Administrasjon av tofaktor
Metoder
Administrasjon av tofaktor-metoder kan utføres av skole- og kommuneadm. i detaljvisning for bruker, under seksjonen tofaktor-metoder. Hver metode må aktiveres individuelt og krever at administrator kontrollérer legitimasjon for bruker før utsteding. eFeide støtter tofaktor-metoder for SMS, Kodeark og Authenticator.
Ingen brukere kan administrere egne tofaktor-metoder, det må utføres av en bruker med høyere tilgangsnivå.
SMS tofaktor
Initielt starter SMS tofaktor som 1. Ikke aktivert (fig. a). Klikk aktiver SMS tofaktor for å sende en SMS til brukeren. Status går da over til 2. Avventer bekreftelse (fig. b). Merk at mottatt SMS og bekreftelse skal bevitnes av utsteder. Mottaker sender så kodeordet “EFeide” til 1963. Klikk oppdater for å sjekke om bekreftelse er mottatt. Når så har skjedd er status Aktivert (fig. c).
NB! Merk at Uninett fakturer din organisasjon 0,48 kr per SMS som blir sendt ut.
Figur a - SMS tofaktor er ikke aktivert.
Figur b - Avventer bekreftelse fra bruker på mottatt SMS.
Figur c - SMS tofaktor er aktivert.
Kodeark tofaktor
Administrering av kodeark tofaktor ligner den for SMS tofaktor. Initielt starter kodeark tofaktor som Ikke aktivert (fig. a). Klikke aktiver kodeark tofaktor for å sette status til Aktivert (fig. b). Et unikt, utskriftsvennlig kodeark med 50 koder genereres automatisk (fig c). Klikk forny kodeark og skriv ut for å generere et nytt kodeark. Det gamle kodearket vil da bli ugyldiggjort.
Feide-administrator må aktivere Feide-tjenesten Identum enkelt kodeark på kunde.feide.no.
En bruker kan til enhver tid aldri ha mer enn et aktivt kodeark. Ved generering av et nytt kodeark anbefales det at det gamle arket markuleres.
Figur a - Kodeark tofaktor er ikke aktivert.
Figur b - Kodeark tofaktor er aktivert.
Figur c - Eksempel på utskriftsvennlig kodeark.
Authenticator tofaktor
Initielt er authenticator tofaktor Ikke aktivert (fig. a). Klikk aktiver authenticator tofaktor for å starte prosessen. En dialog presenteres som påminnelse om at bruker må ha klar authenticator-applikasjon(er) (fig. b). Eksempler på authenticator-applikasjoner kan være Google Authenticator og Microsoft Authenticator. Når disse forberedelsene er gjort klikker man ok, start aktivering. En ny dialog presenteres med QR- og manuell-kode (fig. c). I ønsket authenticator-applikasjon velger man å legge til en ny konto via QR- eller manuell-kode (fig. d). Når alle devices er registrert klikker man ok, authenticator-kode er registrert.
QR- og manuell-kode kan ikke hentes frem og vises senere. Påse at koden registreres i samtlige authenticator-applikasjoner før man lukker dialog.
Authenticator tofaktor skal nå være Aktivert (fig. e). Når bruker skal benytte tofaktor i sin autentisering på Feide så åpner vedkommende appen og velger eFeide-konto. Da vil bruker se en autentiserings-kode (fig. f) som blir fornyet hvert 30. sekund.
Sjekk tidsinnstillingene på enheten appen er installert på dersom du får feilmelding om feil kode når du prøver å logge på Feide med authenticator/godkjennerklient. Klokken på enheten må være riktig for at godkjennerklienten skal fungere. Tofaktorkoden endres hver 30 sekunder, og dersom klokken på enheten er i utakt med server blir ikke koden godkjent. Vi anbefaler at enheten har automatisk tidsangivelse istedenfor manuelt angitt tid.
Figur a - Authenticator tofaktor er inaktiv.
Figur b - En dialog forbereder bruker på å klargjøre authenticator applikasjoner.
Figur c - Neste dialog presenterer både en QR-kode og manuell kode som kan benyttes for å aktivere authenticator-applikasjon.
Figur d - I Google Authenticator (t.v.) velger man om man vil benytte QR-kode eller manuell kode. I Microsoft Authenticator (t.h.) velger man “annen konto” for så å velge å benytte QR- eller manuell kode (ikke vist). Begge skjermbilder er fra Android telefon.
Figur e - Authenticator tofaktor er aktivert for bruker.
Figur f - Eksempler på hvordan to authenticator-applikasjoner produserer engangskode i Google Authenticator (t.v.) og Microsoft Authenticator (t.h.). Begge skjermbilder er fra Android telefon.
Tjenester
I tillegg til aktivering av tofaktor-metoder, så må man velge hvilke tofaktor-tjenester som skal kreve tofaktor-autentisering.
Ingen brukere kan administrere egne tofaktor-tjenester.
Tjenesten Identum enkelt kodeark må aldri legges til som en tjeneste som krever tofaktorautentisering. Det vil føre til at brukeren blir bedt om tofaktorkode ved pålogging til tofaktorkodekodegeneratoren for kodeark, og dermed aldri klare å logge på.
Å benytte tofaktor for å logge på eFeide styrker sikkerheten. Identum anbefaler at alle eFeide-brukere benytter tofaktor på Identum enkel skypålogging. Som minimum bør kommune- og skoleadministratorer ha dette sikkerhets-kravet, og de bør også ha både SMS og Authenticator tofaktor.
Administrering av tjenester
Under seksjon for tofaktor-tjenester ser man hvilke tjenester som er tilordnet (fig. a). Ved å klikke på Legg til Feide-tjeneste får man opp en dialogboks med alle Feide-tjenester. Her kan man klikke på tjenester for å legge til eller fjerne. Det er også mulig å filtrére i listen ved å oppgi et søkeord (fig. b1). I nedtrekksmeny til høyre kan man filtrére tjenester på utdanningsnivå (fig. b2). Når tjenesten er lagt til vises den i den redigerte listen (fig. c). Tjenester kan fjernes ved å klikke på fjern-knapp til høyre. Etter redigering av tjenester klikker man lagre endringer og får en dialogboks som gir oversikt over hvilke endringer som er på vei til å tre i kraft (fig. d).
Figur a - Eksempel på seksjon for tofaktor-tjenester. Bruker har foreløpig ingen tjenester.
Figur b1 - Eksempel på filtréring av tjenester på søkeord.
Figur b2 - Eksempelet viser et søk som har gitt fem treff på søkeord "visma". I nedtrekksmeny for søkeinnstillinger er søket er avgrenset til tjenester innen grunnskole og annet.
Figur c - Tjeneste er lagt til for gjeldende bruker.
Figur d - Dialogboks ved lagring.
Figur e - En tjeneste er fjernet (markert med rødt) og en ny tjeneste er lagt til (markert med grønt).
Figur f - Dialogen gir oversikt over hvilke tjenester som er på vei til å legges til og/eller fjernes.
TofaktorRegler
En tofaktor-regel implementerer automatisk krav om tofaktor-autentisering på visse tjenester for fremtidige ansatte pr. skole. Den kan også implementeres for nåværende ansatte.
Administrering av regel
Tilgang
Det er kun skole- og kommune-adm. som har rettighet til å tilordne tofaktor-metoder og -tjenester til sine brukere, og ingen brukere kan administrere egne metoder og tjenester. Tabellen under viser hvilke roller som kan se og administrere tofaktor-metoder og -tjenester.
Operasjon | Elev | Lærer | Skoleadm. | Kommuneadm. |
|---|---|---|---|---|
Se egen tofaktor | ✓ | ✓ | ✓ | |
Endre tofaktor for lærer | ✓ | ✓ | ||
Endre tofaktor for skoleadm. | ✓ | |||
Endre tofaktor for andre kommuneadm. | ✓ | |||
Endre tofaktor-regel | ✓ |
Tabell: Viser hvilke roller som kan administrere tofaktor.
Ingen brukere kan administrere egne tofaktor-metoder og -tjenester.