2024-12-16 14.00--16.00
Videomöte i Zoom, https://sunet.zoom.us/my/paxel
Om ni inte fått en kalenderhändelse medddela mig!
Studenter med skyddade identitetsuppgifter har sitt riktiga personnummer i NyA/Ladok bakom skydd som endast ett fåtal utvalda handläggare vid lärosätet har tillgång till. Där finns koppling till studentens interimspersonnummer som används i Ladok och lärosätets system. Studentens riktiga personnummer ska exponeras så lite som möjligt, det är därför olämpligt att använda inloggning via svensk e-legitimation i lärosätets system för dessa studenter.
Handläggare med tillgång till skyddade identitetsuppgifter i NyA/Ladok identifierar studenten under fysiskt möte med kontroll av legitimation eller under videosamtal med hjälp av skanning av digital representation av resehandling i e-legitimation, se Identitetskontroll via digital representation av resehandling i e-legitimation (SWAMID AL2). Handläggaren tar fram studentens interimspersonnummer ur NyA/Ladok utifrån identifierat svenskt personnummer och söker fram studentens lärosäteskonto baserat på interimspersonnumret. Handläggaren genomför aktivering enligt samma metod som handläggare i servicedesk.
KK-stiftelsen är inte längre anslutna till Sunet. Med avseende på detta avslutas deras medlemskap i SWAMID. De har endast använt eduroam.
Under 2024 har SWAMID Operations arbetat med uppdatering av SWAMIDs tillitsprofiler. Avsikten med uppdateringen har främst varit att tydligare beskriva redan befintliga krav men också se om vi kan sänka vissa krav och hantera ändrade omvärldskrav sedan senast uppdateringen 2020. Vid de digitala sunetdagarna i början av november presenterades förändringarna och därefter har tre diskussions- och frågemöten genomförts för att inhämta åsikter från SWAMIDs medlemsorganisationer och registrerade tjänster. Under konsultationsprocessen inkom endast en organisation med åsikt om förändringarna, se mer nedan.
På wikisidan Översyn av SWAMIDs tillitsprofiler 2024 finns konsultationsprocessens olika steg beskrivna. På denna wikisida finns även de slutgiltiga förslagen till uppdaterade tillitsprofiler inkl. tydlig ändringshantering.
Förutom de avsnitt där vi tydligare beskriver kraven kan man sammanfatta ändringarna enligt nedan.
Detta avsnitt beskriver primärt vad målet med tilltisprofilen är och här av vi gjort två ändringar. Dels har vi tydligt lagt en rad om att en användare måste vara kontaktbar. Detta fanns redan implicit under avsnitt 5.4.2 runt hanterings av säkerhetsincidenter men vi har valt att lyfta fram det tydligare eftersom det är ett krav i REFEDS Assurance Framework version 2 (RAFv2). RAFv2 används av viktiga tjänster för forskare runt om i världen för att med tillräcklig säkerhet fastställa att det är rätt person som får tillgång till tjänsten.
Vi har även tagit bort jämförelsen med andra tillitsramverk eftersom det inte har visat sig vara relevant.
I förslaget till uppdaterade tillitsprofiler har vi nu utökat med den best practice som har blivit godkänt för ett sort antal federationsmedlemmar men som inte har varit beskrivet i tillitsprofilerna, dvs. att modellen med att aktivt informera användaren via t.ex. ett e-post räcker för att informera om uppdateringen.
I alla år har vi under granskningarna krävt att service definition ska vara publikt publicerad. Nu är detta tydligt inskrivet i profilerna.
I SWAMIDs teknologiprofil för SAML WebSSO finns krav på att både identitetsutgivare och tjänster måste följa SWAMIDs incidenthanteringsprocess vid en säkerhetsincident. Vi har lyft över den exakta texten från teknologiprofilen till tillitsprofilerna för att tydliggöra detta för framförallt de tjänster som kräver RAFv2. Detta tillför inga ökade krav utan bara tydliggör befintliga.
I detta avsnitt finns den enda faktiska höjningen av krav i tillitsprofilerna. Vid uppdateringen av tillitsprofiler 2020 skrevs det in i råden (guidance) under punkten att "The use of OTP devices will be deprecated 2025, or earlier, due to the risks with the technology. Member organisations are encouraged not to implement new OTP solutions.". SWAMID Operations har vid denna uppdatering ersatt detta råd med att införa formell sluttid för tidsbaserad OTP till slutet på 2025 för mjukvarubaserad TOTP (sex siffror som byts ut en gång per minut) och slutet av 2027 för hårdvarubaserad TOTP. Observera att de krav som SWAMID ställer via tillitsprofilerna endast gäller för att få signalera att MFA har använts vid inloggning till tjänster, inte om man får använda TOTP eller inte.
Det höjda kravet för mjukvarubaserad TOTP berör ett par medlemsorganisationer och här har vi fått en formell begäran från Lunds universitet att slutet av 2025 är alldeles för snabbt för dem och de föreslog några olika varianter (sammanfattat av operations) för inte behöva genomföra höjningen av kravet:
Svagheten med TOTP är att det är en tidsbaserad engångkod som är fiskbar via socialmanipulation och dessutom är mjukvarubaserad TOTP kopieringsbar utan spårbarhet mellan olika "authenticatorappar". SWAMID Operation anser därför att alternativ 1 eller 3 inte är lämpliga. Vidare anser vi att det finns ett behov att vara väldigt tydliga och hindra ytterligare införande av mjukvarubaserad TOTP inom SWAMID och därför inte välja en generell förlängning. SWAMID Operations föreslår istället att de lärosäten som idag är godkända för mjukvarubaserad TOTP får ansöka om undantag för att få utökad tid, till maximalt slutet av 2027. Denna begäran om förlängning beslutas därefter av SWAMID Board of Trustees för varje enskild organisation.
Den andra faktiska ändringen i avsnittet är att lägga tydligt stöd för att kunna använda externa inloggningskällor för inloggning, dvs. en annan identitetsutfärdare inom SWAMID eller e-legitimation.
Övriga ändringar inom avsnittet är utökad förklaring om vad som menas med multifaktorinloggning och kraven runt detta.
Förändringarna i detta avsnitt handlar om minskade krav, nya möjligheter och förändrad lagstiftning. Tydligast är att kravet på minsta tillitsnivå för svensk e-legitimation sänks från 3 till 2 beroende på att nu finns det e-legitimationer på tillitsnivå 2 och vi har sett hur granskning av DiGG genomförs. När det gäller ändrad lagstiftning är det främst den kommande identitetsplånboken från EU som ger nya möjligheter.
I övrigt är det bara ökad tydlighet som är beskriven.
Avsnittet har fått utökad betydelse. SWAMID Operations har genom alla år bedömt förändring av tillitsnivå för en användare som en del av 5.2.5. För att göra det tydligare vad som gäller vid byte av tillitsnivå har vi utökat avsnittet för att beskriva befintliga krav tydligare.
Detta avsnitt har utökats från att bara gälla uppdatering av självuppgivna uppgifter till uppdatering av alla person- och organisationsuppgifter på användaren. Detta beskrevs tidigare bara i avsnitt 2 med en enda punkt men för att göra det tydligare och lättare för medlemmarna att förstå vad som granskas har vi lagt det under avsnittet. De två områden som beskrivs särskilt i den nya skrivningen är att alla användare ska vara kontaktbara och aktualitet på användarens anknytning till organisationen. Orsaken till att detta lyfts särskilt är krav i RAFv2. Detta tillför inga ökade krav utan bara tydliggör befintliga.
Alla som har använt äldre version av Shibboleth Identity Provider har uppdaterat nu uppdaterat till version 5. Alla gjorde det innan definierad tidsfrist, dvs. 30 november.