Julkishallinnon yhteinen SAML 2.0-profiili Teemu Simonen, Fujitsu 9.2.2011 Copyright 2010 FUJITSU Miksi SAML-profiileja SAML 2.0 (Security Assertion Markup Language 2.0) Laajennettava XML-standardi käyttäjien tunnistamis- ja valtuuttamistiedon jakamiseen tietoverkossa Koostuu protokollista, sidoksista ja profiileista Yhteentoimivuus edellyttää erikseen sovittuja tarkempia profiileja Implementointiprofiili (implementation profile) Kiinnittää tuettavia toiminnallisuuksia Ei määritä mitä toiminallisuuksia käytetään Käyttöönottoprofiili (deployment profile) Kiinnittää tuettavat toiminnallisuudet palvelussa Määrittää mitä toiminallisuuksia käytetään 1 Copyright 2010 FUJITSU Taustaa Suomen Julkishallinnossa useita SAML 2.0 -tekniikkaa käyttäviä palveluita Haka, Virtu, VETUMA ja tunnistus.fi JHS 164 Tunnistautuminen ja maksaminen sähköisessä asioinnissa VETUMA-palvelun avulla 2 Copyright 2010 FUJITSU Miksi yhteinen WebSSO profiili Yhteinen profiili helpottaa pidemmällä tähtäimellä kaikkien osapuolten toimintaa Yhteisen SAML profiilin määrittelyn aloittaminen 1. 2. 3. Taustalla asiakastarve Palvelukohtaiset määrittelyt kalliita Ajatus yhteisen profiilin saavuttamisesta Virtun, VETUMA:n ja tunnistus.fi:n (ja IT-toimittajien) kesken lähdettiin tekemään määrittelyä SAML2-protokollaprofiili Yhteinen attribuuttiprofiili 3 Copyright 2010 FUJITSU Mitä profiili mahdollistaa Mahdollistaa selainpohjaisen kertakirjauksen toteuttamisen Mahdollistaa kertauloskirjauksen toteuttamisen Ei pidä sisällään verkkomaksatuksen, eikä sähköisen allekirjoituksen toimintoja 4 Copyright 2010 FUJITSU Yhteisen profiilin käyttö Helpottaa toimintaa Asiakkaiden puolella (voivat käyttää samaa tuotetta eri tilanteissa) IT-toimittajien puolella (voivat myydä samaa tuotetta tai palvelua useaan tilanteeseen) Säästää kustannuksia Määrittelytyö vähenee kun käytetään valmiita profiileja Yksinkertaistaa uusia liittymisiä Nopeampia käyttöönottoja monistettavuuden ansiosta Helpottaa palveluiden hankintaa Avoimet standardit ja profiilit mahdollistavat yhteentoimivuuden 5 Copyright 2010 FUJITSU Tiivistelmä profiilin sisällöstä Tuetut SAML-profiilit Web Browser SSO profiili Single Logout profiili (VETUMA ja tunnistus.fi) Tuetut SAML-protokollat Authentication Request Protocol Single Logout Protocol (VETUMA ja tunnistus.fi) Tuetut SAML-sidokset HTTP-Redirect, tunnistuskutsuille ja uloskirjauksiin HTTP-POST, tunnistusvastauksille Viestien eheyden ja luottamuksellisuuden turvaaminen Viesteissä mukana allekirjoitukset, jotka tarkistetaan (myös tunnistuskutsuissa: VETUMA ja tunnistus.fi) Viestejä välitetään (käyttäjän selaimen välityksellä) ainoastaan salattuihin osoitteisiin (TLS/SSL) 6 Copyright 2010 FUJITSU Julkishallinnon yhteinen SAML 2.0-profiili Perustuu seuraaviin profiileihin Kantara Initiative eGovernment Implementation profile of SAML 2.0 (version 2.0) Interoperable SAML 2.0 Web Browser SSO Deployment Profile (version 0.2) Julkisesti saatavilla SAML 2.0 Web Browser SSO Deployment profile for the Finnish public sector federation services Licensed under the Creative Commons Attribution-Share Alike 3.0 Unported License https://postit.csc.fi/sympa/arc/virtu-tekniikka/201101/msg00000/FinnishSAML2Profile20101208.docx 7 Copyright 2010 FUJITSU Profiilin käyttöönotto Kevään aikana VETUMA-palvelun ja tunnistus.fi-palvelun välisessä federaatiossa Tämän jälkeen käytettävissä VETUMA-palveluun tulevissa uusissa SAML liittymisissä Olemassa olevien VETUMA-palveluiden SAML asiakkaiden osalta siirtymisen aikataulut sovitaan erikseen 8 Copyright 2010 FUJITSU Yhteenveto Mahdollistaa selainpohjaisen kertakirjauksen toteuttamisen Helpottaa kaikkien osapuolten toimintaa Auttaa palveluiden käyttöönotoissa ja hankinnoissa Julkishallinnon yhteinen SAML 2.0-profiili 9 Copyright 2010 FUJITSU 10 Copyright 2010 FUJITSU
© Copyright 2024