Kui soovid siseneda mõnda riiklikku e-teenusesse, pead end esmalt autentima ehk tõendama, et oled see, kes väidad end olevat. Autentimine peab olema usaldusväärne ja turvaline, sest keegi ei taha, et tema andmetele pääseks ligi võõrad või et tema nimel teeks tehinguid mõni kurikael. Riiklikes e-teenustes toimub isikutuvastus läbi keskse turvalise kanali (Riigi autentimisteenus), kus saab end autentida ID-kaardi, Mobiil-ID, Smart-ID kui ka Euroopa Liidu riikide autentimisvahendite kaudu.
Mis on SSO ja kuidas töötab seansihaldus?
Kui kasutad Google’i teenuseid, siis tead, et oma e-kirjadele, dokumentidele ja fotodele ligipääsemiseks piisab ühest sisselogimisest. Eesti avaliku sektori e-teenuste vahel liikudes saab sarnaselt kasutada ühekordset sisselogimise võimalust. Nagu nimi vihjab, nõuab selline lahendus vaid ühte autentimist: kui kasutaja on Riigi autentimisteenuse kaudu mõnda e-teenusesse sisenenud, saab ta kasutada ka teisi e-teenuseid ilma, et peaks neis kõigis end uuesti tuvastama.
Järgnevalt oleme toonud samm-sammulise näite, kuidas autentimine koos seansihaldusega e-teenustes toimib.
1. Sisse logimine e-teenusesse riigiportaali eesti.ee näitel
Kasutaja läheb e-teenuse lehele (riigiportaal) ja vajutab sisselogimiseks „Sisene iseteenindusse“.
2. Isikutuvastus ehk autentimine Mobiil-ID näitel ja uue sessiooni loomine
Kasutaja suunatakse sisse logimiseks autentimisteenusesse, kus talle kuvatakse autentimisvahendite valiku leht.
Taustal kontrollib autentimisteenus igal korral, kas antud veebibrauseri jaoks on juba kasutajal kehtiv seanss riigiportaalis olemas. Antud juhul kehtivat seanssi ei ole ning toimub kasutaja autentimine.
Käesolevas näites valib kasutaja isiku tuvastamise vahendiks Mobiil-ID. Selleks sisestab kasutaja oma isikukoodi ja telefoninumbri ning vajutab "Jätka".
Seejärel saadetakse kasutaja mobiiltelefonile kontrollsõnum koos kontrollkoodiga, mille kasutaja kinnitab sisestades oma mobiiltelefonis PIN1.
3. Sisselogitud kasutaja vaade e-teenuses (riigiportaal)
Autentimisprotseduuri edukalt läbides, suunatakse kasutaja tavapäraselt e-teenuses sisse logituna teenuse/iseteeninduskeskkonna avalehele, kus avaneb juurdepääs toimingutele.
4. Seansi jätkamine teises e-teenuses (e-rahvastikuregister)
Kasutaja valib käesolevas näites riigiportaalis toimingu „Andmete muutmine rahvastikuregistris“, mis suunab toimingu alustamiseks e-rahvastikuregistri iseteenindusportaali keskkonda.
Taustal kontrollib autentimisteenus, kas antud veebibrauseri jaoks on juba kasutajal kehtiv seanss olemas. Kui kasutajal on aktiivne seanss autentimisteenuses, kuvatakse kasutajale nõusoleku leht andmete edastamiseks teise e-teenusesse. Kui kasutaja on nõus seanssi jätkama luuakse taustal uus seanss e-rahvastikuregistri teenuse jaoks. Nii jääb kasutaja jaoks täiendav sisselogimine ära ning kasutajale kuvatakse juba sisse logitud vaade järgmises e-teenuses.
5. Seansi lõpetamine ehk e-teenusest väljalogimine
Kui kasutaja on toimingud e-teenuses lõpetanud, vajutab ta riigiportaalis e-teenusest väljumiseks „Logi välja“. Taustal lõpetab autentimisteenus selles e-teenuses (riigiportaal) seansi ja kasutajale kuvatakse autentimisteenuses küsimus teiste aktiivsete seansside kohta (antud näites e-rahvastikuregister). Kasutaja saab valida, kas jätkata teiste seansside kasutamist vajutades „Jätka seanssi“ või lõpetada kõik seansid korraga vajutades „Logi kõikidest välja“. Kui kasutaja lõpetab kõik seansid, suunatakse ta autentimisteenusest tagasi e-teenuse lehele, kus kuvatakse talle teade eduka väljalogimise kohta. Nii on kasutaja kõikidest eelnevalt sisse logitud e-teenustest korraga turvaliselt välja logitud ja eraldi välja logima e-teenustest ükshaaval enam ei pea.
Kasutaja aktiivsete seansside haldamine mitmes seadmes
Riigi autentimisteenuse iseteeninduskeskkond https://minuautentimine.ria.ee pakub ülevaadet kasutaja aktiivsetest SSO seanssidest Riigi autentimisteenuses, kus kasutajal on võimalik enda kehtivaid seansse näha ja neid keskselt lõpetada. Selleks tuleb kasutajal esmalt isikutuvastuseks sisse logida https://minuautentimine.ria.ee lehel, mille järel kuvatakse kasutajale nimekiri tema aktiivsetest seanssidest riigi e-teenustes.
Näiteks, kui kasutaja logib ühiskasutavas arvutis sisse mitmesse e-teenusesse ning unustab ennast välja logida, on tal võimalus mistahes seadmes (näiteks mobiiltelefonis) antud seanss lõpetada.
Iseteeninduskeskkonda on kasutajal võimalik liikuda ka riigi autentimisteenuses autentimise, seansi jätkamise ja väljalogimise lehtedel oleva lingi kaudu:
Kõrgema autentimistaseme küsimine autentimise jätkamisel e-teenuses
Vältimaks e-teenustele juurdepääsu madalama turvalisuse taseme autentimisvahendiga kui e-teenuse poolt lubatud, kontrollib autentimisteenus taustal, enne kasutaja järgmisesse e-teenusesse suunamist seansi jätkamise järel, kas olemasoleva seansi loomisel kasutatud autentimisvahend vastab e-teenuses nõutud minimaalsele turvatasemele. Juhul, kui kasutaja on sisenenud e-teenusesse madalama turvatasemega autentimisvahendiga kui e-teenuses nõutud, suunatakse kasutaja siiski uuesti autentima ning eelnevalt kehtinud autentimisseanss lõpetatakse taustal automaatselt. Eduka uuesti autentimise järel luuakse uus sessioon ning kasutaja suunatakse e-teenusesse.
Antud erijuhtum esineb üksnes teatud kindlate Euroopa Liidu riikide isikutuvastusvahenditega autentides, mille turvatasemed võivad olla madalamad kui Eestis siseriiklikult kasutusel olevatel autentimisvahenditel (ID-kaart, Mobiil-ID ja Smart-ID). Nimekirja Euroopa Liidus eIDAS määruse nõuetele järgi tunnustatud autentimisvahenditest ja nende turvatasemete (LoA, Level of Assurance) kirjeldustest leiab siit.