Teneste for Gløymd passord og uthenting av brukarnamn

Dette er ei teneste frå Cerebrum som gir instansen sine personar mulighet til å liste ut sine brukarnamn, samt gje personar tilgang til å sette nytt passord sjølv om ein har gløymd sitt gamle passord. Dette kan gjerast utan å måtte involvere IT-support. Tenesta benytter tekstmeldingar blant anna for å autentisere personen.

Korleis tenestene fungerer

Tenesta består av to funksjonar:

  1. Ei nettside for å kunne hente ut ei liste over brukarnamna sine.
  2. Ei nettside for å kunne sette seg eit nytt passord for ein av brukarane sine. Dette fungerer også etter at brukaren er i autopassord-karantene, sidan vi autentiserer personar ved hjelp av eingangskoder sent til mobilen.

Sjå ein kort presentasjon med skjermskot av dei ulike stega i tenesta slik den fungerer for UiO.

Finn-ditt-brukarnamn

Denne tenesta gir alle personar registrert i Cerebrum mulighet til å få lista ut sine brukarnamn.

Typisk bruk av tenesta:

  1. Personen går til startsida og blir bedt om å taste inn noko som kan identifisere personen.
  2. Personen tastar inn sitt fødselsnummer, studentnummer eller ansattnummer. Av sikkerhetsmessige årsaker må ein også fylle ut ein såkalla captcha, for å unngå misbruk av tenesta.
  3. Dersom personen har tasta inn riktig informasjon vil ein få ei liste over sine brukarnamn, og om brukarane er aktive eller ikkje.

For dømer på korleis framsida kan sjå ut, sjå UiO sin versjon, og NIH sin.

Sett-nytt-passord

Denne tenesta gir personar mulighet til å sette sitt eige passord ved hjelp av mobilen. Personen treng ikkje vite sitt gamle passord, og kan også vere i passordkarantene og likevel få brukt tenesta.

Personen sitt mobilnummer må vere registrert i eit av kjeldesystema som Cerebrum importerer frå, og brukaren kan ikkje vere avvikla/sletta, eller i andre karantener enn autopassord.

Typisk scenario for å sette nytt passord:

  1. Personen går til startsida og blir bedt om å taste inn sin informasjon.
  2. Personen tastar inn sitt brukarnamn, mobilnummer og ein av felta: fødselsnummer, studentnummer eller ansattnummer. I tillegg må også ein captcha fyllast ut for å unngå misbruk av tenesta.
  3. Dersom personen har tasta inn riktig informasjon vil tenesta sende ein SMS med ein eingangskode. Merk at mobilnummeret må vere registrert i eit autoritativt kjeldesystem, til dømes FS eller SAP.
  4. Personen må taste inn denne eingangskoden på neste side i tenesta.
  5. Dersom eingangskoden stemmer overens blir personen presentert med eit felt for å sette seg eit nytt passord.
  6. Dersom det nye passordet oppfyller passordkrava til instansen, vert det nye passordet satt på brukaren.

Merk at om ein person fyller ut feil informasjon eller om personen er sperra på noko vis, kan ikkje tenesta opplyse om nøyaktig kva som er feil. Dette er av sikkerhetsmessige årsaker, då vi ønsker at angriparar skal kunne fiske ut minst mogeleg informasjon frå tenesta. Dette kan dessvere vere noko forvirrande for sluttbrukarane.

Meir detaljar

Systemet består av to deler, ein webservice som køyrer i Cerebrum sitt produksjonsmiljø og ein PHP-applikasjon som er synleg for brukarane og som snakker med webservicen. PHP-applikasjonen kan driftast av instansen sjølv eller av Cerebrum.

I bakgrunnen sendast SMS ut med USIT sin SMS-gateway. Dette er samme systemet som blant anna brukast til utsending av SMS frå Felles Studentsystem, og vert fakturert på samme måte.

Tenesta sender berre tekstmeldingar til nummer som er registrert i kjeldesystem som er definerte, og i tillegg må personen ha ein affiliation frå samme systemet for å kunne bruke mobilnummeret. Dette er for å unngå bruk av utdaterte mobilnummer.

Nokre fordeler med tenesta:

  • Personar kan bytte passord også dersom dei til dømes har mista sitt gamle passord, eller er i karantene fordi dei ikkje har bytta passordet sitt.
  • Ein får mindre henvendingar hos IT-support, sidan fleire personar kan bytte passordet sjølv.
  • Ein vil kunne unngå utsendinga av passordbrev i starten av semesteret. Merk at studentautomatikken kan også settast opp til å sende ut ein velkomst-SMS når studentbrukarar opprettast, om instansen ber om dette. Her kan vi legge inn ei kort lenke til ei nettside med meir informasjon for nye studentar.

Merk at det er nokre grupper som ikkje kan bruke denne tenesta:

  • Om ein ikkje er registrert med eit mobilnummer i eit av dei definerte kjeldesystema.
  • Om ein ikkje er aktiv, dvs. har ingen affiliations, i nokon av dei definerte kjeldesystema.
  • Om ein er med i ei gruppe som er reservert frå å bruke tenesta, til dømes superbrukarar.
  • Om ein er registrert med eit utanlandsk mobilnummer som ikkje aksepterast av tenesta.
  • Om brukaren er avvikla, eller er i ei anna karantene enn autopassord.
  • Om personen ikkje er blitt importert til Cerebrum.

Slike personar må ein ha andre løysingar for, til dømes ved personleg oppmøte eller med utsending av passordbrev.

SMS-tenesta

Vi bruker ein SMS-gateway hos Telenor for å sende ut SMS. Denne har nokre krav til mobilnummera som det sendast til:

  • Mobilnummeret kan berre innehalde siffer. Mellomrom og teikn aksepterast ikkje.
  • Landskodar må starte på +. Mobilnummer som starter på 00 aksepterast dessverre ikkje.
  • Dersom mobilnummeret er utan landskode vert det ansett som eit norsk nummer, og må då vere på åtte siffer.

Ugyldige mobilnummer fører til at tekstmeldinga ikkje vil bli sendt.

Studentweb sjekker at mobilnummeret er på åtte siffer og er i ein mobilserie for norske mobilnummer. Dersom studenten oppgir ein landskode vil ikkje lengda eller mobilserien sjekkast lenger.

Ta i bruk tenesta

Spørsmål

Før ein Cerebrum-instans kan ta i bruk denne tenesta, er det nokre spørsmål som må besvarast:

  • Skal USIT eller instansen drifte PHP-applikasjonen? Dette avhenger av kor mykje ressursar instansen ønsker å legge inn i tenesta.
    • Dersom USIT skal drifte PHP-applikasjonen vil nettsida bli satt opp under https://passord.INSTANS.usit.no. Merk at utsjånaden til nettsida kan endrast etter ønske.
    • Dersom instansen skal drifte PHP-applikasjonen må USIT få informasjon om kva IP-adresse PHP-applikasjonen skal køyre frå, så vi kan gje den tilgang til webservicen. I tillegg må det utvekslast sertifikat. Hjelp for installering av PHP-applikasjonen ligg i fila SETUP.rst i kodetreet.
  • Kven skal kunne bruke tenesta? Ansatte? Studentar?
  • Frå kva kjeldesystem skal tenesta ta i bruk mobilnummer? Til dømes SAP og/eller FS. Tenesta kan berre sende ut tekstmeldingar til mobilnummer som er registrert i desse kjeldesystema, og personar må samtidig ha ein aktiv affiliation frå dette systemet. Dersom vi ikkje importerer mobilnummer frå gitt system, må vi utvide importar til å støtte dette.
  • Til kva landskodar skal vi kunne sende tekstmeldingar? Utsendingar til utanlandske mobilnummer kostar meir. Merk at norske mobilnummer som er i utlandet behandlast på samme måte som om dei var i Noreg, dette tek teleselskapa seg av.
  • Skal ansatte som også er studentar få lov til å bruke mobilnummer som er registrert i studentsystemet? Dette er ei sikkerhetsvurdering.
  • Kor mange dagar etter at ein person har mista sin person-affiliation skal ein kunne bruke tenesta? Eit døme er ansatte/studentar som nettopp har slutta og mista sin affiliation på personen. Standarden her er 7 dagar. Merk at tenesta ignorerer brukar-affiliations.
  • Kva skal innhaldet i tekstmeldinga for eingangskodar vere? Standard er: 
    Ditt engangspassord: XXXXXXXX
Hilsen INSTANSNAMN
  • Er det grupper som ikkje skal kunne bruke passordtenesta? Av sikkerhetsmessige årsaker anbefaler vi å reservere superbrukarar og administratorar av kritiske system. Superbrukarar i bofh er automatisk reserverte.
  • Skal tenesta sperre for ferske mobilnummer frå FS? Av sikkerhetsmessige årsaker er det ei sperre i tenesta mot ferske endringar av mobilnummer frå FS, sidan det er enklare å komme seg inn i StudentWeb som ein student. Dette gjer at nye mobilnummer frå FS sperrer studenten ute frå tenesta i nokre dagar. Standard er 7 dagar, men dette kan også slåast av.
  • Språk? Webservicen vil returnere ein del setningar med forklaringar til sluttbrukarane. Om ønskeleg kan USIT sende over ei liste over standard tekst, så instansen kan endre på denne etter eige ønske.
  • Kva design skal nettsidene følge? Om instansen har ein designmal eller retningslinjer, kan vi tilpasse nettsidene til dette. Dette spørsmålet gjeld sjølvsagt berre dersom det er USIT som skal lage og drifte nettsidene.

Send svara på desse spørsmåla på e-post til Cerebrum i bestillinga av tenesten.

Merk at tenesta støtter fleire, meir tekniske innstillingar, så ta kontakt dersom ein ønsker andre endringar på tenesta.

Oppsett

Dersom USIT set opp både webservicen og PHP-applikasjonen, må instansen oppdatere sine eigne nettsider med å lenke til passordtenesta. Vi anbefaler at instansen lager si eiga nettside med ein enkel URL som lenker til tenestene for passordbytte og brukarnamn. Eit døme er passord.nih.no.

Om instansen vil sette opp PHP-applikasjonen kan dette gjerast ved å følge SETUP.rst. Det må blant anna utvekslast SSL-sertifikat og IP-adresser for å få tilgang til webservicen, og ein må sette opp reCaptcha-nøklar hos Google om ein ønsker å bruke standard-oppsettet. I tillegg må ein sette opp nettsida til å følge instansen sin designstandard for nettsider.

Etterarbeid

Når tenesta er ferdig satt opp må instansen teste at tenesta fungerer som ønskeleg. Dersom den berre skal vere tilgjengeleg for studentar og ikkje ansatte anbefalast det å opprette fiktive test-studentar i FS, registrert med mobilnummeret til nokon i IT-avdelinga. På den måten unngår ein å bruke studentar som forsøkskaniner.

Dersom instansen har satt opp PHP-applikasjonen sjølv, anbefalast det at PHP-loggen sjekkast regelmessig for feil og angrep. I tillegg bør ein regelmessig sjekke oppdateringar i koden frå USIT for å få med seg seinare sikkerhetsoppdateringar i tenesta.

Av jokim
Publisert 19. feb. 2013 07:32 - Sist endret 21. sep. 2015 08:51
Del på e-post