Hej,

Under veckan träffades SWAMID Operations för vårens F2F-möte. Vi hade två fullproppade och produktiva dagar med allt från himmel och jord. Jag vill passa på att rapportera om några frågor som kom upp till diskussion.

BankID som digitalt ID-kort

Under förra året utökade BankID funktionaliteten med att det är möjligt att läsa in en resehandling (pass eller nationellt identitetskort) i BankID-appen för att kunna använda som en digital representation av resehandlingen när legitimering behöver göras. Fler och fler organisationer har börjat godkänna denna digitala representation för legitimering, t.ex. Systembolaget vid ålderskontroll och PostNord vid utlämning av paket. Vi har fått förfrågan från flera universitet och högskolor om det är ok att använda detta vid utlämning av användarkonton under SWAMID AL2 och SWAMID AL3. Södertörns högskola och Linköpings universitet har nu skickat in uppdaterade IMPSer där de beskrivet att de vill använda den digitala representationen av identitetshandling. Därför la operations avsevärd tid under veckan möte på att diskutera om och hur vi skulle kunna rekommendera er att godkänna en sådan användning. Vi är inte klara med diskussionerna men tänkte ändå nämna att det pågår att vi tills BoT-mötet om en månad kommer med en beslutsrekommendation.

På mötet kom vi preliminärt fram till två saker gällande BankID som identitetshandling (https://www.bankid.com/foretag/digitalt-id-kort):

• "Styrkt kontroll med skanner" anser vi i operations med stor sannolikhet är samma sak som användning av e-legitimation eftersom BankID ställer ut ett valideringsintyg på samma sätt som för normal användning av e-legitimationen.
• "Skanna med hjälp av BankID-appen" uppfyller troligtvis motsvarande krav som i AL2 eftersom det är en digital representation av resehandling (pass och nationellt identitetskort) som låses upp med en e-legitimation, dvs. räknas som en 8 i 5.2.5.
• "Visuell kontroll" duger med största sannolikhet inte för SWAMID AL2.

Motsvarigheten i Freja eID+ anser vi inte uppfyller samma krav eftersom det är inte bilden från resehandlingen som visas utan en egensatt bild.

Lösenordsfri inloggning och multifaktorinloggning med hjälp av Passkeys

Microsoft, Google och Apple pratar numera väldigt ofta lösenordsfri (passwordless) inloggning och inom SWAMID och eduID har vi haft ögonen på detta väldigt länge. Formellt heter denna standard Passkey och är en speciell profil av FIDO2-standarden. Den primära avsikten med Passkeys är att ersätta lösenord vid inloggning eftersom de både är säkrare och enklare att använda enligt de som tagit fram standardprofilen. En sak som skiljer Passkeys från övriga FIDO2-nycklar är att de kan vara synkningsbara mellan enheter och det är precis vad Apple har implementerat i sin Keychain under IOS och MacOS. Det har gjort att vi i Operations har funderat på om de kan fortsätta att vara godkända som en faktor i multifaktorsinloggning. Nu har NIST kommit med en vägledning, eller ett supplement till NIST SP.800-63B när de beskriver deras syn på detta, Incorporating Syncable Authenticators Into NIST SP 800-63B. Denna vägledning är väldigt bra och tydligt skriven och konstaterar om vissa kriterier är uppfyllda kan Passkeys uppfylla kraven för software cryptographic authenticators vilka vi har med i SWAMIDs uppräknade godkända MFA-modeller. Operations hade en lång diskussion runt detta, delvis tillsammans med Zacharias, om vi ansåg att kraven är uppfyllda och sammanfattningsvis kan vi nog anse att de är det men det kräver att lagringen av en synkningsbar Passkey skyddas på korrekt sätt samt att användarna i ”lösenordsreglerna” kraftigt avråds att låna ut eller dela med sig av sina Passkeys till andra individer. VI kommer att bedöma varje organisation för sig som vill använda Passkeys för sig för att se om de uppfyller NISTs krav.

Årlig bekräftelse

Både i SWAMIDs tillitsprofiler och teknologiprofil för SAML WebSSO står det att organisationer måste årligen bekräfta att de fortfarande uppfyller kraven. Sedan i december har SWAMID Operations skickat ut påminnelsebrev om att registrerade tjänster och identitetsutfärdare måste verifiera att registrerat metadata fortfarande är korrekt. Varje entitet får en sådan förfrågan en gång per år baserat på när de senast uppdaterade metadatat eller när de verifierade senast. Vi har nu hunnit med ungefär hälften av alla entiteter och genomfört första två avstängningarna eftersom de inte verifierat sina metadata på minst ett år. Rent praktiskt går det till så att när det gått 10 månader skickar vi ut ett första brev där vi ber dem verifiera sina metadata. Sedan kommer det ett påminnelsebrev efter 11 och 12 månader. Efter 13 månader försöker vi få kontakt med dem ännu en gång via alla kontaktvägar vi har registrerade i metadata samt historiska kontaktuppgifter. Om de då inte verifierar sina metadata inom 2 veckor avregistrerar vi dem ur SWAMID. De två tjänsterna som hittills har blivit avstängda har inte återkommit till oss för att lägga tillbaka dem.

Vi håller nu på att förbereda för att göra motsvarande för IMPSer, dvs att identitetsutfärdare årligen måste verifiera att deras IMPSer fortfarande stämmer. Vi håller på att planera för hur vi ska göra detta och hur systemstödet ska se ut men grundmodellen är den samma som med den årliga verifieringen av metadata. Jag tror inte att vi hinner börja genomföra denna kontroll förrän sent i höst. Fördelen med IMPS-verifieringen är att vi alltid har en sista kontaktpunkt innan eventuell avstängningen sker, Sunets kontaktperson för organisationen, så jag tror inte att detta kommer att ge några oavsiktliga avstängningar.

ADFS Toolkit

En ny version av ADFS Toolkit är på väg. Denna innehåller en del ny funktionalitet som vi vill att ska införa. Sunet har behov av att få statistik om hur mycket SWAMID används och därför har vi implementerat samma stöd för statistikrapportering som finns i Shibboleth IdP. Det kommer göra att vi senare i år kommer att be alla som använder ADFS Toolkit uppdaterar till senaste versionen.

Shibboleth IdP v5

Som ni troligtvis sett i Sunets månadsbrev och eventuellt i brev till e-postlistan saml-admins måste alla som använder Shibboleth IdP som identitetsutfärdare uppgradera till senaste versionen innan november. Orsaken är att Shibboleth IdP v4 blir end-of-life 1 september i år. För att stödja detta arbete har operations genomfört ett webinar som finns inspelat och tillgängligt på Sunet Play. Vidare har vi varannan vecka från mitten av april haft ett zoommöte varannan torsdag för att kunna erbjuda hjälp. Vidare rekommenderar vi alla att använda e-postlistan saml-admins för att få hjälp av varandra. Zoomötet kommer att ta paus under sommaren och påbörjas igen i mitten av augusti och hållas fram till slutet av november.

Det var allt för denna gång

Pål