All-In-One vahvaan sähköiseen tunnistamiseen verkkopalveluissa
IDMIG on asiointipalvelun tarjoajan järjestelmään asennettava ohjelmisto, joka ottaa vastuun kaikista vahvan sähköisen tunnistamisen teknisistä rajapintayksityiskohdista, protokollista sekä tunnistuspalvelujen tai -välittäjien sopimuksiin liittyvien tunnusten ja avainten hallinnasta. Loppukäyttäjälle palvelua tuottavan sovelluksen ei tarvitse enää huolehtia siitä mitä tunnistusvälineitä kulloinkin on tarjolla ja mitä yhteysprotokollia tulisi käyttää.
- IDMIG voidaan liittää toimimaan minkä tahansa yksittäisen tai useamman Luottamusverkostossa toimivan tunnistusvälitystä tai suoraan tunnistusta tarjoavan palveluntarjoajan kanssa.
- Tunnistustapahtumat voidaan reitittää läpinäkyvästi siten, että välityspalvelu tai suorat pankkikohtaiset yhteydet voidaan vaihtaa helposti ja nopeasti pelkin asetusmuutoksin. Tämä mahdollistaa täyden riippumattomuuden ja dynamiikan palveluntarjoajan valinnassa.
- Uusiin sovelluksiin ei tarvitse rakentaa tunnistautumisprotokollia toteuttavia koodiosuuksia ja liittää näihin liittyviä kirjastoja. Tunnistautumistiedot saadaan yksinkertaisesti kutsuparametreina suoraan asiointipalvelusovellukselle.
- Kaikki tunnistusvälityspalvelusopimuksiin liittyvä konfiguraatio on keskitettynä yhteen pisteeseen ja useat eri palvelusovellukset voivat hyödyntää samaa IDMIG-asennusta. Sovellusten ei tarvitse millään tavoin huolehtia asiakastunnuksista ja avaimista.
- Mikäli tulevaisuudessa Luottamusverkostossa käytettäviä yhteyskäytäntöjä muutetaan, esimerkiksi tiukentuvien tietoturvavaatimuksien tai peräti nykyisissä tunnistautumisprotokollissa mahdollisesti havaittavan heikkouden vuoksi, muutos edellyttää ainoastaan IDMIG-ohjelmiston versiopäivitystä. Asiointipalvelut voivat jatkaa ilman tarvetta ohjelmistomuutoksiin.
TUPAS-siirtymä hetkessä ja ilman muutoksia olemassaoleviin sovelluksiin
Valtaosa nykyisistä vahvan sähköisen tunnistautumisen asiointipalveluista perustuu verkkopankkitunnuksiin ja TUPAS-protokollan käyttöön. Tämä vanha yhteyskäytäntö ei täytä uusien EU-säädösten tietoturvavaatimuksia ja Traficomin asettaman siirtymäajan päättyessä 30.9.2019 TUPAS-tunnistautumista ei enää saa käyttää vahvana tunnistautumismenetelmänä. IDMIG mahdollistaa siirtymän uusiin tietoturvallisiin tunnistautumisprotokolliin (OIDC, SAML) vain tunneissa, ilman että itse asiointipalveluja tuottaviin TUPAS-protokollan varaan rakennettuihin sovelluksiin tarvitsee tehdä ollenkaan muutoksia, tai edes perehtyä uusiin yhteyskäytäntöihin.
- IDMIG kytkeytyy yrityksen verkossa asiointipalvelun eteen siten, että tunnistautumista käyttävälle sovellukselle saapuva liikenne kulkee sen lävitse. Näin se pystyy muuntamaan tunnistuspalveluiden siirtymäosoitteita ja käytettäviä protokollia dynaamisesti kesken sovelluksen käytön, ilman että mikään muuttuu itse palvelusovelluksen näkökulmasta.
- IDMIG:lle määritellään niin nykyisellään käytössä olevat pankkikohtaiset TUPAS-asiakastunnukset ja avaimet, kuin myös uusien yhteyskäytäntöjen (Open ID Connect, SAML) mukaiset tunnus-/avaintiedot valitulle tunnistusvälityspalvelulle tai haluttaessa useammallekin.
- Tunnistusvälityspalvelussa tunnistautumispyyntö voidaan suoraan ohjata asiointipalvelussa käyttäjän valitsemalle tunnistautumistavalle. Näin käyttäjän kokemus tunnistumistapahtumasta ei muutu, vaikka taustalla oleva tekniikka vaihtuukin täysin.
- IDMIG sijoitetaan yrityksen verkossa siten, että sen ja asiointipalvelua suorittavan järjestelmän välinen tietoliikenne tapahtuu ainoastaan sisäisessä tai muutoin suojatussa verkossa, tai jopa vain saman palvelimen sisällä. Tämä täyttää myös Traficomin uudet määräykset sekä euroopanlaajuisen eIDAS-asetuksen, koska vanhan TUPAS-protokollan mukaista liikennettä jää ainoastaan sisäiseen käyttöön.
Niin olemassaolevat kuin uudetkin asiointipalvelusovellukset kytketään tunnistusvälityspalveluihin tai suoraan tunnistuspalveluihin IDMIG:n konfiguraatiosta ja tunnistustapahtumat voidaan milloin tahansa ohjata palveluntarjoajalta toiselle pelkillä asetusmuutoksilla. Myös useiden eri asiointipalveluiden sopimustunnuksia ja reitityksiä voidaan hallita yhdestä pisteestä, kuten myös seurata tapahtumastatistiikkaa ja lokitietoja.
- IDMIG voidaan asentaa niin LINUX-, kuin Microsoft Windows -alustallekin, joko omalle fyysiselle tai virtuaalikoneelleen, tai samalle palvelimelle itse asiointipalvelusovelluksen kanssa. Ainoa reunaehto on se, että IDMIG-järjestelmän ja tunnistautumista hyödyntävän palvelusovelluksen välinen verkkoliikenne tulee kulkea yrityksen yksityisessä tai teknisesti suojaustasoltaan yksityiseksi katsottavassa (VPN-siltaukset) verkossa.
- Järjestelmävaatimukset määräytyvät tarvittavan verkkoliikenteen läpäisykyvyn perusteella. Käytännössä jo perustason LINUX-virtuaaliympäristö yhdellä suorittimella ja 2 Gb muistilla kykenee käsittelemään varsin suurta tapahtumavirtaa palvelusovellukselle.
- IDMIG-instansseja voidaan asentaa useita järjestelmän vikasietoisuuden parantamiseksi, sekä tarvittaessa myös kuormantasauksen toteuttamiseksi.
Ota yhteyttä, niin kerromme lisää tästä ratkaisusta
Puhelin 050 431 2611
jarmo.haara@identer.fi