Kapittel 9: Brukere og deres tilgang til IT-tjenestene

Studenter og tilsatte ved Universitetet i Oslo tildeles en brukerkonto p? grunnlag av informasjon om den enkelte i universitetets autoritative systemer. Brukerkontoer benyttes til identifikasjon, autentisering og autorisering.

For bruk av slike brukerkontoer og tilgangen den gir til IT-tjenestene og IT-systemene ved universitetet, skal det foreligge klare bestemmelser knyttet til arbeidsavtaler, taushetsplikt, sikkerhetsklarering med mer. Det skal eksistere tilbud om oppl?ring av de ulike gruppene for ? sikre n?dvendig kompetanse innen IT- og informasjonssikkerhet.

9.1 Definisjoner

Med  ?IT-brukere? menes alt personell som skal ha tilgang til IT-tjenestene og IT-systemene ved Universitetet i Oslo. Dette omfatter f?lgende brukergrupper:

  • Studenter og tilsatte ved universitetet
  • Tilknyttede brukere (gjesteforskere o.l.)
  • Brukere tilknyttet universitetet gjennom avtaler (emeriti, randsoner o.l.)
  • Gjestebrukere
  • Representanter for tredjepart (konsulenter, servicepersonell, utviklere o.l.)

Med ?tilgang? menes brukerrettigheter i bred forstand, vanligvis gitt med UiO-brukernavn og passord, men ogs? tjenester som: 

  • Educloud
  • TSD
  • Adgangskort
  • Biblioteksressurser
  • Bruker i UH-sak som ekstern saksbehandler
  • Brukerkonto i RT som ekstern innmelder

9.2 Flere typer tilgang til tjenestene

Det finnes fire hovedtyper tilgang til UiOs IT-tjenester:

  1. Tilgang som gis til ansatte og studenter.
  2. Tilgang for personer som har tilknytning til UiO, for eksempel gjesteforskere. Disse f?r tilgang til ytterligere IT-tjenester ved ? autentisere seg med brukernavn og passord tildelt av UiO.
  3. Tilgang for personer som h?rer til andre institusjoner. Disse f?r tilgang til et begrenset sett med IT-tjenester ved ? autentisere seg med personlig brukernavn og passord tildelt av personens hovedinstitusjon (ikke UiO).
  4. Tilgang for personer som ikke har spesiell tilgang, for eksempel det generelle publikum som bruker UiOs web-tjenester.

Personers generelle tilgang til universitetets IT-ressurser tildeles p? grunnlag av deres tilknytning til universitetet og reguleres av IT-reglementet. Denne tildelingen skjer vanligvis automatisk. Manuell tildeling skal kun utf?res unntaksvis.

9.3 Brukerkontoen kommer med ansvar

Alle som f?r tildelt et brukernavn og passord for ? f? tilgang til IT-tjenestene og IT-systemene p? universitetet skal gj?res kjent med IT-reglementet. Det skal samtidig opplyses om hvilke konsekvenser brudd p? IT-reglementet kan f? for den enkeltes tilgang til IT-tjenestene.

9.4 Brukerkonto og e-post

Til alle brukerkontoer skal det v?re knyttet en e-post-adresse. Vanligvis vil dette v?re en intern e-post-adresse som naturlig f?lger med kontoen og er driftet av UiO. Unntaksvis vil dette v?re en ekstern e-post-adresse. Til denne adressen vil det kunne bli sendt viktige beskjeder, og e-postene skal leses av den eller de som er ansvarlige for kontoen.

9.5 Identitetsforvaltning

Identitetsforvaltning ved Universitetet i Oslo skal normalt skje i det brukeradministrative systemet (BAS) Cerebrum p? vegne av alle IT-tjenester og IT-systemer. Dette systemet leverer autentiseringsinformasjon til de autentiseringstjenester som benyttes og autoriseringsinformasjon til IT-tjenester og IT-systemer som krever det. Unntak fra dette skal behandles etter egne regler for unntaksh?ndtering.

Tjenester som Educloud og TSD bruker separate BAS-instanser, blant annet fordi de ogs? brukes av eksterne kunder.

9.5.1 Autentisering

Brukeren identifiserer seg overfor universitetets IT-tjenester og IT-systemer med sitt brukernavn og autentiseres med passordet. Dette skal skje over en kryptert forbindelse.

Det er krav om bruk av tofaktor- eller flerfaktorautentisering (MFA) for alle tjenester i bruk p? UiO, alle unntak skal godkjennes av IT-direkt?ren. Noen tjenester er ekstra sensitive og stiller st?rre krav til autentisering.

Ekstern autentisering av andre brukere av IT-tjenester og IT-systemer ved Universitetet i Oslo skal skje via godkjente autentiseringstjenester (EduRoam, FEIDE, Dataporten, ID-porten eller MFA via Azure).

9.5.2 Autorisasjon

Autorisasjon inneb?rer ? gi brukere bestemte rettigheter i en tjeneste eller et system. Dette er den enkelte tjenestes og det enkelte systems ansvar. Tilganger b?r i st?rst mulig grad tildeles automatisk basert p? kildedata fra HR-systemer.

Der det ikke finnes automatikk, s? skal det finnes gode og skriftlige rutiner for administrasjon av rettigheter.

9.6 Autoritative kilder til personinformasjon

Informasjon om personer som skal ha ordin?r tilgang til universitetets IT-tjenester og IT-systemer skal v?re registrert i f?lgende autoritative systemer:

  • SAPDF? – Universitetets personal- og l?nnssystem
  • FS – Felles studentsystem
  • GREG – System for gjestebrukere
  • ROLF – Sektorverkt?y for systematisk bruk av roller

Informasjonen i disse systemene skal v?re kilde til informasjonen i universitetets system for brukeradministrasjon (BAS), – Cerebrum. I tillegg til informasjon om personer inneholder disse systemene ogs? informasjon om disse personers organisatoriske tilknytning til universitetet (sted) og deres funksjon (rolle).

Tilgang til universitetets IT-tjenester og IT-systemer for andre enn tilsatte og studenter skal v?re hjemlet i eget reglement eller i egen kontrakt.

9.7 Kategorier av brukerkontoer

Universitetet i Oslo deler inn de som f?r brukerkonto i f?lgende kategorier:

9.7.1 Tilsatte

Tilsatte er personer med stilling og arbeidsavtale, og ikke kategoriene ?eksterne med utbetaling (bilagsl?nnede)? og ?eksterne uten utbetaling (gjester)?. Tilsatte i s? vel vitenskapelige som teknisk-administrative stillinger ved universitetet blir tildelt brukerrettigheter p? grunnlag av registrerte opplysninger om vedkommende i universitetets l?nns- og personalsystem (SAPDF?). Ved tilsetting skal det i arbeidsavtalen v?re en referanse til IT-reglementet med p?legg til den nytilsatte om ? sette seg inn i dette, inkludert bestemmelser om etablering og avvikling av brukerrettigheter knyttet til statusen som ansatt p? universitetet og ? gj?re seg kjent med web-sider om IT-sikkerhet. Underskrevet arbeidsavtale er bekreftelse p? at vedkommende er innforst?tt med dette.

Brukere som f?r tildelt rettigheter til universitetets IT-tjenester og IT-systemer p? grunnlag av en oppdragskontrakt skal registreres i SAPDF?. Kontraktsl?nnede f?r ikke automatisk tildelt en IT-konto - hvis de skal ha det m? de ogs? registreres i GREG med en gjestetype som gir rettigheter slik de er spesifisert i kontrakten. 

9.7.2 Studenter

Studenter tildeles brukernavn og passord p? grunnlag av registrering i FS – Felles studentsystem. Ved utlevering av brukernavn og passord skal studentene bli gjort tydelig oppmerksom p? eksistensen av IT-reglementet og plikten vedkommende har til ? sette seg inn i dette, referanse til web-sider om IT-sikkerhet, samt rutinene knyttet til etablering og avvikling av brukerrettigheter knyttet til statusen som student.

9.7.3 Tilknyttede

Tilknyttede, ogs? kalt gjester, er brukere som f?r tildelt begrensete rettigheter for en begrenset periode, for at den tilknyttede kan l?se bestemte oppgaver. Tilknyttede skal alltid registreres i GREG, og skal alltid ha en sponsor eller vert. Tilknyttede og verter har plikter og rettigheter som er regulert i et eget LSIS-tillegg om gjestebrukere.

9.7.4 Manuelt registrerte brukerkontoer

Manuelt registrerte brukerkontoer er kontoer som registreres direkte i brukeradministrasjonssystemet eller andre systemer og f?r tildelt rettigheter gjennom dette. Slik registrering skal kun skje etter godkjenning og utf?res kun av IT-avdelingen.

9.7.6 Privilegerte brukerkontoer

Disse har spesielle rettigheter i IT-systemene, og regler er beskrevet i kapittel 9.8.

9.8 Privilegerte brukerkontoer

Kontoer med spesielle rettigheter omfatter flere kategorier privilegerte kontoer:

  • Kontoer med rot- eller administratorrettigheter p? maskiner. Tildeling av slike rettigheter skal begrenses til det h?yst n?dvendige, og skal v?re grunnet i tjenestelige behov.
  • Kontoer med spesielle privilegier i tjenester, systemer og applikasjoner (‘superbrukere’). Tildeling av slike rettigheter skjer kun etter avtale med tjeneste- eller systemeiere

Spesielle rettigheter skal s? langt det er mulig tildeles separate og form?lsspesifikke brukerkontoer.

 

9.8.2 Hvem f?r tilganger?

Slike kontoer skal kun tildeles til IT-tilsatte knyttet til drift, utvikling og annen tilrettelegging av IT-tjenester og IT-systemer ved Universitetet i Oslo.

Slike IT-ansatte omfatter to grupper:

  • Tilsatte ved IT-avdelingen
  • Lokale IT-ansvarlige og andre IT-tilsatte ved grunnenheter p? universitetet

I arbeidsavtalen skal IT-tilsatte i tillegg til informasjonen som gis ordin?re tilsatte p? universitetet (jf ovenfor) ogs? undertegne en taushetserkl?ring. IT-direkt?ren avgj?r om det for enkelte stillinger vil v?re p?krevd med sikkerhetsklarering.

IT-direkt?ren er ansvarlig for at IT-ansatte med et spesielt ansvar for IT- og informasjonssikkerhet har den n?dvendige kompetanse til ? l?se oppgavene.

9.8.3 Privilegerte tilganger for eksterne konsulenter og adgang for tredjepart

Konsulenter, representanter for leverand?rer og annen tredjepart f?r tilgang til aktuelle IT-tjenester og IT-systemer ved behov. Denne tilgangen skal v?re regulert i kontrakt. Ved tildeling av brukernavn og passord skal disse brukerne gj?res kjent med IT-reglementet og plikten til ? etterleve dette ved bruken av universitetets IT-ressurser.

Tilgang gis henholdsvis ved egne verkt?y som gir granulert tilgang, gjerne kombinert med overv?kning av sesjonen.

9.8.4 Prinsippet om laveste grad av privilegier

En brukerkonto skal ikke gis flere privilegier enn det som til enhver tid er n?dvendig. Tilganger som kun trengs i kort tid, b?r s?kes om og gis midlertidig i hvert enkelt tilfelle.

9.9 Upersonlige brukerkontoer

Et viktig prinsipp er at alle brukerkontoer ved universitetet skal v?re knyttet til en person eller en ansvarlig enhet. Noen kontoer er i sin natur ikke slik, og m? behandles spesielt. Det skal minimeres hvor mange som har tilgang til en upersonlig konto, og hvor denne kan benyttes fra.

9.9.1 Krav til dokumentasjon og rutiner

Rutiner for hvordan tilganger til upersonlige kontoer h?ndteres, skal v?re dokumentert. Beskrivelsen skal minimum inneholde:

  • Rutiner for passordskifte
  • Oversikt over hvem som har tilgang til kontoen
  • Rutine for jevnlig revisjon av tilganger til kontoen
  • Rutine for fratredelse eller bytte av rolle

9.9.2 Lokale brukerkontoer

Med ?lokale brukerkontoer? menes brukerkontoer som er registrert lokalt p? en datamaskin eller i en IT-tjeneste.

  • Nye lokale brukerkontoer skal registreres kun unntaksvis, og antall slike kontoer skal begrenses til et minimum.
  • Dersom operativsystemet kommer med slike kontoer aktivert, skal de sperres eller deaktiveres med mindre IT-tjenesten som kj?rer p? maskinen krever at den er aktivert.
  • Noen operativsystemer leveres med gjestekontoer. Det skal verifiseres at lokale gjestekontoer er sperret, uten kjent passord og uten privilegier.

9.9.3 Systemkontoer

P? servere finnes det ofte systemkontoer, egne brukerkontoer spesielt laget for ? kj?re tjenester eller applikasjoner. Disse brukerkontoene har ofte mange rettigheter og det inneb?rer en del jobb og planlegging for ? skifte passord p? dem.

  • Dersom det er mulig, skal systemkontoer hindres i ? logge inn eller p? andre m?ter konfigureres slik at passordet ikke brukes.
  • P? Windows skal GMSA-kontoer brukes hvis mulig
  • Systemkontoer skal settes opp med s? lite rettigheter som praktisk mulig, slik at skaden ved et tap av passord er minimal.
  • Systemkontoer skal navngis og merkes p? en slik m?te at det g?r tydelig frem hva de benyttes til og hvem som er ansvarlig for kontoen. Den ansvarlige b?r v?re en gruppe eller en enhet, ikke en person.
  • Systemkontoer skal videresende e-post som sendes til kontoen. E-posten skal videresendes til e-post-listen til den gruppen eller enheten som er ansvarlig for systemkontoen.

9.9.4 Felleskontoer

Det finnes av historiske ?rsaker kontoer som brukes av flere personer samtidig. Bruk av slike kontoer skal begrenses til et minimum. Det skal alltid v?re en ansvarlig person eller enhet for felleskontoer. Det skal v?re mulig ? spore hvem som har benyttet en felleskonto.

Slike kontoer skal ikke lages uten tillatelse fra IT-sikkerhetssjef. 

9.10 Avvikling av brukerkontoer

F?lgende gjelder for avvikling av brukerrettigheter n?r en brukers tilknytning til universitetet avsluttes:

  • Utvidede rettigheter skal avvikles umiddelbart.
  • Ansatte og studenter mister tofaktorlisens n?r en tilknytning fjernes. Det betyr at alle brukerrettigheter i utgangspunktet er borte umiddelbart etter fjerning av tilknytning. Ansatte eller studenter som en enhet ?nsker fortsatt 欧洲杯在线买球_欧洲杯投注网站推荐@ med, skal enheten registrere som tilknyttet bruker.
  • Rettigheter knyttet til brukere etablert med hjemmel i kontrakt avvikles ved kontraktens utl?p.
  • Tilknyttede brukeres rettigheter avvikles automatisk etter en gitt tidsperiode p? maksimalt fem ?r, avhengig av type tilknytning. Rettigheter kan fornyes. Merk at begrepene "tilknyttede" og "gjester" av og til brukes om hverandre.
  • Manuelt registrerte brukere skal ha tidsbegrensete rettigheter og disse avvikles umiddelbart etter dette.

9.10.1 Brukerens ansvar

Bruker er selv ansvarlig for ? hente ut sine private data fra alle UiOs systemer f?r tilganger utl?per ved fratredelse. Merk at UiO ikke leverer ut data etter endt tilknytning til universitetet. 

Merk at kun private data kan hentes ut, og data som tilh?rer UiO ikke skal tas med videre etter fratredelse. Data fra hjemmeomr?der og e-post kan ikke hentes ut uten at det gj?res en vurdering av eierskap. 欧洲杯在线买球_欧洲杯投注网站推荐@sdata er UiOs eiendom, og kan kun hentes ut dersom det gis tillatelse fra enhetstledelsen.

9.11 Tilleggene

IT-reglementet

Rutine for avvikling av privilegerte kontoer

Krav til passord

Beregning av kompleksitet i passord p? UiO

Regler for passord for privilegerte brukere

Spesielt om driftsbrukere

 

Publisert 28. feb. 2017 13:17 - Sist endret 8. mai 2024 10:33
Del p? e-post