Suomi.fi-asiointivaltuudet-, Suomi.fi-palvelunäkymät- ja Suomi.fi-tunnistamisen palvelun arkkitehtuurin yleiskuva

1 Johdanto

Tämä dokumentti esittää osana Kansallinen palveluarkkitehtuuri-ohjelmaa (KaPA-ohjelma) tuotettavien Suomi.fi-verkkopalvelun, Suomi.fi-tunnistuksen ja Suomi.fi-valtuuksien arkkitehtuurin yleiskuvan. Yleiskuva kattaa kunkin palvelun arkkitehtuurin kannalta keskeiset periaatteet, sidosryhmät ja loogisen jäsennyksen. Tässä dokumentissa ei esitellä Suomi.fi-palveluväylän yleisarkkitehtuuria.

1.1 Käsitteet

Valtuudet-palvelu ks. Suomi.fi-valtuudet

Verkkopalvelu ks. Suomi.fi-verkkopalvelu

Suomi.fi-valtuudet on palvelu, jonka avulla voidaan luotettavasti tarkistaa henkilön tai organisaation valtuudet, valtakirjat ja oikeudet asioida sähköisesti toisen henkilön tai edustamansa organisaation puolesta ajasta ja paikasta riippumatta.

Suomi.fi-valtuudet-palvelu ks. Suomi.fi-valtuudet

Suomi.fi-verkkopalvelu tarkoittaa Suomi.fissä näkyvää sisältöä, jota käyttäjä voi hyödyntää tietojensa tarkistukseen ja muokkaukseen, sekä palveluiden löytämiseen ja käyttöön.

Suomi-fi-palveluväylä on standardoitu tiedonsiirtokanava, joka tarjoaa vakioidun tavan tietojen siirtoon organisaatioiden välillä sekä mahdollistaa turvallisten palvelukokonaisuuksien rakentamisen.

Suomi.fi-tunnistus mahdollistaa kansalaisen sähköisen tunnistamisen asiointipalveluissa sekä kertakirjautumisen asiointipalveluiden välillä.

Tunnistus-palvelu ks. Suomi.fi-tunnistus

1.2 Dokumentin tarkoitus

Tämän dokumentin tavoitteena on antaa toiminnallinen yleiskuva KaPA-ohjelmassa toteutettavista palveluista ja näiden palveluiden yleisestä arkkitehtuurista. Tämän lisäksi dokumentissa esitellään kunkin palvelun arkkitehtuurin keskeiset ratkaisut, tehtyjen ratkaisujen taustalla olevat olettamat sekä ne yleiset tekniset arkkitehtuurimallit, joita näissä Suomi.fi-palveluissa on sovellettu.

Suomi.fi-palvelut ovat luonteeltaan kansallisia palveluita. Näin ollen jokaisella palvelulla on mittava määrä sidosryhmiä ja käyttäjiä. Monien sidosryhmien toiminnan kannalta on tärkeää, että käytettävissä on selkeä kuvaus Suomi.fi-palvelujen arkkitehtuurista. Siksi tämän dokumentin esitysmuoto on pidetty tiiviinä, jotta sen luettavuus säilyy vaadittavalla tasolla.

1.3 Dokumentin kohderyhmä

Dokumentin esitystavan osalta on pyritty kattavaan kuvaukseen, jotta myös henkilöt, jotka eivät tunne tässä käsiteltävien Suomi.fi-palvelujen toteutuksessa käytettyä teknologiaa, pystyvät ymmärtämään ja omaksumaan arkkitehtuurin keskeiset periaatteet. Näin ollen tämän dokumentin ensisijaiseksi kohderyhmäksi on tunnistettu seuraava joukko sidosryhmiä:

  • KaPA-hankkeisiin liittyvien Väestörekisterikeskuksen ulkopuolisten tahojen tarjoamien palvelujen toteuttamisesta ja tarjonnasta vastaavat henkilöt
  • Kansallisen palveluarkkitehtuurin strategian toteutusta ohjaavat henkilöt
  • Julkishallinnon toimijoiden edustajat, jotka suunnittelevat jonkun Suomi.fi-palvelun hyödyntämistä ja siihen integroitumista omassa asiointipalvelutarjonnassaan.
  • Suomi.fi-palveluja hyödyntävien sidosarkkitehtuurien ja -palvelujen tuoteomistajat ja hankepäälliköt
  • Suomi.fi-palveluja hyödyntävien palvelujen kehittäjät ja ylläpitäjät
  • Suomi.fi-palvelujen ekosysteemeihin liittyvien palvelujen ja toimijoiden edustajat, jotka arvioivat tunnistuspalvelun arkkitehtuuria.
  • Kansallisen palveluarkkitehtuurin muissa toteutushankkeissa työskentelevät henkilöt
  • Julkishallinnon toimijoiden edustajat, jotka suunnittelevat tietovarantojensa ja niihin liittyvien palvelujen liittämistä Kansalliseen palveluarkkitehtuuriin tavalla, joka edellyttää Suomi.fi-palvelujen hyödyntämistä

Ensi vaiheessa tämän kuvauksen sisältö on tarkoitettu niille julkishallinnon organisaatioille, joiden tarjoamissa asiointipalveluissa puolesta asioinnilla saavutetaan selkeitä tehokkuus- ja kustannushyötyjä sekä niille organisaatioille, jotka tarjoavat yhteiskunnan kannalta keskeisiä perusrekisterejä. Näin ollen seuraavat organisaatiot on tunnistettu tämän dokumentin kannalta keskeiseksi kohderyhmäksi:

  • Verohallinto
  • Työ- ja elinkeinoministeriö
  • Sosiaali- ja terveysministeriö
  • Patentti- ja rekisterihallitus
  • Kansaneläkelaitos
  • Terveyden ja hyvinvoinnin laitos
  • Julkishallinnon, yrityssektorin sekä ns. kolmannen sektorin toimijoiden edustajat, jotka suunnittelevat tarjoamiensa asiointipalvelujen integroimista Suomi.fi-valtuuksien tarjoamiin rajapintoihin.

2 Kansallinen palveluarkkitehtuuri

Kansallisen palveluarkkitehtuurin, KaPAn, tavoitteena on määritellä ja luoda laajalti yhteentoimiva digitaalisten palvelujen kansallinen infrastruktuuri. KaPA-infrastruktuurin ydin on palveluiden välinen vuorovaikutus, jonka mahdollistaa turvallinen ja luotettava Suomi.fi-palveluväylän tarjoama viestinvälityspalvelu sekä näitä hyödyntäen rakennetut lisäarvopalvelut.

KaPA-ohjelmassa luodaan tiedon välityskerroksena toimiva julkinen palveluväylä, kansalaisten ja organisaatioiden tarvitsemat yhteiset palvelunäkymät eli Suomi.fi-verkkopalvelu, uusi kansallinen sähköinen tunnistusratkaisu Suomi.fi-tunnistus sekä Suomi.fi-valtuudet; kansalliset ratkaisut organisaatioiden ja luonnollisten henkilöiden roolien, suostumusten ja asiointivaltuutuksien hallintaan.

KaPA-ohjelman tavoitteena on:

  • Yksinkertaistaa ja helpottaa kansalaisten, organisaatioiden ja yhteisöjen asiointia viranomaisten kanssa ja tehdä siitä turvallisempaa
  • Edistää julkisen hallinnon avoimuutta ja parantaa julkisen hallinnon palvelujen laatua ja saatavuutta
  • Mahdollistaa sähköisten palvelujen kustannustehokkuus
  • Parantaa tietojen yhteiskäyttöä ja tietojärjestelmien yhteentoimivuutta
  • Edistää organisaatioiden mahdollisuuksia hyödyntää julkisen hallinnon tietovarantoja ja palveluja
  • Tehostaa julkisen hallinnon toimintaa ja tukea siten kansantaloutta ja luoda yksityisen sektorin toimijoille uusia liiketoimintamahdollisuuksia

Kokonaisuuden kannalta tarkastellen Kansallisen palveluarkkitehtuurin kontekstiin kuuluu neljä keskeistä toteutushanketta:

  • Suomi.fi-palveluväylä, joka tarjoaa turvallisen tiedonsiirron kahden liityntäpalvelimen välillä. Liityntäpalvelimet ovat KaPA-ekosysteemiin kuuluvien tietojärjestelmien tekninen rajapinta Suomi.fi-palveluihin.
  • Suomi.fi-verkkopalvelu, jonka keskeinen tehtävä on toimia kansalaisen ja organisaation edustajan käyttöliittymänä loppukäyttäjille tarjottavien Suomi.fi-palveluiden osalta.
  • Suomi.fi-tunnistus, jonka tehtävä on tarjota kansallisesti hyödynnettävissä oleva tunnistuspalvelu, jota voidaan hyödyntää paitsi KaPA-ohjelman piiriin kuuluvissa palveluissa, myös muissa sähköistä tunnistamista edellyttävissä kokonaisuuksissa.
  • Toisen puolesta asioinnin mahdollistava Suomi.fi-valtuudet.

Suomi.fi-palveluväylä on tiedonsiirtokanava, joka tarjoaa vakioidun, luotettavan ja tietoturvallisen tavan tietojen siirtoon organisaatioiden välillä. Se mahdollistaa turvallisen lähestymistavan useiden eri organisaatioiden erillisistä palveluista koostuvien palvelukokonaisuuksien rakentamiseen. Suomessa toteutettava Suomi.fi-palveluväylä pohjautuu virolaiseen X-Road-teknologiaan ja koostuu tiedonvälityskerroksesta ja tiedonvälityspalvelusta. Tiedonvälityskerros määrittää, miten tietoja ja palveluja välitetään eri tietojärjestelmien välillä. Tiedonvälityspalvelu puolestaan mahdollistaa muiden palveluväylään liittyneiden organisaatioiden palveluiden ja tietovarantojen hyödyntämisen vakioidun mallin avulla. Tiedonvälitys tapahtuu organisaatioiden liityntäpalvelimien ja Suomi.fi-palveluväylän keskuspalvelimien välillä.

Uusi Suomi.fi-verkkopalvelu korvaa nykyisen suomi.fi-palvelukokonaisuuden. Se tarjoaa ensi vaiheessa kansalaiselle yhdenmukaisen käyttökokemuksen mukaisesti saatavia julkisia kansalaisen roolin mukaisia palveluita. Suomi.fi-verkkopalvelun käyttäjä voi hakea julkisen hallinnon palvelutietoja helposti, hoitaa viranomaisasiointiaan turvallisesti sekä tarkastella kootusti omia tietojaan julkisen hallinnon rekistereistä. Samalla Suomi.fi-verkkopalvelu toimii kansalaisen kannalta helppokäyttöisenä julkisten asiointipalvelujen saantikanavana sekä uusien prototyyppipalvelujen kokeilukenttänä.

Suomi.fi-tunnistus välittää henkilökortilla sekä markkinaehtoisilla tunnistusvälineillä, kuten Tupas ja Mobiilivarmenne, tehtyjä tunnistustapahtumia. Suomi.fi-tunnistuksen keskeinen ominaisuus on palvelun kyky tarjota Väestörekisterikeskuksen (VRK) ylläpitämään väestötietojärjestelmään (VTJ) perustuvaa luotettavaa ja yksikäsitteistä tunnistus- tai identiteettipalvelua. Suomi.fi-tunnistus toimii tällöin todellisena identiteetin tarjoajana, koska sen tarjoama identiteettitieto perustuu yksikäsitteisen luotettavaan kansalliseen väestötietojärjestelmään. Suomi.fi-tunnistus piilottaa viranomaisen sähköisiltä asiointipalveluilta tunnistamissekvenssissä käytettävät tunnistuslähteet ja tunnistusmenetelmät sekä niihin liittyvät sopimukset.

Suomi.fi-valtuuksien avulla Kansallinen palveluarkkitehtuuri mahdollistaa luotettavan sekä oikeushenkilön että luonnollisen henkilön puolesta asioinnin, kuin myös sähköisten asiointipalveluiden toteutuksen. Oikeushenkilön puolesta asiointi on ollut aiemmin mahdollista Verohallituksen Katso-palvelun avulla, joka nyt korvautuu uudella ratkaisulla. Sitä vastoin yhteistä kansallista sähköistä henkilön puolesta asiointia mahdollistavaa ratkaisua ei ole Suomessa tähän asti ollut. On huomioitava, että Suomi.fi-valtuuksia voidaan käyttää niin Suomi.fi-palveluväylän kautta kuin ilman Suomi.fi-palveluväylää.

Alla olevassa kuvassa esitetään, miten eri KaPA-ohjelmaan sisältyvät hankkeet linkittyvät ylätasolla toisiinsa.

Kuva1_uusi

Kuva 1: KaPA-ohjelman tarjoamat keskeiset sähköiset palvelut.

3 Arkkitehtuuriohjaus toteutushankkeissa

Kansallinen palveluarkkitehtuuri on maamme oloissa varsin mittava ja monia organisaatioita koskettava hanke. Hankekokonaisuuden läpivienti edellyttää määrämuotoista ja vahvaa arkkitehtuurihallintaa.

Arkkitehtuuriohjauksen tavoitteena on varmistaa, että KaPA-ohjelmassa tuotettavat palvelut, Suomi.fi-palvelut,  ovat määriteltyjen kokonaistavoitteiden mukaisia. Arkkitehtuuriohjaus on koko KaPA-ohjelman elinkaaren ajan kestävä jatkuva prosessi, jonka tavoitteena on varmistaa kokonaisarkkitehtuurityön määrittämän tavoitetilan ja arkkitehtuurin toteutuminen kehityksen aikana tehdyissä ratkaisuissa ja toisaalta ylläpitää arkkitehtuuria suhteessa kehitystyön aikana tehtäviin päätöksiin ja muutoksiin. Arkkitehtuuriohjauksen avulla varmistetaan, että KaPA-ohjelma toteuttaa määriteltyjä vaatimuksia ja noudattaa valtiovarainministeriön määrittelemää ohjeistusta.

Arkkitehtuurin hallintamalli kuvailee ne organisaatiorakenteet, vastuut ja henkilöt sekä ylätason prosessit joiden avulla hankkeen arkkitehtuuria hallitaan. Arkkitehtuurin hallintaan osallistuvat osapuolet huomioivat arkkitehtuuriin kehitystyön aikana kohdistuvat muutostarpeet, toteuttavat tarvittavat muutokset ja dokumentoivat ne sidosryhmien saataville. Arkkitehtuurin ajantasaisuus tavoitetilan suhteen pyritään varmistamaan keräämällä palautetta hankkeen kehitystyön etenemisen myötä eri viiteryhmien kanssa käydyn vuoropuhelun kautta. Vuoropuhelun tavoitteena on tunnistaa arkkitehtuuriin kohdistuvat muutostarpeet ja saattaa ne osaksi tavoitetilaa.

Alla olevassa kuvassa on esitetty KaPA-ohjelman hankkeiden arkkitehtuurin päätöksenteon ja ohjauksen keskeiset rakenteet. Kunkin palvelun toteutuksesta vastaavan osahankkeen kannalta on keskeistä, että hankekokonaisuuteen osallistuvalla arkkitehtiryhmällä on jaettu näkemys kokonaisuudesta sekä eri hankkeiden leikkauspinnoista. Tässä kuvattu arkkitehtuurin hallintamalli on operatiivinen ja käytössä KaPA-ohjelman mukaisissa toteutushankkeissa.

Kuva2_uusi
Kuva 2: Hankkeiden arkkitehtuurien ohjausrakenteet.

4 Keskeiset linjaukset eri hankkeiden arkkitehtuurille

Kunkin KaPA-ohjelmaan kuuluvan osahankkeen vastaava arkkitehti huolehtii oman vastuuhankkeensa arkkitehtuurin määrittelystä, suunnittelusta ja toteutusseurannasta. KaPA-ohjelman arkkitehtiryhmä puolestaan seuraa hankkeiden arkkitehtuurityötä ja varmistaa, että hankkeiden leikkauspisteissä otetaan kaikki osapuolet huomioon. KaPA-ohjelmassa sovellettu arkkitehtuurin hallintamalli noudattelee Valtiovarainministeriön ohjeistusta.

Kullekin palvelulle on tunnistettu ja määritelty joukko strategisia linjauksia ja arkkitehtuuria ohjaavia periaatteita, joiden avulla varmistetaan palvelujen johdonmukainen ja tavoiteorientoitunut kehittäminen. Arkkitehtuuria ohjaavia linjauksia hyödynnetään käytännön työkaluina KaPA-ohjelmaan kuuluvien sähköisten palvelujen kehittämisessä. Linjaukset ovat luonteeltaan tavoitearkkitehtuurin ominaisuuksia kuvaavia olettamia. Sellaisina niiden merkitys on nähtävänä hankkeiden toteutustyötä ohjaavina vaatimuksina ja lopputulosta kuvaavina tavoitteina.

4.1 Suomi.fi-verkkopalvelu

Suomi.fi-verkkopalvelulle tunnistetut linjaukset ja periaatteet heijastelevat vahvasti palvelun luonnetta: kyseessä on palvelu, joka on tarkoitettu laajalle käyttäjäjoukolle ja jollaisena se lähtökohtaisesti palvelee suurta osaa maamme kansalaisista ja asukkaista. Tällöin linjaukset liittyvät ensisijaisesti palvelun käytettävyyteen ja palvelun toteuttavan arkkitehtuurin skaalautuvuuteen.

  • Mobile first; Suomi.fi-verkkopalvelun käyttöliittymämallissa tehtyjen ratkaisujen tulee mahdollistaa palvelun saatavuus aina myös resurssiköyhillä päätelaitteilla.
  • Palvelun on skaalauduttava kuormapiikkeihin, joissa oletuksena koko kansallinen väestöpohja voi käyttää palvelua määrätyn aikaikkunan sisällä.
  • Verkkopalvelun arkkitehtuuriratkaisun on oltava sellainen, että se mahdollistaa nykyisen yrityssuomi.fin tarjoamien palvelujen toteuttamisen.
  • Suomi.fi-verkkopalvelun on voitava hyödyntää standardoidulla mallilla Palveluväylän kautta saatavia muiden palveluntarjoajien tuottamia palveluita.
  • Suomi.fi-verkkopalvelun toteuttamia palveluja tulee voida hyödyntää Palveluväylän kautta myös muiden palveluntarjoajien tuottamissa palveluissa.
  • Palvelujen toteuttaminen, käyttöönotto ja poistaminen käytöstä tulee olla mahdollista tehdä nopeasti ja pienin palvelukohtaisin kustannuksin.
  • Palvelun skaalautuvuus suorituskyvyn suhteen mahdollistaen laskentaresurssien dynaamisen lisäämisen tai poistamisen palvelupyyntökuorman muutosten suhteen
  • Skaalauskyky toiminnallisuuksien kasvattamisen suhteen, jolloin uusia toiminnallisuuksia voidaan joustavasti lisätä ja poistaa käyttäjän saatavilta helposti ja kustannustehokkaasti
  • Käyttöliittymämallin suhteen joustava
  • Vikasietoinen hyökkäyksille ja toipuvuus virhetilanteista
  • Järjestelmän on tarjottava luotettava mekanismi vahvan salauksen käyttöön arkaluontoisen tiedon suojaukseen, siirtoon ja varastointiin.
  • Mahdollisuus toteuttaa palveluita, jotka ovat ajallisesti ja maantieteellisesti helposti otettavissa käyttöön.

Linjauksien avulla kussakin KaPA-ohjelman osahankkeessa on tunnistettu suppea joukko periaatteita, joita käytetään arkkitehtuurityön lähtökohtana. Verkkopalvelun osalta yllä tunnistetut linjaukset ovat johtaneet seuraavien toteutusperiaatteiden käyttöönottoon:

  • Ei-monoliittinen sovellusmalli
  • Käyttöliittymän toteuttaminen SPA-mallin mukaisesti
  • Mikropalveluarkkitehtuurimallin soveltaminen

Linjausten ja niistä johdettujen periaatteiden avulla varmistetaan palveluiden toteutustyön arkkitehtuurinmukaisuus ja vastaavuus niille kokonaistavoitteille, joita KaPA-ohjelmalle on ylätasolla asetettu.

4.2 Suomi.fi-tunnistus

Suomi.fi-tunnistuksen keskeinen olettama on, että sitä tullaan hyödyntämään laajalti julkishallinnon tarjoamissa palveluissa. Tavoitteena on, että Suomi.fi-tunnistus korvaa niin Tunnistus.fi-palvelun kuin Vetuma-palvelun. Toisin kuin aikaisemmat valtion tunnistuksenohjauspalvelut (Vetuma ja Tunnistus.fi) Suomi.fi-tunnistus toimii itsenäisenä palveluna, ei pelkästään teknisenä uudelleenohjauspalveluna.

Uudella tunnistamisen palvelulla on lähtökohtaisesti pitkä elinkaari. Tämän lisäksi sen keskeinen ominaisuus on tarjottavan palvelun ehdoton oikeellisuus. Tätä taustaa vasten palvelulle on määritelty seuraavat ohjaavat linjaukset:

  • Tunnistus-palvelun tulee olla käytettävissä kaikkina vuorokauden aikoina.
  • Tunnistus-palvelun arkkitehtuurin tulee mahdollistaa teoreettisesti ottaen rajaton skaalautuminen.
  • Tunnistus-palvelun arkkitehtuurin tulee sallia skaalautuminen niin ylös- kuin alaspäin.
  • Tunnistus-palvelun arkkitehtuurin tulee olla modulaarinen, jotta se mahdollistaa jatkuvan kehitystyön, integraation ja käyttöönoton työskentelymallin.
  • Suomi.fi-tunnistuksen arkkitehtuurin tulee mahdollistaa palvelun operatiivisten kulujen pieneneminen suhteessa nykyisiin Vetuma- ja Tunnistus.fi-palveluihin.

Yllä esitetyt linjaukset ovat pääsääntöisesti arkkitehtuurille vaatimuksia asettavia. Näiden lisäksi arkkitehtuurille on tunnistettu joukko rajaavia linjauksia, jotka määrittelevät arkkitehtuurille sen toiminnallisuuden raja-arvoja.

  • Suomi.fi-tunnistus ei saa olla toiminnallisesti, rakenteellisesti tai operatiivisesti riippuvainen KaPA-ohjelmassa toteutettavista muista palveluista, kuten Suomi.fi-verkkopalvelusta tai Suomi.fi-valtuuksista.
  • Suomi.fi-tunnistuksen tuotantoympäristön verkkokonfiguraation ei tule edellyttää sijaintia samassa verkkosegmentissä muiden KaPA-hankkeiden tuottamien komponenttien kanssa.
  • Suomi.fi-tunnistuksen palvelun arkkitehtuurin tulee olla sellainen, että se ei sulje pois julkishallinnon ulkopuolisia tunnistuspalvelun käyttäjiä.
  • Suomi.fi-tunnistuksen arkkitehtuurin tulee olla sellainen, että se sallii myös muiden kuin nykyisten Vetuma-palvelun ja Tunnistus.fi-palvelun identiteetintarjoajien liittymisen identiteetintarjoajien ekosysteemiin.
  • Suomi.fi-tunnistus ei saa suosia yhtään toimijaa tunnistukseen liittyvässä markkinassa.
  • Suomi.fi-tunnistuksen on oltava operatiivisesti käytettävissä rinnakkain Vetuma-palvelun ja Tunnistus.fi-palvelun kanssa siirtymäajan verran.
  • Suomi.fi-tunnistuksen toteutus ei saa estää jatkuvan kehittämisen, integraation ja käyttöönoton työskentelymallia.
  • Suomi.fi-tunnistuksen arkkitehtuuri ei saa estää järjestelmän teoreettista skaalautuvuutta.
  • Suomi.fi-tunnistuksen arkkitehtuuri ei saa estää tunnistettavan käyttäjän henkilötietojen rikastamista.
  • Suomi.fi-tunnistuksen arkkitehtuuri ei saa mahdollistaa turvakiellon alaisten henkilötietojen vuotamista.
  • Suomi.fi-tunnistuksen arkkitehtuuri ei saa edellyttää jonkun tietyn identiteetintarjoajan kytkemistä tietylle palveluntarjoajalle tai käyttäjälle.
  • Suomi.fi-tunnistuksen käyttö ei saa sitoa käyttäjää mihinkään palveluntarjoajaan tai identiteettipalveluiden tarjoajaan.

Osa Tunnistus-palvelulle määritellyistä linjauksista on hyvinkin yksityiskohtaisia, mikä heijastelee palvelun verraten teknistä luonnetta sekä sen keskeistä asemaa KaPA-infrastruktuurin mahdollistavana tekijänä.

Kustakin yllä esitetystä rajauksesta voidaan johtaa joko toiminnallisia tai ei-toiminnallisia vaatimuksia tunnistamisen palvelun arkkitehtuurille. Tunnistetut rajoitukset ovat luonteeltaan pakottavia, mikä arkkitehtuurityön osalta tarkoittaa sitä, että arkkitehtuurin tarkassa määrittelyssä on kyettävä esittämään, miten kukin rajaus vaikuttaa arkkitehtuuriin ja sen toteuttamiseen. Vastaavasti linjauksista on johdettu seuraavat periaatteet, joita arkkitehtuurin on noudatettava:

  • Tunnistus-palvelun tulee olla riippumaton teknologiavalinnoista ja asiointipalveluiden käyttämistä toteutusteknologioista.
  • Tunnistus-palvelu on luonteeltaan yksisuuntainen palvelu, joka hakee tietoa tietovarannoista, mutta ei missään olosuhteissa päivitä kannaltaan ulkoista tietovarantoa.
  • Palveluntarjoajan luottamusverkoston nimitiedot on varmistettava väestötietojärjestelmän avulla.
  • Identiteettilähteen on tarjottava paluutietona annettava tunnistesanoma vahvasti salattuna.
  • Palveluntarjoajan omaa identiteettijärjestelmää ja identiteetintarjoajan järjestelmää hyödynnetään peräkkäisissä sekvensseissä.
  • Tunnistus-palvelu toimii alkuperäisen identiteetin takaajana.
  • Tunnistus-palvelu tarjoaa mahdollisuuden identiteettitiedon rikastamiseen.
  • VTJ pystyy käsittelemään tunnistuksen aiheuttaman kyselykuorman.
  • Rikastamistietojen kysely on täysin tunnistuspalvelun kontrolloitavissa.
  • Rikastamistiedot haetaan liityntäpalvelimia hyödyntäen.
  • Tunnistus-palvelu on itsenäinen kokonaisuus, jolla ei ole sidoksia asiointipalveluihin tai identiteettilähteisiin.
  • Kaiken tunnistamisen palvelun tarvitseman ja tarjoaman sanomaliikenteen tulee olla salattavissa.
  • Tunnistus-palvelun tulee voida hyödyntää myös heikon tunnistuksen tarjoajia.

Tässä kuvattujen periaatteiden avulla on tuotettu johdonmukainen jatkumo, joka määrittelee katkeamattoman loogisen perusteluketjun tunnistamisen arkkitehtuurille ja siten ohjaa toteutustyötä. Tunnistamishankkeessa määritellyt arkkitehtuuriperiaatteet ovat yksikäsitteisen yhdenmukaisia KaPA-ohjelman kokonaisarkkitehtuurityössä tunnistettujen ja määriteltyjen muiden periaatteiden kanssa

4.3 Suomi.fi-valtuudet

Suomi.fi-valtuuksien arkkitehtuurin osalta tunnistetuilla arkkitehtuuriperiaatteilla pyritään ohjaamaan palvelun kehitystä haluttuun suuntaan ottaen huomioon palvelun kehityksen aikana havaitut muutos- ja kehitystarpeet. Näin siksi, että suomalaisessa digitaalisessa yhteiskunnassa ei aiemmin ole ollut henkilön puolesta asioinnin mahdollistavaa palvelua. Arkkitehtuurityön aikana seuraavat linjaukset on tunnistettu arkkitehtuurityötä ja vastaava toteutustyötä ohjaavina syötteinä:

  • Valtuudet-palvelun suunnittelussa keskitytään pääosin palveluihin, joilla katetaan 80 % käyttötapauksia ja joiden avulla saavutetaan suurimmat kustannus- ja volyymihyödyt. Arkkitehtuurin tulee tukea toiminnallista kasvupolkua.
  • Valtuudet-palvelu ei toteuta puolesta asioinnin ratkaisuja hyödyntäviä sidosryhmien asiointipalveluita. Palvelua hyödyntävät virastot ja sidosryhmät vastaavat itse asiointipalveluidensa toteutuksista hankkeen koordinoimana. Suomi.fi-valtuuksien arkkitehtuurin tulee kuitenkin mahdollistaa asiointipalveluiden kustannustehokas ja ylläpidettävä hyödyntämismalli. Asiointipalvelu toteuttaa vain yksinkertaiset käyttöliittymät valtakirjojen elinkaaren hallintaan.
  • Valtuudet-palvelun arkkitehtuuri on riippumaton aiempien valtuutusmekanismien arkkitehtuurista. Näin ollen Suomi.fi-valtuuksien arkkitehtuurilla ei ole sidoksia Verohallinnon Katso-järjestelmän arkkitehtuuriin. Arkkitehtuurin tulee kuitenkin mahdollistaa käyttömallin siirtymä Katso-palvelusta.
  • Valtuudet-palvelun arkkitehtuurin tulee mahdollistaa kehitysmalli, joka edelleen hyödyntää vaiheittaista ja tarvelähtöistä ominaisuuksien tunnistamista, määrittelyä, suunnittelua ja toteuttamista.
  • Valtuudet-palvelun arkkitehtuurin tulee olla selkeä ja helposti hahmotettava, jotta sähköistä puolesta-asiointia tarjoavat asiointipalvelut pystyvät hyödyntämään Suomi.fi-valtuuksia kustannustehokkaasti ja hyödyntäen lyhyitä käyttöönottosprinttejä.

Yllä tunnistettujen linjausten perusteella Suomi.fi-valtuuksille on määritelty seuraavat arkkitehtuuriperiaatteet:

  • Teknologiavalintariippumattomuus: Valtuudet-palvelun luonne edellyttää pitkää elinkaarta. Näin ollen toteutusta ei voida sitoa mihinkään tiettyyn tekniseen toteutusratkaisuun eikä suppean elinkaaren toteutuskehikkoon.
  • Valtuutuskyselyjen aukottomuus: Valtuudet-palvelulle esitetyt valtuustarkistukset mahdollistavat erilaisten toimenpiteiden suorittamisen henkilön tai yrityksen puolesta. Tämä asettaa tiukat vaatimukset Suomi.fi-valtuuksien aukottomuudelle: valtuutus voidaan sallia vain niissä nimenomaisissa tapauksissa, joissa valtuutus voidaan aukottomasti hyväksyä. Muissa tapauksissa valtuutus hylätään.
  • Modulaarinen kehitysmalli: Valtuudet-palvelun mahdollistama sähköinen henkilön puolesta asiointi on Suomessa uusi palvelumalli. Tämän lisäksi Valtuudet-palvelun asetuskirjassa on tavoiteasetannan osalta todettu, että palvelun toteuttava hanke etenee 80/20-säännön mukaisesti. Tämä edellyttää sitä, että arkkitehtuuri mahdollistaa vaiheittaisen etenemisen.
  • Ei-monoliittinen sovellusmalli: Perusperiaatteena on, että Valtuudet-palvelu ei noudattele monoliittista sovellusmallia, vaan koko arkkitehtuuri perustuu ajatukselle rakenteisesta komponenttipohjaisesta ajattelusta, joka mahdollistaa vaiheittaisen etenemisen.
  • Käyttööliittymän yksinkertaisuus: Valtuudet-palvelulla ei ole asiointipalveluille tarkoitettua käyttöliittymää, vaan asiointipalvelun toteutus on vastuussa riittävän käyttöliittymätoiminnallisuuden tunnistamisesta, määrittelystä ja toteutuksesta. Valtuudet-palvelu tarjoaa Valtuudet-rekisterin edellyttämän käyttöliittymäosuuden, jossa huolehditaan Valtuudet-rekisterin hallinnasta ja toisaalta valtuutusten hallinnasta Suomi.fi-verkkopalvelun käyttöliittymämallin mukaisesti. Tämän lisäksi Valtuudet-palvelu tarjoaa sääntömoottorin käytönhallintaan ja Valtuudet-rekisterin valtakirjan vireillepanoon sekä hyväksyntään tarvittavat käyttöliittymät.
  • Mikropalveluarkkitehtuuri: Jokainen arkkitehtuurissa käsiteltävä tunnistettu asia pyritään mallintamaan omana arkkitehtuurin kannalta itsenäisenä elementtinään. Sovellusmalli perustuu ns. separation of concerns -ajatteluun ja mikropalveluarkkitehtuurimalliin.

5 Suomi.fi-palveluiden yleiskuva

KaPA-ohjelmassa tuotetut palvelut ovat luonteeltaan kahdenlaisia: Suomi.fi-palveluväylä, Suomi.fi-tunnistus ja Suomi.fi-valtuudet ovat kansallisen digitaalisen infrastruktuurin rakennuspalasia. Niitä hyödynnetään ensisijaisesti ohjelmallisen rajapinnan kautta, jolloin ensisijainen käyttömalli ei edellytä käyttöliittymän kautta tapahtuvaa hyödyntämistä. Suomi.fi-verkkopalvelu on puolestaan ensisijaisesti loppukäyttäjälle suunnattu palvelujen löydettävyyttä ja saatavuutta parantava palvelu. Yksittäisten tiedonsaantipalvelujen ja asiointipalvelujen kannalta Suomi.fi-verkkopalvelua voidaan pitää yhtenä saantikanavana muiden palvelukanavien ohella.

Alla olevassa kuvassa on esitetty KaPA-ohjelman palveluelementit. Suomi.fi-palveluväylä esitetään kuviossa vain liityntäpalvelimien ja keskuspalvelimien tarjoamana palveluna.

Kuva3_uusi
Kuva 3: Suomi.fi-palvelut, niiden keskinäinen suhde toisiinsa ja ulkoisiin tietovarastoihin.

Karkeasti ottaen Suomi.fi-kokonaisuuden sidosryhmät voidaan luokitella sen mukaan, millaisia tunnistustarpeita palveluilla on, ovatko tarjottavat palvelut julkisen vai yksityisen sektorin toimijoiden tarjoamia ja millaista integraatiota Suomi.fi-palveluja hyödyntävät asiointipalvelut edellyttävät. Suomi.fi-palvelunäkymien kannalta käyttäjän tunnistaminen hoidetaan luottamusverkostoperiaatteen mukaisesti. Tällöin Suomi.fi-palvelunäkymät hyödyntää tunnistuksen uudelleenohjauspalvelua, joka huolehtii käyttäjän tunnistamisesta ulkoisen tunnistuslähteen palauttaman tunnistusinformaation ja VTJ:n tarjoaman tietorikasteen avulla.

KaPA-infrastruktuuria hyödyntävät asiointipalvelut puolestaan tunnistavat käyttäjän ensin oman palveluympäristönsä tarjoaman tunnistusmekanisminsa avulla. Tämän luottamusverkoston tunnistustiedon perusteella Suomi.fi-tunnistus vahventaa ensi vaiheen tunnistuksen tunnistuslähteellä ja VTJ:n tarjoamalla henkilötietojen rikastuksella.

Suomi.fi-valtuudet on asiointipalveluille kutsurajapinnan tarjoava kokonaisuus, joka varmistaa puolesta asioinnin oikeellisuuden. Suomi.fi-valtuuksien hyödyntäminen edellyttää, että asiointipalvelun toteutus huolehtii valtuutuksen hallintaan tarvittavasta käyttöliittymästä. Suomi.fi-valtuudet tarjoaa käyttöliittymän niihin käyttötarpeisiin, jotka esitettiin aiemmin tässä dokumentissa (ks. luku 4.3).

Sidosryhmän käsitteellä tarkoitetaan niitä organisaatioita tai toimijoita, joilla on joko toiminnallinen, rakenteellinen tai looginen sidos Suomi.fi-palveluihin. Tällä rajauksella KaPA-kokonaisuuden kannalta keskeisimmät sidosryhmät voidaan jaotella seuraavasti:

Sidosryhmä 1: Kansalliseen palveluarkkitehtuuriin liittyvät toimijat, jotka osallistuvat järjestelmä- ja palvelukokonaisuuden rahoitukseen, ohjaukseen, konseptointiin, suunnitteluun ja kehittämiseen

Sidosryhmä 2: Julkisten palvelujen palveluntarjoajat, jotka tarjoavat Suomi.fi-palveluväylään liitettyjä käyttäjän tunnistamista edellyttäviä julkishallinnon palveluita, jotka integroidaan Suomi.fi-verkkopalveluun.

Sidosryhmä 3: Yksityisen sektorin palveluntarjoajat, jotka tarjoavat Suomi.fi-palveluväylään liitettyjä käyttäjän tunnistamista edellyttäviä yksityisen sektorien palveluita, jotka integroidaan Suomi.fi-verkkopalveluun.

Sidosryhmä 4: Julkisten palvelujen palveluntarjoajat, jotka tarjoavat avoimesti käytettäviä julkishallinnon palveluita, jotka integroidaan Suomi.fi-verkkopalveluun.

Sidosryhmä 5: Yksityisten palvelujen palveluntarjoajat, jotka tarjoavat avoimesti käytettäviä yksityisen sektorin palveluita, jotka integroidaan Suomi.fi-verkkopalveluun.

Sidosryhmä 6: Julkisen sektorin toimijat, jotka integroivat omiin palveluihinsa Suomi.fi-verkkopalvelun kautta tarjottuja palveluita, jotka ovat saatavilla Suomi.fi-verkkopalvelun koosteisten rajapintojen kautta

Sidosryhmä 7: Yksityisen sektorin toimijat, jotka integroivat omiin palveluihinsa Suomi.fi-verkkopalvelun kautta tarjottuja palveluita, jotka ovat saatavilla Palvelunäkymien koosteisten rajapintojen kautta

On huomioitava, että tässä jaottelussa Suomi.fi-tunnistuksen ja Suomi.fi-valtuuksien sidosryhmät ovat implisiittisiä eli käsittävät ne palveluntarjoajat, jotka hyödyntävät kyseisiä Suomi.fi-palveluita omissa palveluissaan.

6 Suomi.fi-verkkopalvelun yleiskuva

Suomi.fi-verkkopalvelun yleiskuvan kannalta keskeistä on ymmärtää Verkkopalvelun toiminnallinen tavoite: Sen avulla käyttäjälle voidaan tarjota kootusti palveluita, jotka hyödyntävät eri rekistereistä, tietopalveluista ja palvelulähteistä saatavaa tietoa. Tällöin arkkitehtuurin kannalta on olennaista Suomi.fi-verkkopalvelu-kokonaisuuden kyky koostaa tietoelementtejä ja niitä esittäviä palveluita yhteiseksi kokonaisuudeksi. Tämä koostamistehtävä näkyy myös vahvasti Suomi.fi-verkkopalvelu-kokonaisuuden loogisessa yleiskuvassa.

Arkkitehtuurin yleisjäsennyksen keskeinen tavoite on kuvata Suomi.fi-verkkopalvelun tärkeimmät loogiset osa-alueet sekä niiden keskinäiset suhteet. Tällöin yleisjäsennyksessä esitetään ne päätason loogiset kokonaisuudet, joihin Suomi.fi-verkkopalvelu voidaan loogisen rakenteensa perusteella jakaa. Alla olevassa kuvassa on esitetty Suomi.fi-verkkopalvelun ylätason sisäinen jäsennys.

Kuva4_uusi
Kuva 4: Suomi.fi-verkkopalvelun arkkitehtuurin yleisjäsennys.

Kuvassa 4 on esitetty Verkkopalvelun loogisen tason rakenteellinen jäsennys. Kuvassa esitetään jäsennys tietoisesti valitun epämuodollisen kuvaustavan avulla. Suomi.fi-verkkopalvelu koostuu seuraavista arkkitehtuurin kannalta merkityksellisistä osa-alueista:

  • Palveluun liittyvä liiketoimintalogiikka, joka toteutetaan mikropalveluna
  • Mikropalvelujen front-väylä, joka huolehtii mikropalveluihin liittyvän kutsu- ja vastausliikenteen reitityksestä sekä kuormanhallinnasta.
  • Käyttöliittymän front end-osio, jossa tuotetaan loppukäyttäjän näkemä käyttöliittymä joko SPA-mallin (Single Page Application) mukaisesti tai dynaamisesti generoituna sisältönä.
  • Järjestelmän hallintaosio, jonka avulla mahdollistetaan järjestelmän operatiivinen käyttö, ylläpito ja seuranta.
  • Sisällönhallinta- ja julkaisujärjestelmä, jonka avulla toteutetaan suomi.fi:n tarvitsema sisällönhallinta- ja julkaisuprosessit.
  • KaPA-arkkitehtuurin edellyttämä liityntä- ja sovitinpalvelu.

Suomi.fi-verkkopalvelun arkkitehtuurin keskeinen piirre on eri osa-alueiden vahva erillisyys. Tällä tavoitellaan järjestelmän toiminnallista luotettavuutta ja virhesietoisuutta. Samoin tavoitteena on, että järjestelmän toteutus säilyy selkeänä ja rakenteellisesti hallittavana. Jäsennyksessä esitettyjen komponenttien välillä on toteutustasolla selkeä rajapinta, joka on joko kutsurajapinta tai viestirajapinta.

Osa-alueiden erillisyyden ansiosta Suomi.fi-verkkopalvelun toteutukseen voidaan lisätä ja sieltä voidaan poistaa joustavasti palvelukomponentteja. Samoin järjestelmäkomponenttien toteutustapoja voidaan varioida ja vaihtoehtoisten toteutustapojen avulla voidaan pienentää teknologialukkiumien riskiä.

Suomi.fi-verkkopalvelun keskeiseksi arkkitehtuurimalliksi on valittu mikropalveluihin pohjautuva arkkitehtuurimalli. Lähtökohtaisesti jokainen mikropalvelu jakaa saman yleisen loogisen rakenteen. Jokaisessa mikropalvelussa on oma kuormanrajoittimensa, jonka tehtävänä on varmistaa, että kyseinen mikropalvelu ei laske verkkoon hallitsematonta kuormapiikkiä ja että kuormamallit ovat halutun mukaisia. Kuormamallit määritellään mikropalvelukohtaisesti järjestelmän hallintaosion tarjoamien työkalujen avulla siten, että kullekin mikropalvelulle määritellään omat ehtopohjaiset liikennekuormarajansa.

Hallintakutsut reititetään mikropalvelun hallintarutiinille, joka ylläpitää omaa mikropalvelukohtaista konfiguraatiokantaa. Konfiguraatiotietojen avulla ohjataan mikropalvelun toimintaa niiltä osin kuin toteutus sallii ohjautuvuuden. Oleellista on, että mikropalvellun toimintaa voidaan muokata tarpeellisessa määrin ilman ohjelmallisia muutoksia.

Mikropalvelun hyötykuormakutsut ovat niitä kutsuja, joiden avulla kutsuja voi välittää palvelupyyntöjä palveluntarjoajalle. Hyötykuormakutsut tulevat reitittimen kautta. Keskeistä on havaita, että mikropalveluja voi kutsua paitsi Suomi.fi-verkkopalvelun käyttöliittymä, myös ne toteutukset, jotka pystyvät osoittamaan mikropalveluresurssia omassa osoiteavaruudessaan.

Yksinkertaisia palveluita varten järjestelmään toteutetaan ns. mikropalveluproxy, jonka tehtävänä on tarjota kutsukanava sellaisia palveluita varten, joihin ei liity Verkkopalvelun kannalta liiketoimintalogiikka. Tällöin palvelu on suora kutsu käyttöliittymästä palveluntarjoajan tietojärjestelmään. Mikropalveluproxy sisältää samat lokitus- ja kuormanhallintaominaisuudet kuin mikä tahansa muukin järjestelmään toteutettava mikropalvelu.

Suomi.fi-verkkopalvelu on luonteeltaan potentiaalisesti suuria käyttäjämääriä ja korkeita piikkikuormia palveleva järjestelmä. KaPA-ohjelman mukaisesti uudistuneeseen Suomi.fi-palvelukokonaisuuteen liittyvän kokonaiskonseptin onnistuessa järjestelmän kansallinen merkitys tulee olemaan huomattava. Nämä reunaehdot asettavat selkeät odotukset järjestelmän saatavuudelle ja käytettävyydelle, mikä edelleen heijastuu odotuksissa järjestelmähallinnan hyvistä kyvykkyyksistä.

Tietoturvan kannalta järjestelmänhallinta pohjautuu vahvasti hajautetun hallinnan periaatteelle. Tällöin pyritään eriyttämään itse palveluliikenne ja hallintaliikenne eri verkkoavaruuksiin. Tämän lähestymistavan tavoitteena on minimoida mahdollisen hyökkäyspinta-alan määrää ja poistaa palveluliikenteen ja hallintaliikenteen sekoittumismahdollisuus. Arkkitehtuurin keskeisenä lähtökohtana on, että Suomi.fi-palvelunäkymät tarjoaa luotettavan palveluympäristön, jonka avulla henkilötietoja voidaan tietoturvallisesti käsitellä.

7 Suomi.fi-tunnistuksen yleiskuva

Suomi.fi-tunnistuksen tavoite on yksikäsitteisesti, toisteisesti ja luotettavasti varmistaa, että asiointipalvelun käyttäjä on juuri se taho, joka se väittää olevansa. Tunnistus-palvelu toimii sopimuksellisesti ja juridisesti palveluna, joka varmistaa VTJ-tiedon perusteella tunnistuslähteen tarjoaman henkilötunnuksen. Tällöin se toimii tunnistuspalvelun tarjoajana, jonka tehtävänä on ohjata tunnistuspalvelun tarvitsija todellisen tunnistuslähteen asiakkaaksi. Kuvassa 5 on ylätason esitys tunnistamisen palvelun asemoinnista suhteessa tunnistuspalvelun tarvitsijaan ja todelliseen tunnistuslähteeseen.

Kuva5_uusi
Kuva 5: Suomi.fi-tunnistuksen keskeiset vaiheet.

Suomi.fi-tunnistuksen toiminta jakautuu käsitteellisesti neljään eri päävaiheeseen:

1. Asiointipalvelu tarvitsee käyttäjästä henkilötietoja, jolloin asiointipalvelu pyytää omassa kontrollissaan olevalta tunnistamisratkaisulta tunnistamispalvelua.

2. Asiointipalvelun tunnistamisratkaisu tarvitsee vahvaa tunnistamista ennalta määritellyllä tietoturvatasolla, jota se puolestaan pyytää Suomi.fi-tunnistukselta. Suomi.fi-tunnistus vastaa tunnistukseen liittyvän käyttäjäistunnon luonnista ja ylläpidosta.

3. Suomi.fi-tunnistus verifioi vahvaa tunnistusta edellyttävän palvelupyynnön ja ohjaa pyynnön oikealle tunnistuslähteelle, joka huolehtii käyttäjän tunnistamisesta oman mekanisminsa mukaisesti.

4. Suomi.fi-tunnistus varmentaa tunnistuslähteen palauttaman tunnistustiedon ja palauttaa varmennetun tunnistustiedon VTJ:stä noudetuilla henkilötiedoilla rikastettuna asiointipalvelun omalle tunnistamispalvelulle.

Keskeinen etu yllä esitetyssä mallissa on se, että tunnistusta tarvitsevien asiointipalvelujen ei tarvitse huolehtia sopimusrakenteesta muiden kuin yhden tunnistuspalvelun tarjoajan kanssa: Suomi.fi-tunnistuksen, joka loogisesti peittää taakseen todellisten tunnistuslähteiden valikoiman. Tunnistuslähteen kannalta Suomi.fi-tunnistus toimii puolestaan keskitettynä palveluna, jonka avulla tunnistuslähde voi liittyä kustannustehokkaasti tunnistuspalvelujen ekosysteemiin. Kuvassa 6 on esitetty tunnistamisen palvelun edellyttämä sopimussuhteiden verkoston rakenne.

Kuva6_uusi
Kuva 6: Suomi.fi-tunnistuksen sopimussuhteiden päärakenne.

Asiointipalvelun ylläpitämä tunnistamismekanismi on Suomi.fi-tunnistukseen liittyvä keskeinen konsepti. Kantava ajatus on, että jokainen ekosysteemiin liittyvä osapuoli on itse vastuussa ja huolehtii aktiivisesti omaan vastuualueeseensa liittyvien toimintojen luotettavuudesta ja tietoturvasta. Tällöin voidaan ajatella, että tunnistuspalvelujen ekosysteemiin voidaan kirjautua kertakirjautumisella (engl. Single Sign On, SSO), jolloin samassa tunnistamisen ekosysteemissä olevat palvelut pystyvät hyödyntämään kirjautumisen yhteydessä luotua identiteettiin liittyvää istuntotietoa. Istuntotiedon tehtävänä on tällöin tarjota kirjautumis- ja tunnistustiedon voimassaolovarmennus sitä kysyvälle asiointipalvelulle.

Suomi.fi-tunnistuksen haavoittuminen tarkoittaa mahdollisesti myös sitä, että koko tunnistamisen ekosysteemin luotettavuus on haavoittunut. Tällöin ensiarvoisen tärkeää on, että tunnistukseen liittyvät luottamusverkostot ovat paitsi erillisiä, myös hyvin tunnettuja. Kuvassa 7 esitetään keskeiset Suomi.fi-tunnistukseen liittyvät luottamusverkostot.

Kuva7_uusi
Kuva 7: Suomi.fi-tunnistus ja siihen liittyvät luottamusverkostot.

Asiointipalvelun kannalta tunnistamisen ekosysteemin haavoittumattomuus edellyttää minimissään seuraavia asioita:

  • Asiointipalveluun liittyvän oman tunnistusmekanismin käyttäjätiedot ja niihin liittyvät tunnistustiedot ovat ajantasaisia ja niitä ylläpidetään luotettavasti sekä riittävän tietoturvan periaatteita noudattaen.
  • Asiointipalvelun käyttäjät tunnistetaan riittävän luotettavalla ja yksikäsitteisellä tavalla ennen palvelupyynnön esittämistä tunnistamisen palvelulle.
  • Asiointipalvelu ei vuoda tunnistetun käyttäjän tietoja tai tunnistetietoja oman käyttöalueensa ulkopuolelle.
  • Asiointipalvelu noudattaa tunnistamisen palvelun tarjoamaa ja toteuttamaa keskustelusekvenssiä.
  • Asiointipalvelun liittyessä tunnistamisen palveluun määritellään riittävä ja kattava informaatiokuvaus siitä, millaiset konfiguraatiovalinnat asiointipalvelu edellyttää palvelulta.

Suomi.fi-tunnistus koostuu useista eri komponenteista kuvan 8 mukaisesti.

Kuva8
Kuva 8: Suomi.fi-tunnistuksen yleiskuva.

Suomi.fi-tunnistuksen palvelukokonaisuus koostuu osioista, jotka toteutetaan Suomi.fi-tunnistuksen toteutushankkeessa sekä osioista, jotka ovat Suomi.fi-tunnistuksen sidosryhmien hyödyntämien sidosarkkitehtuurien mukaisia ja jotka ovat ohjauspalvelun toteutuksen ulkopuolella.

Jälkimmäiseen kategoriaan luettavia sidosarkkitehtuureja ovat seuraavat kokonaisuudet:

  • Suomi.fi-tunnistuksen hyödyntäjä
    • Asiointipalvelu, joka tarvitsee tunnistuspalvelua
    • Asiointipalvelun oma tunnistamismekanismi
  • Vahvat tunnistuslähteet (esim. Tupas)
  • Heikot tunnistuslähteet (esim. Facebook, GoogleID, Microsoft LiveID)
  • Suomi.fi-palveluväylä ja siihen kuuluvat komponentit, joista keskeisin on liityntäpalvelin (”secure server”).
  • Väestötietojärjestelmä rikastustiedon lähteenä

Yllä olevat kokonaisuudet ovat Tunnistus-palvelun kannalta ulkoisia kokonaisuuksia. Palvelun sisäinen rakenne koostuu erillisistä loogisista kokonaisuuksista, jolloin ohjauspalvelun toteutukseen kuuluvat kokonaisuuden muodostavat komponentit ovat seuraavat:

  • Näennäisidentiteetin tarjoava edustakomponentti (Shibboleth IdP)
  • Näennäisautorisoinnin tarjoava edustakomponentti (OAuth IdP)
  • Uudelleenohjauspalvelu (ns. Proxy), joka koostuu
  • Uudelleenohjauksen logiikkapalvelu
  • Väestötietopalvelun kutsukomponentti
  • Liityntäpalvelimen integrointi
  • Rikastuslähteiden kutsukomponentti
  • Metadatan käsittelykomponentti
  • Tunnistuslähteiden kutsukomponentti
  • Suomi.fi-tunnistuksen hallinta- ja valvontapalvelu
  • Metadatapalvelu, joka tarjoaa liitynnät sopimustietojen hallintaan niin tunnistuslähteiden kuin asiointipalvelujen tarjoajillekin.

Toteutustasolla pyritään siihen, että kukin yllä esitetty komponentti olisi ohjelmistoarkkitehtuuriltaan mikroarkkitehtuurimallin mukaisesti määritelty ja toteutettu.

Suomi.fi-tunnistuksen muodostaman ekosysteemin kannalta oleellista on, että asiointipalvelun tarjoajan liittäminen ja liittyminen on suoraviivainen, ennustettava ja kokonaisuutena kustannustehokas prosessi. Asiointipalvelun tarjoajan kannalta oleellista puolestaan on se, että liittymisprosessi on helppo niin asiointipalvelun toteuttavan sovelluksen kuin sovellusta hallinnoivan käyttäjäroolinkin kannalta.

Asiointipalvelun liittämisessä asiointipalvelua tarjoavan toimijan on määriteltävä asiointipalvelun edellyttämät perustiedot:

  • Rekisteröitävän palvelun tyyppi: asiointipalvelu tai identiteettilähde
  • Palvelun osoite: asiointipalvelun aloitus- tai kirjautumissivu
  • Profiili: millaista turvatasoa palvelu edellyttää identiteettilähteeltä
  • Lisätiedot: mahdolliset muut asiointipalvelua koskevat tiedot.

Asiointipalvelun rekisteröinnin yhteydessä syötetyt tiedot muodostavat tunnistamisen palvelun ja asiointipalvelun välisen teknisen sopimuksen, joka kuvautuu järjestelmän tallettamiksi asiointipalvelukohtaisiksi metatiedoiksi. Asiointipalvelun liittymisprosessin automatisointia varten Suomi.fi-tunnistus tarjoaa erillisen työkalun asiointipalvelun tarjoajien käyttöön.

Asiointipalvelun rekisteröintitietojen validointia varten asiointipalveluille tarjotaan erillinen testiympäristönsä, jonka avulla asiointipalvelujen tarjoajat voivat validoida oman konfiguraationsa. Lähtökohtaisesti asiointipalvelun tarjoaja on vastuussa testiympäristössä tapahtuvasta validointiprosessista. Validoinnin jälkeen asiointipalvelun tarjoaja replikoi validoidun konfiguraatiotiedon asiakasliittymän kautta metadatavarantoon.

8 Suomi.fi-valtuuksien yleiskuvaus

Suomi.fi-valtuudet-palvelun yleiskuvaus jakautuu ulkoiseen ja sisäiseen esitykseen. Ulkoisen esityksen tavoite on kuvata ne Suomi.fi-valtuuksien komponentit, joilla on vaikutusta palvelun suhteeseen ulkoisiin tekijöihin. Tällöin ulkoinen esitys sisältää lähinnä niitä tekijöitä, joita ulkoiset toimijat ja palvelut hyödyntävät.

Sisäinen esitys puolestaan kuvaa Suomi.fi-valtuuksien rakennetta ja eri komponenttien keskinäistä jakoa. Tällöin sisäiseen esityksen looginen kuva piiloutuu ulkoisen esityksen taakse, jolloin käsitteellisesti ottaen ulkoisen esityksen sidosryhmiin kuuluvat toimijat eivät näe sisäisen esityksen mukaista palvelutoteutuksen loogista rakennetta.

Kuva9_uusi
Kuva 9: Suomi.fi-valtuuksien ulkoinen yleiskuva.

Ulkoisen yleiskuvan tasolla tarkastellen Suomi.fi-valtuudet kokonaisuutena koostuu seuraavista elementeistä:

  • Henkilön puolesta asiointi, joka perustuu väestötietojärjestelmästä tai muista lähderekisteriestä kuten maistraattien ylläpitämästä holhousasioiden rekisteristä saatavien henkilötietojen hyödyntämiseen valtuutuksen määrittelyssä
  • Organisaation puolesta asiointi, joka perustuu paitsi väestötietojärjestelmän kautta saatavien henkilötietojen hyödyntämiseen, Oikeusrekisterikeskuksen tietoihin, myös Patentti- ja rekisterihallituksen Yritys- ja yhteisötietojärjestelmän ja kaupparekisterin kautta saatavan yritystiedon hyödyntämiseen asiointivaltuutuksen määrittelyssä.
  • Kansalaisille tarjottava asiointivaltuutusten hallinnointipalvelu, joka tarjoaa toiminnallisen käyttöliittymän asiointivaltuutusten määrittelyyn henkilön puolesta asioinnissa.
  • Organisaatioille tarjottava asiointivaltuutusten hallinnointipalvelu, joka tarjoaa toiminnallisen käyttöliittymän yrityksen puolesta asioinnin valtuuttamisessa.
  • Asiointipalvelu, joka hyödyntää valtuutuspohjaisen puolesta asioinnin. Asiointipalvelu vastaa palvelukohtaisen säännöstön semanttisesta sisällöstä, säännöstön oikeellisuudesta sekä niiden työkalujen tuottamisesta ja hallinnasta, jotka tarvitaan palvelukohtaisen säännöstön operatiiviseen hyödyntämiseen.

Näistä kokonaisuuksista itse asiointipalvelu on tarkastelukokonaisuuden ulkopuolella, koska se toimii Suomi.fi-valtuuksien  hyödyntäjänä. Tällöin itse asiointipalvelu on asioinnin toteuttavan julkisen toimijan vastuulla. On huomattava, että Suomi.fi-valtuuksia käyttävä asiointipalvelu voi olla paitsi julkishallinnon toimijan palvelu, myös kolmannen sektorin toimijan tai muun oikeushenkilön tarjoama palvelu. Oleellista on, että asiointipalvelun tarjoajan palvelu edellyttää asiamiehen luotettavaa tunnistamista ja palvelun logiikka tukee puolesta asiointia.

Suomi.fi-valtuuksien sisäisen loogisen jäsennyksen tavoitteena on kuvata ne elementit, joista palvelun tarjoama järjestelmä koostuu. Sisäisen jäsennyksen kannalta keskeinen suunnittelutavoite on pitää järjestelmän arkkitehtuuri mahdollisimman suoraviivaisena ja toiminto-osittain rajattuna.

Järjestelmä koostuu neljästä loogisesta kokonaisuudesta:

  • Asiointipalvelurajapinnasta
  • Asiointivaltuutusten sääntömoottorista hallintamekanismeineen
  • Sääntökannasta ja asiointivaltuudet-rekisteristä
  • Perustietovarantorajapinnasta.

Kuvassa 10 esitetään Suomi.fi-valtuuksien sisäiseen jäsennykseen liittyvät elementit mustavalkoisena kokonaisuutena, kun taas ulkoiset elementit on esitetty harmaalla sävytettyinä.

Kuva10_uusi
Kuva 10: Suomi.fi-valtuuksien sisäinen jäsennys.

Asiointipalvelurajapinnan tarkoituksena on tarjota asiointipalveluille kutsurajapinta Suomi.fi-valtuuksiin. Kutsurajapinta rekisteröidään liityntäpalvelimen avulla Suomi.fi-palveluväylän kautta löydettäväksi ja asiointipalvelujen saataville. Kutsurajapinnan toteutus pohjautuu SOAP-sanomien käsittelyyn. SOAP-protokollan lisäksi rajapinta tukee myös REST-mallia sekä JSON-formaattia.

Asiointivaltuuksia tarkastava asiointipalvelu esittää palvelupyynnön SOAP-sanomana, joka puretaan ja välitetään Suomi.fi-valtuuksien sääntömoottorille. Sääntömoottorin tehtävänä on varmistaa, että asioijalla on oikeellinen valtuutus asioida asiointipalvelun avulla valtuuttajan, huollettavan tai yrityksen puolesta. Sääntömoottorin läpiajamiseksi Suomi.fi-valtuudet tarvitsee asiointipalvelukohtaista informaatiota sääntökannasta sekä yleistä valtuutusinformaatiota asiointivaltuudet-rekisteristä.

Perustietovarantorajapinnan tarkoituksena on varmistaa, että Suomi.fi-valtuudet pystyy hyödyntämään perustietovarantoja sekä mahdollisesti muita olemassa olevia palvelukokonaisuuksia, jotka asiointipalveluiden valtuustarkistuspyynnöille syötetään. Samoin asiointivaltuudet-rekisterin ja sääntökannan ylläpito tapahtuu tämän rajapintakerroksen kautta. Tällöin keskeistä on, että Suomi.fi-valtuudet tarjoaa Suomi.fi-palveluväylään rekisteröidyn rajapinnan näissä tietovarannoissa olevan informaation käsittelyyn ja ylläpitoon.

VersioMitä tehty / muutettuPvm/
henkilö
1.0Dokumentin katselmointiversio valmis17.11.15 / MK
1.1Dokumentti muokattu julkaistavaksi25.11.15 / NP

Yksilöintitunnus: 12345