Utmaning
En svensk skola använder Google for education för att hantera konton, så att både elever och pedagogisk personal kan logga in på sina Chromebooks samt få de behörigheter som krävs till de system och tjänster användaren ska ha åtkomst till.
För att logga in behöver användaren ange sitt lösenord som finns lagrat på kontot i Google.
Efter exempelvis skollov och vid ny termin är det vanligt förekommande att användaren glömt det aktuella lösenordet.
Skolan önskar att pedagogisk personal ska kunna återställa sitt lösenord helt själv,utan inblandning av en servicedesk, och samtidigt behålla en hög säkerhet för att undvika att attackerare utnyttjar sårbarheter och kan stjäla användarens lösenord.
Även de elever som har en egen e-legitimation ska kunna återställa sitt lösenord.
En lärare ska även ha möjlighet att återställa lösenord på de elever som läraren har behörighet till, så kallad delegerad lösenordsåterställning.
Återställning av lösenord ska vara enkelt att använda och innebära minimalt arbete med administration, ge en högre säkerhet och spara tid och pengar.
Lösning
Med Fortified ID Password Reset så kan pedagogisk personal och elever använda de metoder som skolan valt att exponera via skolans autentiseringstjänst (Identity Provider, IdP) för att återställa lösenordet i Google.
Skolans IdP är baserad på mjukvaran Fortified ID Integrity Web.
De e-legitimationer som skolan kan välja att exponera är BankID, Freja OrgID, SITHS och Foreign eID som är en europeisk e-legitimation via eIDAS.
Lösningen är mycket kostnadseffektiv:
Utfärdande av e-legitimationen hanteras utanför organisationen
e-Legitimation är något de flesta brukare är vana vid att använda privat
Kräver minimalt med administration i organisationen
Eleven kan få hjälp att återställa sitt lösenord av pedagogisk personal
Standardiserad integration
Övrigt
Kopplingen mellan användarens e-legitimation och användarens konto i organisationen sker via ett uppslag mot Google.
Lösningen kopplar ihop identifieraren på användarens e-legitimation med ett attribut på användarens konto i Google. Skolan kan själva välja vilket attribut som ska användas för den här mappningen.
Delegerad lösenordsåterställning baseras på en pedagogs egenskaper som definierar vilken klass denne förestår. Alla de elever som är märkta med samma klass kommer pedagogen ha behörighet att sätta lösenord för.
Lösningen motsvarar de krav på lösenord och dess komplexitet som skolan konfigurerat i Google.
Integrationen mellan Password Reset och skolans inloggningstjänst (IdP) sker via ett standardiserat flöde baserat på SAML2.
Relaterad information