Krav til leverand?rer rundt SSO

Oppsummering av krav til tjenester som skal brukes p? UiO som har behov for p?logging.

Forslag for anbudsprosess

Dette er et forslag for ? hjelpe anbudsprosesser med ? legge inn kravene til SSO. Dette er et utkast, og vi ?nsker tilbakemeldinger til usit-weblogin@rt.uio.no.

Disse punktene kan legges inn i anbud fra UiO, for tjenester som skal ha p?logging. Bytt ut teksten som er uthevet og farget gr?nt:

  • Tjenesten skal bruke en av UiOs l?sninger for SSO. Tjenesten skal IKKE behandle brukeres passord (til innkj?per: dette m? i s? fall h?ndteres som et avvik som m? godkjennes av IT-sikkerhetssjef).
  • Hvis styringsreglene for autentisering sier at weblogin er preferert for denne tjenesten:
    • Tjenesten skal st?tte SSO vha OIDC eller SAML mot UiOs lokale autentiseringspunkt Weblogin. Se Tilgang til Weblogin for mer tekniske detaljer.
    • Tjenesten skal hente ut relevante opplysninger (for eksempel brukernavn) fra  attributter som f?lger Feides informasjonsmodell. UiO kan eventuelt utvide med flere attributter ved behov.
    • For OIDC st?tter vi ikke Implicit Flow, av sikkerhetsmessige grunner.
  • Hvis styringsreglene for autentisering sier at Feide er preferert for denne tjenesten:
    • Tjenesten skal st?tte autentisering via Feide. Se Feide sine sider for tjenestelevand?rer for kravene som m? oppfylles.
      • Hvis tjenesten som tilbys ogs? brukes av andre institusjoner/bedrifter, skal leverand?r ha en egen avtale med Feide. Hvis UiO f?r en egen dedikert tjeneste, for eksempel som en egen tenant, eller on-prem, kan UiO selv h?ndtere det avtale- og forvaltningsmessige med Feide, men tjenesten m? fremdeles st?tte de tekniske kravene til Feide.
    • Tjenesten skal hente ut relevante opplysninger (for eksempel brukernavn) fra Feides informasjonsmodell.
  • Hvis tjenesten skal begrenses til et utvalg personer, for eksempel bare studenter eller bare ansatte p? ett fakultet (ofte grunnet lisenskostnader):
    • Tjenesten skal kunne begrense tilgangen til funksjonalitet, blant annet hvis tilgangen medf?rer ekstra kostnader for UiO.
    • Adgangsbegrensningen B?R gj?res basert p? attributter fra SSO-innloggingen. Noen eksempler:
      • Attributtet eduPersonAffiliation kan brukes til ? isolere studenter eller ansatte
      • Attributtet eduPersonEntitlement kan brukes til mer fingranulert tilgangsstyring, der UiO bestemmer hvem som skal ha tilgang
      • Attributtet eduPersonOrgUnitDN kan brukes til ? isolere personer fra en gitt enhet
      • Attributtet origin forteller hvor brukeren kommer fra (UiO, Feide eller WebID), og kan brukes til ? filtrere bort grupper som ikke skal med.
  • Hvis tjenesten trenger ? bli populert med personopplysninger for ? kunne bruke funksjonalitet, trenger vi detaljer om dette. Hvis dette medf?rer bruk av API trenger vi ogs? dokumentasjon til dette API-et.
Publisert 25. juni 2025 11:25 - Sist endret 25. juni 2025 14:56
Del p? e-post