Päivitetty viimeksi: 29.9.2020
Wilma OpenID:n käyttö on maksullinen lisäpalvelu, joka on saatavilla vain SaaS-asiakkaillemme.
Wilma OpenID:n avulla Wilmaan voi kirjautua esim. Azure AD - tai ADFS-tunnuksilla. Jos käytössä on useita tenantteja tai identity providereita, tulee Wilmaan tulee oma kirjautumispainike jokaiselle kirjautumisvaihtoehdolle. Wilma Open ID:n avulla voi kirjautua Wilman selainversion lisäksi Wilma- ja Wilma Daycare -mobiilisovelluksiin.
Huom. Wilma OpenID:n käyttö mahdollistaa kirjautumisen vain Wilmaan, ei Primukseen. Jos Wilma OpenID otetaan käyttöön, Primukseen kirjaudutaan kuten ennenkin, eli Primuksessa olevilla tunnuksilla tai LDAP-tunnistuksella.
Palvelun käytön edellytykset
Wilma OpenID:n käyttö edellyttää, että käytössänne oleva identity provider tukee OpenID Connect -protokollaa. Jos et tiedä, tukeeko se sitä, ota yhteyttä palveluntarjoajaanne.
Jos käytössänne on ADFS, ota selville, mikä versio teillä on siitä käytössänne. Versio vaikuttaa palvelun hankintaan ja tarvittaviin määrityksiin.
Hankinta
Wilma OpenID on saatavilla SaaS-asiakkaillemme maksullisena lisäpalveluna. Jos olet kiinnostunut palvelun hankkimisesta tai kaipaat lisätietoa käyttöönotosta, ota yhteyttä suoraan myyntitiimiimme.
Palvelun konfigurointi
Kun Wilma OpenID -palvelu on hankittu, täytyy identity providerin palveluun tehdä tietyt määritykset, joilla Wilma yhdistetään palveluun. Määritysten teon yhteydessä täytyy yleensä syöttää myös URI-osoitteet, joihin käyttäjä ohjataan kirjautumisen tai uloskirjautumisen jälkeen. Saat nämä URI-osoitteet Vismalta Wilma OpenID-palvelun hankinnan yhteydessä.
Määritysten teon myötä saat käyttämänne identity providerin palvelusta tiedot, jotka tulee täyttää Primukseen.
Käyttöönotto ja testaus
Kun Wilma OpenID -palvelu on hankittu ja tarvittavat määritykset identity providerin palvelussa tehty, tulee Koulun tiedot -rekisteriin täyttää oletuskoulun (korttinumero 1) rekisterikortille alla listatut kentät. Kenttiin täydennettävät tiedot saatte käyttämältänne identity providerilta (esim. Azure AD).
Huom. Kenttä OpenID-kirjautuminen testitilassa tulee rastia testauksen ajaksi. Testauksesta on lisätietoa alempana.
Täytettävät kentät
| Kenttä | Tarkoitus | Pakollisuus |
|---|---|---|
| OIDC Client id | Palveluntarjoajan Client id | Pakollinen |
| OIDC Client secret | Palveluntarjoajan Client secret | Pakollinen, jos OIDC flow-tyyppi-kentässä on vaihtoehto "Authorization code" |
| OIDC metadata document | Asetusten URL-osoite | Pakollinen |
| Kirjautumisvaihtoehdon nimi suomeksi | Kirjautumispainikkeen teksti suomeksi. Teksti näkyy Wilman selainversion kirjautumissivulla ja mobiilisovelluksissa. Jos kenttä jätetään tyhjäksi, käytetään oletustekstiä "Kirjaudu OpenID:llä". | |
| Kirjautumisvaihtoehdon nimi ruotsiksi | Kirjautumispainikkeen teksti ruotsiksi. Teksti näkyy Wilman selainversion kirjautumissivulla ja mobiilisovelluksissa. Jos kenttä jätetään tyhjäksi, käytetään oletustekstiä "Logga in med OpenID". | |
| Kirjautumisvaihtoehdon nimi englanniksi | Kirjautumispainikkeen teksti englanniksi. Teksti näkyy Wilman selainversion kirjautumissivulla ja mobiilisovelluksissa. Jos kenttä jätetään tyhjäksi, käytetään oletustekstiä "Log in with OpenID". | |
| OIDC uloskirjautuminen | Jos kenttä on rastittuna, käyttäjä ohjataan Wilmasta uloskirjautuessa sivulle, jossa käyttäjä voi halutessaan päättää aktiivisen istuntonsa käyttämässännne tunnistuspalvelussa. Jos käyttäjä päättää istunnon, uudelleenkirjautuminen Wilmaan edellyttää tunnusten syöttämistä. Jos OIDC uloskirjautuminen -kenttää ei ole rastittuna, uloskirjautuminen Wilmasta ei päätä käyttäjän istuntoa käyttämässänne tunnistuspalvelussa, eli käyttäjä pääsee takaisin Wilmaan syöttämättä tunnustaan, ellei selainta suljeta välissä. Huom. Suosittelemme mahdollisten tietoturvariskien välttämiseksi rastimaan OIDC uloskirjautuminen -kentän, jotta esim. yhteisiä tietokoneita käytettäessä Wilma-käyttäjillä ei jäisi vahingossa istuntoa auki. | |
| OIDC flow-tyyppi | Tällä määritetään tenantissa käytettävä flow-tyyppi. Jos kenttä jätetään tyhjäksi, käytetään vaihtoehtoa "Authorization code (oletus)". Käytännössä "Authorization code" -vaihtoehtoa käytetään Wilman selainversioon kirjautumiseen ja "Authorization code PKCE" -vaihtoehtoa mobiilisovellukseen kirjautumiseen. | |
| OpenID-kirjautuminen testitilassa | Tämä rastitaan testauksen ajaksi. Testauksen aikana OpenID-kirjautumispainikkeet eivät näy Wilman kirjautumissivulla, mutta ne saa näkyviin laittamalla Wilma-osoiteen perään ?showopenid, esim. https://kunta.inschool.fi?showopenid |
Käyttäjän tunnistus
Varsinainen käyttäjän tunnistus tapahtuu sähköpostiosoitteen perusteella. Tunnistus toimii sekä uudentyyppisillä että vanhantyyppisillä tunnuksilla.
Käyttämänne identity providerin tulee välittää Wilmaan käyttäjältä sama sähköpostiosoite kuin Primuksessa on merkitty
- Wilman käyttäjätunnukset -rekisterin Wilman käyttäjätunnus -kenttään (uudentyyppiset tunnukset) TAI
- Opiskelijat-, Opettajat- tai Henkilökunta-rekisterin Wilman käyttäjätunnus -kenttään (vanhantyyppiset tunnukset).
Palvelun testaus
Kun tarvittavat tiedot on täytetty Primukseen ja kenttä OpenID-kirjautuminen testitilassa on rastittu, tulee OpenID-kirjautumispainike näkyviin Wilman etusivulle, kun url-osoitteen perässä on ?showopenid, eli esimerkiksi:
- https://kaupunki.inschool.fi/?showopenid
Sama toimii kirjautumissivulla, esimerkiksi:
- https://kaupunki.inschool.fi/login?returnpath=messages&showopenid
Kirjautuminen Wilmassa
Kun toiminto on otettu käyttöön, Wilman kirjautumissivulla näkyy tavallisten kirjautumiskenttien alla kirjautumisvaihtoehtojen määrästä riippuen yksi tai useampi painike, jolla voi kirjautua OpenID:tä käyttäen.
Wilma-mobiilisovelluksessa näkyy vastaavanlainen kirjautumismahdollisuus käyttäjätilin lisäyksen sivulla.
Käyttäjän käyttäjätunnuksen vaihto estetty Wilmassa
Käyttäjätunnuksen vaihtaminen on estetty uudentyyppistä Wilma-tunnusta käyttäviltä Wilma-käyttäjiltä, jos Wilmaan kirjaudutaan OpenID:tä käyttäen (tavallisen Wilma-kirjautumisen yhteydessä käyttäjätunnuskin vaihtuu, jos käyttäjä vaihtaa sähköpostiosoitteensa). Käyttäjä voi OpenID:llä kirjautumisenkin jälkeen Wilman Ilmoitusasetukset-sivulla vaihtaa sähköpostiosoitteensa, mutta se ei samalla vaihda käyttäjän käyttäjätunnusta. Käyttäjätunnuksen vaihtuminen saattaisi aiheuttaa sen, että käyttäjä ei pääsisi enää kirjautumaan Wilmaan OpenID:llä, ja siksi se on estetty.
Vanhantyyppistä Wilma-tunnusta käyttävät eivät ole voineet aiemminkaan vaihtaa sähköpostiosoitettaan tai käyttäjätunnustaan Wilmassa.
Wilma OpenID:tä käytetään joka tapauksessa pääosin vanhantyyppisten Wilma-tunnusten kanssa, jolloin tämä muutos ei vaikuta mitenkään Wilma-käyttäjiin.
Huomioitavaa monivaiheisen tunnistautumisen (MFA) käytössä
Visman tarjoaman MFA:n ja OpenID:n yhtäaikainen käyttö ei ole Wilmassa mahdollista. Tämä koskee asiakkaita, jotka ovat hankkineet MFA-palvelun käytettäväksi Wilmaan.
- OpenID:n kautta kirjautuva Wilma-käyttäjä ei voi kirjautuessaan tunnistautua monivaiheisesti, vaikka olisi ottanut MFA:n käyttöön joskus aiemmin Wilmassa Käyttäjätilin asetukset -sivulla. Käyttäjä ei voi myöskään ottaa MFA:ta käyttöön tai poistaa sitä käytöstä.
- Jos käyttäjä kirjautuu Wilmaan OpenID:n sijaan tavallisella tunnuksellaan eli Primukseen tallennetulla käyttäjätunnuksella ja salasanalla, hän voi käyttää MFA:ta normaaliin tapaan tai poistaa sen käytöstä halutessaan.
Jos OpenID:tä käyttäville halutaan tarjota mahdollisuus monivaiheiseen tunnistautumiseen, tulee se toteuttaa käytössänne olevan identity providerin (esim. Azure) kautta.
