You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 10 Next »

Palvelun rekisteröinti Virtu - luottamusverkostoon / testipalveluun

Tässä ohjeessa kerrotaan, miten lisäät uuden Service Provider (SP) palvelun Virtu-luottamusverkostoon käyttäen Resurssirekisteriä. Menettely on sama niin testi- kuin tuotantopalvelimille. Erona on, että tuotantopalveluille operaattori hakee Valtorin hyväksynnän palvelun lisäämiseksi Virtu-metadataan.

Voit tunnistautua Resurssirekisteriin Virtun tai Eduunin avulla, jolloin voit jatkossa myös editoida rekisteröimiäsi palveluita. Eduuni mahdollistaa tilin luomisen Virtun resurssirekisteriin vaikkei käyttäjällä olekaan Virtu-tunnusta. Esimerkiksi toimittajan edustajat voivat sen avulla muokata teknisiä tietoa Virtun resurssirekisterissä. Jotta palvelusi liitetään tiliisi, tunnistaudu resurssirekisteriin ennen tietojen syöttöä. Eduunin voi muodostaa itselleen:  http://id.eduuni.fi/

Käyttöä koskevat kysymykset sähköpostitse osoitteeseen servicedesk@csc.fi

Service Provider (SP) -palvelun rekisteröinti luottamusverkostoon

1. Mene Resurssirekisterin aloitussivulle (https://virtus.csc.fi/) ja valitse linkki  "Add a new Service Provider"

2. Valitse palvelun omistavan organisaation tiedot "Organization Information" -kohdassa. Mikäli haluttua organisaatiota ei ole listassa tai palvelu tulee testaukseen, valitse ”Virtu Test Organization”.

Kuva 1: Organisaation perustiedot


3. Syötä SP:n perustiedot kohdassa "SP Basic Information". Valitse ensin luottamusverkosto, johon haluat palvelun liittää. Entity Id -kenttään tulee täyttää palvelun entityid, eli sen SAML-protokollassa yksilöivä tunniste. Tunnisteen on oltava uniikki ja sen on täsmättävä käytettävän SAML-toteutuksen konfiguraatiossa määriteltyyn entityid -arvoon. Entity Id -arvo kannattaa valita siten, ettei sitä tarvitse myöhemmin muuttaa, sillä muuttaminen jälkeenpäin voi olla työlästä. EntityId:n tulee olla URI eli joko URL tai URN. 

Syötä palvelulle mahdollisimman kuvaava nimi, mielellään kaikilla kysytyillä kielillä. Tätä nimeä käytetään mm. luottamusverkoston palveluita listattaessa.

Valitse tuetut protokollat ja Name Format -arvot. Vähintään "SAML 2.0" protokolla ja "urn:oasis:names:tc:SAML:2.0:nameid-format:transient " Name Format on syytä olla tuettuna, ks. Virtu SAML-profiili [2]. 

Kuva 2: SP:n perustietojen syöttäminen


4. Syötä SP:n SAML-osoitteet kohdassa "SP SAML Endpoints". Vähintään HTTP-POST -muotoinen Assertion Consumer Service -osoite on oltava syötettynä, ja voit syöttää useampia osoitteita. Mikäli kentät loppuvat kesken, paina "Apply changes" -nappia, jolloin kenttiä tulee lisää. Kaikkien osoitteiden on käytettävä HTTPS-prokollaa.


Kuva 3: SP:n SAML-osoitteiden syöttäminen


5. Syötä SP:si varmenne, jota IdP:t käyttävät  SAML-assertioiden salaamiseen ja jolla SP:si allekirjoittaa viestit, kohdassa "Certificates".  Huomaa varmenteelle asetetut tekniset vaatimukset, jotka on kerrottu vielä kyseisellä sivulla. Palvelu ei anna syöttää varmennetta, jonka se havaitsee virheelliseksi.

Varmenne on syötettävä PEM (Base64) muodossa, ilman -----BEGIN CERTIFICATE----- ja -----END CERTIFICATE----- -rivejä. Varmenteen on oltava voimassa ja sen on oltava luottamusverkoston politiikan mukaisen varmentajan (CA) myöntämä.

Syötettyäsi varmenteen hyväksytysti voit vielä muuttaa varmenteen käyttötarkoitusta tai lisätä muita varmenteita. Tämä on harvemmin tarpeen.


Kuva 4: Varmenteen syöttäminen


6. Valitse ne attribuutit, joita SP tarvitsee sivulla "Required Attributes". Huomaa, että kaikkia attribuutteja ei välttämättä ole saatavilla kaikista IdP:ista. Perustele vaadittavat  attribuutit  - henkilötietolain mukaan palvelu saa kysyä vain palvelun kannalta tarpeellisia henkilötietoja.


Kuva 5: Tarvittavien attribuuttien valinta


7. Syötä palvelun yhteystiedot sivulla "Contact Information". Yhteystietoina tulee olla sekä palvelun tekniseltä toimittajalta että palvellun omistajalta yhteysosotteet. Osoitteiden tulee olla prosessiosoitteita, jotka eivät ole yhden ihmisen varassa. Luottamusverkoston operaattori käyttää tätä osoitetta teknisissä yhteydenotoissa esimerkiksi vikatilanteissa tai tietoturvaan liittyvissä tiedotteissa. Yhteystiedot julkaistaan luottamusverkoston SAML-metadatassa, jotta myös muille luottamusverkoston osapuolille on tarjolla kontaktipiste mahdollisia ongelmatilanteita varten.

Mikäli täytät rekisteröintilomaketta kirjautumatta sisään, täytä myös omat yhteystietosi niille varattuun kenttään lomakkeen alareunassa. Operaattori käyttää näitä yhteystietoja, jos rekisteröinnistä tulee kysyttävää sekä rekisteröinnin etenemisestä tiedottamiseen.


Kuva 6: Yhteystietojen syöttäminen


8. Syötettyäsi yhteystiedot palvelu tarkistaa rekisteröintitiedot. Huomioi mahdolliset varoitukset ja korjaa niiden syy, mikäli aiheellista.

9. Voit tarkastella syöttämiesi tietojen pohjalta generoitua SAML-metadataa kohdasta "View Metadata".

10. Voit perua kaikki tekemäsi muutokset kohdassa "Cancel modifications".

11. Kun olet tarkistanut, että kaikki tiedot ovat oikein täytetty, lähetä rekisteröintitiedot painamalla "Submit SP Description" -linkkiä. Tämän jälkeen tiedot menevät luottamusverkoston operaattorin sekä Valtorin tarkistettavaksi. Voit vielä tarkistaa syöttämäsi tiedot. Ota yhteyttä operaattoriin mahdollisimman pikaisesti, mikäli havaitset virheitä.

12. Saat sähköpostitse kuittauksen, kun rekisteröinti ja valtuutesi rekisteröinnin tekemiseen on tarkistettu. Mikäli operaattori tarvitsee lisätietoja tai rekisteröinnissä on puutteita, niitä kysytään myös tässä vaiheessa.

13. Kun rekisteröinti on operaattorin ja Valtorin hyväksymä, SP:si lisätään luottamusverkostoon.

  • No labels