Høsten 2020 startet vi et pilotprosjekt som gjør det mulig å benytte Microsoft-kontoer til å logge på tjenester som bruker Feide som innloggingsløsning.
Vi jobber nå med å videreutvikle piloten for å kunne sette at brukeren er sterkt autentisert (nivå 3) og at man kan slå av "Feide-innloggingsfeltene".
Mulighet for å sette sterk autentisering nivå 3
For å få en tilsvarende sterk autentisering (nivå 3) må det innføres en ny verdi for sterk autentiseringsmetode som signaliserer til oss at både to-faktor er brukt og to-faktormetoden er utlevert i henhold til retningslinjene for nivå 3. Man kan selvsagt bruke fler-faktorautentisering (MFA) uten nivå 3, men da får vi ikke signalisert det til tjenestene. På sikt håper vi at vi kan signalisere autentiseringsnivå og utleveringsnivå som separate verdier, men det er en større omlegging både for oss og for tjenester som skal benytte informasjonen til tilgangskontroll m.m.
Nedenfor beskrives det som må gjøres i Entra ID og Feide-LDAP for å få sterk autentisering (nivå 3) med Entra ID (tidligere Azure AD) i piloten. Endringer vil kunne komme før dette går i produksjon.
Using Entra ID for strong authentication (Security level 3)
Host organizations can use Entra ID to implement multifactor and strong authentication at level 3 in Feide. This requires the organization to have enabled logging into Feide using Entra ID and requires the organization to have provisioned multifactor authentication in Entra ID. Once that is configured, you can allow a user to use Entra ID for level 3 authentication by adding the `norEduPersonAuthnMethod` attribute to the user in your LDAP user directory:
norEduPersonAuthnMethod: urn:mace:feide.no:auth:method:azuread -
This flag indicates that the user has had their identity verified and that the multifactor authentication method has been provisioned to the user securely.
The requirements and guidelines for level 3 authentication with Entra ID are the same as for the other level 3 authentication methods in Feide. All level 3 authentications must satisfy identity proofing and authentication requirements in "Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor" ( https://www.regjeringen.no/no/dokumenter/rammeverk-for-autentisering-og-uavviseli/id505958/ )
Om både LDAP-attributtet for utlevering av konto og autentiseringsmetoder er satt og MFA er brukt ved autentisering på Microsoftkonto for jobb og utdanning (Entra ID) vil vi sette nivå 3 på innloggingen.
Merk at vi holder på å kode dette i pilotimplementasjonen nå, så det er ikke 'live' ennå. Målet er at dere skal kunne benytte begge de to nye funksjonalitetene i løpet av juni.
Mulighet til å slå av autentisering med Feide så bare Entra ID brukes
Et innspill som har kommet i piloten er muligheten til å slå av autentisering med Feide (brukernavn/passord-feltet) så bare Entra ID brukes. Dette betyr altså at sluttbrukere ikke kan logge inn med sin vanlige konto i Feide-katalogen, men alltid må benytte Microsoftkonto.
NB! Dette er en pilot så dersom det oppstår situasjoner som gjør at vi må prioritere produksjonsfunksjonalitet vil pilotene om nødvendig slås av på kort eller intet varsel. Om sluttbrukerne ikke kjenner passordet på kontoen i Feide-katalogen kan de stå uten mulighet for innlogging.
Planen er at dette skal være klart før sommeren.
For spørsmål ta kontakt på kontakt@sikt.no