OIDC-gränssnittet
Suomi.fi-identifikation tar i bruk gränssnittet OpenID Connect – ändringen kräver åtgärder av e-tjänsterna
Suomi.fi-identifikation tar i bruk ett gränssnitt som stöder OpenID Connect-protokollet i stället för SAML 2.0-standarden. I samband med ändringen ersätts det nuvarande SAML-gränssnittet med ett nytt OIDC-gränssnitt. Ibruktagandet av det nya gränssnittet kräver åtgärder av e-tjänsterna. Suomi.fi-identifikations nuvarande SAML-gränssnitt kommer att försvinna efter en övergångsperiod.
Det nya OpenID Connect-gränssnittet motsvarar bättre kundorganisationernas behov
OpenID Connect är ett autentiseringsprotokoll som grundar sig på OAuth 2.0-protokollet. I och med gränssnittsändringen skapas ett förtroendeförhållande mellan e-tjänsten och Suomi.fi-identifikation med hjälp av metadata enligt OICD-protokollet.
Det nya OpenID Connect-gränssnittet svarar på kundorganisationernas behov och ger tillgång till ett modernare och mer utvecklingsvänligt protokoll. Genom övergången till OIDC-gränssnittet förbättras också säkerheten, eftersom man i fortsättningen byter nycklar oftare och personuppgifterna överförs mellan servrarna.
Ändringar i gränssnittet
SAML 2.0 och OpenID Connect har samma funktioner, men de skiljer sig från varandra i fråga om genomförandesätten. I SAML-protokollet används XML-baserade meddelanden och OIDC-protokollet använder JSOn och JWT.
Övergången till OIDC-gränssnittet minskar e-tjänsternas underhållsbelastning. Bytet av SAML-certifikat försvinner i och med OIDC-gränssnittet. I OIDC-gränssnittet kan nyckelbytet automatiseras och metadatauppdateringar behövs inte. Bytet av SAML-certifikat med två års mellanrum försvinner och nycklarna hämtas i OIDC-gränssnittet via en url som e-tjänsten definierar i sina metadata. I fortsättningen behöver e-tjänsten inte ladda ner nya metadata på grund av byte av certifikat.
Nedan en sammanfattning av gränssnitten.
Egenskap | SAML | OIDC |
|---|---|---|
Textformat/dataöverföringsformat | XML | JSON |
Engångsinloggning och engångsutloggning | Funktion som stöds | Funktion som stöds. Förblir likadan. Engångsinloggningssessionen är gemensam mellan gränssnitten. |
Personuppgifter | Attribut | Scope och claims. Samma uppgifter, men i olika format. |
Leverans av metadata / Registrering av miljön | Via serviceadministrationen | Via serviceadministrationen E-tjänsten behöver inte längre leverera certifikat i samband med metadata, vilket minskar behovet av metadatauppdateringar. |
Användningstillstånd | Förblir oförändrat. Tillståndet för SAML fungerar också för OIDC | |
Certifikat för e-tjänstens miljö | Administreras via metadata | Administreras med hjälp av jwks_uri, vilket innebär att e-tjänsten kan byta certifikat utan att de behöver skickas separat till Suomi.fi-identifikation. |
Byte av SAML-certifikat | Byte av SAML-certifikat med två års mellanrum | Byts regelbundet |
Identifieringsverktyg | Förblir oförändrade | |
Användarens perspektiv | Förblir oförändrade |
Läs mer om OIDC-specifikationerna här: https://openid.net/specs/openid-connect-core-1_0.htmlÖppnas i ett nytt fönster.
Övergången från SAML 2.0-standarden till OpenID Connect-protokollet medför inga synliga ändringar i medborgarens identifieringsväg. Det är möjligt att genomföra ibruktagandet utan avbrott som syns för användarna genom att registrera en ny OIDC-miljö vid sidan av den gamla. E-tjänsterna får närmare anvisningar om ibruktagandet senare.
Engångsinloggning och engångsutloggning förblir stödda funktioner i OIDC-gränssnittet.
Ändringen kräver åtgärder av e-tjänsterna – gör så här
Ändringen kräver att e-tjänster som använder Suomi.fi-identifikation tar i bruk det nya OIDC-gränssnittet i produktions- och testmiljön för Suomi.fi-identifikation. E-tjänsterna ska själva genomföra det tekniska ibruktagandet av gränssnittet och arbetsmängden i samband med ibruktagandet beror på e-tjänstens genomförande. Övergången till OIDC-gränssnittet inleds från kundtestmiljön, och därefter går man vidare till produktionsmiljön. Informera din eventuella systemleverantör om den kommande ändringen och beakta ibruktagandet av det nya gränssnittet i e-tjänstens färdplan för produktutveckling.
Ibruktagandet av OIDC-gränssnittet kräver att nya metadatauppgifter skickas via Serviceadministrationen. Vi meddelar separat när kundtestmiljön och produktionsmiljön kan tas i bruk. Suomi.fi-identifikation publicerar anvisningar för ibruktagandet av OIDC-gränssnittet på webbplatsen suomi.fi för utvecklare samt ger stöd för ibruktagandet av gränssnittet. Ibruktagandet av OICD-gränssnittet kräver inget nytt användningstillstånd för Suomi.fi-identifikation.
Tidtabell för ibruktagandet av OIDC-gränssnittet
OIDC-gränssnittet publiceras i slutet av 2026 i kundtestmiljön och produktionsmiljön för Suomi.fi-identifikation. Vi meddelar de närmare publiceringstidtabellerna separat. Ibruktagandet i kundtestmiljön och produktionsmiljön måste inte göras samtidigt som Suomi.fi-identifikation publicerar OIDC-gränssnitten. E-tjänsterna kan göra övergången inom ramen för sina egna tidtabeller, med beaktande av övergångsperioden för gränssnittsändringen. Det är e-tjänstens ansvar att testa ändringen innan övergången till produktion.
E-tjänsterna ska övergå till att använda OIDC-gränssnittet senast den 1 juni 2028. Det nuvarande SAML-gränssnittet för Suomi.fi-identifikation förblir ett gränssnitt som stöds under övergångsperioden och e-tjänsterna kan schemalägga sin egen övergång till OIDC-gränssnittet inom ramen för övergångsperioden. Det lönar sig att börja utarbeta tidtabellen och planera övergången i din organisation genast, så att övergången av din e-tjänst kan genomföras inom ramen för övergångsperioden.
Det nuvarande SAML-gränssnittet tas ur bruk i Suomi.fi-identifikation efter den 1 juni 2028. Därefter fungerar inte identifikation via SAML-gränssnittet.