Styringsregler for autentisering

Her finn du f?ringane for kva autentiseringsl?ysing du som systemeigar b?r bruke, dersom tenesta di treng p?logging og skal brukast av UiO-brukarar. F?ringane legg vekt p? god brukaroppleving og god sikkerhet. F?ringane er sist beslutta av IT-dir 27. februar 2024.

Merk at ny weblogin-l?ysing er under utvikling, s? ikkje alt som er anbefalt her er i produksjon per mars 2024.

Oppsummert

  1. Dersom tenesta di har UiO-brukarar som si prim?re, eller einaste, m?lgruppe, skal tenesta benytte weblogin for autentisering. Unntaket er eksterne tenester som det er for kostbart ? sette opp SSO mot weblogin.
  2. Dersom tenesta di er ei sektorteneste, b?r tenesta bruke Feide for autentisering.
  3. Dersom tenesta di verken st?tter OIDC eller SAML via weblogin eller Feide, m? du f? unntak fr? IT-sikkerhet for di teneste. Dette er til d?mes tenester som ikkje st?tter SSO, men behandler brukarane sine passord direkte, og sl?r opp i LDAP eller AD.

Dersom tenesta di st?tter p?logging med Entra ID (AzureAD), skal du likevel f?rst pr?ve ? bruke weblogin eller Feide. Dette gjeld spesielt ved anbud, der weblogin/Feide b?r st? som krav. SSO via AzureAD er tillatt dersom det er for dyrt ? ta I bruk weblogin/Feide, men vit at det har nokre konsekvenser for UiO som heilhet.

Autentiseringstenestene

Weblogin

Weblogin er UiO si eiga autentiseringsl?ysing, som k?yrer on-prem, og st?tter blant anna OIDC og SAML2, tilsvarande Feide. Det er fleire grunnar til at UiO har satt opp ei eiga l?ysing, b?de for ? forenkle brukaropplevinga for sluttbrukarane, men ogs? for ? ha meir kontroll og innsikt og mindre avhengighet til tredjepartsleverand?rar. Med weblogin kan vi ogs? sette opp ny p?loggingsfunksjonalitet meir fleksibelt enn vi kan med eksterne akt?rer. Ulempene med weblogin er at den er lokal for UiO, som gjer at brukarar fr? andre institusjonar vil f? eitt ekstra steg i p?logginga, og det er ikkje n?dvendigvis alle skytenester som st?tter anna enn til d?mes Feide.

D? weblogin k?yrer on-prem, og st?tter p?logging for driftsbrukarar, gir den ogs? mulighet for ? brukast i driftstenestene til UiO. B?de fordi all trafikk kan g? internt i UiO sin infrastruktur, og fordi den reduserer avhengigheten til tredjepartar.

Vi anbefaler weblogin:

  • For driftskritiske on-prem system (med driftsbrukarar)
  • For tenester som har UiO-brukarar som si prim?re m?lgruppe.
  • For meir s?re behov, til d?mes andre attributtar eller filtrering av brukargrupper. Behova m? tas i dialog, d? det ikkje er n?dvendigvis alt som kan l?ysast, men vi anbefaler at det pr?vast f?r val av andre l?ysingar.

Weblogin kan ogs? brukast for sektortenester, fordi den st?tter automatisk vidaresending til Feide utan brukarinvolvering. Dette gir UiO fordelar med meir innsyn og kontroll p? innloggingane. Men vi avventer meir erfaringar med ny versjon av weblogin f?r vi anbefaler dette som ei f?ring for alle.

Dersom du skal anskaffe ei IT-teneste som skal bruke weblogin m? tenesta oppfylle krava som st?r p? sida Hvordan integrere med weblogin.

Feide

Feide er universitets- og h?gskulesektoren si prefererte autentiseringsl?ysing. Denne leverast av Sikt og tilbyr blant anna OIDC og SAML2-p?logging, og gir ogs? mulighet for ? utlevere standardiserte personopplysingar ved p?logging. D? Feide er i utstrakt bruk, er det mange tenesteleverand?rar som allereie st?tter SSO via Feide.

Vi anbefaler Feide for sektortenester, som betyr tenester som fleire institusjonar skal bruke jamnbyrdes. Det kan ogs? vere kost-nytte-vurderingar som tilseier at skytenester kan bruke Feide dersom det er for kostbart ? bruke weblogin.

Dersom du skal anskaffe ei IT-teneste som skal bruke Feide m? tenesta oppfylle krava som st?r p? sida Adding Feide login to a service.

Microsoft Entra ID (Azure AD)

Entra ID, eller gamle Azure AD, er ei skyteneste fr? Microsoft som tilbyr SSO for tenester. Fordelen med denne skytenesta er at mange tenester har innebygd st?tte for ? bruke SSO fr? Microsoft, som gjer det billegare ? f? p? plass SSO. I tillegg har dei fleste institusjonar ogs? tatt i bruk Entra ID, som gjer det tilsvarande utbredt som Feide.

Ulempene med Entra ID er at du f?r med f?rre personopplysingar i p?logginga, og det er ikkje standardisert mellom ulike tenants. Det er heller ikkje sikkert at alle UiO-brukarar vil ha ein brukarkonto i UiO sin tenant i Entra ID i framtida, blant anna grunna lisenskostnadar. UiO har ikkje mulighet for ? sperre at eksterne tenester set opp p?logging mot v?r tenant, s? lenge UiO-brukaren gir samtykke, som er juridisk uheldig ettersom UiO er ansvarleg for delinga av personopplysingane.

Vi anbefaler difor ? ikkje bruke Entra ID for p?logging, men prioritere Weblogin/Feide. Unntaket er der systemeigar har gjort ei kost-nytte-vurdering, og sett at det er altfor kostbart ? f? SSO med weblogin eller Feide for tenesta. I slike tilfeller er EntraID ei rimeleg l?ysing, men for UiO som heilhet er konsekvensen at vi vert meir avhengig av ein tredjepart. Denne vurderinga m? dokumenterast.

Katalogar (OpenLDAP og AD)

LDAP, enten fr? OpenLDAP eller ActiveDirectory, er katalogar med personopplysingar, og som kan brukast for ? sjekke at eit oppgitt passord er korrekt for ein brukarkonto. For ? bruke LDAP for p?logging treng tenesta ? behandle brukaren sitt passord, som er sikkerhetsmessig veldig uheldig. I tillegg f?r du ikkje st?tte for SSO mellom tenester.
Vi frar?der ? sette opp autentisering mot LDAP. Dei fleste oppeg?ande tenester i dag har st?tte for ein eller annan form for SSO. Dersom du har ei l?ysing som ikkje har mulighet for ? st?tte anna enn lokal behandling av passord, m? du ta dette i dialog med IT-sikkerhet, og dei m? godkjenne at tenesta kan handtere brukarkontoar sine passord.

Versjonering

Versjon Dato Kommentar
1.0 01.06.2017 F?rste versjon lagt ut.
1.1 25.11.2019 Dataporten tatt bort, d? den er sl?tt saman med Feide
2.0 01.03.2024

Revidering i samanheng med ny weblogin-l?ysing. Weblogin framleis prioritert. EntraID er lagt til. Autentisering vha. LDAP er blitt unntak som m? godkjennast av IT-sikkerhet. Beslutta av IT-dir 27. februar 2024.

Publisert 1. juni 2017 09:41 - Sist endret 28. okt. 2024 16:18