Siirry pääsisältöön
Ohita sisällysluettelo

Pääsynvalvonta ja käyttäjäroolit

Tässä asiakirjassa kuvataan eFeide ja eADM todennusmenetelmät, pääsynvalvonnan periaatteet ja RBAC-malli (Role Based Access Control).

Tunnistusmenetelmät

Sekä eFeide että eADM tukevat erilaisia käyttäjien kirjautumismenetelmiä, mukaan lukien kaksitekijätodennus. Tuettuja menetelmiä ovat mm:

  • FEIDE

  • IDporten

  • ADFS / LDAP

  • Single Sign-On (SSO) Microsoft Entra ID:n (Azure AD) avulla

  • Single Sign-On (SSO) Google Workspacen kanssa

  • Muut SAML 2.0 -pohjaiset ratkaisut

Varoitus: Odotamme, että asiakkaat suojaavat kaikki SSO-kirjautumiset monitekijätodennuksella (MFA ). Pääsy eADM ja eFeide ilman kaksitekijäsuojausta ei ole suositeltavaa edes tavallisille työntekijöille tai osastonjohtajille. Servicedesk- ja järjestelmänvalvojatason pääsyn osalta edellytämme, että asiakkaat suojaavat SSO:n MFA:lla tai käyttävät IDportenia todennukseen.

Pääsynvalvonnan periaatteet

Järjestelmän käyttöoikeudet voidaan myöntää automaattisesti sääntöihin perustuen tai määrittää manuaalisesti yksittäisille käyttäjille.

  • Järjestelmänvalvojan käyttöoikeus: Suosittelemme, että kaikki järjestelmänvalvojatason käyttöoikeudet myönnetään manuaalisesti ja tarpeen mukaan.

  • Pääsyn kesto: Käyttöoikeudet voidaan myöntää päättymispäivämäärällä tai ilman sitä.

  • Pääsytarkastukset: Järjestelmä sisältää ominaisuuksia sekä aktiivisia että passiivisia pääsyn tarkastuksia varten tietyin aikavälein.

  • Rakeinen valvonta: Pääsytasoja voidaan hallita ryhmä-, rooli- ja yksittäisen käyttäjän tasolla. Järjestelmä ottaa huomioon myös käyttäjät, joilla on eri rooleja eri osastoilla ja joilla on erilaiset tarpeet ja oikeudet.

  • Ehdollinen MFA: Käyttöliittymään kirjautumista voidaan säädellä siten, että kaikkien käyttäjien, jotka voivat tarkastella muiden henkilötietoja, on kirjauduttava sisään MFA:lla, kun taas käyttäjät, kuten opiskelijat (jotka voivat tarkastella vain omia tietojaan), voivat kirjautua sisään ilman sitä.

Tekoälyn ja haun yhteenveto

Tässä asiakirjassa kuvataan yksityiskohtaisesti Identumin eADM ja eFeide pääsynvalvontakehys. Se kattaa tuetut todennusmenetelmät, kuten SAML, Feide ja SSO, ja siinä korostetaan pakollista MFA-vaatimusta kaikille hallinnollisille rooleille. Asiakirjan ytimessä selitetään kuusiportainen, roolipohjainen käyttöoikeuksien hallintamalli (RBAC), jossa määritellään erityisoikeudet rooleille, jotka vaihtelevat perusroolista "työntekijästä" täydet oikeudet omaavaan "rekisterin ylläpitäjään", mikä takaa yksityiskohtaisen ja turvallisen järjestelmänhallinnan.

JavaScript-virheitä havaittu

Huomaa, että nämä virheet voivat riippua selaimesi asetuksista.

Jos ongelma jatkuu, ota yhteyttä asiakaspalveluumme.

Ota yhteyttä tukeen Sulje