| Dokumendiregister | Tervise- ja heaolu infosüsteemide keskus |
| Viit | 6-2/5452-2 |
| Registreeritud | 14.10.2025 |
| Sünkroonitud | 15.10.2025 |
| Liik | Sissetulev kiri |
| Funktsioon | 6 Projektid ja E-teenuste juhtimine |
| Sari | 6-2 Välisvahenditega seotud projektid ja hankedokumentatsioon |
| Toimik | 6-224/4830 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Riigi Infosüsteemi Amet |
| Saabumis/saatmisviis | Riigi Infosüsteemi Amet |
| Vastutaja | Marika Vaher (TEHIK, Tugiteenuste osakond) |
| Originaal | Ava uues aknas |
KINNITATUD
Riigi Infosüsteemi Ameti peadirektori
11.02.2025 käskkirjaga nr 1.1-2/25-010
Riigi SSO teenuse (GovSSO) toodangukeskkonna liitumistaotlus
1. Soovime liituda Riigi SSO teenuse (GovSSO) toodangukeskkonnaga.
2. Kinnitame, et oleme välja arendanud enda klientrakenduse poolse liidese ja oleme liidest
GovSSO demokeskkonna vastu testinud.
3. Kinnitame, et kasutame teenust eesmärgipäraselt ja oleme tutvunud GovSSO ärikirjelduse
ja tehnilise spetsifikatsiooniga järgides nendes toodud nõudeid ning arvestades nendes
toodud soovitusi oma klientrakenduse liidestamisel. Nõustume GovSSO teenuse
tingimustega (toodangukeskkonna üldtingimused, teenustaseme lepe (SLA) ja
andmekaitsetingimused) ning kohustume neid täitma. 4. Palume:
registreerida meid Riigi SSO (GovSSO) toodangukeskkonna kliendiks;
väljastada meile klientrakenduse identifikaator ja salasõna;
avada juurdepääs Riigi SSO teenuse (GovSSO) toodangukeskkonnale.
Kliendi asutuse nimi või nimetus:
Registrikood:
Aadress:
Telefon:
E-post:
Kontaktisiku nimi:
Kontaktisiku e-post:
Kontaktisiku telefon:
Kontaktisiku isikukood:
(klientrakenduse salasõna krüpteeritult saatmiseks)
Tehniliste teavituste e-posti aadress(id):
Teenuse katkestustest teavitamise e-posti
aadress(id):
GovSSO kasutamise eesmärk:
nt avaliku ülesande kirjeldus, mille raames autentimisteenust
kasutada soovitakse
Klientrakenduse kirjeldus:
Lühidalt, millise teenuse/rakendusega on tegemist
Kasutajate arvu prognoos kuus:
Vajadusel keskkonna täpsustus (toodangu-, eeltoodangu-,
koolituskeskkond vm)
Klientrakenduse nimetus:
Kuvatakse autentimisteenuse autentimisvahendite valiku,
seansi jätkamise ja seansi lõpetamise kuvadel.
Kasutada sama nimetust, mida klientrakenduse
päises/pealkirjas kasutajale kuvatakse.
Maksimaalne pikkus 150 tähemärki.
Lisada inglis- ja venekeelsed tõlked juhul, kui nimetus on
klientrakenduses tõlgitud.
Loe nõuete kohta lähemalt siit.
KINNITATUD
Riigi Infosüsteemi Ameti peadirektori
11.02.2025 käskkirjaga nr 1.1-2/25-010
Klientrakenduse lühinimetus:
Kuvatakse kasutajale mobiilseadmega autentimisel.
Lühinimetus peab seostuma eelmisel väljal esitatud
klientrakenduse nimetusega.
Maksimaalne pikkus 20 - 40 tähemärki sõltuvalt
kasutatud tähemärkidest.
Lisada inglis- ja venekeelsed tõlked juhul, kui nimetus on
klientrakenduses tõlgitud.
Loe nõuete kohta lähemalt siit.
Klientrakenduse logo:*
Logo kuvatakse autentimisteenuse autentimisvahendite valiku,
seansi jätkamise ja seansi lõpetamise kuvadel.
Logo peab olema SVG formaadis.
Logo võib saata eraldi failina kui ka allalaadimislingiga.
Logo faili suurus kuni 100 KB.
Autentimise tagasisuunamispäringus lubatud
URL-id: Väärtuseks peab olema GovSSO tehnilisele spetsifikatsioonile
vastav klientrakenduse otspunkt (OpenID Connect mõistes redirect_uri).
Pärast edukat autentimist või autentimise katkestamisel või
autentimise vea korral suunatakse kasutaja veebisirvik sellele
aadressile, pannes kaasa spetsifikatsioonis kirjeldatud URL
parameetrid.
Märkus:
Iga väärtus peab vastama URL standardile, ei tohi sisaldada kasutajainfo (domeeninimele @ sümboliga
eelnev osa) ega fragmendi osa (URL-is # sümbol ja
sellele järgnev osa). Protokoll tohib olla ainult https.
Väljalogimise tagasisuunamispäringus lubatud
URL-id: Väärtuseks peab olema GovSSO tehnilisele spetsifikatsioonile
vastav klientrakenduse otspunkt (OpenID Connect mõistes
post_logout_redirect_uri). Pärast väljalogimist suunatakse kasutaja veebisirvik sellele
aadressile, pannes kaasa spetsifikatsioonis kirjeldatud URL
parameetrid.
Märkus:
Iga väärtus peab vastama URL standardile, ei tohi
sisaldada kasutajainfo (domeeninimele @ sümboliga
eelnev osa) ega fragmendi osa (URL-is # sümbol ja
sellele järgnev osa). Protokoll tohib olla ainult https.
KINNITATUD
Riigi Infosüsteemi Ameti peadirektori
11.02.2025 käskkirjaga nr 1.1-2/25-010
Taustakanali väljalogimise URL: Väärtuseks peab olema GovSSO tehnilisele spetsifikatsioonile
vastav klientrakenduse otspunkt (OpenID Connect mõistes
backchannel_logout_uri). Pärast väljalogimist sooritab
määratud URL-ile päringu GovSSO server taustal (mitte
veebisirvik).
Märkus:
Väärtus peab vastama URL standardile, ei tohi
sisaldada kasutajainfo (domeeninimele @ sümboliga
eelnev osa) ega fragmendi osa (# sümbol ja sellele
järgnev osa). Protokoll tohib olla ainult https.
Klientrakendus peab RIA-le ligipääsetavas otspunktis
pakkuma TLS ühendust kehtiva sertifikaadiga, mis on
väljastatud avaliku CA poolt (täpsustatud GovSSO
tehnilises spetsifikatsioonis).
Klientrakenduse poolel (ehk liidestuva asutuse IT-taristu
poolel) võib ligipääsu otspunktile piirata ainult RIA IP- aadressidelt tulevatele päringutele (loetletud GovSSO
tehnilises spetsifikatsioonis).
Tõendipäringu autentimismeetod:*
Tõendiväljastuse otspunkti (OpenID Connect token päringu)
puhul klientrakenduses kasutatav client authentication
method. Vaikeväärtus on client_secret_basic. Kui on
soov kasutada client_secret_post, siis märkida see.
Klientrakenduse backend süsteemi serveri
poolsed IP-aadressid: Tõendiväljastuse otspunktile (OpenID Connect token päringule) antakse ligipääs lubatud IP-aadresside alusel.
Palun teavitada RIA-t, kui on tekkinud vajadus
klientrakenduse IP-aadresse muuta.
Tärniga (*) märgitud väli on soovitatud täita.
Ilma tärnita väljad on kohustuslikud täita.
Lisafunktsionaalsused: Pääsutõendi ja esindatava valiku seaded
(ei ole kohustuslikud)
Pääsutõendi kasutamise soov? Kas GovSSO väljastab access token JWT vormingus. Loe
tehnilist kirjeldust lähemalt siit.
Jah/ Ei
Kui "Jah", siis on kohustuslik täita kaks järgnevat
välja.
Rakenduste URL(id): Access token "aud" väites väljastatavad aadressid. Loe
tehnilist kirjeldust lähemalt siit.
JWT kehtivusaeg:
Loe tehnilist kirjeldust lähemalt siit.
Esindatavate kasutamise soov? Kas soovite, et GovSSO vahendab esindatavate andmeid
kesksest volituste haldamise infosüsteemist Pääsuke?
Kui jah, siis klient peab olema sõlminud liitumise Pääsukese
toodangukeskkonnaga. Loe lähemalt siit.
Jah/ei
Kui "Jah", siis on kohustuslik täita järgnev väli.
Pääsukese päringu parameetrid: Loe tehnilist kirjeldust lähemalt siit.
KINNITATUD
Riigi Infosüsteemi Ameti peadirektori
11.02.2025 käskkirjaga nr 1.1-2/25-010
Kliendi esindaja nimi ja amet
/digitaalselt allkirjastatud/
From: "[RIA Jira] Hendrik Metspalu " <[email protected]>
Sent: Tue, 14 Oct 2025 07:56:02 +0000
To: <[email protected]>
Subject: [RIA] Re: KTI- Riigi SSO teenuse (GovSSO) toodangukeskkonna liitumistaotlus (RK-370281)
|
Tähelepanu! Tegemist on väljastpoolt asutust saabunud kirjaga. Tundmatu saatja korral palume linke ja faile mitte avada. |
Hendrik Metspalu - 14.10.2025 10:55
Tere.
Aitäh pöördumast.
Saime taotluse kenasti kätte ning avasime teile rakenduse toodangukeskkonnas.
Parooliümbrik edastatud emailiga kontaktisikule.
E-kiri saadeti väljastpoolt RIA-t. Kui Sa ei tunne saatjat, siis ära ava linke ega manuseid!
| Tere! Teile on saadetud Tervise ja Heaolu Infosüsteemide Keskuse dokumendihaldussüsteemi Delta kaudu dokument. Pealkiri: * KTI- Riigi SSO teenuse (GovSSO) toodangukeskkonna liitumistaotlus* Registreerimise kuupäev:* * 13.10.2025 Registreerimise number:* * 6-2/5452-1 Lugupidamisega Tervise ja Heaolu Infosüsteemide Keskus |
|
| Pärnu mnt 132, 11317 Tallinn Tel. (372) 794 3900 e-post: [email protected] www.tehik.ee |
KINNITATUD
Riigi Infosüsteemi Ameti peadirektori
11.02.2025 käskkirjaga nr 1.1-2/25-010
Riigi SSO teenuse (GovSSO) toodangukeskkonna liitumistaotlus
1. Soovime liituda Riigi SSO teenuse (GovSSO) toodangukeskkonnaga.
2. Kinnitame, et oleme välja arendanud enda klientrakenduse poolse liidese ja oleme liidest
GovSSO demokeskkonna vastu testinud.
3. Kinnitame, et kasutame teenust eesmärgipäraselt ja oleme tutvunud GovSSO ärikirjelduse
ja tehnilise spetsifikatsiooniga järgides nendes toodud nõudeid ning arvestades nendes
toodud soovitusi oma klientrakenduse liidestamisel. Nõustume GovSSO teenuse
tingimustega (toodangukeskkonna üldtingimused, teenustaseme lepe (SLA) ja
andmekaitsetingimused) ning kohustume neid täitma. 4. Palume:
registreerida meid Riigi SSO (GovSSO) toodangukeskkonna kliendiks;
väljastada meile klientrakenduse identifikaator ja salasõna;
avada juurdepääs Riigi SSO teenuse (GovSSO) toodangukeskkonnale.
Kliendi asutuse nimi või nimetus:
Registrikood:
Aadress:
Telefon:
E-post:
Kontaktisiku nimi:
Kontaktisiku e-post:
Kontaktisiku telefon:
Kontaktisiku isikukood:
(klientrakenduse salasõna krüpteeritult saatmiseks)
Tehniliste teavituste e-posti aadress(id):
Teenuse katkestustest teavitamise e-posti
aadress(id):
GovSSO kasutamise eesmärk:
nt avaliku ülesande kirjeldus, mille raames autentimisteenust
kasutada soovitakse
Klientrakenduse kirjeldus:
Lühidalt, millise teenuse/rakendusega on tegemist
Kasutajate arvu prognoos kuus:
Vajadusel keskkonna täpsustus (toodangu-, eeltoodangu-,
koolituskeskkond vm)
Klientrakenduse nimetus:
Kuvatakse autentimisteenuse autentimisvahendite valiku,
seansi jätkamise ja seansi lõpetamise kuvadel.
Kasutada sama nimetust, mida klientrakenduse
päises/pealkirjas kasutajale kuvatakse.
Maksimaalne pikkus 150 tähemärki.
Lisada inglis- ja venekeelsed tõlked juhul, kui nimetus on
klientrakenduses tõlgitud.
Loe nõuete kohta lähemalt siit.
KINNITATUD
Riigi Infosüsteemi Ameti peadirektori
11.02.2025 käskkirjaga nr 1.1-2/25-010
Klientrakenduse lühinimetus:
Kuvatakse kasutajale mobiilseadmega autentimisel.
Lühinimetus peab seostuma eelmisel väljal esitatud
klientrakenduse nimetusega.
Maksimaalne pikkus 20 - 40 tähemärki sõltuvalt
kasutatud tähemärkidest.
Lisada inglis- ja venekeelsed tõlked juhul, kui nimetus on
klientrakenduses tõlgitud.
Loe nõuete kohta lähemalt siit.
Klientrakenduse logo:*
Logo kuvatakse autentimisteenuse autentimisvahendite valiku,
seansi jätkamise ja seansi lõpetamise kuvadel.
Logo peab olema SVG formaadis.
Logo võib saata eraldi failina kui ka allalaadimislingiga.
Logo faili suurus kuni 100 KB.
Autentimise tagasisuunamispäringus lubatud
URL-id: Väärtuseks peab olema GovSSO tehnilisele spetsifikatsioonile
vastav klientrakenduse otspunkt (OpenID Connect mõistes redirect_uri).
Pärast edukat autentimist või autentimise katkestamisel või
autentimise vea korral suunatakse kasutaja veebisirvik sellele
aadressile, pannes kaasa spetsifikatsioonis kirjeldatud URL
parameetrid.
Märkus:
Iga väärtus peab vastama URL standardile, ei tohi sisaldada kasutajainfo (domeeninimele @ sümboliga
eelnev osa) ega fragmendi osa (URL-is # sümbol ja
sellele järgnev osa). Protokoll tohib olla ainult https.
Väljalogimise tagasisuunamispäringus lubatud
URL-id: Väärtuseks peab olema GovSSO tehnilisele spetsifikatsioonile
vastav klientrakenduse otspunkt (OpenID Connect mõistes
post_logout_redirect_uri). Pärast väljalogimist suunatakse kasutaja veebisirvik sellele
aadressile, pannes kaasa spetsifikatsioonis kirjeldatud URL
parameetrid.
Märkus:
Iga väärtus peab vastama URL standardile, ei tohi
sisaldada kasutajainfo (domeeninimele @ sümboliga
eelnev osa) ega fragmendi osa (URL-is # sümbol ja
sellele järgnev osa). Protokoll tohib olla ainult https.
KINNITATUD
Riigi Infosüsteemi Ameti peadirektori
11.02.2025 käskkirjaga nr 1.1-2/25-010
Taustakanali väljalogimise URL: Väärtuseks peab olema GovSSO tehnilisele spetsifikatsioonile
vastav klientrakenduse otspunkt (OpenID Connect mõistes
backchannel_logout_uri). Pärast väljalogimist sooritab
määratud URL-ile päringu GovSSO server taustal (mitte
veebisirvik).
Märkus:
Väärtus peab vastama URL standardile, ei tohi
sisaldada kasutajainfo (domeeninimele @ sümboliga
eelnev osa) ega fragmendi osa (# sümbol ja sellele
järgnev osa). Protokoll tohib olla ainult https.
Klientrakendus peab RIA-le ligipääsetavas otspunktis
pakkuma TLS ühendust kehtiva sertifikaadiga, mis on
väljastatud avaliku CA poolt (täpsustatud GovSSO
tehnilises spetsifikatsioonis).
Klientrakenduse poolel (ehk liidestuva asutuse IT-taristu
poolel) võib ligipääsu otspunktile piirata ainult RIA IP- aadressidelt tulevatele päringutele (loetletud GovSSO
tehnilises spetsifikatsioonis).
Tõendipäringu autentimismeetod:*
Tõendiväljastuse otspunkti (OpenID Connect token päringu)
puhul klientrakenduses kasutatav client authentication
method. Vaikeväärtus on client_secret_basic. Kui on
soov kasutada client_secret_post, siis märkida see.
Klientrakenduse backend süsteemi serveri
poolsed IP-aadressid: Tõendiväljastuse otspunktile (OpenID Connect token päringule) antakse ligipääs lubatud IP-aadresside alusel.
Palun teavitada RIA-t, kui on tekkinud vajadus
klientrakenduse IP-aadresse muuta.
Tärniga (*) märgitud väli on soovitatud täita.
Ilma tärnita väljad on kohustuslikud täita.
Lisafunktsionaalsused: Pääsutõendi ja esindatava valiku seaded
(ei ole kohustuslikud)
Pääsutõendi kasutamise soov? Kas GovSSO väljastab access token JWT vormingus. Loe
tehnilist kirjeldust lähemalt siit.
Jah/ Ei
Kui "Jah", siis on kohustuslik täita kaks järgnevat
välja.
Rakenduste URL(id): Access token "aud" väites väljastatavad aadressid. Loe
tehnilist kirjeldust lähemalt siit.
JWT kehtivusaeg:
Loe tehnilist kirjeldust lähemalt siit.
Esindatavate kasutamise soov? Kas soovite, et GovSSO vahendab esindatavate andmeid
kesksest volituste haldamise infosüsteemist Pääsuke?
Kui jah, siis klient peab olema sõlminud liitumise Pääsukese
toodangukeskkonnaga. Loe lähemalt siit.
Jah/ei
Kui "Jah", siis on kohustuslik täita järgnev väli.
Pääsukese päringu parameetrid: Loe tehnilist kirjeldust lähemalt siit.
KINNITATUD
Riigi Infosüsteemi Ameti peadirektori
11.02.2025 käskkirjaga nr 1.1-2/25-010
Kliendi esindaja nimi ja amet
/digitaalselt allkirjastatud/
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|