Før en vertsorganisasjon kan ta i bruk sterk autentisering gjennom Feide, er det flere oppgaver som må løses lokalt hos vertsorganisasjonen.
Les mer om sterk autentisering i Feide.
Strengere rutiner, minimum nivå 3
Feides løsning for sterk autentisering skal være på nivå 3 ihht sikkerhetsnivåene definert i Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor.
Det betyr at Feide stiller strengere krav til rutinene for å registrere personer, verifisere deres identitet og tildele sterk ID. De nye kravene gjelder alle personer som skal ta i bruk sterk autentisering.
Det er flere måter å tilfredsstille nivå 3 i rammeverket på. Dette er blant annet nærmere beskrevet i rammeverket, kap. 4. I pilotprosjektet som gikk fra 2014-2015, hvor man så nærmere på ulike aspekter rundt sterk autentisering i Feide, ble det utarbeidet ulike rutiner som tilfredsstiller nivået. Eksempler på rutiner for utstedelse av ID til bruk ved sterk autentisering.
Tekniske forutsetninger
-
Oppdatering av brukeradministrativt system (BAS): For å kunne registrere nødvendig informasjon til bruk ved sterk autentisering, må LDAP-katalogen tilkoblet Feide være oppe på versjon 1.6 av norEdu*-spesifikasjonen. Følgende attributter benyttes:
-
norEduPersonAuthnMethod - (obligatorisk ved sterk autentisering) - for å registrere nødvendig info knyttet til metoder for sterk autentisering
-
norEduPersonServiceAuthnLevel - (valgfritt) - å sette hvilke tjenester som skal ha sterk autentisering på enkeltpersonnivå
-
Muligheten til å registrere informasjon inn i de nye attributtene:
-
Informasjon om verifisert mobiltelefonnummer (dersom vertsorganisasjonen skal tilby sterk autentisering med bruk av engangspassord via SMS)
-
Evt hemmelig nøkkel knyttet til Godkjenner-klient (dersom vertsorganisasjonen skal tilby sterk autentisering med bruk av Godkjenner-klient)
-
Å sette hvilke tjenester en enkeltperson skal ha sterk autentisering på (hvis det ikke gjelder hele ansatt-gruppa).
-
Evt. hjelpeverktøy for å verifisere mobiltelefonnummer eller generere hemmelig nøkkel til Godkjenner-klient.
Les mer om tekniske forutsetninger.
Informere
Når det er avklart i organisasjonen at sterk autentisering skal innføres, er det viktig at det gis god informasjon til de det gjelder om:
-
bakgrunnen for at man velger å innføre sterk autentisering
-
hvilke tjenester som vil kreve sterk autentisering
-
hvilke rutiner ansatte må gjennom for å få tildelt sterk ID
-
fra hvilken dato sterk autentisering vil være påkrevd
Starte utstedelsesprosessen
Først når en person har fått tildelt sterk ID, kan vedkommende benytte sterk autentisering. Å tildele sterk ID kaller vi gjerne utstedelsesprosessen. Når rutiner og støtteverktøy er på plass, og organisasjonen er informert, bør utstedelsesprosessen (tildeling av sterk ID) starte.