Agenda SWAMID Board of Trustees 2024-12-16Tid 2024-12-16 14.00--16.00 Plats Videomöte i Zoom, https://sunet.zoom.us/my/paxel Om ni inte fått en kalenderhändelse medddela mig! Kallade Zacharias Törnblom (ZT) Ann Amling Mauritz Danielsson Per-Olov Hammargren Magnus Höglund Jan Nordin Anders Sjöström Hans Wohlfart Adjungerade Pål Axelsson (PA) Johan Nordgren Välkommen (ZT)Fastställande av dagordning (ZT)Beslut om alternativ rutin för studenter med skyddade identitetsuppgifter på AL2-nivå via fysiskt möte eller videosamtal (PA) Studenter med skyddade identitetsuppgifter har sitt riktiga personnummer i NyA/Ladok bakom skydd som endast ett fåtal utvalda handläggare vid lärosätet har tillgång till. Där finns koppling till studentens interimspersonnummer som används i Ladok och lärosätets system. Studentens riktiga personnummer ska exponeras så lite som möjligt, det är därför olämpligt att använda inloggning via svensk e-legitimation i lärosätets system för dessa studenter. Handläggare med tillgång till skyddade identitetsuppgifter i NyA/Ladok identifierar studenten under fysiskt möte med kontroll av legitimation eller under videosamtal med hjälp av skanning av digital representation av resehandling i e-legitimation, se Identitetskontroll via digital representation av resehandling i e-legitimation (SWAMID AL2) <https://wiki.sunet.se/pages/viewpage.action?pageId=204341308>. Handläggaren tar fram studentens interimspersonnummer ur NyA/Ladok utifrån identifierat svenskt personnummer och söker fram studentens lärosäteskonto baserat på interimspersonnumret. Handläggaren genomför aktivering enligt samma metod som handläggare i servicedesk. Beslut om ansökningar om godkännande av tillitsnivåer (PA) Högskolan i Borås ansöker om godkännande för SWAMID AL3 Högskolan i Borås vill bli godkända för SWAMID AL3. SWAMID Operations rekommenderar Board of Trustees att godkänna deras ansökan. Högskolan i Dalarna ansöker om förnyat godkännande för SWAMID AL2 Högskolan i Dalarna utökar metoderna för bekräftande av individer för SWAMID AL2 till att även tillåta svensk e-legitimation tillitsnivå 3. SWAMID Operations rekommenderar Board of Trustees att godkänna deras ansökan. Karolinska institutet ansöker om förnyat godkännande för SWAMID AL2 Karolinska institutet utökar metoderna för bekräftande av individer för SWAMID AL2 till att även tillåta svensk e-legitimation tillitsnivå 3 och riskbaserad bedömning av personer utan svensk identitetshandling via eduID. Dessutom kan medarbetare och studenter återställa lösenord via självserviceportal. SWAMID Operations rekommenderar Board of Trustees att godkänna deras ansökan. Konstfack ansöker om godkännande för SWAMID AL3 Konstfack inför eduID Connect som komplement till nuvarande identitetsutfärdare som reserv ökad funktionalitet. SWAMID Operations rekommenderar Board of Trustees att godkänna deras ansökan. Röda Korset Högskola ansöker om förnyat godkännande för SWAMID AL2 Röda Korset Högskola bygger helt om sina kontohanteringsprocesser från och med 2025. SWAMID Operations rekommenderar Board of Trustees att godkänna deras ansökan. Stockholms Musikpedagogiska Institut ansöker om medlemskap samt godkännande för SWAMID AL3 Stockholms Musikpedagogiska Institut är ny medlem i SWAMID och kommer att använda eduID COnnect. SWAMID Operations rekommenderar Board of Trustees att godkänna deras ansökan. Umeå universitet ansöker om förnyat godkännande för SWAMID AL3 Umeå universitet utökar metoderna för bekräftande av individer för SWAMID AL2 till att även hantera studenter med skyddade personuppgifter enligt ovanstående modell. SWAMID Operations rekommenderar Board of Trustees att godkänna deras ansökan. Uppsala universitet ansöker om förnyat godkännande för SWAMID AL2 Uppsala universitet utökar metoderna för bekräftande av individer för SWAMID AL2 till att även tillåta riskbaserad bedömning av personer utan svensk identitetshandling via Freja eID. SWAMID Operations rekommenderar Board of Trustees att godkänna deras ansökan. Vetenskapsrådet - eduID ansöker om förnyat godkännande för SWAMID AL2 eduID tar bort möjligheten att använda mobiltelefonnummer för bekräftande av identitet via abonnentregister och SMS för lösenordsåterställning. Användning av e-legitimation för personer utan svenskt personnummer ersätter SMS som andra kanal vid lösenordsåterställning. SWAMID Operations rekommenderar Board of Trustees att godkänna deras ansökan. Information om avslutande av medlemskap i SWAMID (PA) KK-stiftelsen är inte längre anslutna till Sunet. Med avseende på detta avslutas deras medlemskap i SWAMID. De har endast använt eduroam. Beslut runt översyn av tillitsprofiler (PA) Under 2024 har SWAMID Operations arbetat med uppdatering av SWAMIDs tillitsprofiler. Avsikten med uppdateringen har främst varit att tydligare beskriva redan befintliga krav men också se om vi kan sänka vissa krav och hantera ändrade omvärldskrav sedan senast uppdateringen 2020. Vid de digitala sunetdagarna i början av november presenterades förändringarna och därefter har tre diskussions- och frågemöten genomförts för att inhämta åsikter från SWAMIDs medlemsorganisationer och registrerade tjänster. Under konsultationsprocessen inkom endast en organisation med åsikt om förändringarna, se mer nedan. På wikisidan Översyn av SWAMIDs tillitsprofiler 2024 <https://wiki.sunet.se/pages/viewpage.action?pageId=214570868> finns konsultationsprocessens olika steg beskrivna. På denna wikisida finns även de slutgiltiga förslagen till uppdaterade tillitsprofiler inkl. tydlig ändringshantering. Förutom de avsnitt där vi tydligare beskriver kraven kan man sammanfatta ändringarna enligt nedan. Avsnitt 2 Detta avsnitt beskriver primärt vad målet med tilltisprofilen är och här av vi gjort två ändringar. Dels har vi tydligt lagt en rad om att en användare måste vara kontaktbar. Detta fanns redan implicit under avsnitt 5.4.2 runt hanterings av säkerhetsincidenter men vi har valt att lyfta fram det tydligare eftersom det är ett krav i REFEDS Assurance Framework version 2 (RAFv2). RAFv2 används av viktiga tjänster för forskare runt om i världen för att med tillräcklig säkerhet fastställa att det är rätt person som får tillgång till tjänsten. Vi har även tagit bort jämförelsen med andra tillitsramverk eftersom det inte har visat sig vara relevant. Avsnitt 4.2.3 I förslaget till uppdaterade tillitsprofiler har vi nu utökat med den best practice som har blivit godkänt för ett sort antal federationsmedlemmar men som inte har varit beskrivet i tillitsprofilerna, dvs. att modellen med att aktivt informera användaren via t.ex. ett e-post räcker för att informera om uppdateringen. Avsnitt 4.2.5 I alla år har vi under granskningarna krävt att service definition ska vara publikt publicerad. Nu är detta tydligt inskrivet i profilerna. Avsnitt 4.5 I SWAMIDs teknologiprofil för SAML WebSSO finns krav på att både identitetsutgivare och tjänster måste följa SWAMIDs incidenthanteringsprocess vid en säkerhetsincident. Vi har lyft över den exakta texten från teknologiprofilen till tillitsprofilerna för att tydliggöra detta för framförallt de tjänster som kräver RAFv2. Detta tillför inga ökade krav utan bara tydliggör befintliga. Avsnitt 5.1.1 I detta avsnitt finns den enda faktiska höjningen av krav i tillitsprofilerna. Vid uppdateringen av tillitsprofiler 2020 skrevs det in i råden (guidance) under punkten att "The use of OTP devices will be deprecated 2025, or earlier, due to the risks with the technology. Member organisations are encouraged not to implement new OTP solutions.". SWAMID Operations har vid denna uppdatering ersatt detta råd med att införa formell sluttid för tidsbaserad OTP till slutet på 2025 för mjukvarubaserad TOTP (sex siffror som byts ut en gång per minut) och slutet av 2027 för hårdvarubaserad TOTP. Observera att de krav som SWAMID ställer via tillitsprofilerna endast gäller för att få signalera att MFA har använts vid inloggning till tjänster, inte om man får använda TOTP eller inte. Det höjda kravet för mjukvarubaserad TOTP berör ett par medlemsorganisationer och här har vi fått en formell begäran från Lunds universitet att slutet av 2025 är alldeles för snabbt för dem och de föreslog några olika varianter (sammanfattat av operations) för inte behöva genomföra höjningen av kravet: Förändra endast kravet för SWAMID AL3 och fortsätt tillåta TOTP för SWAMID AL1 och SWAMID AL2. Att generellt fördröja införandet av kravet för mjukvarubaserad TOTP till slutet på 2026. Att inte genomföra ändringen utan skapa mitigerande rutiner för att minska risken för TOTP. Svagheten med TOTP är att det är en tidsbaserad engångkod som är fiskbar via socialmanipulation och dessutom är mjukvarubaserad TOTP kopieringsbar utan spårbarhet mellan olika "authenticatorappar". SWAMID Operation anser därför att alternativ 1 eller 3 inte är lämpliga. Vidare anser vi att det finns ett behov att vara väldigt tydliga och hindra ytterligare införande av mjukvarubaserad TOTP inom SWAMID och därför inte välja en generell förlängning. SWAMID Operations föreslår istället att de lärosäten som idag är godkända för mjukvarubaserad TOTP får ansöka om undantag för att få utökad tid, till maximalt slutet av 2027. Denna begäran om förlängning beslutas därefter av SWAMID Board of Trustees för varje enskild organisation. Den andra faktiska ändringen i avsnittet är att lägga tydligt stöd för att kunna använda externa inloggningskällor för inloggning, dvs. en annan identitetsutfärdare inom SWAMID eller e-legitimation. Övriga ändringar inom avsnittet är utökad förklaring om vad som menas med multifaktorinloggning och kraven runt detta. Avsnitt 5.2.5 Förändringarna i detta avsnitt handlar om minskade krav, nya möjligheter och förändrad lagstiftning. Tydligast är att kravet på minsta tillitsnivå för svensk e-legitimation sänks från 3 till 2 beroende på att nu finns det e-legitimationer på tillitsnivå 2 och vi har sett hur granskning av DiGG genomförs. När det gäller ändrad lagstiftning är det främst den kommande identitetsplånboken från EU som ger nya möjligheter. I övrigt är det bara ökad tydlighet som är beskriven. Avsnitt 5.2.6 Avsnittet har fått utökad betydelse. SWAMID Operations har genom alla år bedömt förändring av tillitsnivå för en användare som en del av 5.2.5. För att göra det tydligare vad som gäller vid byte av tillitsnivå har vi utökat avsnittet för att beskriva befintliga krav tydligare. Avsnitt 5.2.7 Detta avsnitt har utökats från att bara gälla uppdatering av självuppgivna uppgifter till uppdatering av alla person- och organisationsuppgifter på användaren. Detta beskrevs tidigare bara i avsnitt 2 med en enda punkt men för att göra det tydligare och lättare för medlemmarna att förstå vad som granskas har vi lagt det under avsnittet. De två områden som beskrivs särskilt i den nya skrivningen är att alla användare ska vara kontaktbara och aktualitet på användarens anknytning till organisationen. Orsaken till att detta lyfts särskilt är krav i RAFv2. Detta tillför inga ökade krav utan bara tydliggör befintliga. Information om end-of-life Shibboleth Identity Provider version 4 (PA) Alla som har använt äldre version av Shibboleth Identity Provider har uppdaterat nu uppdaterat till version 5. Alla gjorde det innan definierad tidsfrist, dvs. 30 november. Övriga frågorNästa möte (ZT)Avslutande (ZT)