POP PANKIN TUNNISTUSPALVELUN PALVELUKUVAUS

Samankaltaiset tiedostot
Palvelukuvaus 1 (10) Handelsbankenin tunnistuspalvelun palvelukuvaus

OMA SÄÄSTÖPANKIN TUNNISTUSPALVELUN PALVELUKUVAUS

OP Tunnistuksen välityspalvelu

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

Viestintäviraston tulkintamuistio vahvan ja heikon tunnistuspalvelun

Telia Tunnistus - Palvelukuvaus

eidas, kansallinen sähköisen tunnistamisen luottamusverkosto ja tunnistusmenetelmien varmuustasot Riitta Partala, Väestörekisterikeskus

Sähköisen tunnistamisen kehittäminen Suomessa

Henkilötietojen käsittely sähköisen tunnistamisen luottamusverkostossa

Tätä ohjekirjaa sovelletaan alkaen. Ohjeeseen on lisätty tietoa avainversioista ja avainten vaihtamisesta

Julkishallinnon tunnistuksen ohjauspalvelun kehityshanke mitä PoC-vaihe on opettanut? Manne Miettinen, Henri Mikkonen ja Arto Tuomi

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

Tätä ohjekirjaa sovelletaan alkaen.

LUOTTAMUSVERKOSTON PALVELUKUVAUS. 22 May 2019

1 Virtu IdP- palvelimen testiohjeet

APIt puolesta-asioinnissa

Viestintäviraston tulkintamuistio kertakirjautumisesta ja eräistä muista kysymyksistä vahvassa sähköisessä tunnistamisessa

PALVELUKUVAUS OHJELMISTOTALOILLE SAMLINK VARMENNEPALVELU

Haka MFA-työpaja

Kyberturvallisuuden tila ja sähköinen tunnistaminen. FINAS-päivä

Tiedonsiirto- ja rajapintastandardit

SÄHKÖPOSTIN SALAUSPALVELU

Tunnistusmääräyksen 72A Tupas-muutos. 2. kuulemistilaisuus

Kansallinen palveluarkkitehtuuri TUNNISTUSPALVELU INFO

SAMLINK VARMENNEPALVELU PALVELUKUVAUS OHJELMISTOTALOILLE

Sonera ID. huippukätevä sähköinen henkilötodistus omassa matkapuhelimessasi

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n suojaama sähköposti

Mitä eidas-asetus pitää sisällään ja mitä ei. Anne Lohtander

KATSO-PALVELUN KÄYTTÖOHJE

Vahvan sähköisen tunnistamisen palvelujen tunnistusperiaatteet

SÄHKÖISEN TUNNISTAMISEN PALVELU KANSALLISESSA PALVELUARKKITEHTUURISSA

Suomi.fi-valtuudet. Miten pyydän valtuutta yrityksen nimissä?

Viestintäviraston neuvontaa tunnistuspalveluiden vaatimustenmukaisuuden

FA EHDOTTAA, ETTÄ LAKIESITYKSESTÄ LUOVUTAAN

Tunnistus- ja luottamuspalveluiden arviointikertomukset

Varmennepalvelu Yleiskuvaus Kansallisen tulorekisterin perustamishanke

Suomi.fi-tunnistus ja eidas

Case VYVI-Turvaposti miten huolehditaan turvallisesta viestinnästä eri sidosryhmien kesken? Tommi Simula Tietoturvapäällikkö Valtori

WEB SERVICES RAJAPINTA SAMLINKIN TEKNINEN RAJAPINTAKUVAUS OHJELMISTOTALOILLE

SALAUSMENETELMÄT. Osa 2. Etätehtävät

Laki digitaalisten palvelujen tarjoamisesta Erityisesti 2. luku

Helsingi yliopiston kevytkäyttäjähallintosovelluksen rajapintakuvaus

SOPIMUSKONEEN SOPIMUSTEN SÄHKÖINEN ALLEKIRJOITTAMINEN PALVELUN TILAAMINEN JA KÄYTTÖ

Tietoturvan perusteet - Syksy SSH salattu yhteys & autentikointi. Tekijät: Antti Huhtala & Asko Ikävalko (TP02S)

Suomi.fi-palvelut ja kirjastot. Matti Sarmela

Järjestelmäarkkitehtuuri (TK081702)

Sähköisen allekirjoituksen ohje

WS-AINEISTOPALVELUT-VARMENTEET Varmenteen hankinta- ja uusintaohjeet Sähköposti-kanava

Siirto Yritysasiakkaille. Palvelukuvaus: Siirto-vastaanotto

Internet Protocol version 6. IPv6

IKI ry:n lausunto laista sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista

Suuli api dokumentaatio

Tunnistus- ja luottamuspalveluiden arviointikertomukset. Viestintäviraston ohje

SUOMEN MAKSUNEUVOSTON EHDOTTAMAT TOIMENPITEET - MAKSAMISEN NYKYTILA JA TRENDIT 2014

sertifikaattiratkaisu Apitamopki

Salakirjoitusmenetelmiä

Poimintatiedoston muodostuksessa noudatetaan AvoHILMO-oppaassa esitettyä määrittelyä.

Katso-palvelussa ajankohtaista Reetta Järvinen, Verohallinto, Tietohallinto

Varmennepalvelu Yleiskuvaus Kansallisen tulorekisterin perustamishanke

Hostingpalvelujen. oikeudelliset kysymykset. Viestintäviraston Abuse-seminaari Jaakko Lindgren

Liikenne- ja viestintäministeriö U-JATKOKIRJE LVM VTI Simola Kreetta(LVM) JULKINEN. Eduskunta.

VERKKOPANKKILINKKI. Turvallinen linkki verkkopankista pankin ulkopuoliseen palveluun. Palvelun kuvaus ja palveluntarjoajan

Sähköinen asiointi vuokrauksessa

OnniSMS Rajapintakuvaus v1.1

Sähköisen allekirjoituksen ohje

VETUMA. VErkkoTUnnistus ja MAksaminen. julkishallinnon verkkopalveluihin. B2C PRO päätösseminaari

OAuth 2.0-valtuutusprotokolla

Pankkien TUPAS-tunnistuspalvelu palveluntarjoajille. Palvelukuvaus ja palveluntarjoajan ohje

Sähköisen tunnistamisen järjestäminen julkisessa

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Määräys sähköisistä tunnistus- ja luottamuspalveluista

OAuth 2.0 ja Authorization code grant

Tietoturvatekniikka Ursula Holmström

OHJE SENAATTILAN KÄYTTÄJÄKSI REKISTERÖITYMISTÄ VARTEN

Ongelma 1: Miten tieto kannattaa koodata, jos sen halutaan olevan hyvin vaikeasti luettavaa?

Määräys sähköisistä tunnistus- ja luottamuspalveluista

Sähköisen tunnistamisen eidastilannekatsaus

ITELLA PANKIN TUNNISTUSPALVELU PALVELUKUVAUS JA PALVELUNTARJOAJAN OHJE

DNA tunnistuksen välityspalvelun erityisehdot

Millainen projekti Suomi.fi on? Projektinhallintapäivä 2017, Tampere

Siirto Yrityksille Palvelukuvaus: Siirto-vastaanotto

Viestintäviraston määräyksen 72/2016 muuttaminen

Ilmoitin.fi rajapinnat, liittyminen, testaaminen. Ohjelmistotalopäivä Matti Rounamo VH/TIHA

ETÄTERMINAALIYHTEYS SELAIMELLA

Langattomat lähiverkot. Matti Puska

Tietoturva P 5 op

Kansallinen sähköinen potilasarkisto Varmenteiden käyttö

1. Sähköinen tunnistautuminen KTJ-rekisterinpitosovellukseen

Sosiaalihuollon asiakastiedon arkiston validointipalvelu. Käyttöohje

ELEC-C7241 Tietokoneverkot Multimedia, tietoturva, jne.

VETUMAan LIITTYMINEN. Valtiovarainministeriö Tapani Puisto VALTIOVARAINMINISTERIÖ

Digitaalisten palvelujen järjestäminen viranomaistoiminnassa. Tomi Voutilainen

Käyttäjien valtuuttaminen Energiaviraston sähköisiin asiointipalveluihin. (Suomi.fi-valtuutus)

toisen maksupalveludirektiivin väitettyä rikkomista koskevista valitusmenettelyistä

CEREMP-järjestelmän käyttöönotto

Rekisteröityminen, tilojen varaaminen ja maksaminen WebTimmi varausjärjestelmässä

Verkkopalkka. Palvelukuvaus

Yhteyshenkilöt. Luottamuksellinen. Päiväys Sopimusnumero xxxxxxxx. Sopimus Telian tunnistuspalvelun käyttöoikeudesta Luottamusverkostossa

1. Sähköinen tunnistautuminen KTJ-rekisterinpitosovellukseen

SÄÄSTÖPANKIN TUNNISTUSPALVELU KÄYTTÖOHJE JA TIETUEKUVAUKSET

Transkriptio:

POP PANKIN TUNNISTUSPALVELUN PALVELUKUVAUS 1.3.2019 Versio 1.0

Sisällysluettelo Yleistä... 3 Keskeisiä termejä... 3 POP Pankin tunnistuspalvelu (uusi)... 4 Palvelun toiminnallinen kuvaus... 4 Palvelun käyttöönotto... 5 Palvelun käyttö... 6 Toiminnan jatkuvuus, häiriöhallinta ja poikkeustapauksien käsittely... 10 2

Yleistä Kun pankkitunnuksia käytetään tunnistamiseen muissa kuin tunnuksen myöntäneen pankin palveluissa, niitä koskevat vahvan sähköisen tunnistamisen vaatimukset. Näistä vaatimuksista säädetään laissa vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista sekä Viestintäviraston sen nojalla antamassa määräyksessä. Viestintävirasto valvoo vaatimusten noudattamista. Tunnistus- ja luottamuspalvelulain ja Viestintäviraston määräyksen vaatimukset ovat yhdenmukaisia vahvoja sähköisiä tunnistusmenetelmiä koskevan EU-sääntelyn kanssa. Palvelu toteuttaa Viestintäviraston määräyksen 72 vahvasta sähköisestä tunnistamisesta. Vahvaa sähköistä tunnistamista ja vahvan sähköisen tunnistamisen välitystä voivat tarjota Viestintäviraston hyväksymät palveluntarjoajat. Lista toimijoista löytyy Viestintäviraston ylläpitämästä rekisteristä. POP Pankin tunnistuspalvelun avulla muut tunnistuspalvelun tarjoajat ja asiointipalvelut voivat välittää ja vastaanottaa POP Pankin tunnistusvälineellä tehtyjä vahvoja sähköisiä tunnistustapahtumia. Keskeisiä termejä Tunnistusvälineen haltija Luonnollinen henkilö, jolla on hallussaan vahvan sähköisen tunnistamisen edellyttämä tunnistusväline, esimerkiksi tunnuslukusovellus. Asiointipalvelu Taho, jolle tunnistusvälineen haltija tunnistautuu. Asiointipalvelu tunnistaa käyttäjän joko tunnistusvälityspalvelun tai suoraan tunnistusvälineen tarjoajan avulla. Esimerkiksi KELA ja verkkokaupat ovat asiointipalveluita. Tunnistusvälityspalvelu Palvelu, joka välittää eri tunnistusvälineillä tehtäviä vahvan sähköisen tunnistamisen tunnistustapahtumia asiointipalveluille. Tunnistusvälineen tarjoaja Taho, joka tarjoaa välineen vahvalle sähköiselle tunnistamiselle. Tunnistusvälineen tarjoajalla on hallussaan tunnistusvälineen haltijan identiteettitiedot. Viestintävirasto Toimii valvovana viranomaisena ja valvoo, että tunnistuspalvelun tarjoajat noudattavat niille asetettuja velvollisuuksia. Luottamusverkosto Viestintävirastoon rekisteröityneiden tunnistuspalveluntarjoajien (tunnistusvälineen tarjoajat ja tunnistusvälityspalveluntarjoajat) verkosto, jonka tavoitteena on yhteistyössä varmistaa turvallinen sähköinen tunnistaminen. 3

Kuva 1. Luottamusverkosto. Lähde: Viestintävirasto POP Pankin tunnistuspalvelu Tunnistuspalvelu vahvistaa asiakkaan identiteetin tunnistuksenvälityspalveluille tai asiointipalveluille. POP Pankin tunnistuspalvelun tuottaa Oy Samlink Ab. Tunnistuspalvelu perustuu OpenID Connect pohjaiseen Luottamusverkosto- protokollaan ja se on tarkoitettu sähköisen tunnistusvälityspalvelun tarjoajille sekä asiointipalveluiden tuottajille. Palvelun toiminnallinen kuvaus Tässä kappaleessa kuvataan, miten tunnistuspalvelun käyttöönotto ja varsinaisen palvelun käyttö tapahtuvat. Palvelun käyttöönoton vaiheet ovat: - palvelusopimuksen teko POP Pankin kanssa - julkisten allekirjoitus- ja salausavainten vaihto - palvelun konfigurointi tunnistusvälityspalvelun tai asiointipalvelun järjestelmiin Tunnistuspalvelun käyttö tapahtuu OpenID Connect- standardin mukaisesti, kuten alla kuvataan. 4

Palvelun käyttöönotto Kuva 2. Palvelun käyttöönotto Palvelusopimuksen teko POP Pankin kanssa Ensimmäisessä vaiheessa v toimihenkilö tunnistaa sopimusosapuolen. Tunnistamisen jälkeen sopimus luodaan POP Pankin järjestelmään. Sopimus allekirjoitetaan. Sen jälkeen se toimitetaan sopimusosapuolelle. Tässä yhteydessä sopimusosapuolelle toimitetaan myös avaintenvaihtoon liittyvä tunnistuskoodi. Sopimuksen teon myötä aktivoituu avaintenvaihtoprosessi, jossa vaihdetaan OpenID Connect- viestintään tarvittavat julkiset avaimet. OpenID Connect salaus- ja allekirjoitusavainten vaihto Avaintenvaihto perustuu julkisiin JWKS URI sivuihin, jotka sisältävät molempien osapuolten julkiset allekirjoitus- ja salausavaimet. Tunnistusvälityspalvelun tai asiointipalvelun JWKS URI osoite luovutetaan POP Pankille sopimuksenteon yhteydessä. POP Pankin toimihenkilö tunnistaa tunnistusvälityspalvelun tai asiointipalvelun edustajan ja syöttää osoitteen sopimusjärjestelmään. POP Pankin JWKS URI osoite luovutetaan tunnistusvälityspalvelulle tai asiointipalvelulle sopimuksen teon jälkeen lähetetyllä turvasähköpostilla. Tunnistusvälityspalvelun tai asiointipalvelun edustaja vastaanottaa ilmoituksen turvasähköpostista tavallisena sähköpostina. Ilmoitus sisältää linkin web-sivulle, jossa viesti on luettavissa. Lisäksi vastaanottajalle lähetetään SMS-viestillä avauskoodi, jolla varsinaisen viestin pääsee lukemaan. Viesti sisältää perustiedot palvelun käyttöönottoon JWKS URI mukaan lukien. Tämä prosessi varmistaa JWKS URI osoitteiden sekä avainten alkuperän. 5

Palvelun konfigurointi tunnistusvälityspalvelun tai asiointipalvelun järjestelmiin Tunnistusvälityspalvelu / Asiointipalvelu vastaanottaa tunnistuspalvelun käyttöön liittyvät OpenID Connectkonfigurointitiedot samassa turvasähköpostissa kuin edellisessä kappaleessa mainitut avaimet. Nämä tiedot sisältävät OpenID Connect Client ID:n, tunnistuksessa käytettävien kutsurajapintojen osoitteet sekä POP Pankin julkiset avaimet sisältävän JWKS URI- osoitteen. Edellämainitut tiedot konfiguroidaan Tunnistusvälityspalvelun / Asiointipalvelun järjestelmään. Järjestelmän on noudatettava OpenID Connect- standardia tunnistuksessa. Käyttöönotetun palvelun testaus Palvelun käyttöönottava tunnistusvälityspalvelu tai asiointipalvelu saa ohjeet tunnistuspalvelun testauksesta sopimuksen teon yhteydessä vastaanotetussa turvasähköpostissa. Palvelun käyttö Alla on kuvattu OpenID Connect- tunnistusprosessin eteneminen. Kuva 3. Tunnistaminen Palvelun sanomat ja niiden tiedot OpenID Connect-standardi lisää identiteetin tunnistuskerroksen OAuth 2.0 protokollan päälle. OAuth 2.0 itsessään tarjoaa valtuuttamiseen liittyvät palvelut. OpenID Connect tunnistus suoritetaan yksinkertaisen HTTPS REST rajapinnan kautta. Kattava kuvaus OpenID Connect protokollan toiminnasta löytyy verkkosivulta: https://openid.net/connect/ 6

Viestintävirasto on antamassaan suosituksessa määritellyt, kuinka Luottamusverkostossa sovelletaan OpenID Connect standardin mukaista tunnistusta. Viestintäviraston dokumentissa määritellään Luottamusverkoston OpenID Connect profiili ja viestinnässä käytettävät salausalgoritmit ja -avaimet. OpenID Connect tunnistus koostuu kolmesta vaiheesta: 1. Tunnistuspyyntö, jolla aloitetaan tunnistusprosessi 2. Tunnistusvälineen haltijan tunnistaminen 3. Valtuuspyyntö, jolla pyydetään tunnistustiedot Seuraavissa kappaleissa kuvataan vaiheissa yksi ja kolme lähetettävät tunnistuspyyntö- ja valtuuspyyntösanomat. Tunnistuspyyntö (OIDC authorization request) Tunnistuspyyntö viesti on OpenID Connect protokollan mukainen HTTPS REST authorization request viesti, joka lähetetään tunnistusosoitteeseen (authorization endpoint): https://tunnistus.poppankki.fi/oxauth/restv1/authorize Tunnistusvälityspalvelu tai asiointipalvelu uudelleenohjaa tunnistusvälineen haltijan selaimen avaamaan tunnistusosoitteen mukaisen osoitteen annetuilla parametreilla. Osoitteen avaaminen käynnistää tunnistusvälineen haltijan tunnistusprosessin. Kun tunnistusprosessi on suoritettu onnistuneesti tunnistusvälineen haltijan ja tunnistuspalvelun kesken, tunnistuspalvelu uudelleenohjaa tunnistusvälineen haltijan selaimen tunnistusvälityspalvelun tai asiointipalvelun uudelleenohjausosoitteeseen (redirect URI). Tämä uudelleenohjauskutsu sisältää parametrina tunnistuspalvelun myöntämän valtuuskoodin (authorization code), jota käyttäen tunnistusvälityspalvelu tai asiointipalvelu voi hakea tunnistustiedot tunnistuspalvelusta seuraavassa kappaleessa kuvatun valtuuspyynnön kautta (token request). Tunnistuspyyntö allekirjoitetaan aina tunnistusvälityspalvelun tai asiointipalvelun yksityisillä avaimilla ja se voidaan myös salata tunnistuspalvelun julkisilla avaimilla. Uudelleenohjausosoitteeseen saapuva valtuutus on aina allekirjoitettu tunnistuspalvelun yksityisillä avaimilla ja salattu tunnistusvälityspalvelun tai asiointipalvelun julkisilla avaimilla. TUNNISTUSPYYNNÖN PARAMETRIT request ui_locales ftn_spname scope acr_values Viestin allekirjoitus. Allekirjoitus sisältää kaksi objektia: JWTClaimsSet sekä JWSHeader. Allekirjoitus muodostetaan yksityisillä avaimilla, jotka vastaavat Luottamusverkostotunnistuspalvelusopimuksen luonnin yhteydessä annetun JWKS URI sivun julkisia avaimia. Palvelulta pyydetty kieli. Tunnistuspalvelujen tarjoajan tai asiointipalvelun nimi. Viestintäviraston määrittelemä OpenID Connect scope Luottamusverkostolle ( = openid+ftn_hetu). Viestintäviraston määrittelemä Level of Assurance asetus Luottamusverkostolle (=loa2) 7

response_type redirect_uri prompt client_id Nonce State Viestintäviraston määrittelemä OIDC tunnistusmetodi (authorization flow) Luottamusverkostolle ( = code). Uudelleenohjausosoite, johon palataan, kun tunnistus on suoritettu. Tämän täytyy vastata osoitetta, jota käytettiin Luottamusverkostotunnistuspalvelusopimuksen luonnin yhteydessä. Määrittelee, vaaditaanko tunnistusvälineen haltijalta uudelleentunnistautumista ja valtuuttamista. Asetus login edellyttää uudelleentunnistautumista. OIDC client ID, jonka tunnistuspalvelujen tarjoaja tai asiointipalvelu vastaanottaa turvasähköpostilla Luottamusverkosto-tunnistuspalvelusopimuksen luonnin jälkeen. Merkkijono, joka yhdistää istunnon ja tunnistuspyynnön replay-hyökkäysten torjumiseksi. Arvo, joka kytkee pyynnön ja vastauksen yhteen. Tunnistuspyyntö -esimerkki: https://tunnistus.poppankki.fi/oxauth/restv1/authorize?request=eyjrawqioiixiiwidhlwijoislduiiwiywxnijoi UlMyNTYifQ.eyJpc3MiOiJAIUYzNjEuNDU4MC4xMDZELjA1NzEhMDAwMSE5M0JGLkY1OEUhMDAwOCFDNjN ELkVGQ0EuRERDNC4zMDc1IiwicmVzcG9uc2VfdHlwZSI6ImNvZGUiLCJub25jZSI6Ik40Q3pvMTlOUGVLcU9CW UtQYm92Sk90X3BoRzAtYUV6RWVvXzUteHNxcGciLCJjbGllbnRfaWQiOiJAIUYzNjEuNDU4MC4xMDZELjA1NzE hmdawmse5m0jglky1oeuhmdawocfdnjnelkvgq0eurerdnc4zmdc1iiwiyxvkijoiahr0chm6xc9cl2ktc 3AtaWRwLnNhbWluZXQuZmkiLCJ1aV9sb2NhbGVzIjoiW2ZpXSIsImZ0bl9zcG5hbWUiOiJUZXN0aWthdXBwYSI sinnjb3blijoib3blbmlkigz0bl9ozxr1iiwiywnyx3zhbhvlcyi6iltsb2eyxsisinjlzglyzwn0x3vyasi6imh0dhbzol wvxc9plw1pc2muc2ftaw5ldc5mavwvz2x1ds1icm9rzxity2xpzw50xc90b2tlbiisinn0yxrlijoitxhuzvbzmn FrZzB2WVJtcUYzVUdtUnRIWTFWSEktdzd6S3dwSFNydURhOCIsImV4cCI6MTUzNzE4NDM3MywicHJvbXB0Ijo ibg9naw4ifq.a5iedpaq9xr1jz3xaptjpaagthnksgvpr2gi7ag_uz1k8bbeprbxen4cs4bc85iqaf6ofsozsnzl 82NcGKBkUL35DzPVbwlwyuTnlSMx4ripp1a45RaaBvQil6lMHWnpvWt7tNnngFmiKQg91iZAQqpUZVlHh6VaVi c9pby0qkxrnfpid79obk3okoao3s7diil9o19g0caur_cwj7dncsjywaqynsrs36eszfyn5yc_7cfvdaex4dbb7 G3shJjQQ-BLFNBpTDTrrnyTYNONzBZPNe-bE396GWRT5yOpqzqlSHOWdBPnMM1iZTrq9W1Q9Uw4NcNUnrWEPfWV6SNSA&ui_locales=fi&ftn_spname=BrokerOy&scope=openid+ftn_hetu&acr _values=loa2&response_type=code&redirect_uri= https%3a%2f%2fwww.broker.comi%2fbroker-oidcclient%2ftoken&state=mxtepy2qkg0vyrmqf3ugmrthy1vhiw7zkwphsruda8&nonce=n4czo19npekqobykpbovjot_phg0-aezeeo_5- xsqpg&prompt=login&client_id=%40%23f361.4580.106d.0171%210001%2163bf.f58e%210558%21c67d.e FCA.DDC4.3075 Valtuuspyyntö (OIDC token request) Valtuuspyyntö viesti on OpenID Connect protokollan mukainen token request viesti, jonka tunnistusvälityspalvelu tai asiointipalvelu lähettää valtuusosoitteeseen (token endpoint) suorana HTTPS REST viestinä: https://tunnistus.poppankki.fi/oxauth/restv1/token 8

Viestiin liitetään parametriksi tunnistuspyynnön seurauksena vastaanotettu valtuuskoodi (authorization code) ja vastauksena vastaanotetaan tunnistuskoodi (ID token) ja pääsykoodi (access token). Viestit välitetään JSON Web Token standardin (IETF RFC 7519) mukaisesti. JWT määrittelee JSON tiedonsiirtomenetelmän kahden toimijan välille. Tunnistuskoodi (ID token) on base64-koodattu, allekirjoitettu ja salattu JWE (JSON Web Encryption), joka sisältää tunnistusvälineen haltijan tunnistustiedot (claims). Salatun ja allekirjoitetun tunnistuskoodin rakenne on: JOSE HEADER JWE ENCRYPTED KEY INITIALIZATION VECTOR CIPHERTEXT AUTHENTICATION TAG Jokainen elementti on pisteellä erotettu ja base64-koodattu. JOSE lyhenne tulee sanoista Javascript Object Signing and Encryption ja viittaa IETF:n työryhmään, joka määrittelee tietoturvallista tiedonsiirtoa JWT standardiin. JOSE HEADER: sisältää viestin allekirjoitukseen ja salaukseen liittyvää tietoa. JWE ENCRYPTED KEY: sisältää salatun symmetrisen avaimen varsinaisen viestin sisällön purkamiseen. INITIALIZATION VECTOR: satunnainen numerosarja, jonka jotkin käytetyt salausalgoritmit vaativat. CIPHERTEXT: Salattu viestin sisältö. AUTHENTICATION TAG: Arvo, joka luodaan salausprosessin aikana ja joka varmistaa tiedon integriteetin. Vastaanotettu tunnistuskoodi täytyy aina validoida OpenID Connect spesifikaation mukaisesti Valtuuspyyntö allekirjoitetaan aina tunnistusvälityspalvelun tai asiointipalvelun yksityisillä avaimilla ja se voidaan myös salata tunnistuspalvelun julkisilla avaimilla. Valtuuspyynnön vastaus allekirjoitetaan aina tunnistuspalvelun yksityisillä avaimilla ja salataan tunnistusvälityspalvelun tai asiointipalvelun julkisilla avaimilla. VALTUUSPYYNNÖN PARAMETRIT grant_type code redirect_uri Valtuutuksen tyyppi ( = authorization code). Aiemmin tunnistuspyynnön vastauksena vastaanotettu valtuuskoodi (authorization code). Uudelleenohjausosoite, johon palataan, kun valtuuspyyntö on suoritettu. Tämän täytyy vastata osoitetta, jota käytettiin Luottamusverkostotunnistuspalvelusopimuksen luonnin yhteydessä sekä tunnistuspyynnön yhteydessä. 9

VASTAANOTETUN TUNNISTUSKOODIN PARAMETRIT (ID token sisältö, payload) iss sub aud exp iat auth_time nonce acr amr Liikkeellelaskijan tunniste (issuer identifier). Yksilöllinen tunniste, joka yhdistää liikkeellelaskijan ja loppukäyttäjän (subject identifier). Toimija, jolle tämä tunnistuskoodi on luotu (audience). Tunnistusvälityspalvelun tai asiointipalvelun OIDC client id. Erääntymisaika tunnistuskoodille. Ajankohta, jolloin tunnistuskoodi luotiin. Tunnistusvälineen haltijan tunnistamisen ajankohta. Merkkijono, joka yhdistää istunnon ja tunnistuskoodin replay-hyökkäysten torjumiseksi. Viestintäviraston määrittelemä Level of Assurance asetus Luottamusverkostolle (=loa2) Tunnistusmenetelmä. + TUNNISTUSTIEDOT Tunnistuspyynnön scope-parametrissa (ftn_scope Luottamusverkostossa) määritellyt tunnistustiedot (claims). Toiminnan jatkuvuus, häiriöhallinta ja poikkeustapauksien käsittely Palvelu toimii 24/7, poislukien suunnitellut huoltokatkokset, joista tiedotetaan POP Pankin verkkosivuilla. Mahdollisissa ongelmatilanteissa tulee ottaa yhteyttä Samlinkin verkkopalveluiden tukeen numerossa 0100 4752 (1,17 /min+pvm) tai sähköpostilla tekninentuki@samlink.fi. Liitteet Samlink Finnish Trust Network OIDC security key and data exchange process between brokers and identity providers 10

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute