3. www.iktsenteret.nowww.iktsenteret.no
Feide med sterk autentisering
• Skoleeier kan tilby Feide med tofaktor
• Kun for lærere
• Nasjonalløsning klar til bruk fra 15.oktober 2015
• Brukernavn og passord + tilleggsfaktor
• SMS,
• Godkjennerklient basert på (Google Authenticator)
• ID-porten (ikke klart til 15.oktober)
– Anbefales ikke i nåværende form
5. www.iktsenteret.nowww.iktsenteret.no
Erfaringer fra pilot
• Ja, Feide med to-faktor er en god
løsning
– Enkelt med SMS
– Enklere med Google Authenticator
• ID-porten – godt alternativ på sikt
• Gode praktiske løsninger for
utstedelsesprosess viktig
• Gode tekniske løsninger i BAS viktig.
6. www.iktsenteret.nowww.iktsenteret.no
Hva må gjøres?
• Vurdere behov ut i fra:
• Datatilsynets rapport
• Interne risikovurderinger
• Teknisk utvidelse av BAS (Feidemotor)
• norEDU v. 1.6
• Etablere rutiner for utstedelse av ID
• Sikkerhetsnivå 3 eller 4 – eksempel
7. www.iktsenteret.nowww.iktsenteret.no
Vurderinger – sterk autentisering
• Datatilsynet
• Har pålagt høyere sikkerhet på innlogging fra
eksterne nett og elevnett.
• Risikovurderinger
• Vurderingsverktøy, kartleggingsverktøy + +
– SAS og LMS osv
• Er sterk autentisering beste alternativ?
9. www.iktsenteret.nowww.iktsenteret.no
Teknisk utvidelse - norEDU 1.6
• To nye felt – knyttet til Feide m/sterk
autentisering
1. norEduPersonServiceAuthnLevel
a) Registrering av eventuelle enkelt tjenester?
b) Registrering av alle tjenester?
2. norEduPersonAuthn Method
a) Hvilken tofaktormetode skal brukerne benytte?
https://www.feide.no/sites/feide.no/files/documents/go_attributter.pdf
11. www.iktsenteret.nowww.iktsenteret.no
Etablere rutiner for utstedelse
• Sikkerhetsnivå 3 eller 4?
• Utsendelse til postkasse?
• Fysisk oppmøte?
• Autorisasjon av utstedere
• Dokumentasjon av kompetanse hos dem som deler
ut
• Verifisering av utstedelse
• Dokumentering av utdelt ID
12. www.iktsenteret.nowww.iktsenteret.no
Eksempel fra Buskerud FK
• Bakgrunn/begrunnelse
• ID-tyveri av lærerID
• Avvik fra datatilsynet
• Gjennomført i pilot
• Autorisasjon av utstedere
• Rutiner for utstedelse av ID
• Ansatte sitt mobilnummer
– Registrert i personalsystem
– Kvalitetssikret i personalsystem