Primær målgruppe

Projektleder


Introduktion

Unisync er en tjeneste, som har været benyttet til at synkronisere brugerakkreditiver dvs brugernavn og adgangskode til lokale brugerkonti.

Med tjenesten har uddannelsesinstitutioner kunne benytte det samme brugernavn og adgangskode i Unilogin i lokale tjenester som fx WIFI, printløsninger og til at befolke eget AD med.

Unisync omfatter følgende webservices:

–WS04: Modtag brugerinformation. Erstattes af wsiEKSPORT,
–WS09: Opdater brugers akkreditiver, Udfases
–WS99: Modtag brugers akkreditiver, Udfases

Med idriftsættelsen af det nye Unilogin den 18. februar 2020 er synkroniseringsfunktionaliten udfaset som følge af en opstramning af sikkerheden i Unilogin. Det er således ikke længere muligt at synkronisere adgangskoder på tværs af en lokal løsning og det centrale Unilogin. Dette skyldes, at brugerne tildeles nye adgangskoder i det nye Unilogin, og disse adgangskoder kan ikke deles med andre tjenester.

Befolkning af eget AD - uden nye adgangskoder

Det er fortsat muligt at hente brugere med brugernavn og initial adgangskode fra Unisyncs tjeneste over til fx eget AD. Det er dermed også fortsat muligt at synkronisere adgangskoder på tværs af lokale løsninger. Men det vil ikke være muligt at synkronisere adgangskode tilbage igen til den nye Unilogin IdP.

Som uddannelsesinstitution kan I vælge at fortsætte med at befolke jeres AD med brugere fra Unilogin, eksempelvis hvis I har valgt at etablere egen IDP og ønsker at brugerne fortsat skal anvende et brugernavn og adgangskode, som svarer til Unilogins brugernavn og initialkode.

Fakturering for Unisync

Da det fortsat er muligt at hente data om brugere fra Unisyncs webservice, herunder brugernavn og initial kode til brug i lokale løsninger, fortsætter faktureringen af Unisync som hidtil.

Såfremt en skole ikke ønsker at anvende Unisync fremadrettet kan aftalen opsiges ved henvendelse til STILs support.

Data om brugerne kan alternativt hentes fra Unilogins WSIEksport webservice.

Øget sikkerhed

Udfasningen af password synkroniseringen er sket som led i en generel opstramning af sikkerheden, hvor det er uhensigtsmæssigt at udveksle passwords mellem centrale og lokale løsninger. Idet brugerne typisk ikke får ændret i deres Unilogin passwords, vil en opsnapning af password betyde, at en 3. part vil kunne få adgang til en lang række systemer, som brugeren anvender.

Med det nye Unilogin er der indført en ny politik for adgangskoder, som du kan læse om under Adgangskodepolitik.

Den nye adgangskode politik betyder, at brugerne fremadrettet får et nyt password, som er personligt, og som ikke kan deles med andre løsninger. 

Analyse af løsningsscenarier

Styrelsen for IT og Læring har sammen med KL med ekstern bistand fået udarbejdet en analyse vedr. konsekvenser og muligheder for særligt kommunerne i forbindelse med udfasningen af Unisync.

Formålet med analysen er at give kommunerne og skolerne inspiration til valg af strategi for håndtering af login for brugere på skoleområdet, når Unisync udfases. Fokus er rettet mod hhv. ansatte (lærer og medarbejdere) og elever.

Tidligere analyser (Teknologiafdækningen gennemført i regi af Initiativ 7.5) har vist, at omkring 70% af kommunerne benytter AD-teknologi som brugerkatalog for elever og pædagogisk personale.

Baseret på dataindsamlingen falder løsningsscenarier, som kommunerne kan vælge imellem for imødegå dette behov, i tre overordnede kategorier:

Anbefalinger fra analysen

Det anbefales at kommunerne etablerer en oversigt over, hvordan autentifikation og autorisation håndteres i de tjenester som skoleområdet stiller til rådighed i dag.

  • Oversigten kan benyttes til at vurdere konsekvenser og muligheder og kan derved anvendes som input til at definere en klar strategi for autentifikation og autorisation af brugere.
  • Oversigten kan benyttes i dialogen med relevante leverandører i forbindelse med valg af løsning.


Det anbefales at kommunerne etablerer en klar strategi

  • Overordnet set anbefales det, at kommunerne etablerer en klar strategi for, hvordan brugere i skoledomænet autentificeres. Dataindsamlingen viser, at to hovedscenarier gør sig gældende – enten at brugere autentificeres via AD-teknologi (Microsoft) eller via Chromebook (Google) med føderet Unilogin. 
  • Da de to hovedscenarier er væsentligt forskellige i opbygning og underliggende teknologi, anbefales det, at man vælger et af scenarierne, for undgå øget It-kompleksitet og deraf følgende større vedligehold.
  • For alle tre løsningsscenarier anbefales det at etablere print som skytjeneste og andre lokale ressourcer såsom fildeling udfases.


Håndtering af passwords
–I løsningsscenarierne "Lokalt AD + Unilogin" og "Kommunal IdP" anbefales det, at der etableres en passwordnulstillingsfunktion, hvor læreren nemt kan assistere elever med at få adgang. Derudover er der følgende anbefalinger til de to løsningsscenarier:

  • Det anbefales, at der afsættes fornødne ressourcer til implementering, test og udrulning af processer og funktionalitet til udstedelse og nulstilling af passwords.
  • Det anbefales, at der køres et pilotforløb, hvor funktionaliteten af passwordnulstilling afprøves på udvalgte brugere, både lærere og elever

  • Hvis muligt bør udrulningsforløbet planlægges således, at der startes med udskolingseleverne, hvorved erfaringer kan høstes og benyttes i senere udrulninger

  • Da tendensen er, at tjenester flytter til skyen, anbefales det, at nulstillingsfunktionalitet etableres som en tjeneste i skyen.

Opsummeret

Analysen omfatter følgende:

  • Tre centrale overordnede strategiske løsningsscenarier, som skolerne skal forholde sig til, givet deres nuværende tekniske arkitektur.
  • Anbefalinger til strategi i kommunerne
  • Bilag med detaljerede workflows.

Du finder den samlede analyse her: