Whitepaper oversigt

Aula og 2-faktor sikkerhed eller step-up

Aula og 2-faktor sikkerhed eller step-up
Hvad kræves?
For at en brugeridentitet kan opnå niveau ”betydelig” kræves der multifaktor-autentifikation. Ordet ”to-faktor” anvendes i daglig tale om mange forskellige løsninger, men i forhold til NSIS er der en meget præcis beskrivelse i vejledningen. Der skal anvendes faktorer fra mindst to ud af tre mulige kategorier:

En unik, fysisk enhed, som personen er i besiddelse af (”Indehaverbaseret autentifikationsfaktor” – f.eks. et chipkort)
Noget personen ved (”Vidensbaseret autentifikationsfaktor” – f.eks. et password)
Noget personen er (’Iboende autentifikationsfaktor” – f.eks. biometri)

To forskellige passwords vil eksempelvis ikke leve op til kravene om multifaktor.

Fra to kategorier forskellige kategorier
Logon til en computer eller en smartphone kan i sig selv ikke kan regnes som en faktor, idet oplåsning skal være en specifik handling der er knyttet til selve autentifikationen. En nøglefil vil som udgangspunkt heller ikke kunne regnes som en faktor.

En ”unik, fysisk enhed, som personen er i besiddelse af” vil i praksis være et chipkort indeholdende brugerens digitale identitet (f.eks. NemID Medarbejdersignatur) eller en anden form for hardware token som er uløseligt knyttet til personen.

En arbejdscomputer kan ikke udfylde funktionen som ”unik, fysisk enhed”. Hvis en bruger autentificerer til computeren med brugernavn/password kan computeren ikke efterfølgende anvendes som faktor i en anden kategori. Det samme gør sig gældende med tablets og mobiltelefoner.

Step-up
Hvis brugeren er logget på via UNI-Login er brugeridentiteten som udgangspunkt på niveau ”Lav”. UNI-Login tilbyder at brugeren kan foretage ”step-up” med privat NemID eller NemID Medarbejdersignatur.

Hvis brugeren er logget på via Context Handler er det i skrivende stund planlagt at tilbyde en SAML-baseret step-up. Hvis brugeren er logget på via kommunens egen Identity Provider understøttes allerede nu SAML-baseret step-up.

De to sidstnævnte løsninger er interessante, idet Aula er tilfreds med en SAML-forespørgsel, hvori der står at brugeridentiteten er på niveau ”betydelig”. Det er med andre ord alene afsenderens (og som indledningsvis nævnt, kommunens eller institutionens) ansvar at sikre, at dette også er tilfældet.

Fra et brugermæssigt synspunkt vil det simpleste være, at brugeren blot skal logge på én gang. Dette kan opnås ved at vælge en brugerautentifikation, som fra starten er på NSIS niveau ”betydelig” for brugere, som skal have adgang til personfølsomme data.

Ligas anbefaling
Liga anbefaler at basere brugerens login på en identitet, som allerede er på NSIS sikringsniveau ”betydelig”. Dermed elimineres behovet for step-up både i forhold til Aula og til andre IT systemer med tilsvarende compliance krav.

Ved at anvende NemID Medarbejdersignatur som identitet er udstedelsesproces og anvendelse velbeskrevet og certificeret. Dermed minimeres revisionsomfanget.

Ved at anvende selvsamme bruger login til arbejdscomputeren kan identiteten benyttes til login til andre løsninger (single sign-on) på NSIS sikringsniveau ”betydelig”.
download
Ved download af dette whitepaper accepterer du, at leverandøren af whitepaperet kontakter dig på din oplyste e-mailadresse eller telefonnummer med yderligere information om leverandørens ydelser relateret til whitepaperet
FacebookTwitterLinkedinMailPrint
Funktionen:
Udgivelsesdatoen: 26-02-2019
Filtype: pdf
Dokument: Whitepaper
Sprog: DA
Udgivet af: Liga ApS

Også interessant

Arrangør
  
Partner