Tekninen käyttöönotto

Muistilista

Ota huomioon, että liityntä vaatii SAML 2.0 -standardin osaamista ja saattaa vaatia muutoksia liitettävään järjestelmään.
Testaus tarvitsee tehdä vain kerran, ja sen voi tehdä joko asiakasorganisaatio tai toimittaja. Sopikaa yhdessä kumpi tekee testauksen ja varmistakaa, että kumpikin organisaatio on tietoinen omasta roolistaan.
Organisaatio tarvitsee tilin Palveluhallintaan, sekä käyttäjä oikeudet Tunnistuksen hallintaliittymään, ennen kuin käyttöluvan voi hakea, tai asiointipalvelun voi rekisteröidä. (Rekisteröinnin voi tehdä osoitteesta: https://palveluhallinta.suomi.fi/fi/rekisteroityminen)
Suomi.fi-tunnistuksen idp-metadatasta: metadatassa on kaksi varmennetta, joista toinen on joko tulossa käyttöön, tai se on vanhentunut ja toinen, joka on voimassa. Asiointipalvelun tulisi osata käsitellä varmenteita hierarkisesti, jotta varmenteen vaihtuminen ei aiheuta katkoa asiointipalvelussa. Käytettävä varmenne vaihtuu n. kahden vuoden välein.
Metadata voidaan asentaa myös palveluntarjoajan toimesta. Palvelu tarvitsee kuitenkin aina käyttöluvan (tuotantokäyttöä varten), riippumatta siitä, onko palvelulla "oma" metadata, tai onko kyseessä jaettu alusta, jolla on vain yksi yhteinen metadata.

Näin teet Tunnistus-palvelun teknisen käyttöönoton:

1. Liity testiympäristöön

Testaa asiointipalvelu testiympäristössä ennen sen viemistä tuotantoympäristöön. Testiympäristössä voit

valmistautua Tunnistus-palvelun käyttöönottoon
kartoittaa omaan asiointipalveluusi tarvittavia muutoksia
testata asiointipalvelusi toteutusta.

Testaa seuraavat sanomat:

Huomiothan myös eIDAS-tunnistettujen käyttäjien erityispiirteet:

Tunnistamisesta ei tehdä kertakirjautumissessiota
käyttäjätietoja ei haeta väestötietojärjestelmästä
käyttäjän tiedot sisältävät etunimen, sukunimen, PID-tunnisteen ja syntymäajan.

Lue tarkemmat ohjeet testiympäristöön liittymisestä.

2. Siirry tuotantoon

Testaamisen jälkeen voit siirtyä tuotantoon.

Lataa asiointipalvelun metadata Palveluhallintaan Tunnistuksen hallintaliittymän kautta vähintään viikkoa ennen haluttua tuotantokäyttöönottoa. Viimeistele luottamussuhde tuotannon IdP-metadatan avulla (https://tunnistus.suomi.fi/static/metadata/idp-metadata.xml).

Voit ladata metadatan, kun

olette suorittaneet kaikki testitapaukset onnistuneesti asiakastestiympäristössä
asiointipalvelulle on myönnetty käyttölupa
organisaatiosi on hyväksynyt Tunnistus-palvelun käyttöehdot.

Huomioithan seuraavat asiat koskien tuotantometadataa:

Poista testitunnistusväline (...110.999)
Käytä vain virallisia CA:n myöntämiä varmenteita
Varmista yhteystiedot ja poista/korjaa toimimattomat osoitteet

Muista tietoturva

1. Tarkasta aina SAML-viestien allekirjoitusten aitous, jotta palveluun ei pääse väärennetyllä SAML-viestillä ja sitä kautta väärällä identiteetillä.

2. Tarkista palvelun virheidenkäsittely. Suomi.fi -tunnistus palauttaa tietyissä tilanteissa virheviestin, joka tulee käsitellä oikein. Varmista esimerkiksi seuraavat tilanteet:

käyttäjä keskeyttää tunnistuksen
tietoliikenneyhteys katkeaa kesken tunnistuksen
käyttäjästä ei jostain syystä palauteta niitä attribuutteja, joita odotetaan.

3. Varmista uloskirjautumisen järjestys. Kun käyttäjä kirjautuu ulos palvelusta, tulisi hänet ensin kirjata ulos omasta asiointipalvelusta ja sitten kuitata uloskirjaus Suomi.fi-tunnistukselle. Tällöin oma sessio ei jää auki, mikäli SLO-prosessi jostain syystä keskeytyy.

Päivitetty: 27.1.2025