Beslut om avveckling av GEANT Code of Conduct version 1<https://wiki.sunet.se/spaces/SWAMID/blog/2026/01/09/293602096/Beslut+om+avv…>
eduGAINs styrande kommitté har beslutat att avveckla GÉANT Code of Conduct version 1 (CoCo v1). Denna kod baseras på den lagstiftning som ersattes av Dataskyddsförordningen 2018. Den bör därför inte längre användas som grund för integritetsefterlevnad och URI:n för denna entitetskategori stöds inte längre. Kommittén anser därför att det nu är en lämplig tidpunkt att avveckla CoCo v1 som en rekommenderad profil. Swamid följer eduGAINs beslut både för tjänster som exporteras och som inte exporteras till eduGAIN.
CoCo v1 ersätts av REFEDS Data Protection Code of Conduct v2 (CoCo v2) <https://refeds.org/category/code-of-conduct> och rekommenderad migrering är enligt följande:
* Identitetsutgivare (IdP): Ingen förändring just nu, både CoCo v1 och CoCo v2 ska stödjas tillsvidare. Swamids rekommenderade modell för attributrelease för IdPer har sedan länge stöd både för CoCo v1 och CoCo v2.
* Tjänster (SP): För tjänster sker förändringen i två steg och initieras av tjänsteägaren eller dess tekniska representant i Swamidregistrerad metadata:
* Om tjänsten har CoCo v1 men inte CoCo v2: Lägg till CoCo v2 som entitetskategori.
* Swamid Operations kommer i steg 2 att avregistrera CoCo v1 från alla entiteter i Swamid. Observera att när detta ska göras är ännu inte bestämt och tjänsterna avråds från att ta bort CoCo v1 för fortsatt fungerande attributrelease från de identitetsutgivare som ännu inte stödjer CoCo v2.
Primära skillnader mellan CoCo v1 och CoCo v2
CoCo v2 bygger på Dataskyddsförordningen (GDPR, EU 2016/679) medan CoCo v1 bygger på EU-direktivet bakom gamla Personuppgiftlagen (PUL, SFS 1998:204). Både CoCo v1 och CoCo v2 är s.k. best practice för hur man uppfyller intensionerna runt attributrelease från en identitetsutfärdare till en tjänst genom att tjänsten deklarerar hur lagstiftningen uppfylls genom en s.k. privacy policy som är publicerad i tjänstens metadata.
Förutom bytet av lagstiftning är det två större skillnader mellan de två olika versionerna:
* CoCo v1 kräver att det i privacy policyn finns ett avsnitt som hänvisar till CoCo v1 med länk till den gällande versionen av CoCo v1, detta krav är borttaget ur CoCo v2.
* CoCo v2 kräver att REFEDS Security Incident Response Trust Framework for Federated Identity (Sirtfi)<https://refeds.org/sirtfi> följs och registreras i metadata av tjänsten. Detta innebär indirekt att tjänsten även måste ange en säkerhetskontakt i metadata. Denna säkerhetskontakt ska kunna hantera IT-säkerhetsrelaterade frågor på säkert sätt enligt FIRST Traffic Light Protocol (TLP)<https://www.first.org/tlp/>. Enklast görs detta enligt SWAMID Incident Management Procedures<https://wiki.sunet.se/spaces/SWAMID/pages/102564350/SWAMID+Incident+Managem…>.
Pål Axelsson
Hej,
Nu har årets sista Swamid Board of Trustees avslutats. Vid detta möte beslutades följande:
* Uppdatering av tillitsprofilerna baserat främst på ny version av NISTO 800.63, observera inga nya krav sedan uppdateringen 2024.
* Godkännande av Identity Management Practice Statement för 5 organisationer.
Protokollet finns publicerat på https://wiki.sunet.se/display/SWAMID/SWAMID+BoT+2025-12-15.
Pål
Hej!
Enligt SWAMID SAML WebSSO Technology Profile (3.2, 3.3 och 6.6.2) ska en entitet årligen bekräfta
att den uppfyller teknologi-profilen samt ha tidsmässigt giltigt certifikat.
Följande entiteter har trots påtryckning inte bekräftats eller har ett certifikat som gått ut och kommer därför raderas 2026-01-07 ur federationen.
* https://idp2.kkh.se/idp/shibboleth
* https://sam.cs.lth.se/shibboleth
Vet ni med er att entiteten används vid ert lärosäte behöver ni skyndsamt eskalera detta
till rätt instans inom er organisation.
Det går att följa status på dessa entiteter via vår felsida:
https://metadata.swamid.se/admin/?action=ErrorList
Finns entiteten kvar är den ännu inte hanterad (uppdateras varje onsdag morgon). Last
Confirmed/Validated uppdateras dock löpande.
--
jocar
SWAMID Operations
Hej!
Jag lovade att ta fram ett exempel på hur man kan kräva REFEDS MFA för
en SP från IdP-sidan med hjälp av relying-party.xml.
Nu finns exemplet på Swamids wiki under SAML IdP Best Current Practice
eller direkt via:
https://wiki.sunet.se/display/SWAMID/Force+the+use+of+Refeds+MFA+for+a+spec…
/Paul.
--
Paul Scott
Systemutvecklare | Systems developer
KARLSTADS UNIVERSITET | KARLSTAD UNIVERSITY
SE-651 88 Karlstad Sweden
Tel: +46 54 700 23 07
www.kau.se
När du skickar e-post till Karlstads universitet behandlar vi dina personuppgifter<https://www.kau.se/gdpr>.
When you send an e-mail to Karlstad University, we will process your personal data<https://www.kau.se/en/gdpr>.
Hej
Hittade powerpointen från den presentationen på Sunetdagarna, undrar dock om det finns även en inspelning som man kan kika på och i så fall var?
Mvh Vyacheslav Lytvynenko
IT-Avdelningen
Högskolan i Skövde
Hej,
Mitt namn är Ikbal Erdal och jag är student vid Stockholms universitet.
Jag utvecklar en social app för svenska universitetsstudenter med syfte att stärka gemenskapen på campus och göra det enklare för studenter att hitta vänner, studiepartners och aktiviteter. Appen är alltså riktad enbart till studenter och är tänkt att vara ett stöd inom studentlivet.
Efter kontakt med Stockholms universitets IT-avdelning fick jag uppfattningen att nästa steg för att kunna erbjuda säker studentinloggning är att registrera tjänsten i SWAMID och ansluta den som en Service Provider via SAML WebSSO.
Jag har läst på er sida om “Registrera en tjänst i SWAMID” och såg att en tjänst måste uppfylla något av följande krav. Det verkar som att min tjänst skulle kunna omfattas av kategorin:
“tjänst som, åtminstone delvis, har som syfte att direkt stödja utbildning och forskning (primärt för tjänster av och för akademin)”
Appen syftar till att förbättra studenternas möjligheter att knyta kontakter, samarbeta och delta i studierelaterade aktiviteter, och jag undrar därför:
1. Kan en extern studentapp av detta slag registreras som en tjänst i SWAMID?
2. Hur går själva processen till för att registrera en tjänst, och vilka steg behöver jag genomföra?
3. Behöver tjänsten ha ett formellt avtal eller sponsorskap från ett lärosäte, eller kan den registreras direkt om den uppfyller syftet att stödja studentlivet?
4. Finns det någon särskild kontaktperson eller dokumentation jag bör följa i detta fall?
Jag vill säkerställa att jag gör processen korrekt från början och följer SWAMID:s krav och riktlinjer.
Stort tack för er tid och hjälp!
Vänliga hälsningar,
Ikbal Erdal
Student, Stockholms universitet
073-991 1885
Hej.
Har fått frågan om min presentation från Sunetdagarna.
Nu har både min och Paul:s presentationer samt många andra publicerats på https://sunetdagarna.se/ dyk gärna in och titta :-)
// Björn M.
Hej,
Jag påminner alltid om att uppdatera era Identity Managment Process Statements (IMPS), dvs. där ni som identitetsoperatörer beskriver hur er organisation uppfyller Swamids olika tillitsprofiler, när ni uppdaterar era processer. Detta brev handlar inte om detta utan jag vill ge er hjälp att kunna planera er nästa uppdatering. Vid halvårsskiftet 2020 beslutades om en större uppdatering av tillitsprofilerna och de flesta av er har uppdaterat era IMPSer efter denna ändring. De som ännu inte gjort har under året fått information om behovet att uppdatera så snart som möjligt.
Vid årsskiftet 2024/25 gjordes en mindre uppdatering av tillitsprofilerna där kraven inte utökades utan förändrades för att göra kraven tydligare och lättare att beskriva. Under 2026 kommer ni som senast fick beslut av Swamid Board of Trustees under åren 2021 och 2022 skicka in uppdaterade IMPSer. För er som senast fick beslut under åren 2+23 och 2024 gäller att ni behöver skicka in senast under 2027.
Swamid Operations kommer under första kvartalet 2026 genomföra ett Webinar om vilka ändringar som genomfördes vid årsskiftet 2024/2025 för att stödja era uppdateringar. Det är inte stora ändringar utan det handlar mest om att flytta runt text samt beskriva det ni redan beskriver tydligare.
Om ni behöver stöd och hjälp så finns Swamid Operations tillgängliga. Skicka ett e-post till operations(a)swamid.se.
Swamid Operations genom
Pål Axelsson
Hej,
Swamids tillitsprofiler refererar NIST Special Publication 800-63 Digital Identity Guidelines<https://www.nist.gov/identity-access-management/projects/nist-special-publi…> gällande inloggningsmodeller. I augusti 2025 uppdaterades dessa riktlinjer där NIST har bytt namn på de olika inloggningsmodellerna. Baserat på detta måste även Swamids tillitsprofiler uppdateras med de nya namnen på inloggningsmodellerna i punkt 5.1.1. Detta är den primära ändringen i aktuella uppdateringar.
I samband med denna tvingande förändring har vi även valt att tydligare lyfta in de befintliga kraven på lösenordskvalité för att göra tillitsprofilerna tydligare och enklare att läsa. Vi har även lagt in en ny "guidance" om vad som avses med nätfiskeresistent multifaktorinloggning. Till sist har vi delat på punkt 4.4.1 i två så att loggningskrav och hur dessa loggar ska hanteras finns i två olika punkter. Inga av dessa ändringar är kravförändring.
Avsikten med översynen är alltså inte att ställa andra krav än de som redan gäller i aktuella versioner av tillitsprofilerna!
Välkomna att läsa igenom uppdateringarna och ställa frågor om ni har några funderingar. Förändringarna kommer att tas upp till beslut på nästa Swamid Board of Trustees i december 2025.
Förslaget till de uppdaterade tillitsprofilerna finns på https://wiki.sunet.se/x/n4H0E.
Pål Axelsson
