Azure AD-piloten videreutvikles

Høsten 2020 startet Uninett et pilotprosjekt som gjør det mulig å benytte Microsoft-kontoer til å logge på tjenester som bruker Feide som innloggingsløsning. 

Vi jobber nå med å videreutvikle piloten for å kunne sette at brukeren er sterkt autentisert (nivå3) og at man kan slå av "Feide-innloggingsfeltene".

Mulighet for å sette sterk autentisering nivå 3

For å få en tilsvarende sterk autentisering (nivå 3) må det innføres en ny verdi for sterk autentiseringsmetode som signaliserer til oss at både tofaktor er brukt og tofaktormetoden er utlevert i henhold til retningslinjene for nivå 3. Man kan selvsagt bruke fler-faktorautentisering (MFA) uten nivå 3, men da får vi ikke signalisert det til tjenestene. På sikt håper vi at vi kan signalisere autentiseringsnivå og utleveringsnivå som separate verdier, men det er en større omlegging både for oss og for tjenester som skal benytte informasjonen til tilgangskontroll m.m.

Nedenfor beskrives det som må gjøres i Azure AD og Feide-LDAP for å få sterk autentisering (nivå 3) med Azure AD i piloten. Endringer vil kunne komme før dette går i produksjon. 

Using Azure AD for strong authentication (Security level 3)

Host organizations can use Azure AD to implement multifactor and strong authentication at level 3 in Feide. This requires the organization to have enabled logging into Feide using Azure AD and requires the organization to have provisioned multifactor authentication in Azure AD. Once that is configured, you can allow a user to use Azure AD for level 3 authentication by adding the `norEduPersonAuthnMethod` attribute to the user in your LDAP user directory:

norEduPersonAuthnMethod: urn:mace:feide.no:auth:method:azuread - 

This flag indicates that the user has had their identity verified and that the multifactor authentication method has been provisioned to the user securely. 

The requirements and guidelines for level 3 authentication with AzureAD are the same as for the other level 3 authentication methods in Feide. All level 3 authentications must satisfy identity proofing and authentication requirements in "Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor" ( https://www.regjeringen.no/no/dokumenter/rammeverk-for-autentisering-og-... )

 

Om både LDAP-attributtet for utlevering av konto og autentiseringsmetoder er satt og MFA er brukt ved autentisering på Microsoftkonto for jobb og utdanning (Azure AD) vil vi sette nivå 3 på innloggingen.

Merk at vi holder på å kode dette i pilotimplementasjonen nå, så det er ikke 'live' ennå. Målet er at dere skal kunne benytte begge de to nye funksjonalitetene i løpet av juni.

Mulighet til å slå av autentisering med Feide så bare Azure AD brukes 

Et innspill som har kommet i piloten er muligheten til å slå av autentisering med Feide (brukernavn/passord-feltet) så bare Azure AD brukes. Dette betyr altså at sluttbrukere ikke kan logge inn med sin vanlige konto i Feide-katalogen, men alltid må benytte Microsoftkonto.

NB! Dette er en pilot så dersom det oppstår situasjoner som gjør at vi må prioritere produksjonsfunksjonalitet vil pilotene om nødvendig slås av på kort eller intet varsel. Om sluttbrukerne ikke kjenner passordet på kontoen i Feide-katalogen kan de stå uten mulighet for innlogging. 

Planen er at dette skal være klart før sommeren.

 

For spørsmål ta kontakt på kontakt@uninett.no