Opas Suomen luottamusverkoston vaatimusten täyttämiseen
Kirjoittanut Natalia Moskaleva 21. elokuuta 2025

Hyväksyntä ajoittui ajankohtaan, jolloin FTN:n tietoturvavaatimuksia on uudistettu merkittävästi. Liikenne- ja viestintävirasto Traficom on kiristänyt sähköisen tunnistamisen teknisiä vaatimuksia parantaakseen tunnistuspalvelujen tietoturvaa ja käyttäjien yksityisyydensuojaa. Uudet vaatimukset koskevat kaikkia Suomen luottamusverkoston ekosysteemissä toimivia tunnistusvälittäjiä ja palveluntarjoajia.
Koska kaikki FTN-integraatiot on nyt päivitettävä uusien vaatimusten mukaisiksi, yritysten kannattaa varmistaa, että niiden käyttämät tunnistusratkaisut täyttävät uusimmat tietoturvavaatimukset. Ensimmäisenä kaikki uudet FTN-vaatimukset täysimääräisesti käyttöön ottaneena tunnistusvälittäjänä haluamme tehdä siirtymästä mahdollisimman selkeän asiakkaillemme.
Suomen luottamusverkosto eli FTN on järjestelmä, jonka kautta palveluntarjoajat voivat hyödyntää suomalaisia vahvan sähköisen tunnistamisen menetelmiä, kuten pankkitunnuksia ja mobiilivarmennetta, yhden tunnistusvälittäjän kautta. FTN:n toimintaa valvoo Liikenne- ja viestintävirasto Traficom. Voit lukea sen toiminnasta tarkemmin tästä artikkelista.
Iduran luoma FTN Compliance Checker helpottaa vaatimusten täyttämistä
Kaikkien teknisten vaatimusten seuraaminen voi olla haastavaa, etenkin silloin, kun muutokset koskevat useita OpenID Connect -protokollan osa-alueita. Siksi olemme lisänneet Idura Dashboardiin FTN Compliance Checker -toiminnon.
Compliance Checker näyttää yhdellä silmäyksellä, täyttääkö Idura Verify -sovelluksesi kaikki Suomen luottamusverkoston vaatimukset. Jokainen vaatimus on jaettu selkeiksi tarkistuskohdiksi, joiden avulla voit nopeasti tunnistaa puuttuvat asetukset tai virheelliset määritykset.
Kun kaikki tarkistuskohdat näkyvät vihreinä, sovelluksesi täyttää FTN:n tekniset vaatimukset.
Mitä Compliance Checker tarkistaa?
Compliance Checker jakaa FTN:n asettamat vaatimukset neljään osa-alueeseen.
Jokaisen osa-alueen kohdalla näytetään:
- Dashboard Checks – asetukset, jotka Idura voi tarkistaa automaattisesti.
- Application Code – muutokset, jotka on toteutettava omassa sovelluksessa.
1. Private Key JWT -asiakastunnistautuminen
Suomen luottamusverkosto edellyttää, että asiakassovellus tunnistautuu tunnistuspalveluun private_key_jwt-menetelmällä.
Compliance Checker tarkistaa esimerkiksi, että:
- Sovellus käyttää staattista JWKS-määritystä
- JWKS sisältää allekirjoitusavaimen.
Lisäksi sovelluksen tulee käyttää private_key_jwt-tunnistautumista OpenID Connectin /token-rajapinnassa.
2. Tunnistuspyyntöjen allekirjoittaminen
Kaikki tunnistuspyynnöt on allekirjoitettava ja toimitettava JWT-Secured Authorization Request (JAR) -muodossa. Suomen luottamusverkosto edellyttää tätä kaikilta tunnistusvälittäjiltä.
Compliance Checker tarkistaa muun muassa, että:
- Käytössä on staattinen JWKS
- JWKS sisältää allekirjoitusavaimen
Sovelluksen tulee lisäksi allekirjoittaa kaikki Iduralle lähetettävät tunnistuspyynnöt.

3. Tunnusten ja UserInfo-vastausten salaus
FTN edellyttää myös, että tunnukset sekä UserInfo-vastaukset salataan JSON Web Encryption (JWE) -muotoon. Tavoitteena on varmistaa, etteivät tunnistetiedot ole luettavissa siirron aikana.
Compliance Checker tarkistaa esimerkiksi, että:
- JWKS sisältää salausavaimen
- UserInfo-vastaukset toimitetaan allekirjoitettuina ja salattuina JWT-objekteina
- Myös ID Token toimitetaan allekirjoitettuna ja salattuna.
Sovelluksen tulee puolestaan pystyä vastaanottamaan ja purkamaan JWE-muotoiset vastaukset.

4. Muut vaatimukset
Lisäksi Compliance Checker varmistaa, että muut Suomen luottamusverkoston edellyttämät asetukset ovat kunnossa.
Näitä ovat esimerkiksi:
- Staattisen JWKS:n käyttö
- Erilliset avaimet allekirjoittamiseen ja salaukseen
- Vanhan response_type=id_token-määrityksen poistaminen tunnistuspyynnöistä.

Testaa integraatiota
Kun kaikki Dashboardin tarkistukset on suoritettu onnistuneesti, seuraava vaihe on päivittää oman sovelluksen ohjelmakoodi vastaamaan uusia vaatimuksia. Tämän jälkeen voit testata toteutuksesi suorittamalla FTN-tunnistautumisia testiympäristössä uusien tietoturvavaatimusten mukaisesti.
Näin pääset alkuun
FTN Compliance Checker tarjoaa selkeät vaiheet luottamusverkoston vaatimusten täyttämiseksi. Kirjaudu ensin Idura Dashboardiin ja tarkista sovelluksesi nykyinen tila Compliance Checker -näkymässä.
Yksityiskohtaiset integraatio-ohjeet, esimerkkikoodit ja tekniset määritykset löydät FTN-dokumentaatiosta. Jos tarvitset apua, voit ottaa yhteyttä tukitiimiimme sähköpostitse tai Slackissa.
Usein kysyttyä FTN-vaatimuksista
Eivät. FTN:n kautta pankkitunnukset ja mobiilivarmenne käyttävät samaa OpenID Connect -rajapintaa. Uudet tietoturvavaatimukset koskevat FTN-integraatiota kokonaisuutena, joten niitä ei tarvitse toteuttaa erikseen eri tunnistusvälineille. Käyttäjän näkökulmasta tunnistautumiskokemus vaihtelee valitun tunnistusvälineen mukaan, mutta palvelun integraatio pysyy samana.
Uudet vaatimukset parantavat sähköisen tunnistamisen tietoturvaa ja yksityisyydensuojaa. Niiden tavoitteena on suojata tunnistuspyynnöt ja tunnukset aiempaa paremmin sekä yhdenmukaistaa FTN:n OpenID Connect -toteutukset uusimpien turvallisuussuositusten kanssa.
Ei yleensä. Useimmissa tapauksissa riittää, että olemassa olevaan OpenID Connect -integraatioon lisätään FTN:n edellyttämät tietoturvaominaisuudet, kuten private_key_jwt, JWT-Secured Authorization Requests (JAR) ja JWE-salatut tunnukset. Tarvittavien muutosten määrä riippuu nykyisestä toteutuksesta.
Ei. FTN tarjoaa yhtenäisen OpenID Connect -rajapinnan kaikille tuetuille tunnistusratkaisuille. Käyttäjän valitsema tunnistusväline vaikuttaa tunnistautumiskokemukseen, mutta ei palvelusi integraatioon.
Allekirjoitetut tunnistuspyynnöt varmistavat, ettei tunnistuspyynnön sisältöä voida muuttaa sen jälkeen, kun sovelluksesi on lähettänyt sen. Tämä parantaa tunnistautumisprosessin eheyttä ja suojaa erilaisilta hyökkäyksiltä.
Ei. Compliance Checker tarkistaa Idura Dashboardissa tehtävät asetukset ja auttaa tunnistamaan mahdolliset puutteet. Lisäksi sinun on päivitettävä sovelluksesi ohjelmakoodi ja testattava koko tunnistautumisprosessi ennen tuotantokäyttöä.
Aiheeseen liittyvät artikkelit

Turvallinen kirjautuminen voi olla myös nopea

Idura yhdistää MobilePay-tunnistautumisen tunnistuspalveluunsa
