- återautentisering för att starta och avsluta en inloggningssession på ett säkert sätt.
Om inte lärosätet av en eller annat skäl kan genomföra det som de måste göra innan kravet på multifaktor i Nais kommer att införas kommer Sunets tjänst eduID tillhandahålla multifaktorinloggning men då måste användaren använda ett eduID-konto för att logga in i Nais. Vad ska UHR göra i Nais- Nais får endast hantera inloggning via SAML2, inte äldre versioner av SAML.
- Både krav på multifaktor och återautentisering går endast att utföra med SAML2.
- I inloggningsförfrågan från Nais till ett lärosätes identitetsutfärdare (IdP) ska Nais ställa krav på:
- att användare måste logga in med multifaktor genom att tekniskt signalera krav på REFEDS-MFA för inloggningen och
- att användaren måste logga in på nytt oberoende om denna redan sedan tidigare hade en giltig inloggning i identitetsutfärdaren (IdP) eller inte.
- När godkänd inloggning är genomförd ska Nais tekniskt kontrollera följande innan användaren släpps in i Nais:
- att lärosätet uppfyller kraven för SWAMID AL2,
- att lärosätet uppfyller kraven för SWAMID AL2-MFA-HI,
- att användaren uppfyller kraven för SWAMID AL2,
- att användaren uppfyller kraven för SWAMID AL2-MFA-HI,
- att inloggningen i lärosätets identitetsutfärdare (IdP) har skett med multifaktor via REFEDS MFA och
- att inloggningen i lärosätets identitetsutfärdare (IdP) inte är äldre än 1 minut (plus utrymme för klockdrift).
|