...
Två utskick om MFA-kravet i Nais har gjots till IT- och SA-chefer på aktuella lärosäten. Det senaste som skickades ut den 5 juni innehöll en fråga från Nais förvaltningsorganisation om hur lärosätena planerar att hantera multifaktorinloggning. För de lärosäten som inte hinner att implmentera multifaktorinloggning under 2018, eller inte har de administrativa eller tekniska förutsättningarna att göra detta, kommer eduID att användas för kortare eller längre period.
Beslut om MFA profilen (PA)
...
- Administrativa krav i hanteringen av multifaktorn vid utdelande, utbyte och borttagande
- En multifaktor får inte kopplas till personens konto endast genom att användaren loggar in och registrerar egen multifaktor utan kopplingen måste ske genom
- utdelande på samma sätt som när lärosätet genomför kontoutdelning när för en person får ett konto med tillitsnivå SWAMID AL2 eller
- utdelande där personen under processen för att få tillgång till multifaktorn uppvisar legitimation (det är denna som är krav för Nais).
- Användaren måste kunna byta ut sin multifaktor.
- Lärosätet måste kunna spärra användningen användarens multifaktor om behov finns.
- Det är möjligt, men inte ett krav, att personen kan samtidigt ha mer än en multifaktor registrerad och aktiv kopplade till sin användare.
- En multifaktor får inte kopplas till personens konto endast genom att användaren loggar in och registrerar egen multifaktor utan kopplingen måste ske genom
- Tekniska krav på multifaktorlösningen
- Tillåter både lösningar där befintligt lösenord kompletteras med en andra fysisk inloggningsfaktor och en fullständig multifaktor där åtkomst till den andra faktorn skyddas i den fysiska faktorn av en pinkod eller biometri.
- Profilen innehåller inte vilka tekniska implementationer som kan användas utan pekar ut ett antal modeller från NIST 800-63B. NIST-standarden används för att inte få ett godtycke i val av multifaktormetoder.
- Tekniska krav för att använda multifaktorinloggning i SWAMID
...