Oppsummert
- Dersom tenesta di har UiO-brukarar som si primære, eller einaste, målgruppe, skal tenesta benytte weblogin for autentisering. Unntaket er eksterne tenester som det er for kostbart å sette opp SSO mot weblogin.
- Dersom tenesta di er ei sektorteneste, bør tenesta bruke Feide for autentisering.
- Dersom tenesta di verken støtter OIDC eller SAML via weblogin eller Feide, må du få unntak frå IT-sikkerhet for di teneste. Dette er til dømes tenester som ikkje støtter SSO, men behandler brukarane sine passord direkte, og slår opp i LDAP eller AD.
Dersom tenesta di støtter pålogging med Entra ID (AzureAD), skal du likevel først prøve å bruke weblogin eller Feide. Dette gjeld spesielt ved anbud, der weblogin/Feide bør stå som krav. SSO via AzureAD er tillatt dersom det er for dyrt å ta I bruk weblogin/Feide, men vit at det har nokre konsekvenser for UiO som heilhet.
Autentiseringstenestene
Weblogin
Weblogin er UiO si eiga autentiseringsløysing, som køyrer on-prem, og støtter blant anna OIDC og SAML2, tilsvarande Feide. Det er fleire grunnar til at UiO har satt opp ei eiga løysing, både for å forenkle brukaropplevinga for sluttbrukarane, men også for å ha meir kontroll og innsikt og mindre avhengighet til tredjepartsleverandørar. Med weblogin kan vi også sette opp ny påloggingsfunksjonalitet meir fleksibelt enn vi kan med eksterne aktører. Ulempene med weblogin er at den er lokal for UiO, som gjer at brukarar frå andre institusjonar vil få eitt ekstra steg i pålogginga, og det er ikkje nødvendigvis alle skytenester som støtter anna enn til dømes Feide.
Då weblogin køyrer on-prem, og støtter pålogging for driftsbrukarar, gir den også mulighet for å brukast i driftstenestene til UiO. Både fordi all trafikk kan gå internt i UiO sin infrastruktur, og fordi den reduserer avhengigheten til tredjepartar.
Vi anbefaler weblogin:
- For driftskritiske on-prem system (med driftsbrukarar)
- For tenester som har UiO-brukarar som si primære målgruppe.
- For meir sære behov, til dømes andre attributtar eller filtrering av brukargrupper. Behova må tas i dialog, då det ikkje er nødvendigvis alt som kan løysast, men vi anbefaler at det prøvast før val av andre løysingar.
Weblogin kan også brukast for sektortenester, fordi den støtter automatisk vidaresending til Feide utan brukarinvolvering. Dette gir UiO fordelar med meir innsyn og kontroll på innloggingane. Men vi avventer meir erfaringar med ny versjon av weblogin før vi anbefaler dette som ei føring for alle.
Dersom du skal anskaffe ei IT-teneste som skal bruke weblogin må tenesta oppfylle krava som står på sida Hvordan integrere med weblogin.
Feide
Feide er universitets- og høgskulesektoren si prefererte autentiseringsløysing. Denne leverast av Sikt og tilbyr blant anna OIDC og SAML2-pålogging, og gir også mulighet for å utlevere standardiserte personopplysingar ved pålogging. Då Feide er i utstrakt bruk, er det mange tenesteleverandørar som allereie støtter SSO via Feide.
Vi anbefaler Feide for sektortenester, som betyr tenester som fleire institusjonar skal bruke jamnbyrdes. Det kan også vere kost-nytte-vurderingar som tilseier at skytenester kan bruke Feide dersom det er for kostbart å bruke weblogin.
Dersom du skal anskaffe ei IT-teneste som skal bruke Feide må tenesta oppfylle krava som står på sida Adding Feide login to a service.
Microsoft Entra ID (Azure AD)
Entra ID, eller gamle Azure AD, er ei skyteneste frå Microsoft som tilbyr SSO for tenester. Fordelen med denne skytenesta er at mange tenester har innebygd støtte for å bruke SSO frå Microsoft, som gjer det billegare å få på plass SSO. I tillegg har dei fleste institusjonar også tatt i bruk Entra ID, som gjer det tilsvarande utbredt som Feide.
Ulempene med Entra ID er at du får med færre personopplysingar i pålogginga, og det er ikkje standardisert mellom ulike tenants. Det er heller ikkje sikkert at alle UiO-brukarar vil ha ein brukarkonto i UiO sin tenant i Entra ID i framtida, blant anna grunna lisenskostnadar. UiO har ikkje mulighet for å sperre at eksterne tenester set opp pålogging mot vår tenant, så lenge UiO-brukaren gir samtykke, som er juridisk uheldig ettersom UiO er ansvarleg for delinga av personopplysingane.
Vi anbefaler difor å ikkje bruke Entra ID for pålogging, men prioritere Weblogin/Feide. Unntaket er der systemeigar har gjort ei kost-nytte-vurdering, og sett at det er altfor kostbart å få SSO med weblogin eller Feide for tenesta. I slike tilfeller er EntraID ei rimeleg løysing, men for UiO som heilhet er konsekvensen at vi vert meir avhengig av ein tredjepart. Denne vurderinga må dokumenterast.
Katalogar (OpenLDAP og AD)
LDAP, enten frå OpenLDAP eller ActiveDirectory, er katalogar med personopplysingar, og som kan brukast for å sjekke at eit oppgitt passord er korrekt for ein brukarkonto. For å bruke LDAP for pålogging treng tenesta å behandle brukaren sitt passord, som er sikkerhetsmessig veldig uheldig. I tillegg får du ikkje støtte for SSO mellom tenester.
Vi fraråder å sette opp autentisering mot LDAP. Dei fleste oppegåande tenester i dag har støtte for ein eller annan form for SSO. Dersom du har ei løysing som ikkje har mulighet for å støtte anna enn lokal behandling av passord, må du ta dette i dialog med IT-sikkerhet, og dei må godkjenne at tenesta kan handtere brukarkontoar sine passord.
Versjonering
| Versjon | Dato | Kommentar |
|---|---|---|
| 1.0 | 01.06.2017 | Første versjon lagt ut. |
| 1.1 | 25.11.2019 | Dataporten tatt bort, då den er slått saman med Feide |
| 2.0 | 01.03.2024 |
Revidering i samanheng med ny weblogin-løysing. Weblogin framleis prioritert. EntraID er lagt til. Autentisering vha. LDAP er blitt unntak som må godkjennast av IT-sikkerhet. Beslutta av IT-dir 27. februar 2024. |