Hvordan jobber vi med ansattpålogging?

Gjennom mer enn 10 år med ID-porten, har vi et spørsmål som ofte kommer tilbake til oss; hvordan skal vi håndtere pålogging i konteksten av å være en ansatt? Offentlige virksomheter har i mange tilfeller behov for autentisering av ansatte, både interne og eksterne.

• ID-kontroll i forbindelse med ansettelser

• Tilgang til interne systemer

• Tilgang til eksterne systemer

• Ekstern samhandling

De fleste offentlige virksomheter har i dag interne systemer for autentisering, gjerne gjennom Microsoft (AD). I noen tilfeller hvor det har vært behov for sterkere autentisering har vi sett at ID-porten har blitt tatt i bruk i ansattsammenheng.

Slik vi ser det er en ansattpålogging i praksis en kombinasjon av autentisering og autorisasjon. Gjennom en ansattpålogging ønsker man å kunne knytte den personen som autentiserer seg med hvilken virksomhet denne representerer, og eventuelt hvilke roller og rettigheter denne skal ha på vegne av virksomheten. Konseptuelt vil ansattporten kunne forklares som tre deler.

• Selve ansattporten vil være en frittstående kopi av dagens OIDC-provider. eID-selector vil designes som noe markant annet enn ID-porten, og det vil ikke være single-sign-on (SSO) til private tjenester.

• Det vil være en kopling til ulike eID-leverandører. I piloten vil dette være de samme som er i ID-porten, men på sikt trenger det ikke være det.

• Det vil være en kopling til et autorativt register. I piloten vil denne kilden være Altinn Autorisasjon, men også andre kilder kan være aktuelle senere.

Ansattpålogging er et komplekst område, med mange sprikende behov. Piloten vil ikke klare å svare ut alt, men det vil forhåpentligvis gi oss noen svar vi kan bruke for å komme videre med problemstillingen. Hvis dette er noe din virksomhet vil høre mer om, ta gjerne kontakt med oss på servicedesk@digdir.no.