiympäristössä ei liene erityisen suurta väliä yhteyshenkilöillä, mutta nämäkin tarkkoja tuotannossa, joten kannattaa miettiä etupainotteisesti.
- Itseallekirjoitettu varmenne
- Linkki tietosuojaselosteeseen (mutta tätä tuskin katselmoidaan ihmeemmin, joten hätätilassa kelvannee vaikkapa linkki HY:n selosteiden etusivulle https://www.helsinki.fi/fi/yliopisto/tietosuojaselosteet)
Kun testiympäristö on toiminnassa
Kun testiympäristö on toiminnassa ja kytketty sovellukseesi, siihen voi tunnistautua yleisesti tiedossa olevilla Suomi.fi-testitunnuksilla eli käytännössä ilman tunnistautumista! Huomioi tämä sovelluksesi testiympäristössä ja rajoita pääsyä tarvittaessa muilla tavoin (esim. vain sisäverkosta). Maailmalle auki oleva testikirjautuminen päästää kenet tahansa sisään!?
Suomi.fi:n tukiartikkeli Tunnistusvälineet testiympäristössä sisältää listan testitunnuksista/testihetuista, joilla on erilaisia attribuutteja. Artikkelissa listattu myös pankkien (OP, Säästöpankki/Handelsbanken, Aktia) testikäyttäjien tiedot (listattujen lisäksi ainakin aiemmin toiminut myös Nordean feikkikäyttäjä "Nordea Demo", hetu 210281-9988).
Tuotantoympäristön käyttöönotto (1 vko)
Tarvitaan SAML2.0-metadatatiedosto kuten testiympäristössäkin (ks. yllä). Lisäksi tarvitaan:
- DVV:n myöntämä käyttölupa, ks. ohjeet edellä
- Virallisen sertifikaatinmyöntäjätahon (CA) allekirjoittama varmenne
- Voit tilata sertifikaatin HY:n asiantuntijoiden kautta palveluosoitteesta ca@helsinki.fi. Varaa aikaa sertifikaatin toimitukseen.
- Sertifikaattipyyntöön voi ottaa mallia jostain olemassaolevan varmenteen tiedoista, esim. tuotantopalvelimen https-varmenteesta (sama serti ei kuitenkaan käy)
- Suomi.fi-tunnistus ei vaadi ajantasaista varmennetta, joten varmennetta ei tarvitse uusia sen vanhentuessa vuosittain, ellei palvelupään toteutus sitä vaadi.
- Metadatassa oltava tietysti linkki lopulliseen tietosuojaselosteeseen, lopulliset yhteystiedot jne.
Pyydä HY:n Käyttäjähallintoryhmää toimittamaan metadatatiedosto VRK:lle sähköisessä palveluhallinnassa. Myös tuotantoympäristön metadata-päivitykset tapahtuvat DVV:lla kerran viikossa.
Milloin vahvaa tunnistautumista voisi/kannattaisi käyttää?
Kun järjestelmään halutaan pääsy HY:n / Haka-verkoston ulkopuolisille käyttäjille, jotka pitää kuitenkin tunnistaa luotettavasti.
Esimerkkejä:
- Oikea esimerkki (tuotantokäytössä): Henkilöstöpalvelut valmistelevat uuden työntekijän työsopimusta. Tuleva työntekijä voi kirjautua pankkitunnuksilla asiointipalveluun ilmoittaakseen mm. tilitietonsa, vaikka hänellä ei vielä ole AD-tunnusta eikä henkilöstönumeroa SAP:issa.
- Oikea esimerkki (tuotantokäytössä): Avoimen yliopiston kursseille ilmoittautuessa ulkopuoliset käyttäjät on tunnistettava luotettavasti, koska suorituksista annetaan opintopisteitä. Haka-käyttäjät voivat käyttää oman korkeakoulunsa tunnuksia tunnistautumiseen, mutta muille vaihtoehtona tarjotaan Suomi.fi-tunnistusta.
Milloin vahvaa tunnistautumista ei voi/kannata käyttää?
Jos tarve on tunnistaa Helsingin yliopiston henkilökuntaa tai opiskelijoita. Korkeakouluilla Suomi.fi-tunnistuksen käyttö sisäisesti on rajoitettu tiettyihin tilanteisiin, kuten unohtuneen salasanan palautukseen. Sisäiset käyttäjät tunnistetaan ensisijaisesti keskitettyä käyttäjätunnistusta käyttäen, jossa vaihtoehtona on myös vaatia monivaiheista tunnistautumista.
Jos ulkopuolisilla käyttäjillä ei ole mahdollisuutta vahvaan tunnistautumiseen suomi.fi:ssä edes yleiseurooppalaisten tunnistautumistapojen kautta, eli jos merkittävä osa ulkopuolisista on Euroopan ulkopuolelta. Euroopan maista ainakin Saksa, Viro, Espanja, Italia ovat mukana eIDAS-tunnistautumisverkostossa (ks. alempana), mutta näiden maiden ulkopuolella tunnistautuminen on rajoitetumpaa.
Jos käyttäjistä tarvitaan ehdottomasti attribuutteja, joita on vain HY:n sisällä, eikä sovelluksessa ole mahdollisuutta yhdistää näitä tietoja esim. hetun perusteella. Eurooppalaisista käyttäjistä saadaan yksilöivä henkilötunniste, joka ei kuitenkaan ole samanmuotoinen kuin suomalainen hetu (ks. alempana)
Jos käyttäjillä on myös AD-tunnus, jota ensisijaisesti toivotaan käytettävän kirjautumisessa, eikä sovelluksessa ole mahdollisuutta loogisesti yhdistää pankkikirjautumista esim. hetun perusteella AD-tunnukseen. Yleensä ei ole hyvä idea antaa käyttäjien luoda sovelluksen sisäisesti kahta erillistä identiteettiä (toinen AD-tunnukseen liitetty, toinen pankkitunnuksiin liitetty).
Esimerkkejä:
- Tutkijakollegiumin Core Fellowship -hakuprosessissa kaikki vertaisarvioijat ovat professoreita ympäri maailmaa, joten suomi.fi ei tuottaisi pääsyä hakujärjestelmään kuin harvoille (italialaiset, espanjalaiset jne); tuki ulkopuolisille arvioijille on rakennettava jollain muulla tavalla.
- Käyttäjän rooli sovelluksessa määrittyy IDM-ryhmän grp-foobar-admin perusteella, eikä Suomi.fi-käyttäjätietoja pystytä yhdistämään ryhmätietoihin (sovelluksella ei ole esim. pääsyä käyttäjän hetuun)
Teknisiä yksityiskohtia
Sovelluksesi pitää osata käsitellä eri väyliä tulevat kirjautumiset eri tavalla. Siinä missä HY:n sisäinen Shibboleth-autentikointi toimittaa esim. ryhmäattribuutit, Suomi.fi tietysti ei tällaista tietoa sisällä. Pitää siis osata käsitellä Suomi.fi-kredentiaalit ja Shibboleth-kredentiaalit eri tavoilla, eikä halvaantua esim. ryhmätietojen puuttumiseen.
Teknisestä tunnistustapahtuma on SAML2-tunnistautuminen. Mahdollisuuksien mukaan kannattaa käyttää Shibboleth SP-sovellusta, joka on todettu parhaiten eri tilanteet toteuttavaksi. Tällä voidaan myös helposti toteuttaa useat eri tunnistusmenetelmät, kuten HY:n sisäinen Shibboleth, kansallinen Haka ja Suomi.fi-tunnistus samaan palveluun. Palvelun saamat käyttäjätiedot riippuvat tunnistautumismenetelmästä.
Käyttäjästä tulee vain tietyt attribuutit haettavan laajuuden mukaan. Laajuus pitää määritellä jo käyttölupahakemuksessa:
- Suppea: Henkilötunnus, sukunimi, etunimet, kutsumanimi ja kuolintieto
- Keskilaaja: Edellisten lisäksi kotikunta, vakinainen kotimainen osoite, tilapäinen kotimainen osoite, kotimainen postiosoite, vakinainen ulkomainen osoite, äidinkielitieto (suomi/ruotsi/saame/muu -luokituksella), asiointikieli, tieto turvakiellosta ja sähköpostiosoite
- Laaja: Edellisten lisäksi äidinkieli (kielikoodi), tieto siitä onko Suomen kansalainen
Euroopanlaajuinen eIDAS-tunnistautuminen
Yhteiseurooppalainen tunnistaminen (eIDAS) mahdollistaa julkishallinnon asiointipalvelujen turvallisen käytön Euroopassa yli maarajojen. EU-maille yhteiseurooppalaisen tunnistamisen käyttöönotto on pakollista, mutta myös muutama EU:n ulkopuolinen ETA-maa on ottamassa sen käyttöön. Kaikkien EU-maiden on syksystä 2018 lähtien kelpuutettava EIDAS-tunnistus, joten tekninen valmius on olemassa ja siirtymävauhti riippuu siitä, miten nopeasti eri maat liittyvät mukaan. Uudet maat tulevat näkyviin tunnistautumisvaihtoehdoiksi sitä mukaa, kun niitä lisätään Suomi.fi-tunnistukseen.
eIDAS-tunnistautuminen suomi.fi:ssä toimii tällä hetkellä (kevät 2021) seuraavien maiden tunnistusvälineillä:
- Saksa (2/2019-)
- Italia (3/2020-)
- Viro (3/2020-)
- Espanja (9/2020-)
Edellämainittujen lisäksi suurin osa EU-maista on jo antanut muodollisen notifikaation mukaantulostaan (ks. EU:n sivuilta Hyväksytyt maat ja niiden tunnistusvälineet), mutta käytännön toteutusaikataulu näiden maiden osalta on vielä avoin.
Digi- ja väestötietoviraston tukimateriaaleja:
- FAQ: Usein kysytyt kysymykset eIDAS-sääntelystä ja rajat ylittävästä tunnistamisesta (26.6.2020)
- eIDAS-tunnistetusta käyttäjästä välitettävät attribuutit (22.1.2020)
- eIDAS-tunnistuksen vaikutukset Suomi.fi-tunnistusta käyttäviin asiointipalveluihin (13.3.2020)
Tiedotteita aiheesta:
- 27.3.2018: https://uutiskirjeet.dvv.fi/uutiset/suomi.fi-palvelut/eidas-tunnistaminen-edistaa-eurooppalaisten-liikkuvuutta-ja-viranomaisasiointia-yli-maarajojen.html
- 3.2.2020: https://uutiskirjeet.dvv.fi/uutiset/suomi.fi-palvelut/suomen-eidas-tuki-laajenee-mukaan-tulossa-viron-ja-italian-tunnistusvalineet.html
Parasta ennen: 31.12.2020
Vastuunjako | |
|---|---|
Sovelluksen SAML2.0-konfigurointi | Kehittäjä |
Palvelimen SAML2.0-konfigurointi | Kehittäjä (TAI Linux-ylläpito/Käyttäjähallinto?) |
Metadatakuvauksen laatiminen (testi & tuotanto) | Kehittäjä |
Metadatakuvauksen lähetys | Käyttäjähallinto |
Käyttölupa-anomuksen laatiminen | Tuoteomistaja tms. |
Käyttölupa-anomuksen lähetys | Käyttäjähallinto |
CA-sertifikaatti | Kehittäjä tilaa HY:n ca-palvelusta |