Oppsummert
- Dersom tenesta di har UiO-brukarar som si prim?re, eller einaste, m?lgruppe, skal tenesta benytte weblogin for autentisering. Unntaket er eksterne tenester som det er for kostbart ? sette opp SSO mot weblogin.
- Dersom tenesta di er ei sektorteneste, b?r tenesta bruke Feide for autentisering.
- Dersom tenesta di verken st?tter OIDC eller SAML via weblogin eller Feide, m? du f? unntak fr? IT-sikkerhet for di teneste. Dette er til d?mes tenester som ikkje st?tter SSO, men behandler brukarane sine passord direkte, og sl?r opp i LDAP eller AD.
Dersom tenesta di st?tter p?logging med Entra ID (AzureAD), skal du likevel f?rst pr?ve ? bruke weblogin eller Feide. Dette gjeld spesielt ved anbud, der weblogin/Feide b?r st? som krav. SSO via AzureAD er tillatt dersom det er for dyrt ? ta I bruk weblogin/Feide, men vit at det har nokre konsekvenser for UiO som heilhet.
Autentiseringstenestene
Weblogin
Weblogin er UiO si eiga autentiseringsl?ysing, som k?yrer on-prem, og st?tter blant anna OIDC og SAML2, tilsvarande Feide. Det er fleire grunnar til at UiO har satt opp ei eiga l?ysing, b?de for ? forenkle brukaropplevinga for sluttbrukarane, men ogs? for ? ha meir kontroll og innsikt og mindre avhengighet til tredjepartsleverand?rar. Med weblogin kan vi ogs? sette opp ny p?loggingsfunksjonalitet meir fleksibelt enn vi kan med eksterne akt?rer. Ulempene med weblogin er at den er lokal for UiO, som gjer at brukarar fr? andre institusjonar vil f? eitt ekstra steg i p?logginga, og det er ikkje n?dvendigvis alle skytenester som st?tter anna enn til d?mes Feide.
D? weblogin k?yrer on-prem, og st?tter p?logging for driftsbrukarar, gir den ogs? mulighet for ? brukast i driftstenestene til UiO. B?de fordi all trafikk kan g? internt i UiO sin infrastruktur, og fordi den reduserer avhengigheten til tredjepartar.
Vi anbefaler weblogin:
- For driftskritiske on-prem system (med driftsbrukarar)
- For tenester som har UiO-brukarar som si prim?re m?lgruppe.
- For meir s?re behov, til d?mes andre attributtar eller filtrering av brukargrupper. Behova m? tas i dialog, d? det ikkje er n?dvendigvis alt som kan l?ysast, men vi anbefaler at det pr?vast f?r val av andre l?ysingar.
Weblogin kan ogs? brukast for sektortenester, fordi den st?tter automatisk vidaresending til Feide utan brukarinvolvering. Dette gir UiO fordelar med meir innsyn og kontroll p? innloggingane. Men vi avventer meir erfaringar med ny versjon av weblogin f?r vi anbefaler dette som ei f?ring for alle.
Dersom du skal anskaffe ei IT-teneste som skal bruke weblogin m? tenesta oppfylle krava som st?r p? sida Hvordan integrere med weblogin.
Feide
Feide er universitets- og h?gskulesektoren si prefererte autentiseringsl?ysing. Denne leverast av Sikt og tilbyr blant anna OIDC og SAML2-p?logging, og gir ogs? mulighet for ? utlevere standardiserte personopplysingar ved p?logging. D? Feide er i utstrakt bruk, er det mange tenesteleverand?rar som allereie st?tter SSO via Feide.
Vi anbefaler Feide for sektortenester, som betyr tenester som fleire institusjonar skal bruke jamnbyrdes. Det kan ogs? vere kost-nytte-vurderingar som tilseier at skytenester kan bruke Feide dersom det er for kostbart ? bruke weblogin.
Dersom du skal anskaffe ei IT-teneste som skal bruke Feide m? tenesta oppfylle krava som st?r p? sida Adding Feide login to a service.
Microsoft Entra ID (Azure AD)
Entra ID, eller gamle Azure AD, er ei skyteneste fr? Microsoft som tilbyr SSO for tenester. Fordelen med denne skytenesta er at mange tenester har innebygd st?tte for ? bruke SSO fr? Microsoft, som gjer det billegare ? f? p? plass SSO. I tillegg har dei fleste institusjonar ogs? tatt i bruk Entra ID, som gjer det tilsvarande utbredt som Feide.
Ulempene med Entra ID er at du f?r med f?rre personopplysingar i p?logginga, og det er ikkje standardisert mellom ulike tenants. Det er heller ikkje sikkert at alle UiO-brukarar vil ha ein brukarkonto i UiO sin tenant i Entra ID i framtida, blant anna grunna lisenskostnadar. UiO har ikkje mulighet for ? sperre at eksterne tenester set opp p?logging mot v?r tenant, s? lenge UiO-brukaren gir samtykke, som er juridisk uheldig ettersom UiO er ansvarleg for delinga av personopplysingane.
Vi anbefaler difor ? ikkje bruke Entra ID for p?logging, men prioritere Weblogin/Feide. Unntaket er der systemeigar har gjort ei kost-nytte-vurdering, og sett at det er altfor kostbart ? f? SSO med weblogin eller Feide for tenesta. I slike tilfeller er EntraID ei rimeleg l?ysing, men for UiO som heilhet er konsekvensen at vi vert meir avhengig av ein tredjepart. Denne vurderinga m? dokumenterast.
Katalogar (OpenLDAP og AD)
LDAP, enten fr? OpenLDAP eller ActiveDirectory, er katalogar med personopplysingar, og som kan brukast for ? sjekke at eit oppgitt passord er korrekt for ein brukarkonto. For ? bruke LDAP for p?logging treng tenesta ? behandle brukaren sitt passord, som er sikkerhetsmessig veldig uheldig. I tillegg f?r du ikkje st?tte for SSO mellom tenester.
Vi frar?der ? sette opp autentisering mot LDAP. Dei fleste oppeg?ande tenester i dag har st?tte for ein eller annan form for SSO. Dersom du har ei l?ysing som ikkje har mulighet for ? st?tte anna enn lokal behandling av passord, m? du ta dette i dialog med IT-sikkerhet, og dei m? godkjenne at tenesta kan handtere brukarkontoar sine passord.
Versjonering
| Versjon | Dato | Kommentar |
|---|---|---|
| 1.0 | 01.06.2017 | F?rste versjon lagt ut. |
| 1.1 | 25.11.2019 | Dataporten tatt bort, d? den er sl?tt saman med Feide |
| 2.0 | 01.03.2024 |
Revidering i samanheng med ny weblogin-l?ysing. Weblogin framleis prioritert. EntraID er lagt til. Autentisering vha. LDAP er blitt unntak som m? godkjennast av IT-sikkerhet. Beslutta av IT-dir 27. februar 2024. |