Bakgrunn
Det er i dag mulig å bruke Microsoft Entra ID som innloggingsmetode til tjenester som benytter Feide.
Frem til nylig har alle Feide-tilkoblede tjenester måttet ha samme sikkerhetsnivå. Med støtte for Conditional Access (betinget tilgang) kan vertsorganisasjoner nå lage egne sikkerhetsregler for enkeltstående Feide-tjenester. Det gir mer fleksibilitet og bedre tilpasning til ulike behov.
Hva er Conditional Access?
Conditional Access er en funksjon i Microsoft Entra ID som avgjør hvordan og om en bruker får logge inn på en tjeneste.
I stedet for bare å sjekke brukernavn og passord, kan systemet også ta hensyn til ulike forhold, eller signaler, før brukeren får tilgang.
Eksempler på slike signaler er:
-
hvem brukeren er
-
hvor brukeren logger inn fra
-
hvilken enhet som brukes
-
om innloggingen vurderes som risikabel
Basert på disse signalene kan en vertsorganisasjon:
-
tillate innlogging direkte
-
kreve ekstra sikkerhet
-
nekte tilgang helt
Mer presis styring med kontekstklasser
For noen Feide-tjenester er det behov for strengere sikkerhet. Da kan man bruke det som kalles Authentication Context, eller kontekstklasser.
En kontekstklasse fungerer som en slags merkelapp på en innlogging. Den sier noe om hvilket sikkerhetsnivå som må være oppfylt for å få tilgang til en bestemt funksjon eller tjeneste.
Eksempel: En HR-ansatt som skal logge inn på en sensitiv tjeneste, kan bli pålagt å bruke en godkjent enhet, med ekstra sikker tofaktorautentisering.
Disse kravene knyttes til en kontekstklasse, og Feide sjekker om brukeren har oppfylt dem.
- Hvem administrerer kontekstklasser?
-
Kontekstklasser opprettes og administreres av vertsorganisasjonene i Entra ID. Klassene kan så sendes videre til Feide, som leser hvilke krav som er oppfylt. Feide kan hente denne informasjonen fra Entra ID ved behov.
Per i dag kan ikke vertsorganisasjoner sette opp dette selv i Feide kundeportal. Inntil denne funksjonen er på plass, kan dere ta kontakt på kontakt@sikt.no, så hjelper vi dere med å sette det opp.
- Slik fungerer løsningen i praksis
-
- Vertsorganisasjonen oppretter konktekstklasser i Entra ID.
- Vertsorganisasjonen angir hvilke konktekstklasser som kreves for en bestemt Feide-tjeneste.
- Når en bruker logger inn, sjekker Feide om nødvendige krav er oppfylt.
- Hvis noe mangler, sendes brukeren tilbake til Entra ID for ny innlogging med riktig sikkerhetsnivå.
- Når kravene er oppfylt, avgjør Feide om innloggingen godkjennes.
- Veien videre
-
Mange institusjoner krever tofaktorpålogging. Dette kan være utfordrende i enkelte situasjoner, for eksempel under eksamen, der studenter ikke kan ha med mobiltelefon.
Med bedre bruk av Conditional Access kan vertsorganisasjoner lage kontrollerte unntak, ved for eksempel å tillate innlogging uten tofaktor når studenten er koblet på et godkjent nettverk, eller en forhåndsgodkjent enhet.
Vi ser nå nærmere på om, og eventuelt hvordan, kontekstklasser kan brukes til å muliggjøre slike unntak.
