Krav til leverand?rer rundt SSO

Oppsummering av krav til tjenester som skal brukes p? UiO som har behov for p?logging.

Forslag for anbudsprosess

Dette er et forslag for ? hjelpe anbudsprosesser med ? legge inn kravene til SSO. Dette er et utkast, og vi ?nsker tilbakemeldinger til usit-weblogin@rt.uio.no.

Hvis svar fra leverend?rer er uklare, kan du som innkj?per ta kontakt med oss p? usit-weblogin@rt.uio.no for bistand.

Disse punktene kan legges inn i anbud fra UiO, for tjenester som skal ha p?logging. Bytt ut teksten som er uthevet og farget gr?nt:

  • Tjenesten skal bruke en av UiOs l?sninger for SSO. Tjenesten skal IKKE behandle brukeres passord (til innkj?per: dette m? i s? fall h?ndteres som et avvik som m? godkjennes av IT-sikkerhetssjef).
  • Hvis styringsreglene for autentisering sier at weblogin er preferert for denne tjenesten:
    • Tjenesten skal st?tte SSO vha OIDC eller SAML mot UiOs lokale autentiseringspunkt Weblogin. Se Tilgang til Weblogin for mer tekniske detaljer.
    • Tjenesten skal hente ut relevante opplysninger (for eksempel brukernavn) fra  attributter som f?lger Feides informasjonsmodell. UiO kan eventuelt utvide med flere attributter ved behov.
    • For OIDC st?tter vi ikke Implicit Flow, av sikkerhetsmessige grunner.
  • Hvis styringsreglene for autentisering sier at Feide er preferert for denne tjenesten:
    • Tjenesten skal st?tte autentisering via Feide. Se Feide sine sider for tjenestelevand?rer for kravene som m? oppfylles.
      • Hvis tjenesten som tilbys ogs? brukes av andre institusjoner/bedrifter, skal leverand?r ha en egen avtale med Feide. Hvis UiO f?r en egen dedikert tjeneste, for eksempel som en egen tenant, eller on-prem, kan UiO selv h?ndtere det avtale- og forvaltningsmessige med Feide, men tjenesten m? fremdeles st?tte de tekniske kravene til Feide. Utdyp om Leverand?r har egen avtale med Feide, eventuelt hva som er planen for en slik avtale. Eventuelt, hvis Leverand?r ikke ?nsker ha avtale med Feide, beskriv hva Kunde m? gj?re for ? koble opp tjenesten mot Feide selv, og hvordan vi kan administrere dette.
    • Tjenesten skal hente ut relevante opplysninger (for eksempel brukernavn) fra Feides informasjonsmodell. Beskriv hvilke personopplysninger tjenesten henter ut, og hva de brukes til.
  • Hvis tjenesten skal begrenses til et utvalg personer, for eksempel bare studenter eller bare ansatte p? ett fakultet (ofte grunnet lisenskostnader):
    • Tjenesten skal kunne begrense tilgangen til funksjonalitet, blant annet hvis tilgangen medf?rer ekstra kostnader for UiO.
    • Adgangsbegrensningen B?R gj?res basert p? attributter fra SSO-innloggingen. Noen eksempler:
      • Attributtet eduPersonAffiliation kan brukes til ? isolere studenter eller ansatte
      • Attributtet eduPersonEntitlement kan brukes til mer fingranulert tilgangsstyring, der UiO bestemmer hvem som skal ha tilgang
      • Attributtet eduPersonOrgUnitDN kan brukes til ? isolere personer fra en gitt enhet
      • Attributtet origin forteller hvor brukeren kommer fra (UiO, Feide eller WebID), og kan brukes til ? filtrere bort grupper som ikke skal med.
  • Hvis tjenesten trenger ? bli populert med personopplysninger for ? kunne bruke funksjonalitet, trenger vi detaljer om dette. Hvis dette medf?rer bruk av API trenger vi ogs? dokumentasjon til dette API-et.
  • Har Tjenesten muligheter for lokale brukerkontoer? Beskriv hvordan disse h?ndteres, hvordan vi som Kunde kan administrere de, og spesielt hvordan eventuelle passord h?ndteres.
Publisert 25. juni 2025 11:25 - Sist endret 22. aug. 2025 09:20
Del p? e-post