Päivitetty viimeksi: 11.2.2024
Wilma OpenID on maksullinen lisäpalvelu.
Wilma OpenID:n avulla Wilmaan voi kirjautua Microsoft Entra ID -tunnuksilla. Jos käytössä on useita tenantteja tai identity providereita, tulee Wilmaan oma kirjautumispainike jokaiselle kirjautumisvaihtoehdolle. Wilma Open ID:n avulla voi kirjautua Wilman selainversion lisäksi Wilma- ja Wilma Daycare -mobiilisovelluksiin. Myös MPASS-tuettuihin palveluihin voi kirjautua kuten tavallisillakin Wilma-tunnuksilla.
OpenID:n käyttö on mahdollista myös Primuksessa, ks. ohje Primus OpenID.
Palvelun käytön edellytykset ja huomioitavat asiat
Visma tukee Primus OpenID:n ja Wilma OpenID:n osalta Microsoft Entra ID:tä ja tarjoaa käyttöönoton tueksi palvelun konfigurointiohjeen (ks. liitetiedosto ohjeen lopussa).
Huomioitavaa LDAP:n osalta
Jos käytössä on LDAP, niin se toimii tarvittaessa Wilma OpenID:n kanssa rinnakkain. Jos kuitenkin LDAP-yhteydet paikalliselle AD-palvelimelle estetään Wilma OpenID:n käyttöönoton myötä, niin Koulun tiedot -rekisterissä tulee poistaa LDAP-asetukset kaikilta oppilaitoksilta LDAP-asetukset-kentästä. Asetukset tulee poistaa myös arkistossa olevilta oppilaitoksilta.
Huomioitavaa mobiilisovellusten osalta
Jos Wilma OpenID:tä halutaan käyttää Wilman selainversion lisäksi Wilma- ja Wilma Daycare -mobiilisovelluksiin kirjautumiseen, täytyy käytössänne olevalla identity providerilla olla Authorization Code with PKCE -tuki.
Yubikey
Yubikey-kirjautuminen ei toimi, jos Wilma OpenID on käytössä.
Hankinta
Primus OpenID ja Wilma OpenID ovat saatavilla maksullisena lisäpalveluna. Niitä ei voi hankkia erikseen, vaan ne molemmat tulevat asiakkaan käytettäväksi palvelun hankkimisen myötä. Asiakas voi kuitenkin päättää, käyttääkö niitä molempia vai toista vain. On siis mahdollista käyttää esim. pelkkää Primus OpenID:tä ottamatta Wilma OpenID:tä käyttöön tai päin vastoin.
Jos olet kiinnostunut palvelun hankkimisesta tai kaipaat lisätietoa käyttöönotosta, ota yhteyttä suoraan myyntitiimiimme.
Palvelun konfigurointi
Kun Wilma OpenID -palvelu on hankittu, täytyy identity providerin palveluun tehdä tietyt määritykset, joilla Wilma yhdistetään palveluun. Määritysten teon myötä saat identity providerin palvelusta tiedot, jotka tulee täyttää Primukseen.
Tämän ohjeen lopussa on PDF-liitteenä englanninkielinen ohje, jossa on kuvien kera ohjeistettuna Microsoftin palvelussa tehtävät konfiguroinnit.
URI-osoitteet
Määritysten teon yhteydessä täytyy yleensä syöttää myös URI-osoitteet, joihin käyttäjä ohjataan kirjautumisen tai uloskirjautumisen jälkeen (vaihda "kunnan" tilalle oikean Wilma-osoitteenne nimi):
- Web app:
- Redirect URI: https://kunta.inschool.fi/api/v1/external/openid
- Logout URI: https://kunta.inschool.fi/logout
- Mobile app:
- Redirect URI: wilma://oauth
Client secretin voimassaoloaika
Asiakkaan tulee päättää itse tietoturvaseikat huomioiden, haluaako client secretin vanhenevan tietyssä ajassa vai pysyvän voimassa vanhenematta. Jos käyttää client secretiä, jolle on asetettu vanhenemispäivä, täytyy Primukseen muistaa päivittää uusi client secret siinä vaiheessa, kun edellinen vanhenee.
Jos client secretin päättymisajaksi valitsee "never" tms (riippuu käytettävästä identity providerista), ei Primukseenkaan tarvitse tehdä muutoksia sen osalta missään vaiheessa.
Käyttöönotto
Kun Wilma OpenID -palvelu on hankittu ja tarvittavat määritykset identity providerin palvelussa tehty, tulee Koulun tiedot -rekisteriin täyttää oletuskoulun (korttinumero 1) rekisterikortille alla listatut kentät. Kenttiin täydennettävät tiedot saatte identity providerilta. Samaa taulukkoa käytetään myös Primus OpenID:n konfigurointiin.
Huomioitavaa mobiilisovellusten osalta
Jos käytätte Wilma OpenID:ta sekä selainversioon että mobiilisovelluksiin kirjautumiseen, täytyy molempia vaihtoehtoja varten täyttää oma rivinsä alla olevassa taulukossa mainittuihin kenttiin. OIDC flow-tyyppi -kentällä määritellään, käytetäänkö riviä selain- vai mobiilisovelluskirjautumiseen.
Viereisessä kuvassa on esimerkki tilanteesta, jossa on omilla riveillään selainta ja mobiilisovelluksia koskevat asetukset. Rivejä voi olla enemmänkin tarpeen vaatiessa.
Täytettävät kentät
| Kenttä | Tarkoitus | Pakollisuus |
|---|---|---|
| OIDC Client id | Palveluntarjoajan Client id | Pakollinen |
| OIDC Client secret | Palveluntarjoajan Client secret | Pakollinen, jos OIDC flow-tyyppi-kentässä on vaihtoehto "Authorization code". Jos siinä on "Authorization code PKCE", voit jättää OIDC Client secret -kentän tyhjäksi. |
| OIDC metadata document | Asetusten URL-osoite | Pakollinen |
| OIDC scope | Tähän kenttään voi lisätä identity providerilta pyydettäviä käyttäjätietoja, jos oletuksena pyydettävä "openid email" ei riitä autentikointiin. Oletustietoa käytetään automaattisesti, jos kenttä on tyhjänä. Identity providerin tukemat scopet löytyvät identity providerin metadata-dokumentista. Kenttään lisättävän scopen eteen tulee laittaa "openid", esim. "openid profile". Kenttään voi lisätä tarvittaessa useampia scopeja välilyönnillä eroteltuna. | |
| OIDC tunniste | Tähän kenttään voi lisätä string-tyyppisen tagin, jota käytetään käyttäjän tunnistuksessa. Tietoa etsitään kirjautumisen jälkeen identity providerilta palautuvasta JSON-datasta. Oletustieto on "email", jota käytetään automaattisesti, jos kenttä on tyhjänä. Taginimet riippuvat identity providerista. Esim. MPASS palauttaa tagissa "urn:oid:1.3.6.1.4.1.16161.1.1.27" oppijanumeron. | |
| OIDC kohdennus |
Tieto, johon identity providerin palauttamaa tietoa verrataan, kun autentikoinnissa yhdistetään identity providerin käyttäjä Wilma-tunnukseen. Oletustieto on "Käyttäjätunnus", joka on käytössä myös, jos kenttä on tyhjänä. Muut vaihtoehdot ovat "Oppijanumero" ja "Sähköpostiosoite". |
|
| Kirjautumisvaihtoehdon nimi suomeksi | Kirjautumispainikkeen teksti suomeksi. Teksti näkyy Wilman selainversion kirjautumissivulla ja mobiilisovelluksissa. Jos kenttä jätetään tyhjäksi, käytetään oletustekstiä "Kirjaudu OpenID:llä". | |
| Kirjautumisvaihtoehdon nimi ruotsiksi | Kirjautumispainikkeen teksti ruotsiksi. Teksti näkyy Wilman selainversion kirjautumissivulla ja mobiilisovelluksissa. Jos kenttä jätetään tyhjäksi, käytetään oletustekstiä "Logga in med OpenID". | |
| Kirjautumisvaihtoehdon nimi englanniksi | Kirjautumispainikkeen teksti englanniksi. Teksti näkyy Wilman selainversion kirjautumissivulla ja mobiilisovelluksissa. Jos kenttä jätetään tyhjäksi, käytetään oletustekstiä "Log in with OpenID". | |
| OIDC uloskirjautuminen |
Jos kenttä on rastittuna, käyttäjä ohjataan Wilmasta uloskirjautuessa sivulle, jossa käyttäjä voi halutessaan päättää aktiivisen istuntonsa tunnistuspalvelussa. Jos käyttäjä päättää istunnon, uudelleenkirjautuminen Wilmaan edellyttää tunnusten syöttämistä. Jos OIDC uloskirjautuminen -kenttää ei ole rastittuna, uloskirjautuminen Wilmasta ei päätä käyttäjän istuntoa tunnistuspalvelussa, eli käyttäjä pääsee takaisin Wilmaan syöttämättä tunnustaan, ellei selainta suljeta välissä. Huom. Suosittelemme mahdollisten tietoturvariskien välttämiseksi rastimaan OIDC uloskirjautuminen -kentän, jotta esim. yhteisiä tietokoneita käytettäessä Wilma-käyttäjillä ei jäisi vahingossa istuntoa auki. |
|
| OIDC flow-tyyppi | Tällä määritetään tenantissa käytettävä flow-tyyppi. Jos kenttä jätetään tyhjäksi, käytetään vaihtoehtoa "Authorization code (oletus)". Käytännössä "Authorization code" -vaihtoehtoa käytetään Wilman selainversioon kirjautumiseen ja "Authorization code PKCE" -vaihtoehtoa mobiilisovellukseen kirjautumiseen. | |
| OpenID-kirjautuminen testitilassa | Tämä rastitaan testauksen ajaksi. Testauksen aikana OpenID-kirjautumispainikkeet eivät näy Wilman kirjautumissivulla, mutta ne saa näkyviin laittamalla Wilma-osoiteen perään ?showopenid, esim. https://kunta.inschool.fi?showopenid |
Palvelun testaus
Kenttä OpenID-kirjautuminen testitilassa tulee rastia testauksen ajaksi.
Kun tarvittavat tiedot on täytetty Primukseen ja kenttä OpenID-kirjautuminen testitilassa on rastittu, tulee OpenID-kirjautumispainike näkyviin Wilman etusivulle, kun url-osoitteen perässä on ?showopenid, eli esimerkiksi:
- https://kaupunki.inschool.fi/?showopenid
Sama toimii kirjautumissivulla, esimerkiksi:
- https://kaupunki.inschool.fi/login?returnpath=messages&showopenid
Käyttäjän tunnistus
Tunnistus toimii sekä uudentyyppisillä että vanhantyyppisillä tunnuksilla. Se, mitä Primus-kenttää tunnistuksessa käytetään, riippuu siitä, mitä on valittu OIDC kohdennus -kenttään ("Käyttäjätunnus", "Oppijanumero" tai "Sähköpostiosoite"):
- Uudentyyppisillä tunnuksilla tunnistuksessa käytetään Wilman käyttäjätunnukset -rekisterin Wilman käyttäjätunnus-, Oppijanumero- tai Sähköpostiosoite-kentän tietoa.
- Vanhantyyppisillä tunnuksilla tunnistuksessa käytetään Opiskelijat-, Opettajat- tai Henkilökunta-rekisterin Wilman käyttäjätunnus-, Oppijanumero- tai Sähköpostiosoite-kenttää.
Ota huomioon seuraavat asiat:
- Jos OIDC kohdennus -kenttään on valittu "Käyttäjätunnus" tai kenttä on tyhjä, käytetään tunnistuksessa Wilman käyttäjätunnus -kenttää. Kentästä tulee löytyä sama sähköpostiosoite, jonka identity provider välittää Wilmaan. Kirjainkoolla ei ole merkitystä, eli tunnistus toimii, vaikka identity providerin palvelussa sähköpostiosoite olisi muodossa "[email protected]" ja Primuksessa "[email protected]".
- Jos OIDC kohdennus -kenttään on valittu "Sähköpostiosoite", tulee sähköpostiosoitteen olla kirjattuna Sähköpostiosoite-kentässä kokonaan pienillä kirjaimilla (esimerkiksi "matti.mallila.example.com"), vaikka identity providerin palvelussa olisikin käytetty isoja kirjaimia (esim. "[email protected]").
Kirjautuminen Wilmassa
Kun toiminto on otettu käyttöön, Wilman kirjautumissivulla näkyy tavallisten kirjautumiskenttien alla kirjautumisvaihtoehtojen määrästä riippuen yksi tai useampi painike, jolla voi kirjautua OpenID:tä käyttäen.
Kirjautuminen Wilma-sovelluksessa
Wilma-sovelluksessa on näkyvissä vastaavanlainen painike käyttäjätiliä lisätessä, kun on valinnut ensin oman Wilmansa.
Wilma- ja Wilma Daycare -sovelluksiin kirjautuminen OpenID:tä käyttäen on kuvattu tarkemmin sovellusten omissa ohjeissa.
Käyttäjän käyttäjätunnuksen vaihto estetty Wilmassa
Käyttäjätunnuksen vaihtaminen on estetty uudentyyppistä Wilma-tunnusta käyttäviltä Wilma-käyttäjiltä, jos Wilmaan kirjaudutaan OpenID:tä käyttäen (tavallisen Wilma-kirjautumisen yhteydessä käyttäjätunnuskin vaihtuu, jos käyttäjä vaihtaa sähköpostiosoitteensa). Käyttäjä voi OpenID:llä kirjautumisenkin jälkeen Wilman Ilmoitusasetukset-sivulla vaihtaa sähköpostiosoitteensa, mutta se ei samalla vaihda käyttäjän käyttäjätunnusta. Käyttäjätunnuksen vaihtuminen saattaisi aiheuttaa sen, että käyttäjä ei pääsisi enää kirjautumaan Wilmaan OpenID:llä, ja siksi se on estetty.
Vanhantyyppistä Wilma-tunnusta käyttävät eivät ole voineet aiemminkaan vaihtaa sähköpostiosoitettaan tai käyttäjätunnustaan Wilmassa.
Wilma OpenID:tä käytetään joka tapauksessa pääosin vanhantyyppisten Wilma-tunnusten kanssa, jolloin tämä muutos ei vaikuta mitenkään Wilma-käyttäjiin.
Huomioitavaa monivaiheisen tunnistautumisen (MFA) käytössä
Jos OpenID:tä käyttäville halutaan tarjota mahdollisuus monivaiheiseen tunnistautumiseen, tulee se toteuttaa identity providerin kautta. Se on ainoa tapa tarjota käyttäjille samanaikaisesti MFA:n ja OpenID:n käyttö.
Sen sijaan Visman tarjoaman MFA-palvelun ja OpenID:n yhtäaikainen käyttö ei ole Wilmassa mahdollista. Tämä koskee asiakkaita, joilla on Visman tarjoama MFA-palvelu käytössä Wilmassa.
- OpenID:n kautta kirjautuva Wilma-käyttäjä ei voi kirjautuessaan tunnistautua monivaiheisesti Visman MFA:lla, vaikka olisi ottanut sen käyttöön joskus aiemmin Wilmassa Käyttäjätilin asetukset -sivulla. Käyttäjä ei voi myöskään ottaa Visman MFA:ta käyttöön tai poistaa sitä käytöstä.
- Jos käyttäjä kirjautuu Wilmaan OpenID:n sijaan tavallisella tunnuksellaan eli Primukseen tallennetulla Wilma-käyttäjätunnuksella ja -salasanalla, hän voi käyttää MFA:ta normaaliin tapaan tai poistaa sen käytöstä halutessaan.
Tiedostot
