Julkishallinnon tunnistuksen ohjauspalvelun kehityshanke mitä PoC-vaihe on opettanut? 16.12.2014 Manne Miettinen, Henri Mikkonen ja Arto Tuomi

Julkishallinnon tunnistuksen ohjauspalvelun kehityshanke mitä PoC-vaihe on opettanut? 16.12.2014 Manne Miettinen, Henri Mikkonen ja Arto Tuomi

PoC arkkitehtuuri Asiointipalvelu Elisa MSSP VTJ Mobile Login Handler SAML 2.0 Profile Handler VTJ Data Connector Proxy AuthN Engine Session Store Attribute Resolver & Filter Tupas Vetuma Config SAML SP Login Handler Katso Config Shibboleth Identity Provider v2 Katso Data Connector HST Vetuma Katso IdP Mobiili 1.2.2015 2

Open Source toimii Haluttu toiminnallisuus kyettiin toteuttamaan open source -tuotteella Konfiguroimalla ja ohjelmointityöllä Toteutuksen vaatima aika oli suhteellisen pieni Edellytyksenä oli, että Henri tunsi käytetyn ohjelmiston hyvin 1.2.2015 3

Ylläpito Ylläpito käytetyllä tuotteella vaatii teknistä osaamista Ei ylläpitokäyttöliittymää Kaikki ylläpitotehtävät tehtävä komentorivillä ja XMLtiedostoja editoimalla Ylläpito huomioitava suunniteltaessa tuotantoa 1.2.2015 4

Tuotantojärjestelmän ohjelmistoversio PoC toteutettu Shibbolethin versiolla 2 Tuotantojärjestelmä kannattaisi toteuttaa Shibbolethin versiolla 3 Version 2 ja sen komponenttien tuki tulee loppumaan Versio 3 on nyt beta-vaiheessa Version 3 laajennettavuus on parempi Versiossa 3 on uudet sisäiset ohjelmistokomponentit proxy-toiminnallisuuden toteuttamiseen 1.2.2015 5

Jatko-askeleita Suunnittelu on vielä lähtökuopissaan Ohjelmapäällikkö ja tuoteomistaja aloittivat syksyllä Iso kuva edennyt lakimuutoksen kautta Määritykset ja vaatimukset saatava nopeasti aloitettua Perustettava työryhmät Kaikkia nyt toteutettuja ominaisuuksia ei sellaisenaan kannata ottaa mukaan tuotantototeutukseen Esim. Katson roolikysely palauttaa vain 1. roolin 1.2.2015 6

Tavoite Tunnistuspalvelu, jonka avulla kansalaiset kirjautuvat julkishallinnon verkkopalveluihin Korvaa tunnistus.fi ja Vetuma palvelut Ensimmäiset käyttöönotot syksyllä 2015? Suomen liityntäpiste kansalliset rajat ylittävään tunnistamiseen EU:ssa? Sähköinen allekirjoitus?

Tekninen Kohti tuotantoa Proxy Käyttöliittymät, dokumentaatio Palvelinympäristöt Palvelun organisointi Prosessit Sopimukset Määritykset

Toimijat ja organisoituminen

Miten Ruotsissa on organisoiduttu

Sopimuksia

Teknisiä määrityksiä

Operaattorin roolista Kaikissa tilanteissa valvoo, että palvelu toimii agnostisesti teknisesti ja hallinnollisesti Ylläpitää proxya Muodostaa ja ylläpitää luottosuhteita proxyn asiointipalveluihin ja tunnistusvälineisiin Asettaa palveluille luovutettavat attribuuttisäännöt Ongelmatilanteiden koordinointi Palvelun tekninen tuki organisaatioille

Suhde isoon kuvaan eli kansalliseen tunnistusratkaisuun Tekeekö tämä projekti: Kansallista tunnistusratkaisua tukevan tunnistusportaalin (5/2014)? Julkisen hallinnon tunnistuksen ohjauspalvelun (7/2014) vai Kansallisen tunnistuspalvelun (12/2014)? Ovatko proxy ja lakiehdotus (HE 272/2014) yhteensopivat? Mikä on proxyn suhde isoon kuvaan?

Kansallinen tunnistusratkaisu Marjukka Ala-Harja, Kansallinen palveluarkkitehtuuri -seminaari. 4.10.2013, Helsingin yliopisto.

VM:n kirjeestä 2.7.2014

Prototyyppi tunnistuksen ohjauksesta 2014 Mobiilioperaattori Tunnistuksen ohjaus (proxy) prototyyppi Verohallinnon ilmoitin.fi - palvelu Katso roolit Katso Vetuma VRK / VTJ HST Pankki 1 Pankki 2 Pankki 3 Pankki 4 Pankki 5 Pankki Kalle Käyttäjä 17 pp.kk.vvvv

Tilanne 2015-2016 Palveluväylä VRK / VTJ Mobiilioperaattori VRK / VTJ ROVA Vetuma HST Pankki 1 Tunnistuksen ohjaus (proxy) palvelu Pankki 2 Pankki 3 Virastojen ja kuntien asiointipalvelut Työ- ja verohallinnon asiointipalvelut, KELA Pankki 4 Pankki 5 Pankki PEPS (EU) Haka Virtu oauth OpenID Kalle Käyttäjä 18 pp.kk.vvvv

Kansallisen tunnistamisen mallissa 2017 PEPS (EU) Haka Virtu oauth OpenID Palveluväylä VRK / VTJ ROVA Julkisen hallinnon tunnistuksen ohjaus (proxy) Luottamusverkosto Julkisen sektorin palvelu Pankki Toimija x Operaattori HST / passi Toimija y Yksityisen sektorin palvelu Tunnistaminen Allekirjoittaminen Kalle Käyttäjä 19 pp.kk.vvvv

Yle 15.12.2014 http://yle.fi/uutiset/sahkoista_tunnistamista_aiotaan_uudistaa pankkitunnusten_rinnalle_toivotaan_uusia_tunnistuspalveluja/7680837

HE 272/2014 12 a Tunnistuspalvelun tarjoajien verkosto Tunnistuspalvelun tarjoajan tehdessä 10 :n mukaisen ilmoituksen Viestintävirastoon, tunnistuspalvelun tarjoaja liittyy osaksi luottamusverkostoa. Luottamusverkostoon kuuluvan tunnistuspalvelun tarjoajan on noudatettava sellaisia hallinnollisia käytäntöjä, jotka mahdollistavat tunnistuspalveluita tarjoavien ja niitä hyödyntävien sähköisten palveluntarjoajien tarjoamien palveluiden yhteentoimivuuden sekä tarjottava tekniset rajapinnat, jotka luovat edellytykset tunnistuspalveluita tarjoavien ja niitä hyödyntävien toimijoiden väliselle toiminnalle. Sähköisen tunnistuspalvelun tarjoajan lähettäessä sähköiseen tunnistusvälineeseen liittyvää tietoa toiselle sähköisen tunnistuspalvelun tarjoajalle edelleen välitettäväksi, välitettävästä tunnistetiedosta tulee suorittaa lähettäjälle korvaus. Välitettävästä tunnistetiedosta perittävä korvaus voi olla enintään 10 senttiä. Korvauksen tasoa tullaan arvioimaan vuosittain. Tunnistuspalvelun tarjoajat vastaavat yhteistyössä teknisten rajapintojen ja hallinnollisten käytäntöjen yhteentoimivuudesta. Luottamusverkoston hallinnollisista käytännöistä, teknisistä rajapinnoista ja vastuista annetaan tarkempia säännöksiä valtioneuvoston asetuksella.

Kansallisen tunnistusratkaisun tahtotila?