Hej,
Nu har det sent om syner blivit dags för årets första SWAMID Board of Trustees. Tyvärr har det dragit ut på tiden beroende på att dels har vi haft få ärenden och dels har jag varit upptagen i ett tidskritiskt projekt under våren. Just nu har vi fem organisationer som har begärt nytt godkännande av sina Identity Managment Practice Statement och vi har ytterligare fem på gång men jag tror max två till tre av dem blir klara före mötet. Svara gärna så fort som möjligt, helst redan denna vecka och i början av nästa vecka.
https://doodle.com/group-poll/participate/b6KNGkOd
Pål
Hej,
Vårens första BoT-möte kommer att bli försenat beroende på att vi
operations jobbar väldigt intensivt jobbar med 5 lärosäten och två andra
organisationer runt deras uppdateringar av IMPSer. Två lärosäten ligger
färdiga för beslut vid nästa möte. Orsaken till att de är så många är
främst att vi i vårt metadataverktyg slagit på begäran om årlig
validering av organisationens IMPS. Dels har många organisationer sett
att deras IMPSer är för gamla och de har gjort förändringar utan att
uppdatera och skicka in men också att vi drog en gräns vid 2021-01-01
och alla som varit godkända innan det måste skicka in aktuell IMPS för
nytt godkännande. Orsaken till just detta datum är att det är nu dags
att säkerställa att den stora uppdateringen 2020 uppfylls och beskrivs
av alla.
För övrigt håller vi på att förbereda en Proof of Concept tillsammans
med eduGAIN och ett handfull andra federationer för en ny
federationsteknologi som på sikt kommer ta över efter SAML men de bägge
kommer att finnas parallellt under många år. Den nya
federationsteknlogin heter OpenID Connect over OpenID Federation. OpenID
Connect, förkortat OIDC, har ni nog alla hört talas om de senaste åren
men den tekniken är i grunden punkt till punkt och därmed inte skalbar
på det sätt som vi gör i SAML-federationerna idag. För att utöka OIDC
med många till många har det under flera år jobbats med ett tillägg som
nu har fått namnet OpenID Federation. Vi hoppas att den standarden blir
antagen senare i år och att vi då bredare kan börja titta på införande
och hur vi gör det på ett smart och inkluderande sätt inom SWAMID.
Pål
Agenda SWAMID Board of Trustees 2024-12-16Tid
2024-12-16 14.00--16.00
Plats
Videomöte i Zoom, https://sunet.zoom.us/my/paxel
Om ni inte fått en kalenderhändelse medddela mig!
Kallade
Zacharias Törnblom (ZT)
Ann Amling
Mauritz Danielsson
Per-Olov Hammargren
Magnus Höglund
Jan Nordin
Anders Sjöström
Hans Wohlfart
Adjungerade
Pål Axelsson (PA)
Johan Nordgren
Välkommen (ZT)Fastställande av dagordning (ZT)Beslut om alternativ rutin
för studenter med skyddade identitetsuppgifter på AL2-nivå via fysiskt
möte eller videosamtal (PA)
Studenter med skyddade identitetsuppgifter har sitt riktiga personnummer
i NyA/Ladok bakom skydd som endast ett fåtal utvalda handläggare vid
lärosätet har tillgång till. Där finns koppling till studentens
interimspersonnummer som används i Ladok och lärosätets system.
Studentens riktiga personnummer ska exponeras så lite som möjligt, det
är därför olämpligt att använda inloggning via svensk e-legitimation i
lärosätets system för dessa studenter.
Handläggare med tillgång till skyddade identitetsuppgifter i NyA/Ladok
identifierar studenten under fysiskt möte med kontroll av legitimation
eller under videosamtal med hjälp av skanning av digital representation
av resehandling i e-legitimation, se Identitetskontroll via digital
representation av resehandling i e-legitimation (SWAMID AL2)
<https://wiki.sunet.se/pages/viewpage.action?pageId=204341308>.
Handläggaren tar fram studentens interimspersonnummer ur NyA/Ladok
utifrån identifierat svenskt personnummer och söker fram studentens
lärosäteskonto baserat på interimspersonnumret. Handläggaren genomför
aktivering enligt samma metod som handläggare i servicedesk.
Beslut om ansökningar om godkännande av tillitsnivåer (PA)
Högskolan i Borås ansöker om godkännande för SWAMID AL3
Högskolan i Borås vill bli godkända för SWAMID AL3.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras
ansökan.
Högskolan i Dalarna ansöker om förnyat godkännande för SWAMID AL2
Högskolan i Dalarna utökar metoderna för bekräftande av individer för
SWAMID AL2 till att även tillåta svensk e-legitimation tillitsnivå 3.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras
ansökan.
Karolinska institutet ansöker om förnyat godkännande för SWAMID AL2
Karolinska institutet utökar metoderna för bekräftande av individer för
SWAMID AL2 till att även tillåta svensk e-legitimation tillitsnivå 3 och
riskbaserad bedömning av personer utan svensk identitetshandling via
eduID. Dessutom kan medarbetare och studenter återställa lösenord via
självserviceportal.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras
ansökan.
Konstfack ansöker om godkännande för SWAMID AL3
Konstfack inför eduID Connect som komplement till nuvarande
identitetsutfärdare som reserv ökad funktionalitet.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras
ansökan.
Röda Korset Högskola ansöker om förnyat godkännande för SWAMID AL2
Röda Korset Högskola bygger helt om sina kontohanteringsprocesser från
och med 2025.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras
ansökan.
Stockholms Musikpedagogiska Institut ansöker om medlemskap samt
godkännande för SWAMID AL3
Stockholms Musikpedagogiska Institut är ny medlem i SWAMID och kommer
att använda eduID COnnect.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras
ansökan.
Umeå universitet ansöker om förnyat godkännande för SWAMID AL3
Umeå universitet utökar metoderna för bekräftande av individer för
SWAMID AL2 till att även hantera studenter med skyddade personuppgifter
enligt ovanstående modell.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras
ansökan.
Uppsala universitet ansöker om förnyat godkännande för SWAMID AL2
Uppsala universitet utökar metoderna för bekräftande av individer för
SWAMID AL2 till att även tillåta riskbaserad bedömning av personer utan
svensk identitetshandling via Freja eID.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras
ansökan.
Vetenskapsrådet - eduID ansöker om förnyat godkännande för SWAMID AL2
eduID tar bort möjligheten att använda mobiltelefonnummer för
bekräftande av identitet via abonnentregister och SMS för
lösenordsåterställning. Användning av e-legitimation för personer utan
svenskt personnummer ersätter SMS som andra kanal vid
lösenordsåterställning.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras
ansökan.
Information om avslutande av medlemskap i SWAMID (PA)
KK-stiftelsen är inte längre anslutna till Sunet. Med avseende på detta
avslutas deras medlemskap i SWAMID. De har endast använt eduroam.
Beslut runt översyn av tillitsprofiler (PA)
Under 2024 har SWAMID Operations arbetat med uppdatering av SWAMIDs
tillitsprofiler. Avsikten med uppdateringen har främst varit att
tydligare beskriva redan befintliga krav men också se om vi kan sänka
vissa krav och hantera ändrade omvärldskrav sedan senast uppdateringen
2020. Vid de digitala sunetdagarna i början av november presenterades
förändringarna och därefter har tre diskussions- och frågemöten
genomförts för att inhämta åsikter från SWAMIDs medlemsorganisationer
och registrerade tjänster. Under konsultationsprocessen inkom endast en
organisation med åsikt om förändringarna, se mer nedan.
På wikisidan Översyn av SWAMIDs tillitsprofiler 2024
<https://wiki.sunet.se/pages/viewpage.action?pageId=214570868> finns
konsultationsprocessens olika steg beskrivna. På denna wikisida finns
även de slutgiltiga förslagen till uppdaterade tillitsprofiler inkl.
tydlig ändringshantering.
Förutom de avsnitt där vi tydligare beskriver kraven kan man sammanfatta
ändringarna enligt nedan.
Avsnitt 2
Detta avsnitt beskriver primärt vad målet med tilltisprofilen är och här
av vi gjort två ändringar. Dels har vi tydligt lagt en rad om att en
användare måste vara kontaktbar. Detta fanns redan implicit under
avsnitt 5.4.2 runt hanterings av säkerhetsincidenter men vi har valt att
lyfta fram det tydligare eftersom det är ett krav i REFEDS Assurance
Framework version 2 (RAFv2). RAFv2 används av viktiga tjänster för
forskare runt om i världen för att med tillräcklig säkerhet fastställa
att det är rätt person som får tillgång till tjänsten.
Vi har även tagit bort jämförelsen med andra tillitsramverk eftersom det
inte har visat sig vara relevant.
Avsnitt 4.2.3
I förslaget till uppdaterade tillitsprofiler har vi nu utökat med den
best practice som har blivit godkänt för ett sort antal
federationsmedlemmar men som inte har varit beskrivet i
tillitsprofilerna, dvs. att modellen med att aktivt informera användaren
via t.ex. ett e-post räcker för att informera om uppdateringen.
Avsnitt 4.2.5
I alla år har vi under granskningarna krävt att service definition ska
vara publikt publicerad. Nu är detta tydligt inskrivet i profilerna.
Avsnitt 4.5
I SWAMIDs teknologiprofil för SAML WebSSO finns krav på att både
identitetsutgivare och tjänster måste följa SWAMIDs
incidenthanteringsprocess vid en säkerhetsincident. Vi har lyft över den
exakta texten från teknologiprofilen till tillitsprofilerna för att
tydliggöra detta för framförallt de tjänster som kräver RAFv2. Detta
tillför inga ökade krav utan bara tydliggör befintliga.
Avsnitt 5.1.1
I detta avsnitt finns den enda faktiska höjningen av krav i
tillitsprofilerna. Vid uppdateringen av tillitsprofiler 2020 skrevs det
in i råden (guidance) under punkten att "The use of OTP devices will be
deprecated 2025, or earlier, due to the risks with the technology.
Member organisations are encouraged not to implement new OTP
solutions.". SWAMID Operations har vid denna uppdatering ersatt detta
råd med att införa formell sluttid för tidsbaserad OTP till slutet på
2025 för mjukvarubaserad TOTP (sex siffror som byts ut en gång per
minut) och slutet av 2027 för hårdvarubaserad TOTP. Observera att de
krav som SWAMID ställer via tillitsprofilerna endast gäller för att få
signalera att MFA har använts vid inloggning till tjänster, inte om man
får använda TOTP eller inte.
Det höjda kravet för mjukvarubaserad TOTP berör ett par
medlemsorganisationer och här har vi fått en formell begäran från Lunds
universitet att slutet av 2025 är alldeles för snabbt för dem och de
föreslog några olika varianter (sammanfattat av operations) för inte
behöva genomföra höjningen av kravet:
Förändra endast kravet för SWAMID AL3 och fortsätt tillåta TOTP för
SWAMID AL1 och SWAMID AL2.
Att generellt fördröja införandet av kravet för mjukvarubaserad TOTP
till slutet på 2026.
Att inte genomföra ändringen utan skapa mitigerande rutiner för att
minska risken för TOTP.
Svagheten med TOTP är att det är en tidsbaserad engångkod som är fiskbar
via socialmanipulation och dessutom är mjukvarubaserad TOTP
kopieringsbar utan spårbarhet mellan olika "authenticatorappar". SWAMID
Operation anser därför att alternativ 1 eller 3 inte är lämpliga. Vidare
anser vi att det finns ett behov att vara väldigt tydliga och hindra
ytterligare införande av mjukvarubaserad TOTP inom SWAMID och därför
inte välja en generell förlängning. SWAMID Operations föreslår istället
att de lärosäten som idag är godkända för mjukvarubaserad TOTP får
ansöka om undantag för att få utökad tid, till maximalt slutet av 2027.
Denna begäran om förlängning beslutas därefter av SWAMID Board of
Trustees för varje enskild organisation.
Den andra faktiska ändringen i avsnittet är att lägga tydligt stöd för
att kunna använda externa inloggningskällor för inloggning, dvs. en
annan identitetsutfärdare inom SWAMID eller e-legitimation.
Övriga ändringar inom avsnittet är utökad förklaring om vad som menas
med multifaktorinloggning och kraven runt detta.
Avsnitt 5.2.5
Förändringarna i detta avsnitt handlar om minskade krav, nya möjligheter
och förändrad lagstiftning. Tydligast är att kravet på minsta
tillitsnivå för svensk e-legitimation sänks från 3 till 2 beroende på
att nu finns det e-legitimationer på tillitsnivå 2 och vi har sett hur
granskning av DiGG genomförs. När det gäller ändrad lagstiftning är det
främst den kommande identitetsplånboken från EU som ger nya möjligheter.
I övrigt är det bara ökad tydlighet som är beskriven.
Avsnitt 5.2.6
Avsnittet har fått utökad betydelse. SWAMID Operations har genom alla år
bedömt förändring av tillitsnivå för en användare som en del av 5.2.5.
För att göra det tydligare vad som gäller vid byte av tillitsnivå har vi
utökat avsnittet för att beskriva befintliga krav tydligare.
Avsnitt 5.2.7
Detta avsnitt har utökats från att bara gälla uppdatering av
självuppgivna uppgifter till uppdatering av alla person- och
organisationsuppgifter på användaren. Detta beskrevs tidigare bara i
avsnitt 2 med en enda punkt men för att göra det tydligare och lättare
för medlemmarna att förstå vad som granskas har vi lagt det under
avsnittet. De två områden som beskrivs särskilt i den nya skrivningen är
att alla användare ska vara kontaktbara och aktualitet på användarens
anknytning till organisationen. Orsaken till att detta lyfts särskilt är
krav i RAFv2. Detta tillför inga ökade krav utan bara tydliggör
befintliga.
Information om end-of-life Shibboleth Identity Provider version 4 (PA)
Alla som har använt äldre version av Shibboleth Identity Provider har
uppdaterat nu uppdaterat till version 5. Alla gjorde det innan
definierad tidsfrist, dvs. 30 november.
Övriga frågorNästa möte (ZT)Avslutande (ZT)
Hej,
Jag har nu skickat ut en Doodle för nästa SWAMID Board of Trustees. Om
ni inte fått den svara mig. Tyvärr kunde jag bara hitta tid veckan före
jul eftersom jag och Zacharias är på konferens veckan före det.
Pål
Agenda SWAMID Board of Trustees 2024-09-27
https://wiki.sunet.se/display/SWAMID/SWAMID+BoT+2024-09-27
Tid
2024-09-27 10.00--11.00
Plats
Videomöte i Zoom, https://sunet.zoom.us/my/paxel
Kallade
Zacharias Törnblom (ZT)
Ann Amling
Mauritz Danielsson
Per-Olov Hammargren
Magnus Höglund
Jan Nordin
Anders Sjöström
Hans Wohlfart
Adjungerade
Pål Axelsson (PA)
Välkommen (ZT)Fastställande av dagordning (ZT)Beslut om uppdaterad
alternativ rutin för treparts videoverifiering av användare på AL2-nivå
(PA)
Board of Trustees beslöt vid möte 2021-03-11
<https://wiki.sunet.se/display/SWAMID/SWAMID+BoT+2021-03-11> om en
alternativ modell för bekräftande av person på SWAMID AL2-nivå via
videosamtal. Efter att Board of Trustees beslutade 2024-06-24
<https://wiki.sunet.se/display/SWAMID/SWAMID+BoT+2024-06-24> beslutade
att tillåta digital representation av resehandling i e-legitimation har
SWAMID Operations fått in förfråga om att kunna använda detta för
identifiering av betrodd part i videosamtalet och operations har kommit
fram till att det borde vara möjligt. Därför föreslår vid följande
omskrivning av punkt 7 i processen för videoverifiering.
intyga att kontoinnehavaren är personen som identitetshandlingarna är
utställda till enligt betrodd parts bästa kännedom.
kunna autentisera sig enligt SWAMID AL2 på ett sätt som
kontoadministratören kan verifiera, exempelvis genom
att betrodd part i videomötet identifierar sig via digital
representation av resehandling i e-legitimation
<https://wiki.sunet.se/pages/viewpage.action?pageId=204341308>.
att betrodd part och kontoadministratör delar och jämför gemensam
engångskod från kontohanteringsportal:
att betrodd part via en kontohanteringsportal, under autentisering som
uppfyller SWAMID AL2, kvitterar ut en tidsbegränsad engångskod som via
samma kontohanteringsportal ger kontoadministratören en bekräftelse på
att det är betrodd part som kvitterat ut engångskoden.
att kontoadministratören i samband med videosamtalet via en
kontohanteringsportal kvitterar ut en tidsbegränsad engångskod som
betrodd part, under autentisering som uppfyller SWAMID AL2, i samma
kontohanteringsportal anger (efter att fått engångskoden uppläst av
kontoadministratören) och att kontoadministratören därmed i samma
kontohanteringsportal får bekräftelse på att det är betrodd part som
angett engångskoden.
att betrodd part fysiskt befinner sig i samma rum som kontoadministratör
samt identifierar sig med hjälp av godkänd legitimationshandling enligt
SWAMID AL2 5.2.5 punkt 4 och 5.
Beslut om ansökningar om godkännande av tillitsnivåer (PA)
Göteborgs universitet ansöker om förnyat godkännande för SWAMID AL2
Göteborgs universitet utökar metoderna för bekräftande av individer för
SWAMID AL2 till att även tillåta riskbaserad bedömning av personer utan
svenskt personnummer via eduID.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras
ansökan.
Stockholms universitet ansöker om förnyat godkännande för SWAMID AL2
Stockholms universitet utökar metoderna för bekräftande av individer för
SWAMID AL2 till även att svensk e-legitimation används.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras
ansökan.
Kungliga Konsthögskolan ansöker om förnyat godkännande för SWAMID AL2
Kungliga Konsthögskolan utökar metoderna för bekräftande av individer
för SWAMID AL2 till att även svensk e-legitimation och eduID används.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras
ansökan.
Chalmers tekniska högskola ansöker om förnyat godkännande för SWAMID AL2
Chalmers tekniska högskola utökar metoderna för bekräftande av individer
för SWAMID AL2 till att även svensk e-legitimation används.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras
ansökan.
Linnéuniversitetet ansöker om förnyat godkännande för SWAMID AL2
Linnéuniversitetet utökar metoderna för bekräftande av individer för
SWAMID AL2 till att treparts videoverifiering av användare på AL2-nivå
används. För verifiering av betrodd part används digital representation
av resehandling i e-legitimation.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras
ansökan.
Information om end-of-life Shibboleth Identity Provider version 4 (PA)
Information om aktuell status översyn av tillitsprofiler (PA)Information
om förändringar i eduID (ZT)Övriga frågorNästa möte (ZT)Avslutande (ZT)
Agenda SWAMID Board of Trustees 2024-06-24Tid
2024-06-24 10.00--11.00
Plats
Videomöte i Zoom, https://sunet.zoom.us/j/67413792369
Kallade
Zacharias Törnblom (ZT)
Anders Sjöström
Ann Amling
Mauritz Danielsson
Magnus Höglund
Jan Nordin
Hans Wohlfart
Per-Olov Hammargren
Adjungerade
Pål Axelsson (PA)
Välkommen (ZT)Fastställande av dagordning (ZT)Beslut om extra rutiner
för verifiering av användare på AL2-nivå (PA) (PA)
Mobilt BankID har sedan sommaren 2023 haft möjligt att lagra en digital
representation av svensk resehandling (pass och nationellt
identitetskort). Inläsningen genomförs genom att användaren skannar sin
resehandling tillsammans med hjälp av BankID-appen. Vid skanningen måste
användaren logga in med sitt BankID för att säkerställa att det kopplas
till en unik persons BankID. Vidare krävs att personnumret på
resehandlingen stämmer överens med personnumret i BankID:t. Om allt går
bra lagras hämtade uppgifter från resehandlingen både lokalt i
BankID-appen och hos BankID för att sedan kunna användas för visuell
kontroll. Denna digitala representation av resehandlingen går inte att
överföra mellan olika mobila enheter (mobiltelefoner och plattor) utan
användaren måste genomföra denna inläsning på alla mobila enheter där
personen vill kunna använda den digitala representationen.
Det finns tre olika sätt att legitimera sig med hjälp av den digitala
representation av resehandlingen:
Visuell kontroll
Skanna med hjälp av BankID-appen
Styrkt kontroll med skanner
Vid diskussioner i SWAMID Operations har vi funnit att visuell kontroll
inte uppfyller kraven för en god legitimering för SWAMID AL2 utan endast
de andra två modellerna går att använda för detta. Vidare är styrkt
kontroll med skanner att jämställa med genomförd e-legitimering med
hjälp av BankID eftersom ett korrekt identitetsintyg ställs ut av BankID
och går därför även att använda för SWAMID AL3. För mer information om
Digitalt ID-kort i BankID se
https://www.bankid.com/foretag/digitalt-id-kort.
Freja eID:s motsvarande model för att visuell legitimering med hjälpa av
Freja-appen går inte att använda beroende på att bilden som visas är en
egentagen bild, inte bilden från resehandlingen. Vidare har Freja eID
endast kontroll via webbsida att det är ett giltigt Freja eID.
Digital representation av resehandling via e-legitimation (Styrkt
kontroll)
Personen besöker en fysisk disk för att aktivera, återställa eller
återaktivera sitt användarkonto genomgår följande process:
Personen tar fram sitt "Digitala ID" i den mobila BankID-appen.
För att göra det måste personen verifiera sig med sitt mobila BankID och
därefter visas den digitala representationen av resehandlingen
tillsammans med en tidsbegränsad unik rörlig QR-kod under en begränsad
tidsperiod.
Den digitala representationen innehåller foto, ålder, namn och
personnummer hämtade från resehandlingen.
Kontohandläggaren kontrollerar att fotot på det Digitala ID-kortet i
personens BankID-app stämmer överens med personen som visar upp det. Om
fotot stämmer överens med personen skannar kontohandläggaren den rörliga
QR-koden på mobilskärmen med en hårdvaruscanner kopplad till
organisationens kontohanteringssystem.
Om skanningen går bra skickas QR-kodens värde via
kontohanteringssystemet till BankIDs tjänstegränssnitt (API) för
kontroll
(https://www.bankid.com/utvecklare/guider/verifiering-av-digitalt-id-kort/in…)
Om BankIDs tjänstegränssnitt godkänner QR-koden skickas användarens
personnummer och namn tillsammans med ett identitetsintyg tillbaka till
kontohanteringssytemet och därefter är personen bekräftad med det
returnerade personnumret.
Om någon av ovanstående punkter inte kan genomföras korrekt avslutas
legitimeringen utan att bekräftande av personen har genomförts.
SWAMID Operations rekommenderar Board of Trustees att godkänna denna
metod som alternativ metod för att bekräfta en person för SWAMID AL2.
Digital representation av resehandling via e-legitimation (Mobilapp)
Personen besöker en fysisk disk för att aktivera, återställa eller
återaktivera sitt användarkonto genomgår följande process:
Personen tar fram sitt "Digitala ID" i den mobila BankID-appen.
För att göra det måste personen verifiera sig med sitt mobila BankID och
därefter visas den digitala representationen av resehandlingen
tillsammans med en tidsbegränsad unik rörlig QR-kod under en begränsad
tidsperiod.
Den digitala representationen innehåller foto, ålder, namn och
personnummer hämtade från resehandlingen.
Kontohandläggaren skannar den rörliga QR-koden på personens BankID-app
med en annan BankID-app.
BankID-appen som skannar måste finnas på en mobil enhet som finns i den
fysiska disken och ägs av organisationen.
Om skanningen går bra skickas QR-kodens värde till BankIDs
tjänstegränssnitt (API) för kontroll av den fysiska diskens BankID-app.
Om BankIDs API godkänner QR-koden skickas användarens personnummer, namn
och foto till den fysiska diskens BankID-app.
Kontohandläggaren kontrollerar att fotot på det Digitala ID-kortet
stämmer överens med personen som visar upp det. Om fotot stämmer överens
med personen som ska legitimeras är identifieringen genomförd och
personnumret som visas i diskens BankID-app kan användas för att
fortsätta processen.
Om någon av ovanstående punkter inte kan genomföras avslutas korrekt
legitimeringen utan att bekräftande av personen har genomförts.
SWAMID Operations rekommenderar Board of Trustees att godkänna denna
metod som alternativ metod för att bekräfta en person för SWAMID AL2.
Beslut om ansökningar om godkännande av tillitsnivåer (PA)
Högskolan i Halmstad ansöker om förnyat godkännande för SWAMID AL2
Högskolan i Halmstad utökar metoderna för bekräftande av individer för
SWAMID AL2 till även BankID på tillitsnivå 3, eller högre, samt
engångskod skickad till digitala brevlådan Mina meddelanden.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras
ansökan.
Stockholms konstnärliga högskola ansöker om förnyat godkännande för
SWAMID AL2
Stockholms konstnärliga högskola utökar metoderna för bekräftande av
individer för SWAMID AL2 till även eduID på tillitsnivå 2 eller högre.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras
ansökan.
Södertörns högskola ansöker om förnyat godkännande för SWAMID AL2
Södertörns högskola utökar metoderna för bekräftande av individer med
hjälp av digital representation av resehandling via e-legitimation
(Styrkt kontroll), se ovan.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras
ansökan.
Linköpings universitet ansöker om förnyat godkännande för SWAMID AL3
(FD)
Linköpings universitet utökar metoderna för bekräftande av individer med
hjälp av digital representation av resehandling via e-legitimation
(Styrkt kontroll) för SWAMID AL2 och SWAMID AL3 samt digital
representation av resehandling via e-legitimation (Mobilapp) för SWAMID
AL2, se ovan.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras
ansökan.
Övriga frågorNästa möte (ZT)Avslutande (ZT)
Hej på er!
Konstfack och Sunet vill under sommaren genomföra en proof of concept (PoC)
för eduID Connect för Konstfack. Eftersom det ä en PoC med begränsat antal
användare vill vi inte lägga ner en massa tid på att skiva en IMPS för
några månaders PoC och därför frågar jag om det är ok för er att vi låter
Konstfack och Sunet genomföra denna PoC utan uppdaterad IMPS? Som bakgrund
kommer i PoCen kommer Konstfack bjuda in användarna manuellt till
”Konstfack Connect” där den som genomför inbjudan hämtar upp korrekt
uppgifter från Konstfack och alla användare måste vara verifierade
användare i eduID, dvs. uppfylla kraven för SWAMID AL2.
Vad säger ni kan vi godkänna denna PoC för användning från och med juni
fram till höstens första BoT då Konstfack måste ha lämnat in en ny IMPS för
användning av eduID Connect om de vill fortsätta. Svara som svar på detta
brev både om ni anser att det är ok eller inte. Ann och Zacharias är jäviga
i detta så de får inte svara men ni andra behöver göra det snarast. När
enkel majoritet har uppnåtts eller att 31 maj har kommit och gått så
meddelar jag resultatet.
Tack på förhand
Pål
Hej,
Under veckan träffades SWAMID Operations för vårens F2F-möte. Vi hade två
fullproppade och produktiva dagar med allt från himmel och jord. Jag vill
passa på att rapportera om några frågor som kom upp till diskussion.
*BankID som digitalt ID-kort*
Under förra året utökade BankID funktionaliteten med att det är möjligt att
läsa in en resehandling (pass eller nationellt identitetskort) i
BankID-appen för att kunna använda som en digital representation av
resehandlingen när legitimering behöver göras. Fler och fler organisationer
har börjat godkänna denna digitala representation för legitimering, t.ex.
Systembolaget vid ålderskontroll och PostNord vid utlämning av paket. Vi
har fått förfrågan från flera universitet och högskolor om det är ok att
använda detta vid utlämning av användarkonton under SWAMID AL2 och SWAMID
AL3. Södertörns högskola och Linköpings universitet har nu skickat in
uppdaterade IMPSer där de beskrivet att de vill använda den digitala
representationen av identitetshandling. Därför la operations avsevärd tid
under veckan möte på att diskutera om och hur vi skulle kunna rekommendera
er att godkänna en sådan användning. Vi är inte klara med diskussionerna
men tänkte ändå nämna att det pågår att vi tills BoT-mötet om en månad
kommer med en beslutsrekommendation.
På mötet kom vi preliminärt fram till två saker gällande BankID som
identitetshandling (https://www.bankid.com/foretag/digitalt-id-kort)
- "Styrkt kontroll med skanner" anser vi i operations med stor
sannolikhet är samma sak som användning av e-legitimation eftersom BankID
ställer ut ett valideringsintyg på samma sätt som för normal användning av
e-legitimationen.
- "Skanna med hjälp av BankID-appen" uppfyller troligtvis motsvarande
krav som i AL2 eftersom det är en digital representation av resehandling
(pass och nationellt identitetskort) som låses upp med en e-legitimation,
dvs. räknas som en 8 i 5.2.5.
- "Visuell kontroll" duger med största sannolikhet inte för SWAMID AL2.
Motsvarigheten i Freja eID+ anser vi inte uppfyller samma krav eftersom det
är inte bilden från resehandlingen som visas utan en egensatt bild.
*Lösenordsfri inloggning och multifaktorinloggning med hjälp av Passkeys*
Microsoft, Google och Apple pratar numera väldigt ofta lösenordsfri
(passwordless) inloggning och inom SWAMID och eduID har vi haft ögonen på
detta väldigt länge. Formellt heter denna standard Passkey och är en
speciell profil av FIDO2-standarden. Den primära avsikten med Passkeys är
att ersätta lösenord vid inloggning eftersom de både är säkrare och enklare
att använda enligt de som tagit fram standardprofilen. En sak som skiljer
Passkeys från övriga FIDO2-nycklar är att de kan vara synkningsbara mellan
enheter och det är precis vad Apple har implementerat i sin Keychain under
IOS och MacOS. Det har gjort att vi i Operations har funderat på om de kan
fortsätta att vara godkända som en faktor i multifaktorsinloggning. Nu har
NIST kommit med en vägledning, eller ett supplement till NIST SP.800-63B
när de beskriver deras syn på detta, Incorporating Syncable Authenticators
Into NIST SP 800-63B
<https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63Bsup1.p…>.
Denna vägledning är väldigt bra och tydligt skriven och konstaterar om
vissa kriterier är uppfyllda kan Passkeys uppfylla kraven för software
cryptographic authenticators vilka vi har med i SWAMIDs uppräknade godkända
MFA-modeller. Operations hade en lång diskussion runt detta, delvis
tillsammans med Zacharias, om vi ansåg att kraven är uppfyllda och
sammanfattningsvis kan vi nog anse att de är det men det kräver att
lagringen av en synkningsbar Passkey skyddas på korrekt sätt samt att
användarna i ”lösenordsreglerna” kraftigt avråds att låna ut eller dela med
sig av sina Passkeys till andra individer. VI kommer att bedöma varje
organisation för sig som vill använda Passkeys för sig för att se om de
uppfyller NISTs krav.
*Årlig bekräftelse*
Både i SWAMIDs tillitsprofiler och teknologiprofil för SAML WebSSO står det
att organisationer måste årligen bekräfta att de fortfarande uppfyller
kraven. Sedan i december har SWAMID Operations skickat ut påminnelsebrev om
att registrerade tjänster och identitetsutfärdare måste verifiera att
registrerat metadata fortfarande är korrekt. Varje entitet får en sådan
förfrågan en gång per år baserat på när de senast uppdaterade metadatat
eller när de verifierade senast. Vi har nu hunnit med ungefär hälften av
alla entiteter och genomfört första två avstängningarna eftersom de inte
verifierat sina metadata på minst ett år. Rent praktiskt går det till så
att när det gått 10 månader skickar vi ut ett första brev där vi ber dem
verifiera sina metadata. Sedan kommer det ett påminnelsebrev efter 11 och
12 månader. Efter 13 månader försöker vi få kontakt med dem ännu en gång
via alla kontaktvägar vi har registrerade i metadata samt historiska
kontaktuppgifter. Om de då inte verifierar sina metadata inom 2 veckor
avregistrerar vi dem ur SWAMID. De två tjänsterna som hittills har blivit
avstängda har inte återkommit till oss för att lägga tillbaka dem.
Vi håller nu på att förbereda för att göra motsvarande för IMPSer, dvs att
identitetsutfärdare årligen måste verifiera att deras IMPSer fortfarande
stämmer. Vi håller på att planera för hur vi ska göra detta och hur
systemstödet ska se ut men grundmodellen är den samma som med den årliga
verifieringen av metadata. Jag tror inte att vi hinner börja genomföra
denna kontroll förrän sent i höst. Fördelen med IMPS-verifieringen är att
vi alltid har en sista kontaktpunkt innan eventuell avstängningen sker,
Sunets kontaktperson för organisationen, så jag tror inte att detta kommer
att ge några oavsiktliga avstängningar.
*ADFS Toolkit*
En ny version av ADFS Toolkit är på väg. Denna innehåller en del ny
funktionalitet som vi vill att ska införa. Sunet har behov av att få
statistik om hur mycket SWAMID används och därför har vi implementerat
samma stöd för statistikrapportering som finns i Shibboleth IdP. Det kommer
göra att vi senare i år kommer att be alla som använder ADFS Toolkit
uppdaterar till senaste versionen.
*Shibboleth IdP v5*
Som ni troligtvis sett i Sunets månadsbrev och eventuellt i brev till
e-postlistan saml-admins måste alla som använder Shibboleth IdP som
identitetsutfärdare uppgradera till senaste versionen innan november.
Orsaken är att Shibboleth IdP v4 blir end-of-life 1 september i år. För att
stödja detta arbete har operations genomfört ett webinar som finns inspelat
och tillgängligt på Sunet Play
<https://play.sunet.se/channel/SWAMID%2B-%2BSwedish%2BAcademic%2BIdentity%2B…>.
Vidare har vi varannan vecka från mitten av april haft ett zoommöte
varannan torsdag för att kunna erbjuda hjälp. Vidare rekommenderar vi alla
att använda e-postlistan saml-admins för att få hjälp av varandra. Zoomötet
kommer att ta paus under sommaren och påbörjas igen i mitten av augusti och
hållas fram till slutet av november.
Det var allt för denna gång
Pål
Hej,
Vill bara på minna Ann, Magnus och Hans att svara på Doodlen för nästa
BoT-möte.
https://doodle.com/meeting/participate/id/bkOO7z6b
En av de saker som vi kommer ta upp och diskutera är en alternativ modell
för identitetskontroll vid besök i vid disk för att aktivera användarkonto
eller genomföra lösenordsbyte. Numera finns det möjlighet att läsa in pass
eller svenskt nationellt identitetskort i BankID och det är många personer
som vill använda det istället för att visa fysiskt identitetskort. Efter
ansökan från Södertörns högskola har vi i SWAMID Operations undersökt om
det är möjligt att göra detta på ett tillräckligt säkert sätt. Tillsammans
med Södertörns högskola har vi nu tagit fram ett förslag om hur man kan
genomföra en sådan identifiering och tanken är att vi ska upp modellen för
diskussion och beslut på nästa BoT. Fram till agendan skickas ut kommer jag
att generalisera Södertörns förslag så att det kan användas som mall för
andra organisationer.
Så här ser den föreslagna processen ut för Södertörns högskola:
Verifiering av Digitalt ID via BankID för utlämning av SH-konto sker genom
1. Personen som vill hämta ut sitt SH-konto tar fram sitt Digitala ID i
Mobilt BankID applikationen. För att göra det måste hen verifiera sig med
sitt mobila BankID. Det digitala ID:t visar under en begränsad tidsperiod
foto, ålder, namn och personnummer.
2. Kontohandläggaren kontrollerar att fotot på i det digitala ID:t
stämmer överens med personen de har framför sig. Kontohandläggaren
kontrollerar även säkerhetsdetaljerna enligt BankIDs instruktioner för
visuell kontroll (https://www.bankid.com/foretag/digitalt-id-kort) Om
kontrollerna av det digitala ID:t stämmer skannar kontohandläggaren
qr-koden på mobilskärmen med en hårdvaruscanner.
3. QR-kodens värde skickas via kontoutlämningsapplikationen till BankIDs
API för verifiering (
https://www.bankid.com/utvecklare/guider/verifiering-av-digitalt-id-kort/in…)
4. Resultat
1. Om BankIDs API godkänner QR-koden skickas användarens personnummer
och namn tillbaka till kontoutlämningsapplikationen och utlämningen av
SH-kontot kan göras med det verifierade personnumret.
2. Om BankIDs API inte godkänner QR-koden returneras endast en felkod
med beskrivning som visas i kontoutlämningsapplikationen. I och med att
kontoutlämningsapplikationen inte fått något personnummer från
BankIDs API
kan inget SH-konto lämnas ut.
Pål
