Page tree
Skip to end of metadata
Go to start of metadata

MPASSid-testiympäristö


Ennen liittymistä MPASSid-luottamusverkostoon ja palvelun tarjoamisen aloittamista palveluntarjoajan on syytä testata palvelun toiminta MPASSid:n kanssa. Tätä varten MPASSid-operaattorilla on testiympäristö, johon palvelun voi liittää testaamista varten. Testiympäristössä palveluun voi tunnistautua testitunnuksin, ja testikäyttäjästä välitetään MPASSid-tietomallin mukaiset käyttäjätiedot. Testiympäristössä ei käsitellä oikeita henkilötietoja. 

MPASSid tukee kahta vaihtoehtoista käyttäjätunnistusprotokollaa (SAML2 ja OpenID Connect (OIDC)), joista palveluntarjoaja voi valita palvelulleen parhaiten soveltuvan. Molemmilla protokollilla on pääsääntöisesti samat ominaisuudet ja niiden kautta saadaan samat käyttäjätiedot. Eroavaisuudet ovat teknisissä yksityiskohdissa.

Palvelun muokkaaminen yhteensopivaksi MPASSid:n kanssa edellyttää riittäviä tietoja joko SAML2 tai OIDC -protokollasta sekä protokollatuen tarjoavasta kirjastosta tai ohjelmistosta. MPASSid:n tuki keskittyy rajapinnan viestinvaihtoon, eikä voi avustaa protokollien käyttöön liittyvissä perusasioissa.

Liittyminen SAML2-protokollalla

Palvelun liittäminen MPASSid-testiympäristöön SAML2-protokollalla edellyttää, että palveluntarjoaja toimittaa palvelun SAML2-rajapinnan tekniset tiedot eli SAML2-metadatan MPASSid-operaattorille. Palveluntarjoajan pitää myös lisätä MPASSid:n tunnistuspalvelimen metadata luotetuksi omaan palveluunsa. 

Metadatojen avulla MPASSid ja palvelu muodostavat luottosuhteen, jossa ne pystyvät jakamaan tietoja ja kommunikoimaan turvallisesti. Tietojen on oltava kaikissa tilanteissa yhtenevät ja oikeat, muuten kommunikaatio ei toimi.

MPASSid:n testiympäristön SAML2-metadata löytyy osoitteesta https://mpass-proxy-test.csc.fi/idp/shibboleth.



MPASSid:lle toimitettavat tiedot:

  • SAML2-palvelun entity ID eli palvelun tekninen yksilöllinen nimi. Yksilöllisyys varmistetaan kätevimmin käyttämällä nimessä muotoa https://domain.fi/palvelu 
  • Osoite, jonne MPASSid ohjaa tunnistusvastaukset. Esiintyy nimellä AssertionConsumerService ali ACS-osoite ja on muotoa https://domain.fi/XXX

Tietojen kerääminen ja toimittaminen edellyttää, että sovellukselle on tehty tarvittavat toteutukset ja konfiguraatiot SAML2 Service Provider roolille. Tiedot toimitetaan MPASSid:n ylläpidolle sähköpostitse osoitteeseen tuki@mpass.fi

Testaaminen

Luottosuhteen muodostamisen jälkeen tulee tunnistuspyynnöt ohjata MPASSid:n metadatasta löytyvään SingleSignOnService -osoitteeseen. MPASSid:ssä käytetään saml2int -profiilia, eli tunnistuspyynnöt tulee lähettää selaimen mukana HTTP-Redirect -bindingilla, kun taas vastaukset lähetetään HTTP-POST -bindingilla. Oikeanlaisen tunnistuspyynnön jälkeen käyttäjä voi tunnistautua testipalvelimella. Tunnistuksen jälkeen käyttäjä ohjataan takaisin palveluun mukanaan MPASSid:n muodostama vastausviesti, jossa on käyttäjätiedot.


Liittyminen OpenID Connect -protokollalla


HUOM! Suosittelemme vahvasti käyttämään vain OpenID-säätiön sertifioimia tuotteita/kirjastoja turvallisen ja standardin mukaisen OIDC-tuen varmistamiseksi.

Liittäminen edellyttää, että palveluntarjoaja toimittaa listan palvelun käyttämistä OIDC redirect_uri -osoitteista MPASSid-operaattorille. Vakiona palvelujen odotetaan käyttävän authorization code flow:ta sekä client_secret_basic -tapaa tunnistautuessa OIDC token endpointiin, mutta myös muita standardeja tapoja tuetaan. Näihin liittyvät tiedot (kuten julkisen avaimen tiedot käytettäessä private_key_jwt -metodia) tulee toimittaa operaattorille. Vastineeksi MPASSid-operaattori toimittaa ainakin client_id -arvon sekä mahdollisesti muita, valitun profiilin vaatimia attribuutteja, kuten client_secret. Tiedot toimitetaan MPASSid:n ylläpidolle sähköpostitse osoitteeseen tuki@mpass.fi

MPASSid-testiympäristön OIDC-tiedot löytyvät osoitteesta: https://mpass-proxy-test.csc.fi/.well-known/openid-configuration

Testaaminen

Rekisteröinnin jälkeen tulee tunnistuspyynnöt ohjata MPASSid:n openid-configuration:sta löytyvään authorization_endpoint:iin. Ohjauksen yksityiskohdat riippuvat käytetystä OIDC-profiilista/flow:sta: MPASSid tukee kaikkia standardissa määriteltyjä tapoja. Oikeanlaisen tunnistuspyynnön jälkeen selaimen käyttäjä voi tunnistautua testipalvelimella. Tunnistuksen jälkeen käyttäjä ohjataan takaisin palveluun mukanaan selaimessa MPASSid:n muodostama vastausviesti, joka käytetystä OIDC flow:sta riippuen sisältää käyttäjätiedot, tai tarvittavat tiedot, joiden avulla ne voidaan hakea OIDC token_endpoint:sta.

MPASSid-tuotantoon liittyminen

Palvelun tuotantoon siirtäminen tapahtuu testaamisen jälkeen niin, että palveluntarjoaja tekee MPASSid:n jäsensopimuksen ja toimittaa palvelun tuotantantoympäristöstä vastaavat tiedot kuin testiympäristöstä MPASSid:n ylläpidolle sähköpostilla osoitteeseen tuki@mpass.fi.

MPASSid:n jäsensopimukseksesta löytyy tarkemmin tietoa osoitteesta https://mpass.fi/sopimus/.

MPASSid:n tuotantoympäristön SAML2-metadata löytyy osoitteesta https://mpass-proxy.csc.fi/idp/shibboleth ja OIDC-tiedot löytyvät osoitteesta https://mpass-proxy.csc.fi/.well-known/openid-configuration.

  • No labels