eIDAS konnektorteenus - SAML -
eIDAS konnektorteenus vajab SAML autentimispäringu vastuvõtuks ja vastuse koostamiseks asutuse metateavet. eIDAS klient avaldab oma metateabe /metadata otspunktis. Metateave genereeritakse ja allkirjastatakse iga pöördumise korral.
eIDAS konnektorteenuse metateave loetakse sisse eIDAS kliendi käivitamisel (eenevalt seadistatud URLilt) ja puhverdatakse. Puhvrit värskendatakse jooksvalt vastavalt SAML metadata parameetrite validUntil või cacheDuration kasutusele.
Ilma konnektorteenusele ligipääsu omamata eIDAS klient ei käivitu.
Lihtsustatult toimib isikutuvastusprotsess eIDAS kliendi ja eIDAS konnektorteenuse vahel järgmiselt (vt joonis 1.)
-
Kasutaja navigeerib avalehele
/login, mille peale kuvab eIDAS klient sihtriikide valiku vormi. -
Kasutaja valib sihtriigi ja soovi korral autentimistaseme ning kas ta soovib tulemusi masinloetaval või inimloetaval kujul. Kasutaja vajutab 'Login'. Veebileht teeb HTTP POST päringu
/loginlehele koos valitud parameetritega. Eidas kliendi serveri poolel pannakse kokkuSAMLRequestparameetri sisu ja tagastatakse kasutajale ümbersuunamisvorm, mis suunatakse automaatselt RIA eIDAS konnektorteenusesse. -
Sirvik suunab kasutaja automaatselt eIDAS konnektorteenusesse koos
SAMLRequest,RelayStatejaCountryparameetritega, kus teostatakse järgnevate sammudena ära kogu ülepiirilise isikutuvastuse sammud. Sealhulgas suunatakse kasutaja ümber sihtriigi eIDAS Node teenusesse, vajadusel küsitakse kasutaja nõusolekut andmete avaldamiseks ning teostatakse isikutuvastus. -
Peale ülepiirilise isikutuvastusprotsessi läbimist suunab eIDAS konnektorteenus tulemuse eIDAS kliendi
/returnUrlaadressile, koosSAMLResponsejaRelayStateparameetriga. eIDAS klient valideerib vastuse, dekrüpteerib sisu ning kuvab tuvastatud isiku andmed.
NB! Toetatud sihtriikide nimekiri (JSON vormingus) laetakse konfiguratsioonis määratud URL-lt rakenduse käivitamise ajal ning puhverdatakse (puhvri aegumine on seadistatav). JSON vorming vt Toetatud riikide nimekiri.