Hakan tekninen ryhmä hyväksyi monivaiheiseen tunnistamisen tukemiseen REFEDS:in määrittämän sanaston. Sanaston avulla mahdollistetaan erilaisten tunnistusvälineiden, erityisesti monivaiheisen tunnistaminen, tehokkaampi ja helpompi käyttö Haka-palveluissa. 

Sanastoa voidaan käyttää mm. seuraavissa käyttötapauksissa:

  • Palvelu (SP) pyytää tiettyä tunnistusvälinettä tiettyyn tunnistustapahtumaan ja tunnistuspalvelimen (IdP) on tätä pyyntöä kunnioitettava
  • Tunnistuspalvelin ilmoittaa millä tavalla käyttäjä on tunnistettu vaikka palvelu ei olisi mitään tiettyä pyytänyt

Uudet tunnistusmenelmät

Toimenpiteet

Tunnistuspalvelimet

Tunnistuspalvelimen ylläpitäjien tulee lisätä tukemansa REFEDS-sanasto osaksi oman tunnistuspalvelimensa tukemia tunnistusmenetelmiä mikäli tuki niille tunnistuspalvelimesta löytyy. Jokaisen tunnistuspalvelimen tulee vertailla omaa käytäntöään REFEDS-menetelmiin ja aktivoida ne, jotka tosiasiallisesti ovat tunnistuspalvelimessa tuettuja. 

  1. Vertaa oman ympäristösi käytäntöjä https://refeds.org/profile/sfa ja https://refeds.org/profile/mfa määrityksiin. 
  2. Aktivoi ne, jotka vastaavat ympäristöäsi
    1. Mikäli tunnistuspalvelin tukee monivaiheista tunnistamista REFEDS-määritysten mukaisesti, aktivoi mfa-arvo.
    2. Jos salasanatunnistaminen noudattaa REFEDS-määrityksessä asetettuja ehtoja, aktivoida sfa-arvo

Tarvittaessa kysy lisätietoja haka@csc.fi

Palvelut

Mikäli palvelu tarvitsee jotain tiettyä tunnistusmenetelmää, tulee se ilmaista osana tunnistuspyyntöä AuthenticationContextClass -arvolla. Jos millekään tietylle menetelmälle ei ole tarvetta, ei tule pyytää mitään vaan antaa tunnistuspalvelimen suorittaa tunnistaminen haluamallaan tavalla  Hakan yleisten vaatimusten puitteissa. 

Tulee myös huomioida, että SAML2-määritysten mukaisesti tunnistuspalvelin palauttaa virheen, mikäli tunnistuspalvelin ei kykene täyttämään pyydettyä tunnistusvälinettä. 

  • No labels