SWAMID 2.0 Policy is available at http://www.swamid.se.
Most information under this section is in Swedish due to that SWAMID Identity Providers are institutions of the Swedish Higher Educational Sector.
I identitetsfederationen SWAMID är tillit till att universitet och högskolor hanterar användare och inloggningar tillräckligt bra grunden för att tjänsteleverantörer ska lita på att det är rätt användare som loggar in. För att definiera vad som är tillräckligt bra har SWAMID finns två tillitsnivåer, SWAMID AL1 och SWAMID AL2.
Tillitsnivån SWAMID AL1 innebär tre saker:
- Att det är en person som innehar och använder kontot, detta kallas även för obekräftad användare.
- Informationen knuten till kontot är oftast uppgiven av och ansvaras för av användaren själv.
- Lärosätets identitetshanteringssystem uppfyller minst kraven i SWAMID AL1.
Tillitsnivån SWAMID AL2 innebär tre saker:
- Utökning av SWAMID AL1.
- Ställer högre krav på att lärosätet vet vem personen är som innehar och använder kontot, detta kallas även för bekräftad användare.
- Lärosätet ansvarar för personinformationen till skillnad från i SWAMID AL1.
De flesta tjänster har bara behov av tillitsnivå SWAMID AL1 men vissa verksamhetskritiska tjänster såsom antagningssystemet NyA och studiedokumentationssystemet Ladok kräver för all, eller viss, användning att användaren är en bekräftad användare, dvs. tillitsnivå SWAMID AL2. En god rekommendation är att system som ger användaren tillgång till personuppgifter om användaren själv eller om andra personer bör kräva konton som minst uppfyller SWAMID AL2.
Alla användare vid lärosätet behöver inte uppfylla antingen SWAMID AL1 eller SWAMID AL2 så länge som den webbaserade inloggningen kan signalera till aktuell tjänst vilken tillitsnivå som användaren har.
Förutom krav på tillitsnivå har vissa tjänster utökade inloggningskrav genom s.k. 2-faktorsinloggning men dessa krav ingår inte i tillitsnivåerna för SWAMID.
SWAMID Identity Assurance Level 1 Profile (SWAMID AL1)
- Beslutad SWAMID Identity Assurance Level 1 Profile.
- För att årligen rapportera att lärosätet uppfyller SWAMID AL1 använd SWAMID AL1 check list tillsammans med eventuell uppdaterad Identity Management Practice Statement (IMPS).
SWAMID Identity Assurance Level 2 Profile (SWAMID AL2)
SWAMID AL2 är ännu inte beslutad och därför finns ingen information här!
Mallar för att bästa praxis
- SWAMID template Identity Management Practice Statement (IMPS) - ännu ej klar!
- SWAMID template Acceptable Use Policy
- SWAMID template Service Definition
- SWAMID template Identity Provider Privacy Policy
- SWAMID template Password Policy
Övrigt