Feide-samling for administratorer 09.03.16

1. Feide samling
09.03.16
ANDRÉ STENE-LARSEN

2. Agenda
 Forberedelser
 Feidekatalog og feide sentralt
 Google Authenticator
 Konfigurasjon av Feidetjenester
 Løsningsskisse
 Oppsett (LCS)
 Hvem kan bruke DNI-løsningen?

3. Forberedelser
 Utvidelse av Feide Schema til Feide 1.6
 norEduPersonAuthnMethod
 Multivalue, SMS mobile + google auth code
 norEduPersonServiceAuthnLevel
 Multivalue, hvilke tjenester og hvilken type to-faktor. Valg av hva som brukes.
 Kartlegge hvem tjenester som skal kreve to-faktor og for hvem brukere, og
hvilket nivå (sms/google eller begge)
 Eks. Kari har tilgang til mer sensitiv informasjon enn andre og må derfor ha to
faktor.
 Kan overstyres fra Feide admin, hvor de kan spesifisere rolle, f.eks
at alle lærere på en skole skal bruke to-faktor.

4. Samhandling Feide ADM og lokal
Feide katalog

5. Google Authenticator
 Forberedelse før Google Authenticator
kan benyttes. (Per bruker)
 Hver bruker må generere sin kode
 Opsjon 1: Via Selfservice
 Opsjon 2: Via IT (sentralt)

6. Feide tjenester – konfigurasjon
 Grensesnitt for å velge hvilke tjenester som skal ha to-faktor
 Modell for tildeling f.eks via AD grupper
 Dersom kunden ikke har AD kan andre grupperinger benyttes.
 Full LCS installasjon gir høy fleksibilitet på tildeling
 Automatisk basert på informasjon fra SAS, eks. rektor skal ha to-faktor, eller
noen lærere som f.eks også har tilgang inn i sikker-sone.
 Tildeling via USP portal, leder eller IT kan f.eks styre om en ansatt skal
måtte bruke to-faktor og evt om det skal tillates kun SMS eller også
GAuth.
 Kan tildeles via selvbetjening, altså at personen selv tar stilling til
om to-faktor bør benyttes.

7. Løsningsskisse

8. Oppsett – LCS
 Installasjon og implementasjon av to-faktor modulen for LCS
 Kan knyttes opp mot rollemodul i LCS, via LCS portal eller manuelt basert
på medlemskap i AD.
 Kan kombineres med DNI brukerportal
 Gir fleksibel innføring av to-faktor autentisering

9. Hvem kan bruke DNI-løsningen?
 Kan brukes i andre miljøer enn der LCS er installert.
 Dersom feidekatalog er installert lokalt hos kunde så kan stand-alone
oppsettet vedlikeholde de to attributtene som kreves.
 Tilgang til Feidekatalogen er nødvendig og med skrive og lesetilgang til 2
attributter. Vil ikke kreve noen endring i eksisterende IDM, men krever at
Feide schema er oppgradert.
 Vil gi en enkel innføring av tofaktor, og verktøy for å administrere det

10. Kontakt
 André Stene-Larsen
 andre@dni.no
 94 24 30 24