...
Planera och genomföra bytet i en identitetsutfärdare (IdP)
Det finns tre ett par uppenbara lösningar på detta:
...
- Välj ett nytt värde på subject-id som inte riskerar att återanvändas (och inte använts som ePPN av någon annan individ tidigare)
- Använd inte punkt (
.
) eller understreck (_
) i nya ePPN-värden - Välj något som är förhållandevis enkelt att hantera för människor
- Dåligt exempel:
488d2f98-b670-4c13-aedf-c5b4d0783efb@org.se
( - svårt att hantera vid administration) - Bra exempel:
andber01@org.se
( - för Anders Bertilsson, enkelt att hantera och komma ihåg för användare, notera dock problematik kring namnbyte) - Bra exempel:
lusab-babad@org.se
( - översättning av unikt 32-bitars heltal via Proquints – (intressant resonemang kring identifierare på länken!), används av eduID och Antagning.se)
- Dåligt exempel:
- Använd samma värde för subject-id som för nytt ePPN-värde
...
- Användare behöver hantera nya användarnamn (vid inloggning eller som visas i gränssnitt)
- Tjänster behöver hantera användarnamnbyte via exempelvis någon av dessa metoder:
- Använda ePPN men spara undan mottaget subject-id under en övergångsperiod för att sedan gå över till bara subject-id-värden
- Byta alla användarnamn i tjänsten samtidigt
- Skapa upp nya användaridentiteter utan koppling till de gamla
...
- Använd ePPN som bas för värde på subject-id
- Ta bort punkt (
.
) och understreck (_
) - Exempel:
- Ta bort punkt (
- Säkerställ att ePPN (och subject-id) aldrig återanvänds
- Detta följer av tillitsprofilen, teknologiprofilen samt GDPR och säkerhetsskäl då det föreligger risk av obehörig tillgång till annans data
- Om e-postadress används idag, se till att de aldrig återanvänds och skapa en annan identifierare än e-postadress för nya användare (utan punkt och understreck), se Alternativ 2 4 nedan
- Det förekommer idag att e-postadress återanvänds, ibland efter explicit rektorsbeslut
...
- Tjänster kan ersätta ePPN med subject-id utan förändring, förutom för just de användare där understreck eller punkt förekommer i ePPN, och då antingen göra en översättning med borttagning av understreck och punkt eller kräva nya användaridentiteter i tjänsten endast för endast dessa användare
- Användarnamnen är väl inarbetade och känns i de flesta fall igen av användarna
- Användarnamnen innehåller inga oväntade teckenkombinationer
...
- Det kan uppstå viss förvirring om vilket användarnamn det är som gäller, och det skiljer sig mellan tjänster som använder ePPN som identifierare och de som använder subject-id
- Risk finns för konflikt mellan användarnamn. I Ladok finns drygt 100 000 SWAMID-ePPN varav knappt 1 000 ePPN innehåller punkt eller understreck. Av dessa uppstår sju konflikter, varav fyra sannolikt är resultat av felstavning vid skapande av användaridentiteter i Ladok som därför inte används.
Implementering i Shibboleth
...
Stöd för ändring av värde från ePPN till subject-id planeras till finns i version 2.3 av ADFSToolkit.
...
- Använd ePPN som bas för värde på subject-id
- Ersätt punkt (
.
) med=2E
- Ersätt understreck (
_
) med=5F
- Alternativt byta punkter och understreck med bindestreck (
-
) om det ej föreligger risk för konflikter - Exempel:
anna_b@org.se
→anna=5Fb@org.se
- Alternativt
anna_b@org.se
→anna-b@org.se
fornamn.efternamn1_efternamn2@org.se
→fornamn=2Eefternamn1=5Fefternamn2@org.se
- Alternativt
fornamn.efternamn1_efternamn2@org.se
→fornamn-efternamn1-efternamn2@org.se
- Ersätt punkt (
- Säkerställ att ePPN (och subject-id) aldrig återanvänds
- Detta följer av tillitsprofilen, teknologiprofilen samt GDPR och säkerhetsskäl då det föreligger risk av obehörig tillgång till annans data
- Om e-postadress används idag, se till att de aldrig återanvänds och skapa en annan identifierare än e-postadress för nya användare (utan punkt och understreck), se Alternativ 2 4 nedan
- Det förekommer idag att e-postadress återanvänds, ibland efter explicit rektorsbeslut
...
- Tjänster kan ersätta ePPN med subject-id utan förändring, förutom för just de användare där understreck eller punkt förekommer i ePPN, och då antingen göra en översättning med
=5F
/=2E
/-
eller kräva nya användaridentiteter i tjänsten för endast dessa användare - Användarnamnen är väl inarbetade och känns i de flesta fall igen av användarna
...
Stöd för ändring av värde från ePPN till subject-id planeras till finns i version 2.3 av ADFSToolkit.
...
- Välj ett nytt värde på subject-id som saknar direkt koppling till ePPN (och inte använts som ePPN av någon annan individ tidigare)
- Använd inte punkt (
.
) eller understreck (_
) i nya subject-id-värden - Välj något som är förhållandevis enkelt att hantera för människor
- Dåligt exempel:
488d2f98-b670-4c13-aedf-c5b4d0783efb@org.se
( - svårt att hantera vid administration) - Bra exempel:
andber01@org.se
( - för Anders Bertilsson, enkelt att hantera och komma ihåg för användare, notera dock problematik kring namnbyte) - Bra exempel:
lusab-babad@org.se
( - översättning av unikt 32-bitars heltal via Proquints – (intressant resonemang kring identifierare på länken!), används av eduID och Antagning.se)
- Dåligt exempel:
Fördelar:
- Chans att börja om med unika identifierare som inte riskerar att återanvändas (till skillnad från e-postadresser som används som ePPN av många organisationer inom SWAMID idag)
...