Accessibility Tools

Web Accessibility plugin by DJ-Extensions.com

Oppsett av FINT Kontroll

 

Administrative forberedelser

 

Databehandleravtale

Databehandleravtale henviser til hoved SLA https://www.fintlabs.no/_media/SLA-mellom-VigoIKS-og-fylkeskommunene-om-tjenesten-FINT.pdf.

Fyll ut de tomme feltene og send til Novari på support.novari.no merket FINT Kontroll databehandleravtale. Deretter vil Novari sende over databehandleravtalen til digital signering. Databehandleravtale må være underskrevet.

Info vi trenger

Fyll ut feltene under:

Systemeier/den som signerer avtalen

E-post signerer

Kontaktinfo ved sikkerhetsbrudd – navn

Kontaktinfo ved sikkerhetsbrudd – telefon

Kontaktinfo ved sikkerhetsbrudd – epost

Andre henvendelser – Navn

Andre henvendelser – telefon

Andre henvendelser – e-post

 

Kostnader

Det er ikke noen direkte «påkoblingskostnad» i kontroll i dag, men driftsmiljøet som blir satt opp vil ha en løpende kostnad.

FINT Kontroll er under utvikling og utvides stadig, det er vanskelig å si nøyaktig hva dette vil ligge på når løsningen er ferdig. Med erfaring fra AFK, BFK og ØFK ser det ut til at driftsutgiftene for et fylke anslagsvis vil være mellom 50.000 og 100.000 i året, slik løsningen er i dag. (14.11.2024)

 

Testmiljø

Fylket kan velge å kjøre løsningen først i beta-miljøet vårt. Dette fordrer at vi henter data fra beta-miljøet i FINT og at fylkeskommunen har en test-tennant i Azure som inneholder brukere som eksisterer i FINT-beta miljø. Dvs en Entra ID instans hvor brukerene er populert med elevnummer eller ansattnummer som samsvarer med brukere fra FINT.

Andre opplysninger Novari behøver

Informasjon

Beskrivelse

Tid for aktivering av bruker

Antall dager før personer starter skal brukeren opprettes

i Fint Kontroll. Her kan man velge ulikt antall dager for

ansatte og elever

epost for systemadministrator

epost til personen(e) som skal ha alle rettigheter i

løsning. Må ha rollen admin. Se ang roller nedenfor.

Tekniske forberedelser

Entra ID

Opprettelse av Enterprise App i Entra

Enable rolle “Application admin” eller høyere

Sørg for å være en bruker som har tilgang til “Application administrator” for å gjennomføre stegene under. Benytt eventuelt Privileged Identity Management (PIM) for å enable rollen.

Opprett “App Registration” i Entra

  • Name: FINT Kontroll

  • Supported account types: Accounts in this organizational directory only (Single tenant)

Tildel rettigheter

Gjøres under “App registrations”

  • Klikk “API permissions”

  • Permissions -> Graph -> Application permissions

API / Permission name

Type

Application.Read.All?

Application

Read all applications

Group.Create

Application

Create groups

Group.ReadWrite.All

Application

Read and write all groups

User.Read.All

Application

Read all users’ full profiles

GroupMember.ReadWrite.All

Application

Read and write group members

  • Grant admin permissions. Enten selv, eller få noen til å gjøre det for deg. NB! Å grant permissions krever høyere tilgangsnivå enn “Application Admin”.

Lag en nøkkel for å kunne koble til applikasjonen

Gjøres under “App registrations”

  • Klikk: Certificates & secrets → Client secret → New client secret

    • Description: “FINT Kontroll secret”

    • Expires: 6 months → 24 months (husk å gi beskjed til Novari når secret utløper)

  • Kopier ut følgende verdier

    • “Value” (the secret)

  • Klikk “Overview, og hent ut verdiene:

    • Application (client) ID

    • Directory (tenant) ID

  • Klikk “Managed application in local directory”, og hent ut verdien:

    • Object ID

  • De fire ovennevnte verdiene benyttes i FINT Kontroll.

Endringer som må gjøres i Entra ID for hver tenant

Bruker-objekter og gruppe-objekter må endres i Entra ID for å fasilitere FINT Kontroll

  1. Start PowerShell på lokal maskin

  2. Installer MS Graph modul lokalt

    1. Install-Module Microsoft.Graph.Applications (som admin)

  3. Kjør følgende kommandoer manuelt

    1. Import-Module Microsoft.Graph.Applications

    2. connect-graph -TenantId <id> -UseDeviceCode

  4. Finn [objectid] ved å hente “Object ID” til App Registration

  5. Sett en variabel til application ID:

  6. #Set the objectId from App registration
    $objectid = '[objectid]'
    #Used by all kontroll groups. Mandatory attibute
    $params = @{
     name = "ResourceGroupID"
     dataType = "String"
     targetObjects = @(
     "Group"
     )
    }
    New-MgApplicationExtensionProperty -ApplicationId $objectid -BodyParameter $params
    # Verifisér at egenskapene er opprettet ved å kjøre flg kommando
    Get-MgApplicationExtensionProperty -ApplicationId $objectid | select "Name", "Id"

  7. Send infoen fra Get-MgApplicationExtensionProperty til Novari, sammen med resten av infoen

Endringer som må gjøres i Entra ID dersom man har eksterne brukere (cross tenant sync) for hver tenant.

#################################################
## Consider if the part below is relevant for you
## MainOrgUnitId and MainOrgUnitName is for External users only. If no external users are needed in Kontroll,
## there is no need to create the next two attributes
$params = @{
 name = "MainOrgUnitId"
 dataType = "String"
 targetObjects = @(
 "User"
 )
}
New-MgApplicationExtensionProperty -ApplicationId $objectid -BodyParameter $params
$params = @{
 name = "MainOrgUnitName"
 dataType = "String"
 targetObjects = @(
 "User"
 )
}
New-MgApplicationExtensionProperty -ApplicationId $objectid -BodyParameter $params
# Verifisér at egenskapene er opprettet ved å kjøre flg kommando
Get-MgApplicationExtensionProperty -ApplicationId $objectid | select "Name", "Id"

Attributter

For å få hentet brukere fra Entra Id og koblet de sammen med informasjon fra FINT trenger vi at på alle brukerobjecter finnes et attribute for ansattnummer og ett attributt for elevnummer

Vi trenger også å vite prefix og suffix på gruppene som FINT Kontroll skal opprette i Entra ID.

Attribute

Eksempel

ansattnummer

onPremisesExtensionAttributes.extensionAttribute10

elevnummer

onPremisesExtensionAttributes.extensionAttribute9

gruppe prefix

ofk-

gruppe suffix

-agg-kon

Roller som overføres fra Entra Id til Novari

Brukere autentiseres vha federert pålogging mot fylkeskommunens Entra Id. Brukere som skal ha tilgang til løsning må ha en av disse rollene:

Rolle

Beskrivelse

https://role-catalog.vigoiks.no

/vigo/kontroll/user

Må være medlem av denne rollen for å

få logget på. Brukeren får tildelt interne

roller i FINT-Kontroll.

https://role-catalog.vigoiks.no

/vigo/kontroll/admin

Brukere med denne rollen får tilgang

til alle funksjoner i FINT-Kontroll

Se forøvrig her for mere informasjon rundt federert pålogging og roller:

  • https://role-catalog.vigoiks.no/

  • https://www.fintlabs.no/#/technical/federation

Eksterne brukere

FINT-Kontroll kan importere eksterne brukere, dvs brukere som kun eksiterer i Entra Id og ikke vi ikke har informasjon om i FINT.

De eksterne brukerne kan ha to attributter som viser til hvilken organisasjon de tilhører, orgUnitName og orgUnitId (orgUnitId er påkrevd. Kilde kan være valgfritt attributt i Entra ID). Disse brukerne vil importeres inn i FINT-kontroll som eksterne brukere fra Entra ID.

Sist endret: 3. desember, 2024

Savner du noe?

Vi jobber for tiden med å overføre innhold til den nye nettsiden vår. Det er derfor en mulighet for at det du leter etter ikke er å finne på denne siden, eller at det er blitt flyttet til en annen side.

Vennligst ta kontakt med oss, så hjelper vi hverandre!

Sidenavigasjon

Novari IKS

– tidligere Vigo IKS

Deltabygget
Kjølnes Ring 30,
3918 Porsgrunn

Orgnr. 998 283 914

Snarveier

Kontakt

Hilde Benno Vaage

Daglig leder

Cathrine Hill-Jensen

Ansvarlig redaktør
Med enerett © 2024 Vigo IKS – Design og utvikling av Wera

Tilgjengelighetserklæring

Personvernerklæring

Seksjoner

Navigasjon

Tjenester

Snarveier