Agenda SWAMID Board of Trustees 2024-12-16
by Pål Axelsson
Agenda SWAMID Board of Trustees 2024-12-16Tid
2024-12-16 14.00--16.00
Plats
Videomöte i Zoom, https://sunet.zoom.us/my/paxel
Om ni inte fått en kalenderhändelse medddela mig!
Kallade
Zacharias Törnblom (ZT)
Ann Amling
Mauritz Danielsson
Per-Olov Hammargren
Magnus Höglund
Jan Nordin
Anders Sjöström
Hans Wohlfart
Adjungerade
Pål Axelsson (PA)
Johan Nordgren
Välkommen (ZT)Fastställande av dagordning (ZT)Beslut om alternativ rutin
för studenter med skyddade identitetsuppgifter på AL2-nivå via fysiskt
möte eller videosamtal (PA)
Studenter med skyddade identitetsuppgifter har sitt riktiga personnummer
i NyA/Ladok bakom skydd som endast ett fåtal utvalda handläggare vid
lärosätet har tillgång till. Där finns koppling till studentens
interimspersonnummer som används i Ladok och lärosätets system.
Studentens riktiga personnummer ska exponeras så lite som möjligt, det
är därför olämpligt att använda inloggning via svensk e-legitimation i
lärosätets system för dessa studenter.
Handläggare med tillgång till skyddade identitetsuppgifter i NyA/Ladok
identifierar studenten under fysiskt möte med kontroll av legitimation
eller under videosamtal med hjälp av skanning av digital representation
av resehandling i e-legitimation, se Identitetskontroll via digital
representation av resehandling i e-legitimation (SWAMID AL2)
<https://wiki.sunet.se/pages/viewpage.action?pageId=204341308>.
Handläggaren tar fram studentens interimspersonnummer ur NyA/Ladok
utifrån identifierat svenskt personnummer och söker fram studentens
lärosäteskonto baserat på interimspersonnumret. Handläggaren genomför
aktivering enligt samma metod som handläggare i servicedesk.
Beslut om ansökningar om godkännande av tillitsnivåer (PA)
Högskolan i Borås ansöker om godkännande för SWAMID AL3
Högskolan i Borås vill bli godkända för SWAMID AL3.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras
ansökan.
Högskolan i Dalarna ansöker om förnyat godkännande för SWAMID AL2
Högskolan i Dalarna utökar metoderna för bekräftande av individer för
SWAMID AL2 till att även tillåta svensk e-legitimation tillitsnivå 3.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras
ansökan.
Karolinska institutet ansöker om förnyat godkännande för SWAMID AL2
Karolinska institutet utökar metoderna för bekräftande av individer för
SWAMID AL2 till att även tillåta svensk e-legitimation tillitsnivå 3 och
riskbaserad bedömning av personer utan svensk identitetshandling via
eduID. Dessutom kan medarbetare och studenter återställa lösenord via
självserviceportal.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras
ansökan.
Konstfack ansöker om godkännande för SWAMID AL3
Konstfack inför eduID Connect som komplement till nuvarande
identitetsutfärdare som reserv ökad funktionalitet.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras
ansökan.
Röda Korset Högskola ansöker om förnyat godkännande för SWAMID AL2
Röda Korset Högskola bygger helt om sina kontohanteringsprocesser från
och med 2025.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras
ansökan.
Stockholms Musikpedagogiska Institut ansöker om medlemskap samt
godkännande för SWAMID AL3
Stockholms Musikpedagogiska Institut är ny medlem i SWAMID och kommer
att använda eduID COnnect.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras
ansökan.
Umeå universitet ansöker om förnyat godkännande för SWAMID AL3
Umeå universitet utökar metoderna för bekräftande av individer för
SWAMID AL2 till att även hantera studenter med skyddade personuppgifter
enligt ovanstående modell.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras
ansökan.
Uppsala universitet ansöker om förnyat godkännande för SWAMID AL2
Uppsala universitet utökar metoderna för bekräftande av individer för
SWAMID AL2 till att även tillåta riskbaserad bedömning av personer utan
svensk identitetshandling via Freja eID.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras
ansökan.
Vetenskapsrådet - eduID ansöker om förnyat godkännande för SWAMID AL2
eduID tar bort möjligheten att använda mobiltelefonnummer för
bekräftande av identitet via abonnentregister och SMS för
lösenordsåterställning. Användning av e-legitimation för personer utan
svenskt personnummer ersätter SMS som andra kanal vid
lösenordsåterställning.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras
ansökan.
Information om avslutande av medlemskap i SWAMID (PA)
KK-stiftelsen är inte längre anslutna till Sunet. Med avseende på detta
avslutas deras medlemskap i SWAMID. De har endast använt eduroam.
Beslut runt översyn av tillitsprofiler (PA)
Under 2024 har SWAMID Operations arbetat med uppdatering av SWAMIDs
tillitsprofiler. Avsikten med uppdateringen har främst varit att
tydligare beskriva redan befintliga krav men också se om vi kan sänka
vissa krav och hantera ändrade omvärldskrav sedan senast uppdateringen
2020. Vid de digitala sunetdagarna i början av november presenterades
förändringarna och därefter har tre diskussions- och frågemöten
genomförts för att inhämta åsikter från SWAMIDs medlemsorganisationer
och registrerade tjänster. Under konsultationsprocessen inkom endast en
organisation med åsikt om förändringarna, se mer nedan.
På wikisidan Översyn av SWAMIDs tillitsprofiler 2024
<https://wiki.sunet.se/pages/viewpage.action?pageId=214570868> finns
konsultationsprocessens olika steg beskrivna. På denna wikisida finns
även de slutgiltiga förslagen till uppdaterade tillitsprofiler inkl.
tydlig ändringshantering.
Förutom de avsnitt där vi tydligare beskriver kraven kan man sammanfatta
ändringarna enligt nedan.
Avsnitt 2
Detta avsnitt beskriver primärt vad målet med tilltisprofilen är och här
av vi gjort två ändringar. Dels har vi tydligt lagt en rad om att en
användare måste vara kontaktbar. Detta fanns redan implicit under
avsnitt 5.4.2 runt hanterings av säkerhetsincidenter men vi har valt att
lyfta fram det tydligare eftersom det är ett krav i REFEDS Assurance
Framework version 2 (RAFv2). RAFv2 används av viktiga tjänster för
forskare runt om i världen för att med tillräcklig säkerhet fastställa
att det är rätt person som får tillgång till tjänsten.
Vi har även tagit bort jämförelsen med andra tillitsramverk eftersom det
inte har visat sig vara relevant.
Avsnitt 4.2.3
I förslaget till uppdaterade tillitsprofiler har vi nu utökat med den
best practice som har blivit godkänt för ett sort antal
federationsmedlemmar men som inte har varit beskrivet i
tillitsprofilerna, dvs. att modellen med att aktivt informera användaren
via t.ex. ett e-post räcker för att informera om uppdateringen.
Avsnitt 4.2.5
I alla år har vi under granskningarna krävt att service definition ska
vara publikt publicerad. Nu är detta tydligt inskrivet i profilerna.
Avsnitt 4.5
I SWAMIDs teknologiprofil för SAML WebSSO finns krav på att både
identitetsutgivare och tjänster måste följa SWAMIDs
incidenthanteringsprocess vid en säkerhetsincident. Vi har lyft över den
exakta texten från teknologiprofilen till tillitsprofilerna för att
tydliggöra detta för framförallt de tjänster som kräver RAFv2. Detta
tillför inga ökade krav utan bara tydliggör befintliga.
Avsnitt 5.1.1
I detta avsnitt finns den enda faktiska höjningen av krav i
tillitsprofilerna. Vid uppdateringen av tillitsprofiler 2020 skrevs det
in i råden (guidance) under punkten att "The use of OTP devices will be
deprecated 2025, or earlier, due to the risks with the technology.
Member organisations are encouraged not to implement new OTP
solutions.". SWAMID Operations har vid denna uppdatering ersatt detta
råd med att införa formell sluttid för tidsbaserad OTP till slutet på
2025 för mjukvarubaserad TOTP (sex siffror som byts ut en gång per
minut) och slutet av 2027 för hårdvarubaserad TOTP. Observera att de
krav som SWAMID ställer via tillitsprofilerna endast gäller för att få
signalera att MFA har använts vid inloggning till tjänster, inte om man
får använda TOTP eller inte.
Det höjda kravet för mjukvarubaserad TOTP berör ett par
medlemsorganisationer och här har vi fått en formell begäran från Lunds
universitet att slutet av 2025 är alldeles för snabbt för dem och de
föreslog några olika varianter (sammanfattat av operations) för inte
behöva genomföra höjningen av kravet:
Förändra endast kravet för SWAMID AL3 och fortsätt tillåta TOTP för
SWAMID AL1 och SWAMID AL2.
Att generellt fördröja införandet av kravet för mjukvarubaserad TOTP
till slutet på 2026.
Att inte genomföra ändringen utan skapa mitigerande rutiner för att
minska risken för TOTP.
Svagheten med TOTP är att det är en tidsbaserad engångkod som är fiskbar
via socialmanipulation och dessutom är mjukvarubaserad TOTP
kopieringsbar utan spårbarhet mellan olika "authenticatorappar". SWAMID
Operation anser därför att alternativ 1 eller 3 inte är lämpliga. Vidare
anser vi att det finns ett behov att vara väldigt tydliga och hindra
ytterligare införande av mjukvarubaserad TOTP inom SWAMID och därför
inte välja en generell förlängning. SWAMID Operations föreslår istället
att de lärosäten som idag är godkända för mjukvarubaserad TOTP får
ansöka om undantag för att få utökad tid, till maximalt slutet av 2027.
Denna begäran om förlängning beslutas därefter av SWAMID Board of
Trustees för varje enskild organisation.
Den andra faktiska ändringen i avsnittet är att lägga tydligt stöd för
att kunna använda externa inloggningskällor för inloggning, dvs. en
annan identitetsutfärdare inom SWAMID eller e-legitimation.
Övriga ändringar inom avsnittet är utökad förklaring om vad som menas
med multifaktorinloggning och kraven runt detta.
Avsnitt 5.2.5
Förändringarna i detta avsnitt handlar om minskade krav, nya möjligheter
och förändrad lagstiftning. Tydligast är att kravet på minsta
tillitsnivå för svensk e-legitimation sänks från 3 till 2 beroende på
att nu finns det e-legitimationer på tillitsnivå 2 och vi har sett hur
granskning av DiGG genomförs. När det gäller ändrad lagstiftning är det
främst den kommande identitetsplånboken från EU som ger nya möjligheter.
I övrigt är det bara ökad tydlighet som är beskriven.
Avsnitt 5.2.6
Avsnittet har fått utökad betydelse. SWAMID Operations har genom alla år
bedömt förändring av tillitsnivå för en användare som en del av 5.2.5.
För att göra det tydligare vad som gäller vid byte av tillitsnivå har vi
utökat avsnittet för att beskriva befintliga krav tydligare.
Avsnitt 5.2.7
Detta avsnitt har utökats från att bara gälla uppdatering av
självuppgivna uppgifter till uppdatering av alla person- och
organisationsuppgifter på användaren. Detta beskrevs tidigare bara i
avsnitt 2 med en enda punkt men för att göra det tydligare och lättare
för medlemmarna att förstå vad som granskas har vi lagt det under
avsnittet. De två områden som beskrivs särskilt i den nya skrivningen är
att alla användare ska vara kontaktbara och aktualitet på användarens
anknytning till organisationen. Orsaken till att detta lyfts särskilt är
krav i RAFv2. Detta tillför inga ökade krav utan bara tydliggör
befintliga.
Information om end-of-life Shibboleth Identity Provider version 4 (PA)
Alla som har använt äldre version av Shibboleth Identity Provider har
uppdaterat nu uppdaterat till version 5. Alla gjorde det innan
definierad tidsfrist, dvs. 30 november.
Övriga frågorNästa möte (ZT)Avslutande (ZT)
1 week, 6 days
- 1
- 1