Kapittel 9: Brukere og deres tilgang til IT-tjenestene

Studenter og tilsatte ved Universitetet i Oslo tildeles en brukerkonto på grunnlag av informasjon om den enkelte i universitetets autoritative systemer. Brukerkontoer benyttes til identifikasjon, autentisering og autorisering.

For bruk av slike brukerkontoer og tilgangen den gir til IT-tjenestene og IT-systemene ved universitetet, skal det foreligge klare bestemmelser knyttet til arbeidsavtaler, taushetsplikt, sikkerhetsklarering med mer. Det skal eksistere tilbud om opplæring av de ulike gruppene for å sikre nødvendig kompetanse innen IT- og informasjonssikkerhet.

9.1 Definisjoner

Med  «IT-brukere» menes alt personell som skal ha tilgang til IT-tjenestene og IT-systemene ved Universitetet i Oslo. Dette omfatter følgende brukergrupper:

  • Studenter og tilsatte ved universitetet
  • Tilknyttede brukere (gjesteforskere o.l.)
  • Brukere tilknyttet universitetet gjennom avtaler (emeriti, randsoner o.l.)
  • Gjestebrukere
  • Representanter for tredjepart (konsulenter, servicepersonell, utviklere o.l.)

Med «tilgang» menes brukerrettigheter i bred forstand, vanligvis gitt med UiO-brukernavn og passord, men også tjenester som: 

  • Educloud
  • TSD
  • Adgangskort
  • Biblioteksressurser
  • Bruker i UH-sak som ekstern saksbehandler
  • Brukerkonto i RT som ekstern innmelder

9.2 Flere typer tilgang til tjenestene

Det finnes fire hovedtyper tilgang til UiOs IT-tjenester:

  1. Tilgang som gis til ansatte og studenter.
  2. Tilgang for personer som har tilknytning til UiO, for eksempel gjesteforskere. Disse får tilgang til ytterligere IT-tjenester ved å autentisere seg med brukernavn og passord tildelt av UiO.
  3. Tilgang for personer som hører til andre institusjoner. Disse får tilgang til et begrenset sett med IT-tjenester ved å autentisere seg med personlig brukernavn og passord tildelt av personens hovedinstitusjon (ikke UiO).
  4. Tilgang for personer som ikke har spesiell tilgang, for eksempel det generelle publikum som bruker UiOs web-tjenester.

Personers generelle tilgang til universitetets IT-ressurser tildeles på grunnlag av deres tilknytning til universitetet og reguleres av IT-reglementet. Denne tildelingen skjer vanligvis automatisk. Manuell tildeling skal kun utføres unntaksvis.

9.3 Brukerkontoen kommer med ansvar

Alle som får tildelt et brukernavn og passord for å få tilgang til IT-tjenestene og IT-systemene på universitetet skal gjøres kjent med IT-reglementet. Det skal samtidig opplyses om hvilke konsekvenser brudd på IT-reglementet kan få for den enkeltes tilgang til IT-tjenestene.

9.4 Brukerkonto og e-post

Til alle brukerkontoer skal det være knyttet en e-post-adresse. Vanligvis vil dette være en intern e-post-adresse som naturlig følger med kontoen og er driftet av UiO. Unntaksvis vil dette være en ekstern e-post-adresse. Til denne adressen vil det kunne bli sendt viktige beskjeder, og e-postene skal leses av den eller de som er ansvarlige for kontoen.

9.5 Identitetsforvaltning

Identitetsforvaltning ved Universitetet i Oslo skal normalt skje i det brukeradministrative systemet (BAS) Cerebrum på vegne av alle IT-tjenester og IT-systemer. Dette systemet leverer autentiseringsinformasjon til de autentiseringstjenester som benyttes og autoriseringsinformasjon til IT-tjenester og IT-systemer som krever det. Unntak fra dette skal behandles etter egne regler for unntakshåndtering.

Tjenester som Educloud og TSD bruker separate BAS-instanser, blant annet fordi de også brukes av eksterne kunder.

9.5.1 Autentisering

Brukeren identifiserer seg overfor universitetets IT-tjenester og IT-systemer med sitt brukernavn og autentiseres med passordet. Dette skal skje over en kryptert forbindelse.

Det er krav om bruk av tofaktor- eller flerfaktorautentisering (MFA) for alle tjenester i bruk på UiO, alle unntak skal godkjennes av IT-direktøren. Noen tjenester er ekstra sensitive og stiller større krav til autentisering.

Ekstern autentisering av andre brukere av IT-tjenester og IT-systemer ved Universitetet i Oslo skal skje via godkjente autentiseringstjenester (EduRoam, FEIDE, Dataporten, ID-porten eller MFA via Azure).

9.5.2 Autorisasjon

Autorisasjon innebærer å gi brukere bestemte rettigheter i en tjeneste eller et system. Dette er den enkelte tjenestes og det enkelte systems ansvar. Tilganger bør i størst mulig grad tildeles automatisk basert på kildedata fra HR-systemer.

Der det ikke finnes automatikk, så skal det finnes gode og skriftlige rutiner for administrasjon av rettigheter.

9.6 Autoritative kilder til personinformasjon

Informasjon om personer som skal ha ordinær tilgang til universitetets IT-tjenester og IT-systemer skal være registrert i følgende autoritative systemer:

  • SAPDFØ – Universitetets personal- og lønnssystem
  • FS – Felles studentsystem
  • GREG – System for gjestebrukere
  • ROLF – Sektorverktøy for systematisk bruk av roller

Informasjonen i disse systemene skal være kilde til informasjonen i universitetets system for brukeradministrasjon (BAS), – Cerebrum. I tillegg til informasjon om personer inneholder disse systemene også informasjon om disse personers organisatoriske tilknytning til universitetet (sted) og deres funksjon (rolle).

Tilgang til universitetets IT-tjenester og IT-systemer for andre enn tilsatte og studenter skal være hjemlet i eget reglement eller i egen kontrakt.

9.7 Kategorier av brukerkontoer

Universitetet i Oslo deler inn de som får brukerkonto i følgende kategorier:

9.7.1 Tilsatte

Tilsatte er personer med stilling og arbeidsavtale, og ikke kategoriene «eksterne med utbetaling (bilagslønnede)» og «eksterne uten utbetaling (gjester)». Tilsatte i så vel vitenskapelige som teknisk-administrative stillinger ved universitetet blir tildelt brukerrettigheter på grunnlag av registrerte opplysninger om vedkommende i universitetets lønns- og personalsystem (SAPDFØ). Ved tilsetting skal det i arbeidsavtalen være en referanse til IT-reglementet med pålegg til den nytilsatte om å sette seg inn i dette, inkludert bestemmelser om etablering og avvikling av brukerrettigheter knyttet til statusen som ansatt på universitetet og å gjøre seg kjent med web-sider om IT-sikkerhet. Underskrevet arbeidsavtale er bekreftelse på at vedkommende er innforstått med dette.

Brukere som får tildelt rettigheter til universitetets IT-tjenester og IT-systemer på grunnlag av en oppdragskontrakt skal registreres i SAPDFØ. Kontraktslønnede får ikke automatisk tildelt en IT-konto - hvis de skal ha det må de også registreres i GREG med en gjestetype som gir rettigheter slik de er spesifisert i kontrakten. 

9.7.2 Studenter

Studenter tildeles brukernavn og passord på grunnlag av registrering i FS – Felles studentsystem. Ved utlevering av brukernavn og passord skal studentene bli gjort tydelig oppmerksom på eksistensen av IT-reglementet og plikten vedkommende har til å sette seg inn i dette, referanse til web-sider om IT-sikkerhet, samt rutinene knyttet til etablering og avvikling av brukerrettigheter knyttet til statusen som student.

9.7.3 Tilknyttede

Tilknyttede, også kalt gjester, er brukere som får tildelt begrensete rettigheter for en begrenset periode, for at den tilknyttede kan løse bestemte oppgaver. Tilknyttede skal alltid registreres i GREG, og skal alltid ha en sponsor eller vert. Tilknyttede og verter har plikter og rettigheter som er regulert i et eget LSIS-tillegg om gjestebrukere.

9.7.4 Manuelt registrerte brukerkontoer

Manuelt registrerte brukerkontoer er kontoer som registreres direkte i brukeradministrasjonssystemet eller andre systemer og får tildelt rettigheter gjennom dette. Slik registrering skal kun skje etter godkjenning og utføres kun av IT-avdelingen.

9.7.6 Privilegerte brukerkontoer

Disse har spesielle rettigheter i IT-systemene, og regler er beskrevet i kapittel 9.8.

9.8 Privilegerte brukerkontoer

Kontoer med spesielle rettigheter omfatter flere kategorier privilegerte kontoer:

  • Kontoer med rot- eller administratorrettigheter på maskiner. Tildeling av slike rettigheter skal begrenses til det høyst nødvendige, og skal være grunnet i tjenestelige behov.
  • Kontoer med spesielle privilegier i tjenester, systemer og applikasjoner (‘superbrukere’). Tildeling av slike rettigheter skjer kun etter avtale med tjeneste- eller systemeiere

Spesielle rettigheter skal så langt det er mulig tildeles separate og formålsspesifikke brukerkontoer.

 

9.8.2 Hvem får tilganger?

Slike kontoer skal kun tildeles til IT-tilsatte knyttet til drift, utvikling og annen tilrettelegging av IT-tjenester og IT-systemer ved Universitetet i Oslo.

Slike IT-ansatte omfatter to grupper:

  • Tilsatte ved IT-avdelingen
  • Lokale IT-ansvarlige og andre IT-tilsatte ved grunnenheter på universitetet

I arbeidsavtalen skal IT-tilsatte i tillegg til informasjonen som gis ordinære tilsatte på universitetet (jf ovenfor) også undertegne en taushetserklæring. IT-direktøren avgjør om det for enkelte stillinger vil være påkrevd med sikkerhetsklarering.

IT-direktøren er ansvarlig for at IT-ansatte med et spesielt ansvar for IT- og informasjonssikkerhet har den nødvendige kompetanse til å løse oppgavene.

9.8.3 Privilegerte tilganger for eksterne konsulenter og adgang for tredjepart

Konsulenter, representanter for leverandører og annen tredjepart får tilgang til aktuelle IT-tjenester og IT-systemer ved behov. Denne tilgangen skal være regulert i kontrakt. Ved tildeling av brukernavn og passord skal disse brukerne gjøres kjent med IT-reglementet og plikten til å etterleve dette ved bruken av universitetets IT-ressurser.

Tilgang gis henholdsvis ved egne verktøy som gir granulert tilgang, gjerne kombinert med overvåkning av sesjonen.

9.8.4 Prinsippet om laveste grad av privilegier

En brukerkonto skal ikke gis flere privilegier enn det som til enhver tid er nødvendig. Tilganger som kun trengs i kort tid, bør søkes om og gis midlertidig i hvert enkelt tilfelle.

9.9 Upersonlige brukerkontoer

Et viktig prinsipp er at alle brukerkontoer ved universitetet skal være knyttet til en person eller en ansvarlig enhet. Noen kontoer er i sin natur ikke slik, og må behandles spesielt. Det skal minimeres hvor mange som har tilgang til en upersonlig konto, og hvor denne kan benyttes fra.

9.9.1 Krav til dokumentasjon og rutiner

Rutiner for hvordan tilganger til upersonlige kontoer håndteres, skal være dokumentert. Beskrivelsen skal minimum inneholde:

  • Rutiner for passordskifte
  • Oversikt over hvem som har tilgang til kontoen
  • Rutine for jevnlig revisjon av tilganger til kontoen
  • Rutine for fratredelse eller bytte av rolle

9.9.2 Lokale brukerkontoer

Med «lokale brukerkontoer» menes brukerkontoer som er registrert lokalt på en datamaskin eller i en IT-tjeneste.

  • Nye lokale brukerkontoer skal registreres kun unntaksvis, og antall slike kontoer skal begrenses til et minimum.
  • Dersom operativsystemet kommer med slike kontoer aktivert, skal de sperres eller deaktiveres med mindre IT-tjenesten som kjører på maskinen krever at den er aktivert.
  • Noen operativsystemer leveres med gjestekontoer. Det skal verifiseres at lokale gjestekontoer er sperret, uten kjent passord og uten privilegier.

9.9.3 Systemkontoer

På servere finnes det ofte systemkontoer, egne brukerkontoer spesielt laget for å kjøre tjenester eller applikasjoner. Disse brukerkontoene har ofte mange rettigheter og det innebærer en del jobb og planlegging for å skifte passord på dem.

  • Dersom det er mulig, skal systemkontoer hindres i å logge inn eller på andre måter konfigureres slik at passordet ikke brukes.
  • På Windows skal GMSA-kontoer brukes hvis mulig
  • Systemkontoer skal settes opp med så lite rettigheter som praktisk mulig, slik at skaden ved et tap av passord er minimal.
  • Systemkontoer skal navngis og merkes på en slik måte at det går tydelig frem hva de benyttes til og hvem som er ansvarlig for kontoen. Den ansvarlige bør være en gruppe eller en enhet, ikke en person.
  • Systemkontoer skal videresende e-post som sendes til kontoen. E-posten skal videresendes til e-post-listen til den gruppen eller enheten som er ansvarlig for systemkontoen.

9.9.4 Felleskontoer

Det finnes av historiske årsaker kontoer som brukes av flere personer samtidig. Bruk av slike kontoer skal begrenses til et minimum. Det skal alltid være en ansvarlig person eller enhet for felleskontoer. Det skal være mulig å spore hvem som har benyttet en felleskonto.

Slike kontoer skal ikke lages uten tillatelse fra IT-sikkerhetssjef. 

9.10 Avvikling av brukerkontoer

Følgende gjelder for avvikling av brukerrettigheter når en brukers tilknytning til universitetet avsluttes:

  • Utvidede rettigheter skal avvikles umiddelbart.
  • Ansatte og studenter mister tofaktorlisens når en tilknytning fjernes. Det betyr at alle brukerrettigheter i utgangspunktet er borte umiddelbart etter fjerning av tilknytning. Ansatte eller studenter som en enhet ønsker fortsatt samarbeid med, skal enheten registrere som tilknyttet bruker.
  • Rettigheter knyttet til brukere etablert med hjemmel i kontrakt avvikles ved kontraktens utløp.
  • Tilknyttede brukeres rettigheter avvikles automatisk etter en gitt tidsperiode på maksimalt fem år, avhengig av type tilknytning. Rettigheter kan fornyes. Merk at begrepene "tilknyttede" og "gjester" av og til brukes om hverandre.
  • Manuelt registrerte brukere skal ha tidsbegrensete rettigheter og disse avvikles umiddelbart etter dette.

9.10.1 Brukerens ansvar

Bruker er selv ansvarlig for å hente ut sine private data fra alle UiOs systemer før tilganger utløper ved fratredelse. Merk at UiO ikke leverer ut data etter endt tilknytning til universitetet. 

Merk at kun private data kan hentes ut, og data som tilhører UiO ikke skal tas med videre etter fratredelse. Data fra hjemmeområder og e-post kan ikke hentes ut uten at det gjøres en vurdering av eierskap. Forskningsdata er UiOs eiendom, og kan kun hentes ut dersom det gis tillatelse fra enhetstledelsen.

9.11 Tilleggene

IT-reglementet

Rutine for avvikling av privilegerte kontoer

Krav til passord

Beregning av kompleksitet i passord på UiO

Regler for passord for privilegerte brukere

Spesielt om driftsbrukere

 

Publisert 28. feb. 2017 13:17 - Sist endret 8. mai 2024 10:33
Del på e-post