Delegert tilgang til Feide-teneste

Informasjon og føringar rundt å få delegert admintilgang til di teneste i Feide sin kundeportal, der UiO er tenesteleverandør.

Korleis får eg tilgang til å administrere mi teneste?

Det ligg ein del krav og ansvar hos UiO som tenesteleverandør, så vi treng å vere restriktive på kven som får tilgang til å kunne administrere tenester i Feide. Det betyr at ikkje alle vil få denne tilgangen, men kan be om endringar som før via e-post.

For å få tilgang:

  1. Les gjennom retningslinjene nedover i dette dokumentet.
  2. Systemeigar må sikre at tenesta har all formalia på plass, blant anna:
    • ROS gjennomførd og arkivert i ePhorte
    • Hjemmelsgrunnlag er arkivert i ePhorte
    • Tenesta er registrert i meldeappen
    • Tenesta har ei nettside med meir detaljar for dei som finn tenesta gjennom Feide-katalogen
    • Databehandleravtale, for tenester som skal brukast av andre institusjonar
  3. Systemeigar sender e-post til usit-feide@rt.uio.no med:
    • Kva teneste vil du ha tilgang til
    • Bekreftelse på at du godtek retningslinjene, og at krava er oppfylde
    • Feide-ID til dei som skal ha tilgang til å administrere tenesta

Informasjon

I Feide må du registrere ei teneste som tenesteleverandør, for at vertsorganisasjonar (institusjonar) skal kunne opne opp for at sine brukarar skal kunne logge på.

Når ein brukar logger på gjennom Feide, vil pålogginga inkludere tilgang til ein del personopplysingar. Det betyr at når ein institusjon aktiverer tilgang til ei Feide-teneste så deler dei også personopplysingar. Så vi må følge GDPR.

Feide har ein modell der ei teneste registrerast og publiserast, men denne kan ha fleire konfigurasjoner (SAML- og OIDC-klientar) under seg. Det betyr at du kan ei teneste som har fleire konfigurasjoner for ulike test-, utviklings- og produksjonsmiljø. Du kan til og med ha ei teneste som har ulike konfigurasjonar for ulike institusjonar.

Vi ønsker at ulike klient-tilkoblingar relaterte til den same "tenesta" blir samla under ein og same teneste i Feide. Dette forenklar administrasjonen.

Unntaket er når vi er tenesteleverandør for fleire institusjonar, og Feide-pålogginga kan medføre at brukarar frå ulike institusjonar kan logge på dei ulike institusjonane sine tenester. Det medfører at personopplysingar vil kunne delast mellom alle institusjonane som har tenesta, som bør avklarast juridisk. Som oftast er det meir praktisk for alle institusjonar å samle det, men det bør vere avklart.

Retningslinjer

Delegeringa av Feide-administrasjonen er under utprøving, så retningslinjene vil oppdaterast etterkvart som vi få erfaringar med ordninga.

  • Data om tenesta skal fyllast ut. Blant anna namn, beskriving og lenke til meir informasjon.
  • Formalia for tenesta skal vere på plass. Vi skal ikkje ha tenester i Feide som ikkje oppfyller krava til blant anna GDPR.
  • Ei Feide-registrering skal berre brukast til denne tenesta, inkludert test- og utviklingsmiljø.
    • Andre tenester skal ikkje registrerast under ei anna teneste si Feide-registrering. Dette er både rotete og vil fort bryte med hjemmelsgrunnlaget til den opprinnelege tenesta. Be heller om å få oppretta ein ny Feide-teneste!
  • Du skal berre be om tilgang til attributtar frå Feide som du absolutt treng, og har hjemmelsgrunnlag for. Attributtar du ber om skal vere lista opp i hjemmelsgrunnlaget.

Tilgang vil kunne trekkast tilbake dersom du ikkje forholder deg til dette.

Systemeigar som er ansvarleg. Systemeigar kan også legge til fleire administratorar for si teneste - dei må då også følge same retningslinjene!

Publisert 11. des. 2023 08:58 - Sist endret 12. mars 2024 20:53
Del på e-post