SWAMID BoT 2021-06-03

Protokoll SWAMID Board of Trustees 2021-06-03

Plats

Videomöte i Zoom

Närvarande

  • Magnus Höglund
  • Jan Nordin
  • Per Zettervall
  • Ann Amling
  • Per-Olov Hammargren
  • Sverker Holmgren

Frånvarande

  • Valter Nordh (VN)
  • Mauritz Danielsson
  • Hans Wohlfart

Adjungerade

  • Pål Axelsson (PA)

Välkommen (PA ersätter VN)

Pål öppnar mötet och hälsar alla välkomna.

Fastställande av dagordning (PA ersätter VN)

Dagordningfastställs.

Beslut om ansökningar om godkännande av tillitsnivåer (PA)

  • European Spallation Source (ESS) ansöker om att bli medlemmar av SWAMID samt godkännande för uppfyllande SWAMID AL1
    Efter granskning anser SWAMID Operations att kraven uppfylls och rekommenderar SWAMID Board of Trustees att godkänna ansökan.

    Beslut: SWAMID Board of Trustees godkänner European Spallation Source ansökan om att bli medlemmar av SWAMID samt godkännande för tillitsnivå SWAMID AL1.

  • World Maritime University ansöker om att bli medlemmar av SWAMID samt godkännande för uppfyllande SWAMID AL1
    Efter granskning anser SWAMID Operations att kraven uppfylls och rekommenderar SWAMID Board of Trustees att godkänna ansökan.

    Beslut: SWAMID Board of Trustees godkänner World Maritime University's ansökan om att bli medlemmar av SWAMID samt godkännande för tillitsnivå SWAMID AL1.

  • Enskilda högskolan Stockholm ansöker om godkännande för uppfyllande av SWAMID AL2
    Efter granskning anser SWAMID Operations att kraven uppfylls och rekommenderar SWAMID Board of Trustees att godkänna ansökan.

    Beslut: SWAMID Board of Trustees godkänner Enskilda högskolan Stockholms ansökan om godkännande för tillitsnivå SWAMID AL2.

  • Stockholms universitet ansöker om förnyat godkännande för uppfyllande SWAMID AL2
    Efter granskning anser SWAMID Operations att kraven uppfylls och rekommenderar SWAMID Board of Trustees att godkänna ansökan. SU har omarbetat sina aktiveringsrutiner och rutiner för lösenordsåterställning för att bättre kunna hantera dessa processer vid i pandemitider.

    Beslut: SWAMID Board of Trustees godkänner Stockholms universitets ansökan om förnyat godkännande för tillitsnivå SWAMID AL2.

Beslut om deltagande i interfederationen FIDUS (PA)

Vid föregående möte med SWAMID Board of Trustees beslutades att interimistiskt ge godkännande för SWAMIDs deltagande i interfederationen FIDUS. Innan slutgiligt beslut tas av SWAMID Board of Trustees behövs en tydligare beskrivning av vad FIDUS är, varför SWAMID behöver vara medlemmar samt en riskanalys för påverkan av befintlig användning av SWAMID.

Utdrag ur FIDUS Interfederationsramverk (https://github.com/FIDUSFederation/policy)

Bakgrund

Skolverket inför på riksdagens och regeringens uppdrag [Uppdrag att digitalisera de nationella proven m.m. U2017/03739/GV] digitala nationella prov i grundskola, gymnasieskola samt kommunal vuxenutbildning. Skolverket tillhandahåller de digitala nationella proven och vissa andra funktioner som e-tjänster riktade till elever och personal (användare) hos skolhuvudmän.

...

Om FIDUS

FIDUS ägs av Skolverket men utvecklas och förvaltas av Sunet. Den består av:

  1. En tjänst som samlar in metadata från de anslutna federationerna
  2. En metadatafil som innehåller
    1. Tjänster som kan nyttjas av de anslutna federationernas medlemmar (Service Providers – SP)
    2. Metadata om varje enskild medlems inloggningstjänst (Identity Provider – IDP)
  3. 3. En ”anvisningstjänst” (Discovery Service), där de som loggar in kan välja sin IDP

Syfte och mål med FIDUS

  1. FIDUS är till för att användarorganisationer som är medlemmar i olika identitetsfederationer ska kunna få federerad åtkomst till Skolverkets tjänster via en central punkt. Syfte med detta är att Skolverket inte ska behöva förhålla sig enskilt till varje federation.
  2. Att på sikt erbjuda kontrollerad federerad åtkomst även till andra tjänster från universitet, högskolor och utbildningsstödjande myndigheter som kommer att behöva göras tillgängliga till skolor och huvudmän.

Publicering av tjänster i FIDUS

Tjänster som finns i till FIDUS anslutna federationer propageras inte automatiskt till FIDUS. Den tjänsteleverantör som önskar publicera en tjänst i FIDUS måste ansöka om att publicera den tjänsten till FIDUS federationsrådet. Slutgiltigt godkännande tas av FIDUS styrgruppen.

Varför SWAMID behöver vara medlem i interfederationen FIDUS

5 universitet och högskolor har anställda som idag konstruerar frågorna till de nationella proven i grund- och gymnasieskola och dessa individer behöver kunna logga in Skolverkets provplattform för att kunna genomföra sitt uppdrag. Tanken är att dessa användare ska kunna använda sin normala inloggning för åtkomst till plattformen så länge denna stödjer multifaktorinloggning enligt SWAMIDs normala standard, annars eduID.

Flera lärosäten har egen eller delad tjänst för verksamhetsförlagd utbildning där personal vid skolhuvudmän vid grund- och gymnasieskolor behöver kunna logga in ta del av information och lämna information om de studenter de har haft i sin verksamhet.

Riskhantering, tekniska och säkerhetsmässiga effekter i SWAMID

SWAMID hämtar endast hem och återpublicerar i SWAMIDs metadata listan över registrerade tjänster i FIDUS. Vilka attribut, eller personuppgifter, som kan överföras definieras enligt den redan i SWAMID använda entitetskategorin Géant Data Protection Code of Conduct (CoCo). Exakt vilka attribut som behövs attribut defineras i metadata tillsammans med en länk till ett dokument som beskriver hur dessa attribut används.

FIDUS importerar från SWAMID tjänster godkända för FIDUS samt alla SWAMID-registrerade identitetsutfärdare. På liknande sätt gör övriga federationer anslutna till FIDUS, f.n. endast Skolverkets skolmyndighetsfederation och Skolfederation.se. De tjänster som är registrerade i SWAMID och godkända för FIDUS och därmed tillåter inloggningar användare från anslutna federationer läser in FIDUS metadata istället sin egen federations metadata.

Ur både ett drift- och säkerhetsperspektiv minimerar detta påverkan av SWAMIDs interfederering med FIDUS på så sätt att:

  1. Tjänster importerade från FIDUS till SWAMID
    1. SWAMID importerar endast tjänster godkända av FIDUS styrgrupp.
    2. För att användare i SWAMID ska kunna använda importerade tjänster måste särskild konfiguration ske i tjänsten.
  2.  Tjänster importerade av FIDUS från SWAMID
    1. FIDUS importerar endast av FIDUS styrgrupp godkända tjänster från SWAMID.
    2. Tjänster importerade till FIDUS får endast attribut överförda från de av SWAMIDs identitetsutfärdare som stödjer entitetskategorin Géant Data Protection Code of Conduct eller att aktuella identitetsutfärdare manuellt konfigurerar attributöverföring till respektive importerad tjänst.
  3. Övriga tjänster som finns tillgängliga genom SWAMID påverkas inte av interfederationen FIDUS.


Beslut: 
SWAMID Board of Trustees beslutar att SWAMID deltar i interfederationen FIDUS.

Beslut om uppdaterade incidenthanteringsrutiner för SWAMID (PA)

Som ett led i det pågående policyarbetet har SWAMID Operations tillsammans med SUNET CERT tagit fram en ny incidenthateringsrutin för SWAMID som är baserad på eduGAIN Security Incident Response Handbook. Orsaken till att arbetet utgått från eduGAINs handbok för incidenthantering är att det mycket troliga scenriet att en incident inom SWAMID inte begränsas till endast SWAMID utan även till en eller flera av våra systerfederationer i eduGAIN alternativt uppstår i en av systerfederationenerna. Från slutet av februari till sista mars har alla medlemmar samt alla registrerade tjänster haft möjlighet att påverka förslaget via SWAMIDs konsultationsprocess. Under konsultationsperioden genomföres även ett webbmöte via Zoom där SWAMID Operations gick igenom förslaget samt öppnade för en allmän diskussion runt det under mötet. Kommentarer från mötet samt ytterligare kommentarer via e-post togs om hand av SWAMID Operations efter konsultationsperiodens slut. De kommentarer vi fick in var positiva men föreslog några få förtydliganden som vi har arbetat in i förslaget som ligger till beslut.

Den föreslagna incidenthanteringsrutinen är uppdelad i två, en för identitetsutfärdare och tjänster samt en för federationsoperatören SWAMID. Dessa båda delar samspelar med varandra för att misstänkt incident ska hanteras så bra som möjligt i samråd. Incidenthanteringsprocessen åsidosätter inte organisationens egna incidenthanteringsprocess utan kompletterar den med SWAMID specifika steg.

Som vanligt är SWAMIDs policydokument skrivna på engelska beroende på att SWAMID verkar i en internationell sammanhang och de olika federationerna inom eduGAIN behöver kunna läsa varandras policydokument. Incidenthetieringsrutinens numrerade checklistor kommer att översättas till Svenska och ersätta dagens incidenthantieringsrutiner från 2012 efter beslut.


Beslut: SWAMID Board of Trustees beslutar att godkänna de uppdaterade incidenthatneringsrutinerna.

Beslut om formell konsultationsprocess för SWAMID (PA)

Vid alla policyförändringar efter att första policyn för SWAMID skapades och beslutades 2007 har vi inom SWAMID använt en publik konsultationsprocess för att både vara transparenta och förankra förändringar som föreslås. Vad vi dock inte har haft är en formelt nedskriver konsultationsprocess. SWAMID Operations har under våren 2021 formaliserat och skrivit ner den process vi har använt under många år. Processe förankrades inom SWAMID under maj enligt processen förutom att inget presentations- och diskussionsmöte hölls. Inga kommentarer förutom enstaka positiva kommentarer inkom.

Som vanligt är SWAMIDs policydokument skrivna på engelska beroende på att SWAMID verkar i en internationell sammanhang och de olika federationerna inom eduGAIN behöver kunna läsa varandras policydokument.


Beslut: SWAMID Board of Trustees beslutar att godkänna förslaget till formell konsultationsprocess.

Information om det pågående policyarbetet (PA)

Efter dagens beslut är 12 av 64 medlemmar inte godkända för någon tillitsprofil. SWAMID Operations har tagit kontakt med alla för att försöka få igång arbetet. SWAMID Operations tror fortfarande att vi kan vara klara till 2021-12-31.

Följande organisationer är idag inte godkända för någon tillitsprofil:

  • Handelshögskolan i Stockholm
  • Högskolan i Skövde
  • Kungliga Musikhögskolan
  • Stockholms konstnärliga högskola
  • Institut Mittag-Leffler
  • KK-Stiftelsen
  • Kungliga Biblioteket
  • Kungliga Vetenskapsakademien
  • NORDUnet
  • Stockholm International Peace Research Institute
  • Universitets- och högskolerådet
  • Vetenskapsrådet inkl. Sunet
    • eduID är godkänd för både SWAMID AL1 och SWAMID AL2

SWAMID Operations genomför en översyn av teknikprofilen för SAML. Målet med uppdateringen är förutomharmonisering med övriga policydokument så ska det bli tydligare vilka krav som redan idag ställs för rgistrering med en skillnad. SWAMID Operations vill tydligt införa en begränsning om  vilka som har rätt att registrera en tjänst i SWAMID.

Diskussion om information riktat till IT-chef/motsv om SWAMID (VN)

Punkten flyttas till nästa möte.

Övriga frågor (PA ersätter VN)

Inga

Nästa möte (PA ersätter VN)

Tisdagen den 21 september 2021 15-16.

Avslutande (PA ersätter VN)

  • No labels