FAQ SWAMID tillitsprofiler

Denna FAQ innehåller förtydliganden och svar på frågor som kommer från oss alla som ska införa SWAMID AL1 eller SWAMID AL2 vid vår organisation. Sidan är uppbygd så att varje avsnitt som behöver förtydligas har en egen rubrik och sedan kommer antingen ett förtydligande på svenska eller ett förslag på uppdaterad "guidance" som tydliggör. Allt eftersom fler frågor och funderingar kommer till SWAMID Operations kommersidan fyllas på och förbättras. Vid jämna mellanrum kommer förslag till framtida uppdaterad "guidance" att inkluderas i aktuell tillitsprofil.

IdM-checklistan

Fråga: Ska dokumentation såsom beskrivet i IdM-checklistan skickas med vid AL1?

Svar: IdM-checklistan ersätts till stor del av AL1- och AL2-profilen. SWAMID kommer även att ta fram en Best Common Practice runt vissa delar av skötseln av ett IdM-system.

3.1 Evidence of compliance with this profile MUST be part of the Identity Management Practice Statement, maintained as a part of the SWAMID membership process. The Identity Management Practice Statement MUST describe how the organisation fulfils the normative parts of this document.

  • Från och med införandet av SWAMID AL2 och uppdatering av SWAMID AL1 februari 2016 räcker det inte längre med att i sin Identity Management Practice Statement (IMPS) beskriva hur konton hanteras vid lärosätet.
  • SWAMID har tagit fram en mall för hur man skriver en IMPS. Hänvisa gärna till olika policydokument vid lärosätet dokument i IMPS.

SWAMID AL1 3.4 The member organisation MUST retain records (sv. diarieföras) of all audits, both internal and independent, for a period which, as a minimum, fulfils its legal obligations and otherwise for greater periods required by any obligations it has with/to Subjects, and which in any event is not less than 36 months. Such records MUST be held securely and be protected against unauthorized access, loss, alteration, public disclosure, or unapproved destruction.

  • Detta krav är borttaget från och med februari 2016.

4.1.2 The member organisation MUST adhere to applicable Swedish legislation. The member organisation MUST make and maintain an analysis of applicable legislation for the Identity Provider and underlying systems.

Guidance:
An example of an analysis is provided in the SWAMID Wiki that can be used as an internal template.

4.1.3 The member organisation MUST have documented procedures for data retention and protection in order to ensure the safe management of Subject information.

Guidance:
The member organisation must have defined decommission procedures of the Identity Provider and underlying systems when they are replaced or decommissioned. Special considerations should be taken for decommissioned Components (e.g hard drives, backup media and other storage media) that may contain sensitive or private Subject information, such as passwords, Swedish Personal Identity Number (sv. personnummer) etc . These must be safely and permanently disposed of.

Fråga: Hur kommer det här att fungera när vi lägger saker i molnet. Vi är just på väg att ta Office365 i drift och använda AAD Sync dvs synka upp lösenordet från AD till molnet. Hur sannolikt är det att Microsofts regler för skivminnen uppfyller SWAMIDs krav? Samma gäller ju Amazon och Google.

Svar: Vi skulle säga att ni behöver fråga er leverantör hur de uppfyller detta krav. Vårt förslag är att ni ställer samma fråga till er molnleverantör och ber om dokumenterade rutiner för hur de hanterar känslig och hemlig information (som exvis personuppgifter respektive hashade lösenord) och hur de garanterar att ingen annan kan komma åt den informationen nu eller i framtiden. Under förutsättning att de kan tillhandahålla detta så fungerar det bra som underlag för motsvarande skrivning från er för AL1:an.

4.2.2 All Subjects MUST indicate acceptance of the Acceptable Use Policy before use of the Identity Provider.

Fråga: Om man i anställningsavtal binder den anställde vid alla organisationens policies och riktlinjer räcker då detta?

Svar: Det är möjligt att reglera detta genom anställningsavtalet men det finns nackdelar med det enligt svar på nästa fråga.

4.2.3 All Subjects MUST indicate renewed acceptance of the Acceptable Use Policy if the Acceptable Use Policy is modified.

Fråga: se ovan 4.2.2.

Svar: Eftersom det står att användaren behöver visa att de godkänner uppdaterade användarregler behöver lärosätet beskriva hur de gör detta när reglerna uppdateras. Särskilt att tänka på är att det är svårt att bevisa om användaren är medveten om att reglerna finns om de inte explicit godkänt den.

Fråga: Kan man använda e-post för att informera om uppdateringar till AUP?

Svar: Ja,  Vid förändrade användningsregler för en identitet i identitetshanteringssystem kan man meddela alla identitetsinnehavare via mail att användningsreglerna ändrats.

4.3.3 All network communication between systems related to Identity or Credential management MUST be secure and encrypted, or be physically secured by other means.

Fråga: Gäller detta även internt i en egen datorhall?

Svar: Kravet ställs på trafik till och från identitetshanteringssystemen på publikt datornät (dvs. inte datorhallsspecfika managementnät avsedda för backup och systemadministration) där användaridentiteter och lösenord är inblandade, t.ex. vid påloggning, lösenordsändring, lösenordssynkronisering och nätverkstrafiken mellan en Shibboleth-IdP och en Active Directory-server som verifierar lösenord vid inloggning. Denna trafik ska vara krypterad. Publika sökningar mot katalogtjänster har inte krav på att vara krypterade. 

5.1.1 Passwords MUST contain at least X bits of entropy as defined in NIST SP 800-63-2, Appendix A

Fråga: Är det ok att lagra lösenord som används vid federationsinloggning  i klartext?

Svar: Nej, lösenord för användare som kan använda SWAMID ska vara krypterade och säkert lagrade. Däremot är det tillåtet att ha användare med osäkra lösenord i samma infrastruktur så länge de inte kan använda federationen.


Fråga: Hur gör jag i Active Directory för att lösenorden ska uppfylla kraven i SWAMID AL2?

Svar: Ställ in att lösenord måste vara minst 8 tecken långa samt att de måste uppfylla Microsofts komplexitetskrav alternativt att lösenorden måste vara minst 14 tecken långa.


Fråga: Om man aktiverar rate-limiting för lösenordsgissningar gäller detta samtliga autentiseringsvägar eller bara via SAML2?

Svar: Ja, detta gäller samtliga ställen där man kan mata in användarnamn och lösenord. Rekommendationen är att man aktiverar rate-limiting i Active Directory och/eller LDAP (beroende på vilken inloggningskälla man använder) och därefter hanterar felrapporter i inloggningarna, t.ex. SAML2.

5.1.3 Subjects MUST be actively discouraged from sharing credentials with other subjects either by using technical controls or by requiring users to confirm policy forbidding sharing of credentials or acting in a way that makes stealing credentials easy.


  • Står det i AUP och användarna har godkänt denna räknas det som aktivt. Inför organisationen dessutom att användarna med jämna mellanrum måste godkänna reglerna på nytt blir det ännu mer aktivt.

5.2.8 The Registration Authority performing the identity proofing needed to verify SWAMID Assurance Level X compliance MUST be authorized to perform identity proofing at SWAMID Assurance Level X or higher. To be authorized to perform identity proofing at SWAMID Assurance Level X, the Registration Authority itself MUST be using credentials at SWAMID Assurance Level X or higher.

Advanced  guidance:
The intent is to make sure that credentials are only assigned to humans (e.g.. protection against credential registration robots). If a web page is used for account activation this page must be crafted in such way that automatic credential creation is hindered. Further more must some technical protection be implemented to protect that someone can insert credentials creations between the account activation web page and the credential store. In more technical wordings: If the Credential Management component (e.g. password database) is separated from the Identity Verification component (e.g. activation web page) then careful use of service to service authentication and access control is required. For instance, consider an Active Directory back end with an web based enrolment. In order to fulfill this requirement it is sufficient that the web interface uses a service user in the Active Directory Account Operator group.

Fråga: Vad menas med det här? Vi förstår inte riktigt. Eller menar ni typ att man inte ska logga in med tjänstekonton i IdP:n och eduroam?

Svar: Det betyder två olika saker:

  • De personer som jobbar med kontoadministration, direkt eller indirekt, vid lärosätet ska ha minst samma tillitsprofil som de användare de administrerar.
  • Den webbtjänst som används för kontoaktivering, lösenordsändring eller lösenordsåterställning får inte ansluta sig till bakomliggande kontohanteringssystem, t.ex. AD, utan egen inloggning. Exempel webbsidan för kontoaktivering har en AD-användare som denna använder för att skapa AD-kontot för den nya användaren.

5.3.3 For Credential Re-issuing the same methods apply as in 5.2.5.

Fråga: Är det möjligt att återställa lösenord med hjälp av SMS till självuppgivet telefonnummer med bibehållen AL-nivå?

Svar: För att återställa lösenordet och bibehålla AL1-nivå krävs en i förväg verifierad kanal, t ex epost ELLER SMS, som man sedan använder för att distribuera möjligheten att återställa lösenordet. För kommande AL2-nivå kommer det att krävas två i förväg verifierade kanaler, t ex epost OCH SMS, som man sedan använder tillsammans för att distribuera möjligheten att återställa lösenordet.

Förslag på hur man kan implementera lösenordåterställning via två kanaler i SWAMID AL2.

  1. Gå till lösenordsåterställningssidan och ange att lösenordsåterställning ska ske med hjälp av SMS och e-post.
  2.  Ange personnummer alternativt födelsedata plus registrerad e-postadress.
  3. Välj i lista vilken mobil engångskoden ska skickas till (numret är maskat så att bara del av numret syns) samt välj genom lista vilken registrerad e-postadress som för engångskoden unik lösenordsåterställningslänk ska skickas till.
  4. Invänta SMS och e-postmeddelande.
  5. Öppna den unika lösenordsåterställningslänken och ange koden som skickats med SMS samt det nya lösenordet.

Dessutom rekommenderas att även ha funktionalitet för att återställa lösenord med hjälp av autentisering mot eduID eller motsvarande identitetskälla inom federationen.

5.4 Credential Revocation

Fråga: Vad betyder detta? Ska vi beskriva hur vi hanterar att kontot inaktiveras beroende på att kontoinnehavaren inte längre finns kvar vid organisationen och hur kontot sedan ska aktiveras igen när kontoinnehavaren är tillbaka?

Svar: Nej, avsnittet handlar om att stänga en användarens inloggningsmöjligheter och kräva att de byter lösenord innan de kan använda inloggningen igen. Detta används t.ex. vid misstanke om att lösenord kommit på avvägar i samband med fishing.

  • No labels