Julkisen sektorin palveluväylän ulkopuolisten API:en autentikointi – onko tarvetta?

Onko julkisella sektorilla tarvetta palveluväylän ulkopuolisten API:en autentikoinnille?

Jäin miettimään asiaa kun pohdin mitä APIKA -projektin jälkeen tapahtuu. On selvää, että suomi.fi palveluväylä tarjoaa autentikoinnin palveluväylässä oleville rajapinnoille. Kuitenkin on olemassa julkisen sektorin rajapintoja, joita ei viedä väylään koska siinä ei ole juuri järkeä. Esimerkkejä tämäntyyppisistä rajapinnoista on avoimen tiedon/toiminnan rajapinnat.

Onko autentikoinnille tarvetta?

Onko tässä sitten ne arkkityypit ja tapaukset julkisen sektorin rajapinnoille? Tuntuisi vähän oudolta, jos näin olisi. Maailma kun ei tuppaa olemaan näin yksiselitteinen. Onko olemassa käyttötapauksia, joissa:

  • rajapinta on julkisen sektorin omistuksessa,
  • rajapinta ei ole suomi.fi palveluväylän piirissä ja
  • rajapinta tarvitsee ainakin joskus autentikoinnin

Jos näin on, on syytä miettiä miten autentikointi toteutetaan. Nyt tilanne lienee se, että jos autentikointia tarvitaan, niin se toteutetaan jokaisen organisaation toimesta itse. Voisiko olla fiksumpaa, että tarjotaan API:n autenkikointi gateway tasolla API:en hallinnassa, joka olisi hajautettu? Hajautettu gateway tarkoittaa nyt esimerkiksi kaupunkitasolla (6Aika -hankkeen tarpeet huomioiden) tai sektoreittain perustettuja API-gateway palveluita. Kyseisiä gateway palveluita hallittaisiin yhteisen käyttöliittymän kautta. Toinen vaihtoehto on toteuttaa API:en autentikointi puhtaasti keskitetysti kansallisella tasolla osana suomi.fi tunnistuspalvelua.

Yhdistämällä suomi.fi tunnistuksesta palasia MPASS -ratkaisun kanssa, voitaisiin saada aika pienellä työmäärällä toimiva yhteinen ratkaisu, jota voidaan levittää koko Suomeen. Yhteinen tapa toimia autentikoinnissa parantaa kehittäjäkokemusta ja laskee oppimiskäyrää. Lisäksi voidaan saman tunnistuksen kautta hoitaa myös hallinnointikäyttöliittymän käyttäjien tunnistus. Selvitellään ensin tarpeita, kuten digitalisaation periaatteissa tullee lukemaan.

Löytyykö  julkiselta sektorilta käyttötapauksia palveluväylän ulkopuolisten API:en autentikoinnille?

Mainokset

One thought on “Julkisen sektorin palveluväylän ulkopuolisten API:en autentikointi – onko tarvetta?

  1. Kommentti joka tuli LinkedIn:ssä Kimmo Mäkiseltä:

    Lisäisin blogissa listattuihin käyttötapauksiin vielä yhden bulletin ”Rajapinta julkisessa internetissä”. Taustalla olisi ajatusmalli, jossa käyttäjän autentikointi valtuttaisi julkisen sektorin rajapintaa hyödyntävän sovelluksen toimimaan käyttäjän puolesta. Valtuutus eräänlaisen tiketin muodossa voisi olla joko kertaluonteinen tai pidempiaikainen. Vahva kandinaatti teknologiaksi näyttäisi syntyvän pohjalle OpenID Connect, Oauth 2.0 ja UMA. Tarkemmin taustoja selvitellään Suomen MyData – allianssin verkkosivuilla http://mydata.fi

    Tykkää

Kommentoi

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out /  Muuta )

Google+ photo

Olet kommentoimassa Google+ -tilin nimissä. Log Out /  Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out /  Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out /  Muuta )

Muodostetaan yhteyttä palveluun %s