Feide tilbyr ulike løsninger for sterk autentisering. Før en vertsorganisasjon kan ta i bruk sterk autentisering gjennom Feide, er det flere oppgaver som må løses lokalt hos vertsorganisasjonen. Prosessen for innføring av sterk autentisering er beskrevet og illustrert nedenfor.
Bestill sterk autentisering
Sterk autentisering bestilles i Feides kundeportal
Når vi har mottatt søknaden fra kundeportalen sender vi ut en kontrakt som du må signere og returnere til oss. Vi vil da gi tilgang til å aktivere sterk autentisering for organisasjonen, også må du velge hvilke(n) metode dere ønsker å bruke, hvilke brukergrupper og på hvilke tjenester dere ønsker sterk autentisering.
Velg metode for sterk autentisering
Feide tilbyr følgende metoder for sterk autentisering:
- Engangspassord på SMS
- Kode via godkjenner-applikasjon
- ID-porten
- Microsofts arbeids- eller skolekonto med flerfaktor-autentisering (Azure AD)
Vertsorganisasjonen kan selv avgjøre hvilke av disse dere skal tilby, og eventuelt om flere skal tilbys.
Avhengig av sterk autentiseringsmetode og om sterk autentisering skal defineres på enkeltpersoner, må attributter registreres på brukeren lokalt i brukerkatalogen. Les mer om tekniske betingelser under Legg til attributter for brukere.
- Sterk autentisering med engangspassord på SMS
-
Sluttbruker må benytte mobiltelefon til å motta engangspassord ved innlogging. Vertsorganisasjonen belastes de løpende kostnadene Feide har ved å sende ut SMS til brukere ved vertsorganisasjonen. Rutine for registrering må verifisere at oppgitt mobilnummer tilhører sluttbruker.
- Sterk autentisering med godkjenner-applikasjon
-
For å bruke denne metoden må sluttbruker benytte en applikasjon som støtter en bestemt implementasjon av tidsbaserte engangspassord.
Noen klienter som vi vet fungerer er:
- 1Password – One-Time Password
- Duo Mobile
- Google Authenticator
- Microsoft / Azure Authenticator
- Yubico Authenticator med YubiKey
Det er ingen løpende kostnader knyttet til bruken av denne metoden. Rutine for registrering må sørge for at hemmelig nøkkel blir lagt inn på sluttbrukerens klient.
- Sterk autentisering med ID-porten
-
Sluttbruker må benytte innlogging med ID-porten for å motta engangspassord ved innlogging.
- MinID med engangskode fra SMS eller PIN-kodebrev
- BankID med engangskode fra kodebrikke, app, skrapekort eller SMS-tjeneste fra bank
- BankID på mobil med engangskode fra app
- BuyPass ID med Mobil med engangskode fra passord/SMS eller mobilapp
Vertsorganisasjonen belastes de løpende kostnadene for innlogginger ved vertsorganisasjonen som gjøres via ID-porten.
- Sterk autentisering med Microsofts arbeids- eller skolekonto
-
Sluttbruker må benytte innlogging med Microsoft arbeids- eller skolekonto med flerfaktor-autentisering (MFA).
Rutine for registrering må verifisere at innloggingsfaktorene er utlevert til riktig person. Det er ingen løpende kostnader knyttet til bruken av denne metoden.
Legg til attributter for brukere
Avhengig av sterk autentiseringsmetode og om sterk autentisering skal defineres på enkeltpersoner, må du registrere attributter på brukeren lokalt i brukerkatalogen.
SMS, Godkjenner-klient og Microsofts arbeids- eller skolekonto krever at du registrerer følgende attributt for å knytte metoden for sterk autentisering til brukeren:
-
norEduPersonAuthnMethod
Sterk autentisering kan også aktiveres på enkeltpersoner. Dette styres utenfor Feides kundeportal og defineres i lokal i brukerkatalogen ved at du registrerer følgende attributt:
-
norEduPersonServiceAuthnLevel (valgfritt): for å sette hvilke tjenester som skal ha sterk autentisering på enkeltperson-nivå
- Hvilken informasjon er obligatorisk å registrere?
-
For engangskode via SMS og godkjenning-klient må du registrere attributtet norEduPersonAuthnMethod på brukerne. For ID-porten slipper du å registrere informasjon hvis ikke sterk autentisering styres på enkeltperson-nivå.
Attributtet forteller hvilken metode som kan benyttes og annen informasjon som mobilnummer som SMS engangskode skal sendes til og/eller hemmelig nøkkel knyttet til Godkjenner-klient.
Nedenfor er informasjon om hva som er mulig å registrere informasjon inn i norEduPersonAuthnMethod attributtet:
- Informasjon om verifisert mobiltelefonnummer (dersom vertsorganisasjonen skal tilby sterk autentisering med bruk av engangspassord via SMS)
norEduPersonAuthnMethod: urn:mace:feide.no:auth:method:sms +<Landskode><mobilnummer> label=<valgfri tekst > urn:mace:feide.no:auth:method:sms +4712345678 label=<valgfri tekst>
- Hemmelig nøkkel knyttet til Godkjenner-klient (dersom vertsorganisasjonen skal tilby sterk autentisering med bruk av Godkjenner-klient)
norEduPersonAuthnMethod: urn:mace:feide.no:auth:method:ga <kryptert hemmelig nøkkel> label=
- At flerfaktor-autentisering er tilgjengelig for Microsoft arbeids- eller skolekonto og utlevert på riktig måte
norEduPersonAuthnMethod: urn:mace:feide.no:auth:method:azuread -
- Sterk autentisering på enkeltbruker
-
Sterk autentisering kan aktiveres på enkeltbruker-nivå hvis det er behov for at kun noen brukere skal logge inn med sterk autentisering, og ikke alle ansatte.
Sterk autentisering på enkeltbrukere styres utenfor Feide. Det legges inn på hver enkelt bruker lokalt i brukerkatalogen til vertsorganisasjonen ved å registrere attributtene norEduPersonServiceAuthnLevel. Du kan enten registrere at brukere må logge inn på alle tjenester som krever sterk autentisering eller på én spesifikk tjeneste.
Eksempel på hva som må registreres i norEduPersonServiceAuthnLevel:
- Aktiver sterk autentisering for alle tjenester:
norEduPersonServiceAuthnLevel:urn:mace:feide.no:spid:all urn:mace:feide.no:auth:level:fad08:3 (aktiver sterk autentisering for alle tjenester)
- Aktiver sterk autentisering for tjeneste med eksempel-ID 123
norEduPersonServiceAuthnLevel:urn:mace:feide.no:spid:123 urn:mace:feide.no:auth:level:fad08:3
Du finner tjeneste ID-en i Feides kundeportal til venstre på tjenestevisningen, eller til venstre på tjenesteoversikten på feide.no.
Test om sterk autentisering fungerer
Vi anbefaler å teste om sterk autentisering fungerer på noen få brukere før det aktiveres for hele målgruppen og på alle tjenester. Slik unngår du at hele organisasjonen blir utestengt fra tjenester de benytter.
- Hvordan tester jeg om sterk autentisering er aktivert for en bruker?
-
Brukeren kan selv teste om to-faktor er satt opp ved å logge inn på Feides tofaktor-test
Hvis brukeren har satt opp to-faktor, vil du få opp «Two-factor authentication is working». I tillegg vil du se personlig ID hos vertsorganisasjonen (eduPersonPrincipalName) og Tillitsnivå for autentisering (eduPersonAssurance).
Hvis ikke sterk autentisering er satt opp riktig, vil du få en feilmelding om at brukeren ikke støtter sterk autentisering. Les hvordan du kan feilsøke sterk autentisering i vår tekniske dokumentasjon
- Hva gjør jeg om sterk autentisering ikke er satt opp riktig?
-
Hvis ikke sterk autentisering er satt opp riktig, vil du få en feilmelding om at brukeren ikke støtter sterk autentisering. Les hvordan du kan feilsøke feil i sterk autentisering her
Hvilke tjenester og hvilke brukere skal bruke sterk autentisering?
Ansatte har tilgang til en rekke digitale løsninger, som skoleadministrative system, læringsplattformer og andre tjenester. Uten sterk autentisering vil uvedkommende kunne logge inn med bare brukernavn og passord. Det er derfor spesielt viktig å sikre innloggingen med sterk autentisering på tjenester og for brukere som har tilgang til andre elever, studenter og ansatte sine personopplysninger i disse tjenestene.
- Hvordan vurderer jeg hvilke tjenester og brukere som skal bruke sterk autentisering?
-
Vurdering av hvilke tjenester og brukere bør være basert på en risikovurdering som vertsorganisasjonen har foretatt, og det er naturlig at personvernombudet er involvert her.
Nedenfor er noen eksempel på spørsmål som du kan stille for å vurdere hvilke brukere som logge inn med sterk autentisering.
- Hvilke brukere har tilgang til tjenester der de har tilgang til personopplysninger om svært mange elever, studenter og ansatte?
- Hvilke brukere har tilgang til tjenester der de kan administrere informasjon som karakterer, fravær og anmerkninger om elever?
- Hvilke tjenester er det mulig å kontakte andre brukere eller eksterne personer via? Det er viktig å unngå at uvedkommende sender interne og eksterne meldinger på vegne av organisasjonen.
- Hvilke brukere har administrasjonstilganger i forskjellige tjenester?
- Kan elever eller studenter bruke sterk autentisering?
-
Ja. Elever og studenter kan benytte sterk autentisering. Tenk gjennom om det er situasjoner som f.eks. eksamen der de kanskje ikke har tilgang til enheter brukt til sterk autentisering.
- Hvordan kan jeg administrere hvilke tjenester som skal bruke sterk autentisering?
-
Du kan velge hvilke tjenester som skal bruke sterk autentisering i Feides kundeportal
Gå til enten «Administrasjon»-fanen på den spesifikke tjenesten, eller i «Organisasjons»-fanen på «Velg tjenester som skal bruke sterk autentisering» under «Sterk autentisering».
Sterk autentisering settes på tjenesten ved å velge hvilken brukergruppe som skal logge inn med sterk autentisering.
- Hvordan kan jeg administrere hvilke brukere som skal bruke sterk autentisering?
-
Sterk autentisering kan aktiveres for enkeltpersoner, alle ansatte eller alle brukere ved organisasjonen, på de tjenestene vertsorganisasjonen har behov for.
Sterk autentisering for enkeltbrukere styres utenfor Feides kundeportal og defineres lokalt i brukerkatalogen til vertsorganisasjonen. Se Legg til attributter for brukere
Ved å aktivere sterk autentisering for alle ansatte i en tjeneste, må alle brukere med rollen ansatt, employee i attributtet eduPersonAffiliation, logge inn med sterk autentisering. Dette gjelder alle lærere og administrative ansatte.
Ved å aktivere sterk autentisering for alle brukere i en tjeneste, må alle logge inn med sterk autentisering. Dette gjelder også elever og studenter, og ikke bare ansatte.
OBS! Hvis tjenesten skal brukes av elever/studenter, må du sørge for at de har en metode som kan generere en engangskode for sterk autentisering. Vær klar over at ID-porten som metode ikke kan benyttes for brukere under 13 år, og at de andre metodene krever at elevene har en enhet for å genere en engangskode for sterk autentisering
Informere
Når det er avklart i organisasjonen at sterk autentisering skal innføres, er det viktig at det gis god informasjon til de det gjelder om:
- bakgrunnen for at man velger å innføre sterk autentisering
- hvilke tjenester som vil kreve sterk autentisering
- hvilke rutiner ansatte må gjennom for å få tildelt sterk ID
- fra hvilken dato sterk autentisering vil være påkrevd
Starte utstedelsesprosessen
Først når en person har fått tildelt sterk ID, kan vedkommende benytte sterk autentisering for godkjenner-klient og SMS. Å tildele sterk ID kaller vi gjerne utstedelsesprosessen. Når rutiner og støtteverktøy er på plass, og organisasjonen er informert, bør utstedelsesprosessen (tildeling av sterk ID) starte.
Feides løsning for sterk autentisering skal være på nivå 3 iht. sikkerhetsnivåene definert i Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor (regjeringen.no).
Det betyr at Feide stiller strengere krav til rutinene for å registrere personer, verifisere deres identitet og tildele sterk ID. De nye kravene gjelder alle personer som skal ta i bruk sterk autentisering.
Det er flere måter å tilfredsstille nivå 3 i rammeverket på. Dette er blant annet nærmere beskrevet i rammeverket, kap. 4.