Generell Feide-arkitektur



Like dokumenter
Feide Nøkkel til den digitale skolen

Kunnskapsdepartementet ønsker en sikker identifisering av elever og lærere. Løsningen er Feide (Felles Elektronisk IDEntitet)

Grupper og informasjonsflyt i Feide

Kunnskapsdepartementet ønsker en sikker identifisering i utdanningssektoren. De har valgt Feide (Felles elektronisk identitet)

Elverumskolen samler inn personopplysninger:

Kunnskapsdepartementet ønsker en sikker identifisering av elever og lærere. Løsningen er Feide (Felles Elektronisk IDEntitet)

transen snasenrot trenissen trondegutten127 hansetrondsen nesnah dnort trendnissen Trond Hansen kosebamsen84 trasen batman trikaahansen02 trusehasen

Bilag 2 til konkurransegrunnlag del II: Kravspesifikasjon

Datavask og rutiner beste praksis

Nye Feide et verktøy for informasjonssikkerhet og personvern i skolen

FEIDE eid for utdanningssektoren. Kristine Sevik og Morten Dahl, UNINETT ABC

Direktoratet for IKT og fellestjenester i høyere utdanning og forskning

DØNNA KOMMUNE SAKSFRAMLEGG. Saksbehandler: Martin Grønås Arkiv: 064 &40 Arkivsaksnr.: 11/72

Datavask og rutiner beste praksis

F A G B O K F O R L A G E T S E - P O R T A L

Krav til en vertsorganisasjon i Feide

Eigersund kommune. Rutinene beskrevet i dette dokumentet er alle pliktige til å sette seg inn i og følge!

Feide systemarkitektur Januar 2011 Versjon 2.0

KONTRAKT. UNINETT AS (org nr ) Organisasjon (org.nr. )

Identitetsforvaltning i Møre og Romsdal fylkeskommune. Identity Management

F A G B O K F O R L A G E T S E - P O R T A L

Krav til en vertsorganisasjon i Feide

F A G B O K F O R L A G E T S E - POR T A L

Rapport om innføring av Feide i fem kommuner i Hedmark

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

Rapport OM BRUK AV FEIDE I GRUNNOPPLÆRINGEN

F A G B O K F O R L A G E T S E - P O R T A L

Møteinnkalling. Nore og Uvdal kommune

Dataporten til grunnopplæringa - hvilke gevinster ser grunnopplæringa ved Dataporten? Anna Borg, Seniorrådgiver i Utdanningsdirektoratet Avdeling for

NO Nytt skoleår - guide til brukere og admin

Saksframlegg. FORSKRIFT - IKT REGLEMENT FOR GRUNNSKOLEN I TRONDHEIM Arkivsaksnr.: 10/20242

Innmelding av tjenester i Feides kundeportal

Feide i Akershus fylkeskommune

Autentisering og autorisasjon i webapplikasjoner med en etablert standard: SAML 2.0

Pilot: Gruppeinformasjon i Feide

MIM-løsning for skolesektor

Integrasjon mot Active Directory i EK 2.37

FEIDE bind saman datasystem Ingrid Melve, FEIDE leiar UiB, IT-dag i Ulvik

Utkast Kravspesifikasjon sensurregistrering

BRUKERVEILEDNING FO R

Når du skal handle noe fra nettbutikken, må du oppgi følgende opplysninger:

De punktene som vi ønsker redegjort for i forhold til opsjon barnehage vil også bli tillagt vekt dersom leverandørene ellers står likt.

BRUKERVEILEDNING FO R

VirtHome eller muligens WebID Bedre forslag? Send en e-post til

Anvendelsesområder for bruk av e-id med og i offentlig sektor- forprosjekt

Jeg vil se mappa mi!

Bærumsskolens administrasjonssystem Personvern og IT-sikkerhet

visma net expense - diverse rutiner Innhold

Feides informasjonsmodell for grunnopplæringa Oktober 2013 Bruk av noredu* Object Class Specification v for grunnopplæringa Attributtdokumentet

Vemma Europes personvernerklæring

Kvalitetssikring av feideforvaltningen. Senter for IKT i Utdanningen 24.April 2013 Harald Torbjørnsen

Administrasjonsmenyen. Sted- og persondata

FG-KONTROLL. Presentasjon av FG-kontroll for el-kontrollører

Brukerveiledning for nedlastning og installasjon av Office Av Roar Nubdal, fagprøve IKT-servicefag, juni 2014

En unik læringsplattform inspirert av sosiale medier

Mamut Open Services. Mamut Kunnskapsserie. Kom i gang med Mamut Online Survey

Personvernerklæring for Søknadsweb

IST Skoleadministrasjon Brukermanual Lærerrollen Sist endret:

Personvernerklæring for Topps mobilapp Match Attax. Sist oppdatert: 24. september 2018

Veiledning for innlevering av Årsrapport

1. Innhold. Spesifikasjon Eksport fra FS til Fronter. Spesifikasjon - Eksport fra FS til Fronter

CLARINO WP6 Korpuskel-integrering

Saksbehandling i ephorte Outlook

Status og nyheter. Av cand.scient Knut Yrvin KOMIT 27. okt Lysark kun til fri kopiering

Rutiner for behandling av persondata Danielsen Barne- og Ungdomsskule Sotra

Personvernerklæring for Søknadsweb

Rollen som databehandler innebærer at vi behandler opplysninger på oppdrag fra den ansvarlige virksomheten (itfag.no).

IKT-BASERT EKSAMEN BRUKERVEILEDNING FOR KANDIDAT

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Kunnskap.no versjon 7.0 Administratorrollen

Personvern og sikkerhet

Gruppearbeid. Digitalt verktøy på utdanning.no samarbeidsavtaler

Bilag 3. Kundens tekniske plattform

Forprosjekt nytt skoleadministrativt system. Vedlegg 6 Prosessbeskrivelse Aktivitetsskolen

Brukerveiledning for For kontaktpersoner i selskaper

Vigo-rapportering -16

Huldt & Lillevik Ansattportal Ansattportal. Versjon

Video om xid er tilgjengelig her:

6105 Windows Server og datanett

Informasjon om bruk av personnummer i Cristin-systemet

Katalogsynkronisering i skyen

Kunnskapsdepartementet ynskjer ei trygg identifisering i utdanningssektoren. Feide er valt som felles elektronisk identitet

6105 Windows Server og datanett

Personvernerklæring for Fagpersonweb

Brukerveiledning for «Lærers Administrative Oppgaver» - LAO.

Personvernerklæring 1. Innledning 2. Når innhenter vi personlige opplysninger? 3. Hvilken personlig informasjon innhenter vi fra deg?

Denne personvernerklæringen handler om hvordan El-Tilsynet as samler inn og bruker personopplysninger om deg.

Brukermanual. mega.efeide.no. Rev Rev Rev Rev Rev Rev

Denne personvernerklæringen handler om hvordan Haralds Trafikkskole AS samler inn og bruker personopplysninger om deg.

PERSONVERN ERKLÆRI NG ROYSW EBDESI GN.NO

VISMA OPPVEKST SKOLE VARIABEL LØNN

Personvernerklæring for Søknadsweb

Brukermanual. Studentevalueringssystem

SATS og eksport til VIGO for videregående privatskoler. Kari-Anne Steen

Tom Bjærum Løsningssalg Software. AD og SharePoint administrasjon

Nettbasert skoleadministrasjon. 1 Visma FLYT Skole

Integrasjon HRessurs Reiseregning og HogiaLønn

hypernet Kommunikasjon

Installere programvare gjennom Datapennalet - Tilbud

IKT STRATEGI NES - SKOLEN

Transkript:

Generell Feide-arkitektur Introduksjon Feide er i stor grad innført i universitets- og høgskolesektoren, og blir nå innført i grunnopplæringen. Samtlige fylkeskommuner er enten ferdige eller godt i gang med å innføre Feide for sine videregående skoler, og i disse dager setter mange kommuner i gang med det samme for sine grunnskoler. Kommuner oppfordres til å innføre en identitetsforvaltning basert på Feide fra flere hold, blant annet i et brev fra kunnskapsministeren til alle landes kommuner 1 og i ekommune 2012 2. En elektronisk identitetsforvaltning som Feide medfører en rekke fordeler for Skole-Norge 3. Blant annet fordi opplysninger om personer lagres kun ett sted i skoleeiers organisasjon, og fordi alle digitale tjenester benytter samme informasjon. Dette dokumentet beskriver den generelle Feide-arkitekturen på et overordnet nivå. En grundigere beskrivelse av arkitekturen finnes i Feides systemarkitektur 4. Identitetsforvaltning og Feide I takt med at stadig flere tjenester og ressurser gjøres tilgjengelige i elektronisk form, øker behovet for å kunne tilby digitale tjenester med personalisert innhold. For å realisere personaliserte tjenester kreves det at man sikkert kan fastslå hvem en person er og hvilke roller han er assosiert med, for å kunne gi personen riktig tilgang. Slik sikker identifisering forutsetter en god elektronisk identitetsforvaltning, og er aktuelt i utdanningssektoren som så mange andre steder. Sikker identifisering er for eksempel nødvendig når skolene tar i bruk læringsplattformer, nasjonale prøver og digital eksamen. Feide (Felles elektronisk identitet) er Kunnskapsdepartementets satsing på en enhetlig identitetsforvaltning i utdanningssektoren. Feide innebærer at alle elever og ansatte får én elektronisk identitet, i form av ett brukernavn og passord som kan brukes ved en rekke tjenester. Feide lar personer tilknyttet norske utdanningsinstitusjoner identifisere seg via en felles innloggingstjeneste, og stiller krav til hvordan personopplysninger skal håndteres ved den enkelte organisasjon. Feide bygger på at samtlige tilknyttede institusjoner har tillit til hverandres data, ved at Feide har tillit til at hver institusjon hele tiden leverer korrekte og oppdaterte data. Organisasjonen holder selv orden på persondata om egne brukere, og den største jobben med Feide-innføringen er derfor å rydde i personregistre og innføre rutiner som sikrer god datakvalitet. Siden all personinformasjon ligger lokalt og hver personopplysning er knyttet til en autoritativ 1 http://www.uninettabc.no/content.ap?thisid=8617 2 http://ksikt-forum.no/temaer/ekommune 3 http://www.uninettabc.no/content.ap?thisid=1096 4 http://docs.feide.no/guide-0004-1.1-no.pdf

kilde må hver opplysning vedlikeholdes kun ett sted og det er lettere å sørge for korrekt og oppdatert informasjon. Generell Feide-arkitektur Den generelle Feide-arkitekturen hos skoleeier består av ett eller flere kildesystemer, et brukeradministrativt system og en lokal Feide-katalog. I tillegg kommer Feides nasjonale innloggingstjeneste og en eller flere digitale tjenester, lokale eller nasjonale. Figuren under viser hvordan de ulike komponentene i Feide henger sammen. Figuren er uavhengig av teknologivalg, og gir rom for lokale tilpasninger ut i fra hvilke løsninger skoleeier allerede har. Generell Feide-arkitektur med lokale og nasjonale komponenter Hver komponent er en del av en kjede informasjonsbehandlende komponenter. Kvalitetssikrete data fra administrative systemer fører til opprettelse av unike elektroniske identiteter i det brukeradministrative systemet. Det brukeradministrative systemet legger dessuten til ny informasjon om brukeren, for eksempel brukernavn, passord og aggregerte grupper. Informasjon om brukeren kan deretter overføres til tjenester etter behov, men tjenestene kan også selv lagre ytterligere informasjon om brukeren, for eksempel hvilke ressurser brukeren har tilgang til, eller brukerens preferanser på nyheter og farger. Under beskrives de enkelte komponentene i arkitekturen nærmere.

Kildesystemene Kildesystemene er kilden for all informasjon i et identitetsforvaltningssystem. All administrasjon av en organisasjons personinformasjon gjøres i disse systemene, her registreres, vedlikeholdes og slettes informasjon som det brukeradministrative systemet i neste omgang benytter seg av. Informasjon som typisk ligger i kildesystemene er navn, adresser, fødselsnummer, elevnummer, telefonnummer, e-postadresser, klassetilhørighet, fag, og så videre. Hver personopplysning vedlikeholdes i ett bestemt kildesystem. Samme informasjon kan lagres også i andre systemer, men skal kun endres i det bestemte systemet. Systemene skal altså ikke være i konflikt med hverandre, det skal ikke være mulig å registrere forskjellig informasjon om en person i to ulike kildesystemer. På denne måte sikres korrekte, konsistente og oppdaterte data. Alle vertsorganisasjoner i Feide, det vil si institusjoner eller skoleeiere tilknyttet Feide, må ha ett eller flere kildesystemer. Disse vil typisk være: Et skoleadministrativt system (SAS), som inneholder informasjon om elever, lærere, fag og skoler. Produkter i bruk i dag er blant annet SATS 5, Extens 6, Oppad 7, TP-systemet 8, WIS Skole 9 og Unique Skole 10. Et lønns- og personalsystem (LP), som inneholder informasjon om lærere og andre ansatte. Andre katalogtjenester 11, for eksempel Active Directory, NIS og lignende. Det brukeradministrative systemet Det brukeradministrative systemet (BAS) er IT-avdelingens støttesystem, som mottar oppdaterte personopplysninger fra ett eller flere kildesystemer, sammenstiller personinformasjon fra de ulike systemene, oppretter brukere med tilhørende brukernavn og passord, og vedlikeholder informasjon om brukerne. Ved at alle brukere opprettes i det brukeradministrative systemet og herfra synkroniseres ut til andre brukerdatabaser får brukere samme brukernavn og passord ved alle tilknyttede systemer, og når brukeren bytter passord vil dette kunne gjelde i alle systemene. Mange digitale tjenester behøver opplysninger om for eksempel navn, skole- og klassetilhørighet, og kan få dette fra det brukeradministrative systemet. Det brukeradministrative systemets viktigste oppgave er nettopp å videreformidle personopplysninger fra kildesystemene til digitale tjenester, og klargjør blant annet opplysninger som kreves av Feides nasjonale innloggingstjeneste. Ved at de digitale tjenestene henter 5 http://ist.biz 6 http://ist.biz 7 http://www.oppad.no 8 http://barman-hanssen.no 9 http://www.wis.no 10 http://vismacultus.no 11 http://www.uninettabc.no/content.ap?thisid=689

nødvendig informasjon fra det brukeradministrative systemet sikres at tjenestene har korrekte, konsistente og oppdaterte personopplysninger. Digitale tjenester Noen eksempler på digitale tjenester kan være e-post, nettverkspålogging, læringsplattformer, digitale læremidler, portaltjenester, bibliotektjenester, administrative tjenester, opptakssystemer og digitale prøver. Mange tjenester ønsker å kontrollere hvilke brukere de gir tilgang til, og krever innlogging med brukernavn og passord. Feide gjør det enkelt å gi elever og lærere tilgang til digitale tjenester. Med Feide kan skoleeiere gi sine elever og ansatte et Feide-navn og et tilhørende passord som de kan bruke for å logge inn på digitale webtjenester tilpasset Feide. Flere digitale tjenester har dessuten behov for opplysninger om personen som logger inn. For eksempel kan en tjeneste ønske å vite personens navn, klasse og fag, slik at tjenesten kan presentere riktig og tilpasset informasjon. Feide-arkitekturen sørger for at tjenesten får korrekt og oppdatert informasjon om brukeren. Informasjonsformidlingen er kontrollert, slik at tjenesten ikke får tilgang til informasjon uten at dette er avtalt på forhånd. Dette for å ivareta brukerens personvern. Lokal Feide-katalog og nasjonal innloggingstjeneste En skoleeier som ønsker å bli vertsorganisasjon i Feide må sette opp en lokal Feide-katalog, som skal ha en kobling mot Feides nasjonale innloggingstjeneste. Innloggingstjenesten autentiserer brukere tilhørende en gitt organisasjon mot organisasjonens egne lokale Feide-katalog. Den lokale Feide-katalogen er en standard LDAP-katalogtjeneste. All informasjon i katalogen kommer fra det brukeradministrative systemet, noe som sikrer at informasjonen er korrekt, konsistent og oppdatert. Informasjon i Feide-katalogen skal automatisk oppdateres minst en gang i døgnet. Feides LDAP-spesifikasjon 12 definerer hvilken person- og organisasjonsinformasjon som skal ligge i katalogen, en del attributter er obligatoriske, noen er anbefalte og andre er frivillige. Den lokale Feide-katalogen kobles mot Feides nasjonale innloggingstjeneste, Moria 13. Når en Feide-bruker skal logge inn på en digital tjeneste vil tjenesten videresende brukeren til innloggingstjenesten. Brukeren oppgir Feide-navn og passord, som valideres mot brukerens lokale Feidekatalog. Dersom brukeren har oppgitt riktig brukernavn og passord vil tjenesten få beskjed om dette, og brukeren får tilgang til tjenesten. Personopplysningene ligger i den enkelte organisasjons lokale Feidekatalog, og ikke i den sentrale innloggingstjenesten. 12 http://docs.feide.no/spec-0001-1.1-en.pdf 13 http://docs.feide.no/fs-0002-2.0-no.html

Enkelte tjenester kan ha inngått avtale om å få overført personopplysninger fra innloggingstjenesten, og får dette sendt tilbake etter vellykket innlogging. Innloggingstjenesten henter disse personopplysningene fra den lokale Feide-katalogen, men kun om dette er avtalt på forhånd. På denne måten bevarer brukeren kontroll over sine egne personopplysninger. Grensesnitt I tillegg til de allerede nevnte komponentene trengs grensesnitt for overføring av data. For å importere data fra kildesystemene inn i det brukeradministrative systemet trengs grensesnitt for import, og for å eksportere data fra det brukeradministrative systemet trengs grensesnitt for eksport. I enkelte tilfeller kan allerede eksisterende grensesnitt benyttes, i andre tilfeller må nye koblinger lages. For datautveksling mellom skoleadministrative og brukeradministrative systemer er det definert et XML-basert grensesnitt ved navn ABC Enterprise 14, som gjør det enkelt å hente data om personer, organisasjoner, grupper og relasjoner på et bestemt format uavhengig av hvilket skoleadministrativt system som brukes. ABC Enterprise er i utstrakt bruk i dag, men vil fases ut og erstattes av en ny norsk standard for personrelatert informasjonsflyt i utdanning (PIFU) 15. For å overføre data mellom brukeradministrative systemer og digitale tjenester benyttes ofte IMS Enterprise 16, et internasjonalt XML-basert grensesnitt for utveksling av informasjon mellom administrative tjenester i utdanning. Både ABC Enterprise og IMS Enterprise er anbefalte grensesnitt, og på sikt vil ABC Enterprise erstattes av PIFU. LDAP-grensesnittet mellom lokal Feide-katalog og den nasjonale innloggingstjenesten er påkrevd for organisasjoner som skal kobles opp mot Feide. Ulike implementeringer Organisasjoner som skal innføre en identitetsforvaltning har ofte ulike utgangspunkt. Hvilken løsning de velger avhenger blant annet av hvilke systemer og tjenester de allerede bruker, samt hvilken plattform som kjøres og hvilken kompetanse og erfaringer de allerede har. Det som skiller de ulike løsningene fra hverandre rent teknologisk er hvilke produkter det brukeradministrative systemet består av. Følgende teknologier er brukt for å realisere brukeradministrative systemer i eksisterende Feide-løsninger: Cerebrum (PostgreSQL og Python-script) Novell (edirectory og Identity Manager) Microsoft (SQL-server, ILM og ADAM) Cerebrum er basert på programvare med åpen kildekode, og er utviklet ved Universitetet i Oslo. Cerebrum brukes blant annet av Østfold fylkeskommune og Giske kommune. Rogaland fylkeskommune er ett av fylkene 14 http://www.uninettabc.no/content.ap?thisid=1080 15 http://www.uninettabc.no/pifu 16 http://www.imsglobal.org/enterprise

som har valgt å gå for en Novell-basert løsning, med edirectory som sentral katalogtjeneste og Identity Management som synkroniseringsmotor. I Hedmark fylkeskommune er det utviklet en gjenbrukbar Feideløsning basert på programvare fra Microsoft, denne omtales som Buddy-løsningen og bygger på SQL-server, ADAM og ILM. I dag er det etablert et samarbeid rundt bruk og videreutvikling Buddy-løsningen. Flere andre aktører har produkter med tilsvarende funksjonalitet, dette gjelder for eksempel IBM, Oracle og Sun. Det ventes at flere aktører vil levere Feide-løsninger i løpet av kort tid. I praksis spiller det liten rolle hvilken teknologi som benyttes, og det er fullt mulig å blande produkter fra de ulike teknologiene. Som regel velger organisasjoner imidlertid å satse på den teknologi og de produkter de allerede kompetanse på og erfaringer med. Tekniske beskrivelser av Feide-løsninger: Identitetsforvaltning basert på Cerebrum Med eksempler fra Østfold fylkeskommune og Giske kommune 17 Identitetsforvaltning basert på Novell-produkter Med eksempel fra Rogaland fylkeskommune 18 Identitetsforvaltning basert på Microsoft-produkter Buddy-løsningen og eksempel fra Hedmark fylkeskommune 19 17 http://www.uninettabc.no/content.ap?thisid=925 18 http://www.uninettabc.no/content.ap?thisid=924 19 http://www.uninettabc.no/content.ap?thisid=923