Usein kysytyt kysymykset
Tälle sivulle on koottu Suomi.fi-tunnistukseen liittyviä usein kysyttyjä kysymyksiä. Tukea saat lisäksi Suomi.fi-tunnistuksen käyttöönoton tuesta.
Tuotantoympäristön metadata-asennusten aikataulu
- Hae käyttölupa hyvissä ajoin
- Metatietojen muutokset tulee toimittaa viimeistään edellisen viikon sunnuntaina. Myöhässä toimitetut metatiedot siirtyvät seuraavan viikon asennukseen.
- Tuotantoympäristön muuttuvat metadatat tarkistetaan alkuviikon aikana
- Metadatojen tuotantoasennus keskiviikkona klo 9
Ylimääräisiä metadata-asennuksia ei tehdä.
Testiympäristöjen metatiedot tarkistetaan ja viedään testiympäristöön joka arkipäivä kello 13-16 välisenä aikana.
Arkipyhät ja lomakaudet vaikuttavat metadata-asennusten aikatauluihin.
Lue lisää https://kehittajille.suomi.fi/palvelut/tunnistus/metadata-asennusten-aikataulu
Suosittelemme käyttämään metatiedoston mallia täältä ja täydentämään siihen rekisteröitävän ympäristön tiedot.
Jos saat virheen, suosittelemme tarkistamaan seuraavat asiat:
- metatiedosto on validia XML:ää.
- entityID on määritetty
- kontaktihenkilön etu- ja sukunimi sekä sähköposti ovat määriteltyjä
- sähköpostiosoitteet ovat oikean muotoisia
- ympäristön nimi on määritelty kolmella kielellä (DisplayName-elementit)
- varmenne on validi ja PEM-muodossa
- tunnistusvastauksen paluuosoite on määritelty
Tämä voi johtua monesta asiasta ja suosittelemme tarkistamaan seuraavat asiat:
- pyyntö on validia XML:ää.
- tunnistuspyynnön entityID on sama kuin ympäristön metatiedoissa. Huomaa, että entityID on kirjainkokoriippuvainen (case-sensitive).
- pyynnön allekirjoituksessa käytetty salainen avain vastaa ympäristön metatiedoissa määritettyä varmennetta.
- pyynnön aikaleimassa ei ole heittoa ja palvelimesi kellot on synkronoitu.
On hyvä tarkistaa seuraavat asiat:
- Tunnistusvastauksen palautusosoite on määritetty oikein ympäristön metatiedoissa (AssertionConsumerService-elementti).
- Tarkista, että palautusosoite ja HTTP-metodi ovat oikein (GET/POST).
- Salaukseen purkuun käytetty salainen avain vastaa ympäristön metatiedoissa määritettyä varmennetta.
Yhteistietoja hallinnoidaan ympäristön metatietojen kautta. Tunnistaudu vahvasti palveluhallintaan, lataa omalle koneelle nykyinen metadata, tee tarvittavat muutokset ja päivitä ympäristö. Katso tarkemmat ohjeet metatietojen päivitykselle täältä.
Asiointipalvelun käyttämien SAML-varmenteita hallinnoidaan ympäristön metatietojen kautta. Huomioi, että varmenteen vaihto vaatii myös toimenpiteitä asiointipalvelussasi. Katso tarkemmat ohjeet varmenteen vaihdolle täältä.
Jos tarve tämänkaltaisille tarkistuksille on jatkuvampaa, DVV tarjoaa muutostietopalvelua, jonka kautta on mahdollista saada myös tieto henkilötunnuksen muutoksesta. Lisätietoja palvelusta löytyy täältäAvautuu uuteen ikkunaan..
Henkilöllä, jonka henkilötunnus on vaihtunut, on mahdollisuus saada ote väestötietojärjestelmästä, josta ilmenevät uusi ja vanha henkilötunnus ja jolla henkilötunnuksen muuttumisen pystyy todistamaan. Eli jos kyse on yksittäistapauksesta, henkilöltä voisi pyytää tätä otetta, jos haluatte henkilötunnuksen vaihtumisesta varmistuksen.
Palvelunhallinasta ei ole mahdollista poistaa itse ympäristöä. Tunnistaudu Suomi.fi-palveluhallintaanAvautuu uuteen ikkunaan.. Tarkista raportti (sivu 3) ja varmista, että ympäristöön ei tule enää onnistuneita tunnistautumisia ja pyydä ympäristön poistoa käyttöönottojen tuesta osoitteesta tunnistus-kayttoonotot@dvv.fi.
Mikäli asiontipalvelun ja Suomi.fi tunnistautumisen välisessä konfiguraatiossa on vikaa, tunnistauminen päätyy virhesivulle. Virhesivun url:ssa oleva virhekoodi(&m=X) kertoo virheen luonteesta. Allo olevassa taulukossa on koodit ja niiden selitykset:
back | Selaimen takaisin-painiketta käytettiin. |
|---|---|
3 | EndpointResolutionFailed-tapahtuma tapahtuu, kun SP:n pyynnön AssertionConsumerServiceURL ei vastaa SP:n metadataa. Tämän vuoksi IdP hylkää pyynnön. |
5 | InvalidProfileConfiguration tarkoittaa yleensä, että profiili, jota yritetään suorittaa (esim. SAML2/SSO, SAML2/POST, AttributeResolution jne.), on virheellisesti määritetty tai siitä puuttuu vaadittuja elementtejä. Tämä on Shibbolethin tapa sanoa: ”En voi suorittaa tätä profiilia, koska määritys ei ole kelvollinen.” |
7 | MessageAuthenticationError tarkoittaa ongelmaa SAML-viestin eheyden tai luottamuksen varmistamisessa. Toisin sanoen IdP tai SP vastaanotti SAML-viestin (AuthnRequest, Response, LogoutRequest jne.), jota se ei voinut varmentaa tai johon se ei voinut luottaa. |
8 | MessageReplay-virhe tarkoittaa, että SAML-viesti (AuthnRequest, Response, LogoutRequest jne.) vastaanotettiin useammin kuin kerran samalla ID-arvolla. Shibboleth suojaa uudelleenlähetyshyökkäyksiltä pitämällä lyhytaikaista välimuistia viesti-ID:istä. Jos sama ID nähdään kahdesti, heitetään MessageReplay-virhe. |
9 | MessageExpired-virhe tarkoittaa, että SAML-viesti vastaanotettiin sen voimassaoloajan ulkopuolella — eli IssueInstant, NotBefore tai NotOnOrAfteraikaleimat eivät enää tee siitä luotettavaa. |
10 | UnableToDecode-virhe tarkoittaa, että IdP (tai SP) vastaanotti SAML-viestin, mutta sitä ei voitu jäsentää tai purkaa kelvolliseksi XML:ksi. Viestin siirto onnistui, mutta sisältö ei ollut kelvollista SAML:ia. Yksi mahdollinen syy on se että on lähetetty POST sanoma redirect endpointtiin. |
43 | NoSuchFlowExecutionException tarkoittaa, että IdP sai pyynnön, joka viittaa flow execution key(kirjautumisprosessin tilaan), mutta IdP ei enää löytänyt sitä. Käytännössä: "Kirjautumisistunto/prosessi on kadonnut." |
44 | FlowExecutionRestorationFailureException tapahtuu, kun IdP yrittää palauttaa olemassa olevan kirjautumisprosessin (login session), mutta tila on joko kadonnut, vioittunut tai yhteensopimaton. Tämä liittyy läheisesti NoSuchFlowExecutionException-virheeseen, mutta tässä IdP löysi avaimen, muttei pystynyt palauttamaan tilaa. |