Suomi.fi-identifikation: Vanliga frågor
På den här sidan har vi samlat vanliga frågor om Suomi.fi-identifikation. Du får stöd också från stödet för införande av Suomi.fi-identifikation.
Tidtabell för installation av metadata i produktionsmiljön
- Ansök om användningstillstånd i god tid
- Lämna in ändringar i metadata i senast föregående veckas söndag. Försenade metadata överförs till följande veckas installation.
- Vi kontrollerar ändrade metadata i produktionsmiljön i början av veckan
- Produktionsinstallation av metadata onsdagar kl. 9
Vi utför inga extra installationer av metadata.
Testmiljöernas metadata kontrolleras och förs till testmiljön varje vardag kl. 13–16.
Söckenhelger och semesterperioder inverkar på tidtabellerna för installationerna av metadata.
Vi rekommenderar att du använder metafilsmodellen som finns här och kompletterar uppgifterna om den miljö som ska registreras där.
Om du får ett felmeddelande rekommenderar vi att du kontrollerar följande:
- metafilen är en giltig XML-fil.
- entityID har angetts kontaktpersonens för- och efternamn samt e-post har angetts
- e-postadresserna är i rätt format
- miljöns namn har angetts på tre språk (DisplayName-element)
- certifikatet är giltigt och i PEM-format
- returadressen för identifieringssvaret har fastställts
Detta kan bero på många saker och vi rekommenderar att du kontrollerar följande:
- begäran är giltig XML.
- entityID för begäran om identifiering är samma som i miljöns metadata. Observera att entityID är skiftlägeskänsligt (case-sensitive).
- Den hemliga nyckeln som används för underteckning av begäran motsvarar det certifikat som fastställts i miljöns metadata. tidsstämpeln för begäran är rätt och serverns klockor är synkroniserade.
Det är bra att kontrollera följande:
- Identifieringssvarets returadress har angetts korrekt i miljöns metadata (AssertionConsumerService-element).
- Kontrollera att returadressen och HTTP-metoden är korrekta (GET/POST).
- Den hemliga nyckeln som används för avkryptering motsvarar det certifikat som angetts i miljöns metadata.
Kontaktuppgifterna administreras via miljöns metadata. Använd stark autentisering för att logga in i Suomi.fi-serviceadministrationen, ladda ned nuvarande metadata till din dator, gör nödvändiga ändringar och uppdatera miljön. Se närmare anvisningar för uppdatering av metadata här.
De SAML-certifikat som e-tjänsten använder administreras via miljöns metadata. Observera att byte av certifikat också kräver åtgärder i din e-tjänst. Se närmare anvisningar för byte av certifikat här.
Om behovet av kontroller av detta slag är kontinuerligt erbjuder MDB en ändringsdatatjänst, via vilken det också är möjligt att få information om ändring av en personbeteckning. Du hittar mer information om tjänsten härÖppnas i ett nytt fönster..
En person vars personbeteckning har ändrats kan få ett utdrag från befolkningsdatasystemet av vilket den nya och den gamla personbeteckningen framgår och med vilken ändringen av personbeteckningen kan styrkas. Om det alltså är fråga om ett enskilt fall kan man be personen om detta utdrag om ni vill ha en bekräftelse på att personbeteckningen har ändrats.
Själva miljön kan inte raderas från Suomi.fi-service administrationen. Identifiera dig i Suomi.fi-service administrarionenÖppnas i ett nytt fönster.. Kontrollera i serviceadministrationens (sidan 3) att det inte längre kommer lyckade identifieringar i miljön och be om radering av miljön hos stödet för införande på adressen tunnistus-kayttoonotot@dvv.fi.
Om det finns ett fel i konfigurationen mellan e-tjänsten och Suomi.fi-autentiseringen hamnar autentiseringen på en felsida. Felkoden (&m=X) i felsidans URL visar vilken typ av fel det är. I tabellen nedan finns koderna och deras förklaringar:
back | Webbläsarens tillbaka-knapp användes. |
|---|---|
3 | En EndpointResolutionFailed-händelse inträffar när AssertionConsumerServiceURL i en SP:s begäran inte finns i SP:ns metadata. Därför misslyckas IdP med begäran enligt standardens krav. |
5 | InvalidProfileConfiguration i Shibboleth betyder vanligtvis att den profil du försöker köra (som SAML2/SSO, SAML2/POST, AttributeResolution osv.) är felkonfigurerad eller saknar nödvändiga element. Detta är Shibboleths sätt att säga: ”Jag kan inte köra den här profilen eftersom konfigurationen inte är giltig.” |
7 | MessageAuthenticationError pekar på ett problem med SAML-meddelandets integritet eller tillitsvalidering. Med andra ord fick IdP eller SP ett SAML-meddelande (AuthnRequest, Response, LogoutRequest osv.) som det inte kunde verifiera eller lita på. |
8 | Ett MessageReplay-fel betyder att ett SAML-meddelande (AuthnRequest, Response, LogoutRequest osv.) togs emot mer än en gång med samma ID-värde. Shibboleth skyddar mot replay-attacker genom att hålla en korttidscache över meddelande-ID:n. Om samma ID ses två gånger kastas ett MessageReplay-fel. |
9 | Ett MessageExpired-fel betyder att SAML-meddelandet togs emot utanför dess giltighetsfönster — det vill säga att IssueInstant, NotBefore eller NotOnOrAfter tidsstämplarna inte längre gör det betrott. |
10 | Ett UnableToDecode-fel betyder att IdP (eller SP) tog emot ett SAML-meddelande men inte kunde tolka eller avkoda det till giltig XML. Transportlagret fungerade, men innehållet var inte giltigt SAML. En möjlig orsak är att ett POST-meddelande har skickats till en redirect-endpoint. |
43 | NoSuchFlowExecutionException betyder att IdP fick en begäran som refererar till en flow execution key (tillståndet för en inloggnings-/autentiseringsprocess), men IdP kunde inte längre hitta den. Enkelt uttryckt: "Den inloggningssessionen/processen är borta." |
44 | FlowExecutionRestorationFailureException inträffar när IdP försöker återställa en befintlig inloggningsprocess (login session), men tillståndet saknas, är skadat eller inkompatibelt. Detta är nära relaterat till NoSuchFlowExecutionException, men här hittade IdP en nyckel men kunde inte återställa sitt interna tillstånd. |