...

SWAMID har under 2021 tagit fram ett förslag på en uppdaterad teknologiprofil för SAM2 WebSSO. Målet med uppdateringen har varit att tydliggöra det tekniska regelverk för att registrera SAML2 WebbSSO som funnits sedan tidigare samt att formellt definiera vilka identitetsutgivare och tjänster som funnits sedan tidigarefår registreras i metadata. I den version som är f.n. är aktuell hänvisades endast till  "The (SAML2Int) Interoperable SAML 2.0 ProfileeProfile". SAML2int har förändrats sedan teknologiprofilen skrevs och desutom dessutom har ytterligare tvingande krav tillkommit för alla indenttietsutgivare och tjänster som exporteras till eduGAIN via "eduGAIN SAML Profile".

Den nya uppdaterade teknologiprofilen hänvisar inte längre till SAML2int utan SWAMID Operations har skrivit en fullständig teknologiprofil som innehåller alla krav för att alla parter ska fungera i federationen. Målen i I arbetet har ledstjärnan varit att ha en fllständig fullständig teknologiprofil utan generella externa hänvisningar samt att införa så få brytande förändringar som möjligt införs. De brytande förändringar som ändå finns har inkluderats är antingen av säkerhetsmässig karaktär eller innebär endast textmässig uppdatering av metadata. Vidare har SWAMID Operations lagt till regelverk för hur federations operatören ska genomföra daglig drift av federationen Vidare har även federations operatörens arbete med SAML2 metadata fått ett formellt regelverk.

I förslaget finns ett explicit regelverk för vilka identitetsutgivare och tjänster som får registreras i SWAMID:s metadata för SAML2. Tidigare har SWAMID Operations inte kunnat hindra någon som har velat bli registrerad i metadata. Denna förändring innebär att ett fåtal tjänster, såsom kommersiella studentrabattgivare, inte längre kan vara registrerade i SWAMID utan ett särskilt beslut. De två studentrabattgivare som är aktuella, MyUnidays och StudentBeans, har redan tidigare i år blivit informerade om den kommande förändringen och hänvisats till tjänsten InAcademia. InAcademia drivs av Géant och svarar bara ja och nej på frågan om det är en student vid ett visst lärosäte/land, inga andra uppgifter skickas till studentrabattgivaren. De bägge studentrabattgivarna kommer att avregistreras från SWAMID efter att teknologiprofilen har blivit godkänd.

Utdrag från den föreslagna teknologiprofilen över vilka som får registreras i SWAMID:s SAML2 metadata:

4.1.1 For an organisation to be eligible to register an Identity Provider in SWAMID metadata the organisation MUST be a member of the SWAMID Identity Federation.

4.1.2 All Member Organisations MUST fulfil one or more of the SWAMID Identity Assurance Profiles to be eligible to have an Identity Provider registered in SWAMID metadata.

4.2.1 A Relying Party is eligible for registration in SWAMID if they are:

• a service owned by a Member Organisation;
• a service under contract with at least one Member Organisation;
• a government agency service used by at least one Member Organisation;
• a service that is operated at least in part for the purpose of supporting research and scholarship interaction, collaboration or management; or
• a service granted special approval by SWAMID Board of Trustees after recommendation by SWAMID Operations.

4.2.2 For a Relying Party to be registered in SWAMID the Service Owner MUST accept the SWAMID Metadata Terms of Access and Use.

Den nya teknologiprofilen har genomgått SWAMID Konsultationsprocess under slutet på oktober till mitten av november. Konsultationen skickades ut på e-postlistan saml-admins samt ett webinar konsultationsmöte i Zoom har hållits. När konsultationen stängde hade två kommentarer inkommit. Bägge medförde att de icke normativa texten normativ text förbättrades runt de bägge aktuella frågornafrågeställningarna.

SWAMID Operations föreslår att SWAMDI SWAMID Board of Trustees godkänner den uppdaterade teknologiprofilen för SAML2 WebSSO.

...