Siirry pääsisältöön
Ohita sisällysluettelo

Pääsynvalvonta ja käyttäjäroolit

Tässä asiakirjassa kuvataan eFeide ja eADM todennusmenetelmät, pääsynvalvonnan periaatteet ja RBAC-malli (Role Based Access Control).

Tunnistusmenetelmät

Sekä eFeide että eADM tukevat erilaisia käyttäjien kirjautumismenetelmiä, mukaan lukien kaksitekijätodennus. Tuettuja menetelmiä ovat mm:

  • FEIDE

  • IDporten

  • ADFS / LDAP

  • Single Sign-On (SSO) Microsoft Entra ID:n (Azure AD) avulla

  • Single Sign-On (SSO) Google Workspacen kanssa

  • Muut SAML 2.0 -pohjaiset ratkaisut

Varoitus: Odotamme, että asiakkaat suojaavat kaikki SSO-kirjautumiset monitekijätodennuksella (MFA ). Pääsy eADM ja eFeide ilman kaksitekijäsuojausta ei ole suositeltavaa edes tavallisille työntekijöille tai osastonjohtajille. Servicedesk- ja järjestelmänvalvojatason pääsyn osalta edellytämme, että asiakkaat suojaavat SSO:n MFA:lla tai käyttävät IDportenia todennukseen.

Pääsynvalvonnan periaatteet

Järjestelmän käyttöoikeudet voidaan myöntää automaattisesti sääntöihin perustuen tai määrittää manuaalisesti yksittäisille käyttäjille.

  • Järjestelmänvalvojan käyttöoikeus: Suosittelemme, että kaikki järjestelmänvalvojatason käyttöoikeudet myönnetään manuaalisesti ja tarpeen mukaan.

  • Pääsyn kesto: Käyttöoikeudet voidaan myöntää päättymispäivämäärällä tai ilman sitä.

  • Pääsytarkastukset: Järjestelmä sisältää ominaisuuksia sekä aktiivisia että passiivisia pääsyn tarkastuksia varten tietyin aikavälein.

  • Rakeinen valvonta: Pääsytasoja voidaan hallita ryhmä-, rooli- ja yksittäisen käyttäjän tasolla. Järjestelmä ottaa huomioon myös käyttäjät, joilla on eri rooleja eri osastoilla ja joilla on erilaiset tarpeet ja oikeudet.

  • Ehdollinen MFA: Käyttöliittymään kirjautumista voidaan säädellä siten, että kaikkien käyttäjien, jotka voivat tarkastella muiden henkilötietoja, on kirjauduttava sisään MFA:lla, kun taas käyttäjät, kuten opiskelijat (jotka voivat tarkastella vain omia tietojaan), voivat kirjautua sisään ilman sitä.

API-yhteys

Identum eADM API (saatavilla osoitteesta https://api.eadm.no/service.asmx) käyttää HTTPS:ssä token-pohjaista turvamallia, joka edellyttää voimassa olevaa API-käyttäjätunnusta, salasanaa ja organisaationumeroa istuntokohtaisen Access Tokenin luomiseksi. Turvallisen valtuutuksen varmistamiseksi API-tilit tukevat yksityiskohtaisia käyttöoikeustasoja, jotka vaihtelevat täydellisistä hallinnollisista oikeuksista aina vain lukuoikeuksiin, jotka on rajoitettu tiettyihin osastoihin ja moduuleihin.

Tekoälyn ja haun yhteenveto

Tässä asiakirjassa kuvataan yksityiskohtaisesti Identumin eADM- ja eFeide-alustojen pääsynvalvontakehys sekä käyttäjien että API:n osalta. Se kattaa tuetut todennusmenetelmät, kuten SAML, Feide ja SSO, ja siinä korostetaan pakollista MFA-vaatimusta kaikille hallinnollisille rooleille. Asiakirjan ytimessä selitetään kuusiportainen, roolipohjainen käyttöoikeuksien hallintamalli (RBAC), jossa määritellään erityisoikeudet rooleille, jotka vaihtelevat perusroolista "työntekijästä" täydet oikeudet omaavaan "rekisterin ylläpitäjään", mikä takaa yksityiskohtaisen ja turvallisen järjestelmänhallinnan.

JavaScript-virheitä havaittu

Huomaa, että nämä virheet voivat riippua selaimesi asetuksista.

Jos ongelma jatkuu, ota yhteyttä asiakaspalveluumme.

Ota yhteyttä tukeen Sulje