Metoder for sterk autentisering
Fra 15.oktober 2015 tilbyr Feide sterk autentisering med følgende metoder:
- Engangspassord på SMS
- Kode fra godkjenner-klient
Les mer om tilgjengelige metoder.
Engangspassord på SMS
- Sluttbruker må benytte mobiltelefon til å motta engangspassord ved innlogging.
- Vertsorganisasjonen belastes de løpende kostnadene Feide har ved å sende ut SMS til brukere ved vertsorganisasjonen.
- Rutine for registrering må verifisere at oppgitt mobilnummer tilhører sluttbruker.
-
Følgende skal registreres i feltet norEduPersonAuthnMethod:
-
norEduPersonAuthnMethod: urn:mace:feide.no:auth:method:sms +4712345678 label=<valgfri tekst>
-
Kode fra godkjenner-klient
-
Sluttbruker må benytte en klient som støtter en bestemt implementasjon av tidsbaserte engangspassord, kalt Google Authenticator. Merk at denne ikke krever en Google-klient eller Google-tilknytning, men kan benyttes på mange forskjellige klienter fra forskjellige leverandører. Metoden er utviklet av Google, men kan brukes fritt. For mer info, se http://en.wikipedia.org/wiki/Google_Authenticator. Noen klienter som vi vet fungerer er:
- Duo Mobile
- Microsoft / Azure Authenticator
- Google Authenticator
- 1Password - One-Time Password
- Det er ingen løpende kostnader knyttet til bruken av denne metoden.
-
Rutine for registrering må sørge for at hemmelig nøkkel blir lagt inn på sluttbrukerens klient. Kryptert versjon av hemmelig nøkkel skal legges inn i feltet norEduPersonAuthnMethod:
-
norEduPersonAuthnMethod: urn:mace:feide.no:auth:method:ga <kryptert hemmelig nøkkel> label=<valgfri tekst>
-
Pågående arbeid med flere metoder
Fordi Feide ønsker å tilby en løsning som flest mulig kan nyttiggjøre seg, ser vi på muligheten for å tilby sterk autentisering gjennom Feide med flere metoder:
-
ID-porten: Vi tester ut en løsning der sluttbrukeren først logger på med Feide-ID og passord, deretter blir sendt til ID-porten for innlogging med MinID eller BankID, og til slutt tilbake til tjenesten.
- Fordeler: Utstedelsesprosessen er allerede utført da sluttbrukeren fikk sin MinID eller BankID. Metoden er allerede kjent av sluttbrukerne. Gjenbruker nasjonale felleskomponenter.
- Ulemper: Innloggingen er innviklet og lite brukervennlig. Evt forenklet innlogging krever at Feide får utvidet tilgang til vertsorganisasjonens LDAP-katalog. Mange sluttbrukere ønsker ikke å blande roller (ansatt - Feide, borger - ID-porten).
-
Tilkobling av lokale metoder: Mange vertsorganisasjoner har allerede lokale løsninger for sterk autentisering, f.eks. til bruk ved hjemmekontorløsninger. Tanken er å kunne gjenbruke disse løsningene.
- Fordeler: Dersom disse løsningene kan gjenbrukes i Feide vil det kunne spare en del arbeid.
- Ulemper: Feide kan ikke lage spesialintegrasjoner til mange ulike lokale løsninger, så vi vil bare kunne tilby ett integrasjonspunkt som de ulike lokale løsningene måtte tilpasse seg. Her kan det bli noe ekstra jobb lokalt.