Wilma OpenID
Päivitetty viimeksi: 19.11.2021
Wilma OpenID on maksullinen lisäpalvelu.
Wilma OpenID:n avulla Wilmaan voi kirjautua Azure AD -tunnuksilla. Jos käytössä on useita tenantteja tai identity providereita, tulee Wilmaan tulee oma kirjautumispainike jokaiselle kirjautumisvaihtoehdolle. Wilma Open ID:n avulla voi kirjautua Wilman selainversion lisäksi Wilma- ja Wilma Daycare -mobiilisovelluksiin.
OpenID:n käyttö on mahdollista myös Primuksessa, ks. ohje Primus OpenID.

Visma tukee Primus OpenID:n ja Wilma OpenID:n osalta Azure AD:ta ja tarjoaa käyttöönoton tueksi Azure-konfigurointiohjeen (ks. liitetiedosto ohjeen lopussa).
Huomioitavaa mobiilisovellusten osalta
Jos Wilma OpenID:tä halutaan käyttää Wilman selainversion lisäksi Wilma- ja Wilma Daycare -mobiilisovelluksiin kirjautumiseen, täytyy käytössänne olevalla identity providerilla olla Authorization Code with PKCE -tuki.
Yubikey
Yubikey-kirjautuminen ei toimi, jos Wilma OpenID on käytössä.

Primus OpenID ja Wilma OpenID ovat saatavilla maksullisena lisäpalveluna. Niitä ei voi hankkia erikseen, vaan ne molemmat tulevat asiakkaan käytettäväksi palvelun hankkimisen myötä. Asiakas voi kuitenkin päättää, käyttääkö niitä molempia vai toista vain. On siis mahdollista käyttää esim. pelkkää Primus OpenID:tä ottamatta Wilma OpenID:tä käyttöön tai päin vastoin.
Jos olet kiinnostunut palvelun hankkimisesta tai kaipaat lisätietoa käyttöönotosta, ota yhteyttä suoraan myyntitiimiimme.

Kun Wilma OpenID -palvelu on hankittu, täytyy identity providerin palveluun tehdä tietyt määritykset, joilla Wilma yhdistetään palveluun. Määritysten teon myötä saat identity providerin palvelusta tiedot, jotka tulee täyttää Primukseen.
Tämän ohjeen lopussa on PDF-liitteenä englanninkielinen ohje, jossa on kuvien kera ohjeistettuna Azuressa tehtävät konfiguroinnit.
URI-osoitteet
Määritysten teon yhteydessä täytyy yleensä syöttää myös URI-osoitteet, joihin käyttäjä ohjataan kirjautumisen tai uloskirjautumisen jälkeen (vaihda "kunnan" tilalle oikean Wilma-osoitteenne nimi):
- Web app:
- Redirect URI: https://kunta.inschool.fi/api/v1/external/openid
- Logout URI: https://kunta.inschool.fi/logout
- Mobile app:
- Redirect URI: wilma://oauth
Client secretin voimassaoloaika
Asiakkaan tulee päättää itse tietoturvaseikat huomioiden, haluaako client secretin vanhenevan tietyssä ajassa vai pysyvän voimassa vanhenematta. Jos käyttää client secretiä, jolle on asetettu vanhenemispäivä, täytyy Primukseen muistaa päivittää uusi client secret siinä vaiheessa, kun edellinen vanhenee.
Jos client secretin päättymisajaksi valitsee "never" tms (riippuu käytettävästä identity providerista), ei Primukseenkaan tarvitse tehdä muutoksia sen osalta missään vaiheessa.

Kun Wilma OpenID -palvelu on hankittu ja tarvittavat määritykset identity providerin palvelussa tehty, tulee Koulun tiedot -rekisteriin täyttää oletuskoulun (korttinumero 1) rekisterikortille alla listatut kentät. Kenttiin täydennettävät tiedot saatte identity providerilta. Samaa taulukkoa käytetään myös Primus OpenID:n konfigurointiin.
Huomioitavaa mobiilisovellusten osalta
Jos käytätte Wilma OpenID:ta sekä selainversioon että mobiilisovelluksiin kirjautumiseen, täytyy molempia vaihtoehtoja varten täyttää oma rivinsä alla olevassa taulukossa mainittuihin kenttiin. OIDC flow-tyyppi -kentällä määritellään, käytetäänkö riviä selain- vai mobiilisovelluskirjautumiseen.Sj
Viereisessä kuvassa on esimerkki tilanteesta, jossa on omilla riveillään selainta ja mobiilisovelluksia koskevat asetukset. Rivejä voi olla enemmänkin tarpeen vaatiessa.
Täytettävät kentät
Kenttä | Tarkoitus | Pakollisuus |
---|---|---|
OIDC Client id | Palveluntarjoajan Client id | Pakollinen |
OIDC Client secret | Palveluntarjoajan Client secret | Pakollinen, jos OIDC flow-tyyppi-kentässä on vaihtoehto "Authorization code" |
OIDC metadata document | Asetusten URL-osoite | Pakollinen |
Kirjautumisvaihtoehdon nimi suomeksi | Kirjautumispainikkeen teksti suomeksi. Teksti näkyy Wilman selainversion kirjautumissivulla ja mobiilisovelluksissa. Jos kenttä jätetään tyhjäksi, käytetään oletustekstiä "Kirjaudu OpenID:llä". | |
Kirjautumisvaihtoehdon nimi ruotsiksi | Kirjautumispainikkeen teksti ruotsiksi. Teksti näkyy Wilman selainversion kirjautumissivulla ja mobiilisovelluksissa. Jos kenttä jätetään tyhjäksi, käytetään oletustekstiä "Logga in med OpenID". | |
Kirjautumisvaihtoehdon nimi englanniksi | Kirjautumispainikkeen teksti englanniksi. Teksti näkyy Wilman selainversion kirjautumissivulla ja mobiilisovelluksissa. Jos kenttä jätetään tyhjäksi, käytetään oletustekstiä "Log in with OpenID". | |
OIDC uloskirjautuminen |
Jos kenttä on rastittuna, käyttäjä ohjataan Wilmasta uloskirjautuessa sivulle, jossa käyttäjä voi halutessaan päättää aktiivisen istuntonsa tunnistuspalvelussa. Jos käyttäjä päättää istunnon, uudelleenkirjautuminen Wilmaan edellyttää tunnusten syöttämistä. Jos OIDC uloskirjautuminen -kenttää ei ole rastittuna, uloskirjautuminen Wilmasta ei päätä käyttäjän istuntoa tunnistuspalvelussa, eli käyttäjä pääsee takaisin Wilmaan syöttämättä tunnustaan, ellei selainta suljeta välissä. Huom. Suosittelemme mahdollisten tietoturvariskien välttämiseksi rastimaan OIDC uloskirjautuminen -kentän, jotta esim. yhteisiä tietokoneita käytettäessä Wilma-käyttäjillä ei jäisi vahingossa istuntoa auki. |
|
OIDC flow-tyyppi | Tällä määritetään tenantissa käytettävä flow-tyyppi. Jos kenttä jätetään tyhjäksi, käytetään vaihtoehtoa "Authorization code (oletus)". Käytännössä "Authorization code" -vaihtoehtoa käytetään Wilman selainversioon kirjautumiseen ja "Authorization code PKCE" -vaihtoehtoa mobiilisovellukseen kirjautumiseen. | |
OpenID-kirjautuminen testitilassa | Tämä rastitaan testauksen ajaksi. Testauksen aikana OpenID-kirjautumispainikkeet eivät näy Wilman kirjautumissivulla, mutta ne saa näkyviin laittamalla Wilma-osoiteen perään ?showopenid, esim. https://kunta.inschool.fi?showopenid |
Palvelun testaus
Kenttä OpenID-kirjautuminen testitilassa tulee rastia testauksen ajaksi.
Kun tarvittavat tiedot on täytetty Primukseen ja kenttä OpenID-kirjautuminen testitilassa on rastittu, tulee OpenID-kirjautumispainike näkyviin Wilman etusivulle, kun url-osoitteen perässä on ?showopenid, eli esimerkiksi:
- https://kaupunki.inschool.fi/?showopenid
Sama toimii kirjautumissivulla, esimerkiksi:
- https://kaupunki.inschool.fi/login?returnpath=messages&showopenid
Käyttäjän tunnistus
Wilma-käyttäjätunnuksen on oltava sähköpostimuotoinen, jotta tunnistus toimii, sillä varsinainen käyttäjän tunnistus tapahtuu sähköpostiosoitteen perusteella. Tunnistus toimii sekä uudentyyppisillä että vanhantyyppisillä tunnuksilla.
Identity providerin tulee välittää Wilmaan käyttäjältä sama sähköpostiosoite kuin Primuksessa on merkitty
- Wilman käyttäjätunnukset -rekisterin Wilman käyttäjätunnus -kenttään (uudentyyppiset tunnukset) TAI
- Opiskelijat-, Opettajat- tai Henkilökunta-rekisterin Wilman käyttäjätunnus -kenttään (vanhantyyppiset tunnukset).

Kun toiminto on otettu käyttöön, Wilman kirjautumissivulla näkyy tavallisten kirjautumiskenttien alla kirjautumisvaihtoehtojen määrästä riippuen yksi tai useampi painike, jolla voi kirjautua OpenID:tä käyttäen.
Wilma-mobiilisovelluksessa näkyy vastaavanlainen kirjautumismahdollisuus käyttäjätilin lisäyksen sivulla.

Käyttäjätunnuksen vaihtaminen on estetty uudentyyppistä Wilma-tunnusta käyttäviltä Wilma-käyttäjiltä, jos Wilmaan kirjaudutaan OpenID:tä käyttäen (tavallisen Wilma-kirjautumisen yhteydessä käyttäjätunnuskin vaihtuu, jos käyttäjä vaihtaa sähköpostiosoitteensa). Käyttäjä voi OpenID:llä kirjautumisenkin jälkeen Wilman Ilmoitusasetukset-sivulla vaihtaa sähköpostiosoitteensa, mutta se ei samalla vaihda käyttäjän käyttäjätunnusta. Käyttäjätunnuksen vaihtuminen saattaisi aiheuttaa sen, että käyttäjä ei pääsisi enää kirjautumaan Wilmaan OpenID:llä, ja siksi se on estetty.
Vanhantyyppistä Wilma-tunnusta käyttävät eivät ole voineet aiemminkaan vaihtaa sähköpostiosoitettaan tai käyttäjätunnustaan Wilmassa.
Wilma OpenID:tä käytetään joka tapauksessa pääosin vanhantyyppisten Wilma-tunnusten kanssa, jolloin tämä muutos ei vaikuta mitenkään Wilma-käyttäjiin.

Jos OpenID:tä käyttäville halutaan tarjota mahdollisuus monivaiheiseen tunnistautumiseen, tulee se toteuttaa identity providerin kautta. Se on ainoa tapa tarjota käyttäjille samanaikaisesti MFA:n ja OpenID:n käyttö.
Sen sijaan Visman tarjoaman MFA-palvelun ja OpenID:n yhtäaikainen käyttö ei ole Wilmassa mahdollista. Tämä koskee asiakkaita, joilla on Visman tarjoama MFA-palvelu käytössä Wilmassa.
- OpenID:n kautta kirjautuva Wilma-käyttäjä ei voi kirjautuessaan tunnistautua monivaiheisesti Visman MFA:lla, vaikka olisi ottanut sen käyttöön joskus aiemmin Wilmassa Käyttäjätilin asetukset -sivulla. Käyttäjä ei voi myöskään ottaa Visman MFA:ta käyttöön tai poistaa sitä käytöstä.
- Jos käyttäjä kirjautuu Wilmaan OpenID:n sijaan tavallisella tunnuksellaan eli Primukseen tallennetulla Wilma-käyttäjätunnuksella ja -salasanalla, hän voi käyttää MFA:ta normaaliin tapaan tai poistaa sen käytöstä halutessaan.
Tiedostot