Opas Suomen luottamusverkoston vaatimusten täyttämiseen

Kirjoittanut Natalia Moskaleva 21. elokuuta 2025

<span id="hs_cos_wrapper_name" class="hs_cos_wrapper hs_cos_wrapper_meta_field hs_cos_wrapper_type_text" style="" data-hs-cos-general-type="meta_field" data-hs-cos-type="text" >Opas Suomen luottamusverkoston vaatimusten täyttämiseen</span>

Kesällä 2025 Idura hyväksyttiin Suomen luottamusverkon (Finnish Trust Network, FTN) viralliseksi tunnistusvälittäjäksi.

Hyväksyntä ajoittui ajankohtaan, jolloin FTN:n tietoturvavaatimuksia on uudistettu merkittävästi. Liikenne- ja viestintävirasto Traficom on kiristänyt sähköisen tunnistamisen teknisiä vaatimuksia parantaakseen tunnistuspalvelujen tietoturvaa ja käyttäjien yksityisyydensuojaa. Uudet vaatimukset koskevat kaikkia Suomen luottamusverkoston ekosysteemissä toimivia tunnistusvälittäjiä ja palveluntarjoajia.

Koska kaikki FTN-integraatiot on nyt päivitettävä uusien vaatimusten mukaisiksi, yritysten kannattaa varmistaa, että niiden käyttämät tunnistusratkaisut täyttävät uusimmat tietoturvavaatimukset. Ensimmäisenä kaikki uudet FTN-vaatimukset täysimääräisesti käyttöön ottaneena tunnistusvälittäjänä haluamme tehdä siirtymästä mahdollisimman selkeän asiakkaillemme.

Suomen luottamusverkosto eli FTN on järjestelmä, jonka kautta palveluntarjoajat voivat hyödyntää suomalaisia vahvan sähköisen tunnistamisen menetelmiä, kuten pankkitunnuksia ja mobiilivarmennetta, yhden tunnistusvälittäjän kautta. FTN:n toimintaa valvoo Liikenne- ja viestintävirasto Traficom. Voit lukea sen toiminnasta tarkemmin tästä artikkelista.

Iduran luoma FTN Compliance Checker helpottaa vaatimusten täyttämistä

Kaikkien teknisten vaatimusten seuraaminen voi olla haastavaa, etenkin silloin, kun muutokset koskevat useita OpenID Connect -protokollan osa-alueita. Siksi olemme lisänneet Idura Dashboardiin FTN Compliance Checker -toiminnon.

Compliance Checker näyttää yhdellä silmäyksellä, täyttääkö Idura Verify -sovelluksesi kaikki Suomen luottamusverkoston vaatimukset. Jokainen vaatimus on jaettu selkeiksi tarkistuskohdiksi, joiden avulla voit nopeasti tunnistaa puuttuvat asetukset tai virheelliset määritykset.

Kun kaikki tarkistuskohdat näkyvät vihreinä, sovelluksesi täyttää FTN:n tekniset vaatimukset.

Mitä Compliance Checker tarkistaa?

Compliance Checker jakaa FTN:n asettamat vaatimukset neljään osa-alueeseen.

Jokaisen osa-alueen kohdalla näytetään:

  • Dashboard Checks – asetukset, jotka Idura voi tarkistaa automaattisesti.
  • Application Code – muutokset, jotka on toteutettava omassa sovelluksessa.

1. Private Key JWT -asiakastunnistautuminen

Suomen luottamusverkosto edellyttää, että asiakassovellus tunnistautuu tunnistuspalveluun private_key_jwt-menetelmällä.

Compliance Checker tarkistaa esimerkiksi, että:

  • Sovellus käyttää staattista JWKS-määritystä
  • JWKS sisältää allekirjoitusavaimen.

Lisäksi sovelluksen tulee käyttää private_key_jwt-tunnistautumista OpenID Connectin /token-rajapinnassa.

compliance_checker_pkjwt2. Tunnistuspyyntöjen allekirjoittaminen

Kaikki tunnistuspyynnöt on allekirjoitettava ja toimitettava JWT-Secured Authorization Request (JAR) -muodossa. Suomen luottamusverkosto edellyttää tätä kaikilta tunnistusvälittäjiltä.

Compliance Checker tarkistaa muun muassa, että:

  • Käytössä on staattinen JWKS
  • JWKS sisältää allekirjoitusavaimen

Sovelluksen tulee lisäksi allekirjoittaa kaikki Iduralle lähetettävät tunnistuspyynnöt.

compliance_checker_signed_requests

3. Tunnusten ja UserInfo-vastausten salaus

FTN edellyttää myös, että tunnukset sekä UserInfo-vastaukset salataan JSON Web Encryption (JWE) -muotoon. Tavoitteena on varmistaa, etteivät tunnistetiedot ole luettavissa siirron aikana.

Compliance Checker tarkistaa esimerkiksi, että:

  • JWKS sisältää salausavaimen
  • UserInfo-vastaukset toimitetaan allekirjoitettuina ja salattuina JWT-objekteina
  • Myös ID Token toimitetaan allekirjoitettuna ja salattuna.

Sovelluksen tulee puolestaan pystyä vastaanottamaan ja purkamaan JWE-muotoiset vastaukset.

compliance_checker_encrypted_responses

4. Muut vaatimukset 

Lisäksi Compliance Checker varmistaa, että muut Suomen luottamusverkoston edellyttämät asetukset ovat kunnossa.

Näitä ovat esimerkiksi:

  • Staattisen JWKS:n käyttö
  • Erilliset avaimet allekirjoittamiseen ja salaukseen
  • Vanhan response_type=id_token-määrityksen poistaminen tunnistuspyynnöistä.

compliance_checker_additional_requirements

Testaa integraatiota

Kun kaikki Dashboardin tarkistukset on suoritettu onnistuneesti, seuraava vaihe on päivittää oman sovelluksen ohjelmakoodi vastaamaan uusia vaatimuksia. Tämän jälkeen voit testata toteutuksesi suorittamalla FTN-tunnistautumisia testiympäristössä uusien tietoturvavaatimusten mukaisesti.

Näin pääset alkuun

FTN Compliance Checker tarjoaa selkeät vaiheet luottamusverkoston vaatimusten täyttämiseksi. Kirjaudu ensin Idura Dashboardiin ja tarkista sovelluksesi nykyinen tila Compliance Checker -näkymässä.

Yksityiskohtaiset integraatio-ohjeet, esimerkkikoodit ja tekniset määritykset löydät FTN-dokumentaatiosta. Jos tarvitset apua, voit ottaa yhteyttä tukitiimiimme sähköpostitse tai Slackissa.

Usein kysyttyä FTN-vaatimuksista

Vaikuttavatko uudet FTN-vaatimukset eri tavalla pankkitunnuksiin ja mobiilivarmenteeseen?

Eivät. FTN:n kautta pankkitunnukset ja mobiilivarmenne käyttävät samaa OpenID Connect -rajapintaa. Uudet tietoturvavaatimukset koskevat FTN-integraatiota kokonaisuutena, joten niitä ei tarvitse toteuttaa erikseen eri tunnistusvälineille. Käyttäjän näkökulmasta tunnistautumiskokemus vaihtelee valitun tunnistusvälineen mukaan, mutta palvelun integraatio pysyy samana.



Miksi FTN-vaatimuksia kiristettiin?

Uudet vaatimukset parantavat sähköisen tunnistamisen tietoturvaa ja yksityisyydensuojaa. Niiden tavoitteena on suojata tunnistuspyynnöt ja tunnukset aiempaa paremmin sekä yhdenmukaistaa FTN:n OpenID Connect -toteutukset uusimpien turvallisuussuositusten kanssa.



Pitääkö vanha FTN-integraatio rakentaa kokonaan uudelleen?

Ei yleensä. Useimmissa tapauksissa riittää, että olemassa olevaan OpenID Connect -integraatioon lisätään FTN:n edellyttämät tietoturvaominaisuudet, kuten private_key_jwt, JWT-Secured Authorization Requests (JAR) ja JWE-salatut tunnukset. Tarvittavien muutosten määrä riippuu nykyisestä toteutuksesta.



Pitääkö pankkitunnuksille ja mobiilivarmenteelle tehdä erilliset integraatiot?

Ei. FTN tarjoaa yhtenäisen OpenID Connect -rajapinnan kaikille tuetuille tunnistusratkaisuille. Käyttäjän valitsema tunnistusväline vaikuttaa tunnistautumiskokemukseen, mutta ei palvelusi integraatioon.

Miksi FTN edellyttää allekirjoitettuja tunnistuspyyntöjä (JAR)?

Allekirjoitetut tunnistuspyynnöt varmistavat, ettei tunnistuspyynnön sisältöä voida muuttaa sen jälkeen, kun sovelluksesi on lähettänyt sen. Tämä parantaa tunnistautumisprosessin eheyttä ja suojaa erilaisilta hyökkäyksiltä.

Korvaako FTN Compliance Checker sovelluksen testaamisen?

Ei. Compliance Checker tarkistaa Idura Dashboardissa tehtävät asetukset ja auttaa tunnistamaan mahdolliset puutteet. Lisäksi sinun on päivitettävä sovelluksesi ohjelmakoodi ja testattava koko tunnistautumisprosessi ennen tuotantokäyttöä.