Protokoll SWAMID Board of Trustees 2024-12-16
Tid
2024-12-16 14.00--16.00
Plats
Videomöte i Zoom
Närvarande
- Zacharias Törnblom (ZT)
- Mauritz Danielsson
- Magnus Höglund
- Jan Nordin
- Anders Sjöström
- Hans Wohlfart
Frånvarande
- Ann Amling
- Per-Olov Hammargren
Adjungerade
- Pål Axelsson (PA)
- Johan Nordgren
Välkommen (ZT)
Zacharias välkomnade alla till mötet. Särskilt hälsades Johan Nordgren välkommen som adjungerad vid detta möte och ordinarie från och med 2025.
Fastställande av dagordning (ZT)
Dagordningen fastställdes.
Beslut om alternativ rutin för studenter med skyddade identitetsuppgifter på AL2-nivå via fysiskt möte eller videosamtal (PA)
Studenter med skyddade identitetsuppgifter har sitt riktiga personnummer i NyA/Ladok bakom skydd som endast ett fåtal utvalda handläggare vid lärosätet har tillgång till. Där finns koppling till studentens interimspersonnummer som används i Ladok och lärosätets system. Studentens riktiga personnummer ska exponeras så lite som möjligt, det är därför olämpligt att använda inloggning via svensk e-legitimation i lärosätets system för dessa studenter.
Handläggare med tillgång till skyddade identitetsuppgifter i NyA/Ladok identifierar studenten under fysiskt möte med kontroll av legitimation eller under videosamtal med hjälp av skanning av digital representation av resehandling i e-legitimation, se Identitetskontroll via digital representation av resehandling i e-legitimation (SWAMID AL2). Handläggaren tar fram studentens interimspersonnummer ur NyA/Ladok utifrån identifierat svenskt personnummer och söker fram studentens lärosäteskonto baserat på interimspersonnumret. Handläggaren genomför aktivering enligt samma metod som handläggare i servicedesk.
Beslut
Board of Trustees anser att modellen är intressant men vill att några fler lärosäten tittar på den innan formellt beslut om att det är motsvarande modell. Bordlägger beslutet!
Beslut om ansökningar om godkännande av tillitsnivåer (PA)
- Högskolan i Borås ansöker om godkännande för SWAMID AL3
Högskolan i Borås vill bli godkända för SWAMID AL3.
För att bli godkänd för SWAMID AL3 måste ett granskningsmöte genomföras för att säkerställa att identitetsutfärdaren uppfyller kraven i tillitsprofilen. Granskningsmöte är genomfört med godkänt resultat.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras ansökan.
Beslut: SWAMID Board of Trustees godkände Högskolan i Borås ansökan. - Högskolan i Dalarna ansöker om förnyat godkännande för SWAMID AL2
Högskolan i Dalarna utökar metoderna för bekräftande av individer för SWAMID AL2 till att även tillåta svensk e-legitimation tillitsnivå 3.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras ansökan.
Beslut: SWAMID Board of Trustees godkände Högskolan i Dalarnas ansökan. - Karolinska institutet ansöker om förnyat godkännande för SWAMID AL2
Karolinska institutet utökar metoderna för bekräftande av individer för SWAMID AL2 till att även tillåta svensk e-legitimation tillitsnivå 3 och riskbaserad bedömning av personer utan svensk identitetshandling via eduID. Dessutom kan medarbetare och studenter återställa lösenord via självserviceportal.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras ansökan.
Beslut: SWAMID Board of Trustees godkände Karolinska institutets ansökan. - Konstfack ansöker om godkännande för SWAMID AL3
Konstfack inför eduID Connect som komplement till nuvarande identitetsutfärdare som reservutfärdare samt för utökad funktionalitet.
För att bli godkänd för SWAMID AL3 måste ett granskningsmöte genomföras för att säkerställa att identitetsutfärdaren uppfyller kraven i tillitsprofilen. I detta fall används eduID Connect och därför har tidigare granskningsmöte för Sunets användning av eduID Connect använts.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras ansökan.
Beslut: SWAMID Board of Trustees godkände Konstfacks ansökan. - Röda Korset Högskola ansöker om förnyat godkännande för SWAMID AL2
Röda Korset Högskola bygger helt om sina kontohanteringsprocesser från och med 2025.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras ansökan.
Beslut: SWAMID Board of Trustees godkände Röda Korset Högskolas ansökan. - Stockholms Musikpedagogiska Institut ansöker om medlemskap samt godkännande för SWAMID AL3
Stockholms Musikpedagogiska Institut är ny medlem i SWAMID och kommer att använda eduID Connect.
För att bli godkänd för SWAMID AL3 måste ett granskningsmöte genomföras för att säkerställa att identitetsutfärdaren uppfyller kraven i tillitsprofilen. I detta fall används eduID Connect och därför har tidigare granskningsmöte för Sunets användning av eduID Connect använts.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras ansökan.
Beslut: SWAMID Board of Trustees godkände Stockholms Musikpedagogiska Instituts ansökan. - Umeå universitet ansöker om förnyat godkännande för SWAMID AL3
Umeå universitet utökar metoderna för bekräftande av individer för SWAMID AL2 till att även hantera studenter med skyddade personuppgifter enligt ovanstående modell.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras ansökan.
Beslut: SWAMID Board of Trustees godkände Umeå universitets ansökan. - Uppsala universitet ansöker om förnyat godkännande för SWAMID AL2
Uppsala universitet utökar metoderna för bekräftande av individer för SWAMID AL2 till att även tillåta riskbaserad bedömning av personer utan svensk identitetshandling via Freja eID.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras ansökan.
Beslut: SWAMID Board of Trustees godkände Uppsala universitets ansökan. - Vetenskapsrådet - eduID ansöker om förnyat godkännande för SWAMID AL2
eduID tar bort möjligheten att använda mobiltelefonnummer för bekräftande av identitet via abonnentregister och SMS för lösenordsåterställning. Användning av delat meddelande via e-post och SMS för återställning av lösenord ersätts med meddelande via e-post samt användning av e-legitimation på minst tillitsnivå 2 för personer utan svenskt personnummer. För personer med svenskt personnummer används e-legitimation på minst tillitsnivå 3 för denna återställning.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras ansökan.
Beslut: SWAMID Board of Trustees godkände eduIDs ansökan.
Information om avslutande av medlemskap i SWAMID (PA)
KK-stiftelsen är inte längre anslutna till Sunet. Med avseende på detta avslutas deras medlemskap i SWAMID. De har enbart använt eduroam.
Beslut runt översyn av tillitsprofiler (PA)
Under 2024 har SWAMID Operations arbetat med uppdatering av SWAMIDs tillitsprofiler. Avsikten med uppdateringen har främst varit att tydligare beskriva redan befintliga krav men också se om vi kan sänka vissa krav och hantera ändrade omvärldskrav sedan senast uppdateringen 2020. Vid de digitala sunetdagarna i början av november presenterades förändringarna och därefter har tre diskussions- och frågemöten genomförts för att inhämta åsikter från SWAMIDs medlemsorganisationer och registrerade tjänster. Under konsultationsprocessen inkom endast en organisation med åsikt om förändringarna, se mer nedan.
På wikisidan Översyn av SWAMIDs tillitsprofiler 2024 finns konsultationsprocessens olika steg beskrivna. På denna wikisida finns även de slutgiltiga förslagen till uppdaterade tillitsprofiler inkl. tydlig ändringshantering.
Förutom de avsnitt där vi tydligare beskriver kraven kan man sammanfatta ändringarna enligt nedan.
Avsnitt 2
Detta avsnitt beskriver primärt vad målet med tillitsprofilen är och här av vi gjort två ändringar. Dels har vi tydligt lagt en rad om att en användare måste vara kontaktbar. Detta fanns redan implicit under avsnitt 5.4.2 runt hanterings av säkerhetsincidenter men vi har valt att lyfta fram det tydligare eftersom det är ett krav i REFEDS Assurance Framework version 2 (RAFv2). RAFv2 används av viktiga tjänster för forskare runt om i världen för att med tillräcklig säkerhet fastställa att det är rätt person som får tillgång till tjänsten.
Vi har även tagit bort jämförelsen med andra tillitsramverk eftersom det inte har visat sig vara relevant.
Avsnitt 4.2.3
I förslaget till uppdaterade tillitsprofiler har vi nu utökat med den best practice som har blivit godkänt för ett stort antal federationsmedlemmar men som inte har varit beskrivet i tillitsprofilerna, dvs. att modellen med att aktivt informera användaren via t.ex. ett e-post räcker för att informera om uppdateringen.
Avsnitt 4.2.5
I alla år har vi under granskningarna krävt att service definition ska vara publikt publicerad. Nu är detta tydligt inskrivet i profilerna.
Avsnitt 4.5
I SWAMIDs teknologiprofil för SAML WebSSO finns krav på att både identitetsutgivare och tjänster måste följa SWAMIDs incidenthanteringsprocess vid en säkerhetsincident. Vi har lyft över den exakta texten från teknologiprofilen till tillitsprofilerna för att tydliggöra detta för framförallt de tjänster som kräver RAFv2. Detta tillför inga ökade krav utan bara tydliggör befintliga.
Avsnitt 5.1.1
I detta avsnitt finns den enda faktiska höjningen av krav i tillitsprofilerna. Vid uppdateringen av tillitsprofiler 2020 skrevs det in i råden (guidance) under punkten att "The use of OTP devices will be deprecated 2025, or earlier, due to the risks with the technology. Member organisations are encouraged not to implement new OTP solutions.". SWAMID Operations har vid denna uppdatering ersatt detta råd med att införa formell sluttid för tidsbaserad OTP till slutet på 2025 för mjukvarubaserad TOTP (6-8 siffror som byts ut en gång per minut) och slutet av 2027 för hårdvarubaserad TOTP. Observera att de krav som SWAMID ställer via tillitsprofilerna endast gäller för att få signalera att MFA har använts vid inloggning till tjänster, inte om man får använda TOTP eller inte.
Det höjda kravet för mjukvarubaserad TOTP berör ett par medlemsorganisationer och här har vi fått en formell begäran från Lunds universitet att slutet av 2025 är alldeles för snabbt för dem och de föreslog några olika varianter (sammanfattat av operations) för att inte behöva genomföra höjningen av kravet:
- Förändra endast kravet för SWAMID AL3 och fortsätt tillåta TOTP för SWAMID AL1 och SWAMID AL2.
- Att generellt fördröja införandet av kravet för mjukvarubaserad TOTP till slutet på 2026.
- Att inte genomföra ändringen utan skapa mitigerande rutiner för att minska risken för TOTP.
Svagheten med TOTP är att det är en tidsbaserad engångkod som är fiskbar via socialmanipulation och dessutom är mjukvarubaserad TOTP kopieringsbar utan spårbarhet mellan olika "authenticatorappar". SWAMID Operation anser därför att alternativ 1 eller 3 inte är lämpliga. Vidare anser vi att det finns ett behov att vara väldigt tydliga och hindra ytterligare införande av mjukvarubaserad TOTP inom SWAMID och därför inte välja en generell förlängning. SWAMID Operations föreslår istället att de lärosäten som idag är godkända för mjukvarubaserad TOTP får ansöka om undantag för att få utökad tid, till maximalt slutet av 2027. Denna begäran om förlängning beslutas därefter av SWAMID Board of Trustees för varje enskild organisation.
Den andra faktiska ändringen i avsnittet är att lägga tydligt stöd för att kunna använda externa inloggningskällor för inloggning, dvs. en annan identitetsutfärdare inom SWAMID eller e-legitimation.
Övriga ändringar inom avsnittet är utökad förklaring om vad som menas med multifaktorinloggning och kraven runt detta.
Avsnitt 5.2.5
Förändringarna i detta avsnitt handlar om minskade krav, nya möjligheter och förändrad lagstiftning. Tydligast är att kravet på minsta tillitsnivå för svensk e-legitimation sänks från 3 till 2 beroende på att nu finns det e-legitimationer på tillitsnivå 2 och vi har sett hur granskning av DiGG genomförs. När det gäller ändrad lagstiftning är det främst den kommande identitetsplånboken från EU som ger nya möjligheter.
I övrigt är det bara ökad tydlighet som är beskriven.
Avsnitt 5.2.6
Avsnittet har fått utökad betydelse. SWAMID Operations har genom alla år bedömt förändring av tillitsnivå för en användare som en del av 5.2.5. För att göra det tydligare vad som gäller vid byte av tillitsnivå har vi utökat avsnittet för att beskriva befintliga krav tydligare.
Avsnitt 5.2.7
Detta avsnitt har utökats från att bara gälla uppdatering av självuppgivna uppgifter till uppdatering av alla person- och organisationsuppgifter på användaren. Detta beskrevs tidigare bara i avsnitt 2 med en enda punkt men för att göra det tydligare och lättare för medlemmarna att förstå vad som granskas har vi lagt det under avsnittet. De två områden som beskrivs särskilt i den nya skrivningen är att alla användare ska vara kontaktbara och aktualitet på användarens anknytning till organisationen. Orsaken till att detta lyfts särskilt är krav i RAFv2. Detta tillför inga ökade krav utan bara tydliggör befintliga.
Beslut
SWAMID Board of Trustees beslutade att godkänna de uppdaterade tillitsprofilerna. De uppdaterade tillitsprofilerna finns publicerade på sidorna Identity Assurance Level 1 Profile, Identity Assurance Level 2 Profile och Identity Assurance Level 3 Profile.
De organisationer som idag signalerar att MFA har använts vid inloggning och använder mjukvarubaserad TOTP genom Authenticator App (6-8 siffror som byts ut en gång per minut) som andra faktor kan om de inte hinner byta till annan teknisk lösning innan årsskiftet 2025/26 ansöka till SWAMID Operations förlängd tid för att ersätta tekniken. SWAMID Board of Trustees beslutar därefter om att godkänna den begärda förlängningen. Förlängning kan max ges till årsskiftet 2027/28.
Information om end-of-life Shibboleth Identity Provider version 4 (PA)
Alla som har använt äldre version av Shibboleth Identity Provider har uppdaterat nu uppdaterat till version 5. Alla gjorde det innan definierad tidsfrist, dvs. 30 november.
Övriga frågor
Inga övriga frågor.
Nästa möte (ZT)
Tid för nästa möte planeras till mars 2025.
Avslutande (ZT)
Zacharias tackade alla för mötet och året som gått.