Julkishallinnon yhteinen SAML 2.0-profiili

Julkishallinnon yhteinen
SAML 2.0-profiili
Teemu Simonen, Fujitsu
9.2.2011
Copyright 2010 FUJITSU
Miksi SAML-profiileja
 SAML 2.0 (Security Assertion Markup Language 2.0)



Laajennettava XML-standardi käyttäjien tunnistamis- ja
valtuuttamistiedon jakamiseen tietoverkossa
Koostuu protokollista, sidoksista ja profiileista
Yhteentoimivuus edellyttää erikseen sovittuja tarkempia profiileja
 Implementointiprofiili (implementation profile)


Kiinnittää tuettavia toiminnallisuuksia
Ei määritä mitä toiminallisuuksia käytetään
 Käyttöönottoprofiili (deployment profile)


Kiinnittää tuettavat toiminnallisuudet palvelussa
Määrittää mitä toiminallisuuksia käytetään
1
Copyright 2010 FUJITSU
Taustaa
 Suomen Julkishallinnossa useita SAML 2.0 -tekniikkaa
käyttäviä palveluita

Haka, Virtu, VETUMA ja tunnistus.fi
 JHS 164 Tunnistautuminen ja maksaminen sähköisessä
asioinnissa VETUMA-palvelun avulla
2
Copyright 2010 FUJITSU
Miksi yhteinen WebSSO profiili
 Yhteinen profiili helpottaa pidemmällä tähtäimellä kaikkien
osapuolten toimintaa
 Yhteisen SAML profiilin määrittelyn aloittaminen
1.
2.
3.
Taustalla asiakastarve
Palvelukohtaiset määrittelyt kalliita
Ajatus yhteisen profiilin saavuttamisesta
 Virtun, VETUMA:n ja tunnistus.fi:n (ja IT-toimittajien) kesken
lähdettiin tekemään määrittelyä


SAML2-protokollaprofiili
Yhteinen attribuuttiprofiili
3
Copyright 2010 FUJITSU
Mitä profiili mahdollistaa
 Mahdollistaa selainpohjaisen kertakirjauksen toteuttamisen
 Mahdollistaa kertauloskirjauksen toteuttamisen
 Ei pidä sisällään verkkomaksatuksen, eikä sähköisen
allekirjoituksen toimintoja
4
Copyright 2010 FUJITSU
Yhteisen profiilin käyttö
 Helpottaa toimintaa


Asiakkaiden puolella (voivat käyttää samaa tuotetta eri tilanteissa)
IT-toimittajien puolella (voivat myydä samaa tuotetta tai palvelua useaan
tilanteeseen)
 Säästää kustannuksia

Määrittelytyö vähenee kun käytetään valmiita profiileja
 Yksinkertaistaa uusia liittymisiä

Nopeampia käyttöönottoja monistettavuuden ansiosta
 Helpottaa palveluiden hankintaa

Avoimet standardit ja profiilit mahdollistavat yhteentoimivuuden
5
Copyright 2010 FUJITSU
Tiivistelmä profiilin sisällöstä
 Tuetut SAML-profiilit


Web Browser SSO profiili
Single Logout profiili (VETUMA ja tunnistus.fi)
 Tuetut SAML-protokollat


Authentication Request Protocol
Single Logout Protocol (VETUMA ja tunnistus.fi)
 Tuetut SAML-sidokset


HTTP-Redirect, tunnistuskutsuille ja uloskirjauksiin
HTTP-POST, tunnistusvastauksille
 Viestien eheyden ja luottamuksellisuuden turvaaminen


Viesteissä mukana allekirjoitukset, jotka tarkistetaan (myös
tunnistuskutsuissa: VETUMA ja tunnistus.fi)
Viestejä välitetään (käyttäjän selaimen välityksellä) ainoastaan
salattuihin osoitteisiin (TLS/SSL)
6
Copyright 2010 FUJITSU
Julkishallinnon yhteinen SAML 2.0-profiili
 Perustuu seuraaviin profiileihin


Kantara Initiative eGovernment Implementation profile of SAML 2.0
(version 2.0)
Interoperable SAML 2.0 Web Browser SSO Deployment Profile (version
0.2)
 Julkisesti saatavilla



SAML 2.0 Web Browser SSO Deployment profile for the Finnish public
sector federation services
Licensed under the Creative Commons Attribution-Share Alike 3.0
Unported License
https://postit.csc.fi/sympa/arc/virtu-tekniikka/201101/msg00000/FinnishSAML2Profile20101208.docx
7
Copyright 2010 FUJITSU
Profiilin käyttöönotto
 Kevään aikana VETUMA-palvelun ja tunnistus.fi-palvelun
välisessä federaatiossa
 Tämän jälkeen käytettävissä VETUMA-palveluun tulevissa
uusissa SAML liittymisissä
 Olemassa olevien VETUMA-palveluiden SAML asiakkaiden
osalta siirtymisen aikataulut sovitaan erikseen
8
Copyright 2010 FUJITSU
Yhteenveto
 Mahdollistaa selainpohjaisen kertakirjauksen toteuttamisen
 Helpottaa kaikkien osapuolten toimintaa
 Auttaa palveluiden käyttöönotoissa ja hankinnoissa
 Julkishallinnon yhteinen SAML 2.0-profiili
9
Copyright 2010 FUJITSU
10
Copyright 2010 FUJITSU