Aktivere sterk autentisering

Feide tilbyr ulike løsninger for sterk autentisering. Før en vertsorganisasjon kan ta i bruk sterk autentisering gjennom Feide, er det flere oppgaver som må løses lokalt hos vertsorganisasjonen. Prosessen for innføring av sterk autentisering er beskrevet og illustrert nedenfor.

Bestill sterk autentisering

Sterk autentisering bestilles i Feides kundeportal

Når vi har mottatt søknaden fra kundeportalen sender vi ut en kontrakt som du må signere og returnere til oss. Vi vil da gi tilgang til å aktivere sterk autentisering for organisasjonen, også må du velge hvilke(n) metode dere ønsker å bruke, hvilke brukergrupper og på hvilke tjenester dere ønsker sterk autentisering.

Velg metode for sterk autentisering

Feide tilbyr følgende metoder for sterk autentisering:

  • Engangspassord på SMS
  • Kode via godkjenner-applikasjon
  • ID-porten
  • Microsofts arbeids- eller skolekonto med flerfaktor-autentisering (Entra ID)

Vertsorganisasjonen kan selv avgjøre hvilke av disse dere skal tilby, og eventuelt om flere skal tilbys.

Avhengig av sterk autentiseringsmetode og om sterk autentisering skal defineres på enkeltpersoner, må attributter registreres på brukeren lokalt i brukerkatalogen. Les mer om tekniske betingelser under Legg til attributter for brukere.

Sterk autentisering med engangspassord på SMS

Sluttbruker må benytte mobiltelefon til å motta engangspassord ved innlogging. Vertsorganisasjonen belastes de løpende kostnadene Feide har ved å sende ut SMS til brukere ved vertsorganisasjonen. Rutine for registrering må verifisere at oppgitt mobilnummer tilhører sluttbruker.

Sterk autentisering med godkjenner-applikasjon

For å bruke denne metoden må sluttbruker benytte en applikasjon som støtter en bestemt implementasjon av tidsbaserte engangspassord.

Noen klienter som vi vet fungerer er:

  • 1Password – One-Time Password
  • Duo Mobile
  • Google Authenticator
  • Microsoft Authenticator
  • Yubico Authenticator med YubiKey

Det er ingen løpende kostnader knyttet til bruken av denne metoden. Rutine for registrering må sørge for at hemmelig nøkkel blir lagt inn på sluttbrukerens klient.

Sterk autentisering med ID-porten

Sluttbruker må benytte innlogging med ID-porten for å motta engangspassord ved innlogging.

  • MinID med engangskode fra SMS eller PIN-kodebrev
  • BankID med engangskode fra kodebrikke, app, skrapekort eller SMS-tjeneste fra bank
  • BankID på mobil med engangskode fra app
  • BuyPass ID med Mobil med engangskode fra passord/SMS eller mobilapp

Vertsorganisasjonen belastes de løpende kostnadene for innlogginger ved vertsorganisasjonen som gjøres via ID-porten.

Sterk autentisering med Microsofts arbeids- eller skolekonto

Sluttbruker må benytte innlogging med Microsoft arbeids- eller skolekonto med flerfaktor-autentisering (MFA).

Rutine for registrering må verifisere at innloggingsfaktorene er utlevert til riktig person. Det er ingen løpende kostnader knyttet til bruken av denne metoden.

Legg til attributter for brukere

Avhengig av sterk autentiseringsmetode og om sterk autentisering skal defineres på enkeltpersoner, må du registrere attributter på brukeren lokalt i brukerkatalogen.

SMS, Godkjenner-klient og Microsofts arbeids- eller skolekonto krever at du registrerer følgende attributt for å knytte metoden for sterk autentisering til brukeren:

  • norEduPersonAuthnMethod

Sterk autentisering kan også aktiveres på enkeltpersoner. Dette styres utenfor Feides kundeportal og defineres i lokal i brukerkatalogen ved at du registrerer følgende attributt:

  • norEduPersonServiceAuthnLevel (valgfritt): for å sette hvilke tjenester som skal ha sterk autentisering på enkeltperson-nivå 
Hvilken informasjon er obligatorisk å registrere?

For engangskode via SMS og godkjenning-klient må du registrere attributtet norEduPersonAuthnMethod på brukerne. For ID-porten slipper du å registrere informasjon hvis ikke sterk autentisering styres på enkeltperson-nivå.

Attributtet forteller hvilken metode som kan benyttes og annen informasjon som mobilnummer som SMS engangskode skal sendes til og/eller hemmelig nøkkel knyttet til Godkjenner-klient.

Nedenfor er informasjon om hva som er mulig å registrere informasjon inn i norEduPersonAuthnMethod attributtet:

  • Informasjon om verifisert mobiltelefonnummer (dersom vertsorganisasjonen skal tilby sterk autentisering med bruk av engangspassord via SMS)
norEduPersonAuthnMethod:  
urn:mace:feide.no:auth:method:sms +<Landskode><mobilnummer> label=<valgfri tekst > 
urn:mace:feide.no:auth:method:sms +4712345678 label=<valgfri tekst> 
  • Hemmelig nøkkel knyttet til Godkjenner-klient (dersom vertsorganisasjonen skal tilby sterk autentisering med bruk av Godkjenner-klient)
norEduPersonAuthnMethod: urn:mace:feide.no:auth:method:ga <kryptert hemmelig nøkkel> label= 
  • At flerfaktor-autentisering er tilgjengelig for Microsoft arbeids- eller skolekonto og utlevert på riktig måte
norEduPersonAuthnMethod: urn:mace:feide.no:auth:method:azuread -

Les mer i vår tekniske dokumentasjon om hvordan du skal registrere attributter for sterk autentisering

Sterk autentisering på enkeltbruker

Sterk autentisering kan aktiveres på enkeltbruker-nivå hvis det er behov for at kun noen brukere skal logge inn med sterk autentisering, og ikke alle ansatte.

Sterk autentisering på enkeltbrukere styres utenfor Feide. Det legges inn på hver enkelt bruker lokalt i brukerkatalogen til vertsorganisasjonen ved å registrere attributtene norEduPersonServiceAuthnLevel. Du kan enten registrere at brukere må logge inn på alle tjenester som krever sterk autentisering eller på én spesifikk tjeneste.

Eksempel på hva som må registreres i norEduPersonServiceAuthnLevel:

  • Aktiver sterk autentisering for alle tjenester:
norEduPersonServiceAuthnLevel:urn:mace:feide.no:spid:all urn:mace:feide.no:auth:level:fad08:3 (aktiver sterk autentisering for alle tjenester) 
  • Aktiver sterk autentisering for tjeneste med eksempel-ID 123
norEduPersonServiceAuthnLevel:urn:mace:feide.no:spid:123 urn:mace:feide.no:auth:level:fad08:3

Du finner tjeneste ID-en i Feides kundeportal til venstre på tjenestevisningen, eller til venstre på tjenesteoversikten på feide.no.

Les mer i vår tekniske dokumentasjon for hvordan du skal registrere attributter for sterk autentisering (docs.feide.no)

Test om sterk autentisering fungerer

Vi anbefaler å teste om sterk autentisering fungerer på noen få brukere før det aktiveres for hele målgruppen og på alle tjenester. Slik unngår du at hele organisasjonen blir utestengt fra tjenester de benytter.

Hvordan tester jeg om sterk autentisering er aktivert for en bruker?

Brukeren kan selv teste om to-faktor er satt opp ved å logge inn på Feides tofaktor-test

Hvis brukeren har satt opp to-faktor, vil du få opp «Two-factor authentication is working». I tillegg vil du se personlig ID hos vertsorganisasjonen (eduPersonPrincipalName) og Tillitsnivå for autentisering (eduPersonAssurance).

"Two-factor authentication is working! Skjermbilde"

Hvis ikke sterk autentisering er satt opp riktig, vil du få en feilmelding om at brukeren ikke støtter sterk autentisering. Les hvordan du kan feilsøke sterk autentisering i vår tekniske dokumentasjon

Hva gjør jeg om sterk autentisering ikke er satt opp riktig?

Hvis ikke sterk autentisering er satt opp riktig, vil du få en feilmelding om at brukeren ikke støtter sterk autentisering. Les hvordan du kan feilsøke feil i sterk autentisering her

"This user does not support two-factor authentication. Skjermbilde"

Hvilke tjenester og hvilke brukere skal bruke sterk autentisering?

Ansatte har tilgang til en rekke digitale løsninger, som skoleadministrative system, læringsplattformer og andre tjenester. Uten sterk autentisering vil uvedkommende kunne logge inn med bare brukernavn og passord. Det er derfor spesielt viktig å sikre innloggingen med sterk autentisering på tjenester og for brukere som har tilgang til andre elever, studenter og ansatte sine personopplysninger i disse tjenestene.

Hvordan vurderer jeg hvilke tjenester og brukere som skal bruke sterk autentisering?

Vurdering av hvilke tjenester og brukere bør være basert på en risikovurdering som vertsorganisasjonen har foretatt, og det er naturlig at personvernombudet er involvert her.

Nedenfor er noen eksempel på spørsmål som du kan stille for å vurdere hvilke brukere som logge inn med sterk autentisering.

  • Hvilke brukere har tilgang til tjenester der de har tilgang til personopplysninger om svært mange elever, studenter og ansatte?
  • Hvilke brukere har tilgang til tjenester der de kan administrere informasjon som karakterer, fravær og anmerkninger om elever?
  • Hvilke tjenester er det mulig å kontakte andre brukere eller eksterne personer via? Det er viktig å unngå at uvedkommende sender interne og eksterne meldinger på vegne av organisasjonen.
  • Hvilke brukere har administrasjonstilganger i forskjellige tjenester?
Kan elever eller studenter bruke sterk autentisering?

Ja. Elever og studenter kan benytte sterk autentisering. Tenk gjennom om det er situasjoner som f.eks. eksamen der de kanskje ikke har tilgang til enheter brukt til sterk autentisering.

Hvordan kan jeg administrere hvilke tjenester som skal bruke sterk autentisering?

Du kan velge hvilke tjenester som skal bruke sterk autentisering i Feides kundeportal

Gå til enten «Administrasjon»-fanen på den spesifikke tjenesten, eller i «Organisasjons»-fanen på «Velg tjenester som skal bruke sterk autentisering» under «Sterk autentisering».

Sterk autentisering settes på tjenesten ved å velge hvilken brukergruppe som skal logge inn med sterk autentisering.

Hvordan kan jeg administrere hvilke brukere som skal bruke sterk autentisering?

Sterk autentisering kan aktiveres for enkeltpersoner, alle ansatte eller alle brukere ved organisasjonen, på de tjenestene vertsorganisasjonen har behov for.

Sterk autentisering for enkeltbrukere styres utenfor Feides kundeportal og defineres lokalt i brukerkatalogen til vertsorganisasjonen. Se Legg til attributter for brukere

Ved å aktivere sterk autentisering for alle ansatte i en tjeneste, må alle brukere med rollen ansatt, employee i attributtet eduPersonAffiliation, logge inn med sterk autentisering. Dette gjelder alle lærere og administrative ansatte.

Ved å aktivere sterk autentisering for alle brukere i en tjeneste, må alle logge inn med sterk autentisering. Dette gjelder også elever og studenter, og ikke bare ansatte.

OBS! Hvis tjenesten skal brukes av elever/studenter, må du sørge for at de har en metode som kan generere en engangskode for sterk autentisering. Vær klar over at ID-porten som metode ikke kan benyttes for brukere under 13 år, og at de andre metodene krever at elevene har en enhet for å genere en engangskode for sterk autentisering

Informere

Når det er avklart i organisasjonen at sterk autentisering skal innføres, er det viktig at det gis god informasjon til de det gjelder om:

  • bakgrunnen for at man velger å innføre sterk autentisering
  • hvilke tjenester som vil kreve sterk autentisering
  • hvilke rutiner ansatte må gjennom for å få tildelt sterk ID
  • fra hvilken dato sterk autentisering vil være påkrevd

Starte utstedelsesprosessen

Først når en person har fått tildelt sterk ID, kan vedkommende benytte sterk autentisering for godkjenner-klient og SMS. Å tildele sterk ID kaller vi gjerne utstedelsesprosessen. Når rutiner og støtteverktøy er på plass, og organisasjonen er informert, bør utstedelsesprosessen (tildeling av sterk ID) starte.

Feides løsning for sterk autentisering skal være på nivå 3 i henholt til sikkerhetsnivåene definert i Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor (regjeringen.no).

Det betyr at Feide stiller strengere krav til rutinene for å registrere personer, verifisere deres identitet og tildele sterk ID. De nye kravene gjelder alle personer som skal ta i bruk sterk autentisering.

Det er flere måter å tilfredsstille nivå 3 i rammeverket på. Dette er blant annet nærmere beskrevet i rammeverket, kapittel 4.