Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Planera och genomföra bytet i en identitetsutfärdare (IdP)

Det finns tre ett par uppenbara lösningar på detta:

...

  • Välj ett nytt värde på subject-id som inte riskerar att återanvändas (och inte använts som ePPN av någon annan individ tidigare)
  • Använd inte punkt (.) eller understreck (_) i nya ePPN-värden
  • Välj något som är förhållandevis enkelt att hantera för människor
    • Dåligt exempel: 488d2f98-b670-4c13-aedf-c5b4d0783efb@org.se ( - svårt att hantera vid administration)
    • Bra exempel: andber01@org.se ( - för Anders Bertilsson, enkelt att hantera och komma ihåg för användare, notera dock problematik kring namnbyte)
    • Bra exempel: lusab-babad@org.se ( - översättning av unikt 32-bitars heltal via Proquints (intressant resonemang kring identifierare på länken!), används av eduID och Antagning.se)
  • Använd samma värde för subject-id som för nytt ePPN-värde

...

  • Användare behöver hantera nya användarnamn (vid inloggning eller som visas i gränssnitt)
  • Tjänster behöver hantera användarnamnbyte via exempelvis någon av dessa metoder:
    • Använda ePPN men spara undan mottaget subject-id under en övergångsperiod för att sedan gå över till bara subject-id-värden
    • Byta alla användarnamn i tjänsten samtidigt
    • Skapa upp nya användaridentiteter utan koppling till de gamla

...

  • Använd ePPN som bas för värde på subject-id
  • Säkerställ att ePPN (och subject-id) aldrig återanvänds
    • Detta följer av tillitsprofilen, teknologiprofilen samt GDPR och säkerhetsskäl då det föreligger risk av obehörig tillgång till annans data
    • Om e-postadress används idag, se till att de aldrig återanvänds och skapa en annan identifierare än e-postadress för nya användare (utan punkt och understreck), se Alternativ 2 4 nedan
    • Det förekommer idag att e-postadress återanvänds, ibland efter explicit rektorsbeslut

...

  • Tjänster kan ersätta ePPN med subject-id utan förändring, förutom för just de användare där understreck eller punkt förekommer i ePPN, och då antingen göra en översättning med borttagning av understreck och punkt eller kräva nya användaridentiteter i tjänsten endast för endast dessa användare
  • Användarnamnen är väl inarbetade och känns i de flesta fall igen av användarna
  • Användarnamnen innehåller inga oväntade teckenkombinationer

...

  • Det kan uppstå viss förvirring om vilket användarnamn det är som gäller, och det skiljer sig mellan tjänster som använder ePPN som identifierare och de som använder subject-id
  • Risk finns för konflikt mellan användarnamn. I Ladok finns drygt 100 000 SWAMID-ePPN varav knappt 1 000 ePPN innehåller punkt eller understreck. Av dessa uppstår sju konflikter, varav fyra sannolikt är resultat av felstavning vid skapande av användaridentiteter i Ladok som därför inte används.

Implementering i Shibboleth

...

Stöd för ändring av värde från ePPN till subject-id planeras till finns i version 2.3 av ADFSToolkit.

...

  • Använd ePPN som bas för värde på subject-id
  • Säkerställ att ePPN (och subject-id) aldrig återanvänds
    • Detta följer av tillitsprofilen, teknologiprofilen samt GDPR och säkerhetsskäl då det föreligger risk av obehörig tillgång till annans data
    • Om e-postadress används idag, se till att de aldrig återanvänds och skapa en annan identifierare än e-postadress för nya användare (utan punkt och understreck), se Alternativ 2 4 nedan
    • Det förekommer idag att e-postadress återanvänds, ibland efter explicit rektorsbeslut

...

  • Tjänster kan ersätta ePPN med subject-id utan förändring, förutom för just de användare där understreck eller punkt förekommer i ePPN, och då antingen göra en översättning med =5F/=2E/- eller kräva nya användaridentiteter i tjänsten för endast dessa användare
  • Användarnamnen är väl inarbetade och känns i de flesta fall igen av användarna

...

Stöd för ändring av värde från ePPN till subject-id planeras till finns i version 2.3 av ADFSToolkit.

...

  • Välj ett nytt värde på subject-id som saknar direkt koppling till ePPN (och inte använts som ePPN av någon annan individ tidigare)
  • Använd inte punkt (.) eller understreck (_) i nya subject-id-värden
  • Välj något som är förhållandevis enkelt att hantera för människor
    • Dåligt exempel: 488d2f98-b670-4c13-aedf-c5b4d0783efb@org.se ( - svårt att hantera vid administration)
    • Bra exempel: andber01@org.se ( - för Anders Bertilsson, enkelt att hantera och komma ihåg för användare, notera dock problematik kring namnbyte)
    • Bra exempel: lusab-babad@org.se ( - översättning av unikt 32-bitars heltal via Proquints (intressant resonemang kring identifierare på länken!), används av eduID och Antagning.se)

Fördelar:

  • Chans att börja om med unika identifierare som inte riskerar att återanvändas (till skillnad från e-postadresser som används som ePPN av många organisationer inom SWAMID idag)

...