1. Johdanto

Tällä palvelukuvauksella kuvataan tiiviisti MPASSid-luottamusverkoston keskeinen sisältö ja toiminta, sekä palveluun liittyneiden toimijoiden keskinäiset suhteet ja vastuut. Yksityiskohtainen kuvaus löytyy liittymissopimuksesta.

2. Luottamusverkosto

MPASSid-luottamusverkosto on koulutustoimijoiden, palveluntarjoajien ja MPASSid-operaattorin muodostama yhteistyörakenne, jonka jäsenyys oikeuttaa käyttämään MPASSid-tunnistuksenvälityspalvelua organisaatiorajat ylittävää loppukäyttäjän tunnistamista ja loppukäyttäjää koskevien tietojen välittämistä varten.  Loppukäyttäjällä tarkoitetaan oppilasta, opiskelijaa, oppijaa ja opetuksen tai koulutuksen järjestäjän palveluksessa olevaa taikka tällaiseen toimijaan muutoin liittyvää luonnollista henkilöä. 

Koulutustoimijoiden rooli luottamusverkostossa on toimia opettajien ja oppilaiden kotiorganisaationa, ylläpitää näiden henkilötietoja sekä tunnistaa nämä käyttäjät. Palveluntarjoajat tuottavat koulutustoimijoille digitaalisia oppimista tukevia palveluita ja käsittelevät loppukäyttäjien tietoja. MPASSid-operaattorin rooli on puolestaan välittää loppukäyttäjien tietoja koulutustoimijalta palveluntarjoajille.

Luottamusverkoston ja sen tarjoaman tunnistuksenvälityspalvelun tarkoituksena on sujuvoittaa ja helpottaa sähköisten työvälineiden saatavuutta, käyttöönottoa ja käyttöä opetuksen tai koulutuksen järjestämisessä yhdenmukaistamalla käyttäjän tunnistamiseen tarvittavat tiedot. Loppukäyttäjän näkökulmasta MPASSid-luottamusverkosto tarjoaa yhdenmukaisen tavan tunnistautua erilaisiin palveluihin, jolloin loppukäyttäjän ei tarvitse muistaa lukuisia käyttäjätunnuksia ja salasanoja, vaan hän voi käyttää palvelusta riippumatta samoja tuttuja tunnuksia. Koulutustoimijoiden näkökulmasta MPASSid-luottamusverkosto helpottaa opetusta tukevien palveluiden hankintaa ja mahdollistaa yhdenmukaisen käyttökokemuksen tarjoamisen loppukäyttäjille. Palveluntarjoajille luottamusverkosto tarjoaa helpon tavan päästä suuren käyttäjäjoukon ulottuville ja säästää palvelun käyttäjähallinnon ylläpitokustannuksissa.

3. Tunnistuksenvälityspalvelun tekninen toiminta

MPASSid-tunnistuksenvälityspalvelu on tietojärjestelmä, joka välittää Loppukäyttäjää koskevia tietoja Luottamusverkoston jäseneksi liittyneiden palveluntarjoajien sähköisille palveluille. Loppukäyttäjää koskevat tiedot saadaan joko hakemalla ne rajapinnan kautta kotiorganisaation ylläpitämistä tietolähteistä tai kotiorganisaation tunnistuspalvelun välittämistä tiedoista.

MPASSid-tunnistuksenvälityspalvelu tukee SAML 2.0 Web Single Sign-On tai Open ID Connect -protokollia.

3.1 Kirjautumisprosessin kulku

Viestisekvenssikaavio kirjautumisprosessin kulusta, joka on selitetty alla.

Loppukäyttäjä pyrkii palveluntarjoajan sivulle, josta hänet ohjataan tunnistusprosessin alkuun. Käyttäjä valitsee ensin tunnistuslähteen, esimerkiksi oman koulunsa Web Wilman, jonka jälkeen hän syöttää käyttäjätunnuksen ja salasanan. Mikäli tunnistus onnistuu, tunnistuspalvelu hakee käyttäjän tiedot (esim. koulu, luokka-aste) henkilörekisteristä ja liittää sen osaksi käyttäjän tunnistustietoja. Missään vaiheessa käyttäjän tietoja ei tallenneta itse tunnistuspalveluun, vaan ne vain välitetään eteenpäin käyttäjälle. Tämän jälkeen käyttäjä siirtyy automaattisesti takaisin palveluntarjoajan sivulle, joka varmistaa saatujen tietojen perusteella sen onko käyttäjällä oikeus tarjottuun palveluun vai ei.

4. MPASSid-luottamusverkostoon liittyminen

MPASSid-tunnistuksenohjauspalvelun käyttö on sallittu luottamusverkoston jäsenille. Jäseneksi liitytään allekirjoittamalla luottamusverkoston jäsenen liittymisopimus. Mahdollisista integraatiosta koulutuksen järjestäjän taustajärjestelmiin sovitaan tapauskohtaisesti erikseen. MPASSid palvelussa valmiina olevien integraatioden hyödyntäminen ei maksa luottamusverkoston jäsenille mitään. Parhaassa tapauksessa ainoastaan palvelun konfiguroinnista aiheutuu hieman työtä. Ohjeet tunnistuspalvelun liittämiseksi yleisiin käytössä oleviin järjestelmiin löytyvät tämän sivuston Käyttöönotto-osiosta.

5. Ylläpito ja tekninen tuki

MPASSid-operaattori tukee luottamusverkoston jäseniä palvelun käyttöön liittyvissä ongelmissa. Liitymissopimuksen liitteenä on esitetty ne palvelut, joita operaattori tuottaa kaikille luottamusverkoston jäsenille. Nämä palvelut tarjotaan jäsenille maksutta. Luottamusverkoston jäsen vastaa organisaationsa loppukäyttäjien käyttäjätuesta itsenäisesti.

6. Palvelutaso

Koulutuksen kertakirjautumisratkaisu tarjotaan palvelusopimuksen mukaisella palvelutasolla. Operaattori huolehtii tunnistamispalvelun käyttöön liittyvästä ylläpidosta ja verkkopalvelimista siten, että niiden tavoitettavuus ja käytettävyys olisivat mahdollisimman hyvät. Tunnistamispalvelut ovat normaalitilanteessa aina käytettävissä, lukuunottamatta välttämättömiä huoltokatkoja. Huolto- ym. katkoista pyritään ilmoittamaan etukäteen, mutta operaattorilla on oikeus keskeyttää ilman ennakkoilmoitusta tunnistamispalvelujen tarjoaminen välttämättömien korjaustöiden vuoksi tai vakavien häiriöiden tai turvallisuusongelmien välttämiseksi.

7. Ohjausmenettelyt

MPASSid-palvelun ohjaamisesta, kustannusten jaosta ja hinnoittelusta päättää ohjausryhmä, jonka kokoonpanosta, asettamisesta ja toiminnasta säädetään palvelusopimuksessa.

Opetus- ja kulttuuriministeriö
CSC
Palvelun omistaa opetus- ja kulttuuriministeriö.
Palvelun operaattorina toimii CSC - Tieteen tietotekniikan keskus Oy.