You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 4 Next »

MFA i NAIS

Vem gör vad?

För att multifaktinloggning i Nais ska fungera genom SWAMID behöver både SWAMID och lärosätena göra förändringar i sina infrastrukturer för identitetshantering.

Vad ska SWAMID göra:

  1. SWAMID kommer att följa REFEDS Multi-Factor Authentication (MFA) Profile som teknikprofil för regelverket runt multifaktorinloggning. SWAMID Operations kommer att komplettera teknikprofilen med regelverk om vilka utdelningsmetoder och vilka säkerhetsfaktorer som SWAMID Operations bedömer uppfyller REFEDS Multi-Factor Authentication (MFA) Profile baserade på svenska förhållanden.
  2. SWAMID kommer att införa en tillitsmarkering i metadata som indikerar att en IdP uppfyller de tekniska kraven för att genomföra en korrekt autentisering mellan en SP och IdP enligt ovanstående regelverk.
  3. SWAMID kommer att markera lärosäten som uppfyller regelverket enligt punkt 1 baserat sig på att lärosäten tillhandahåller en kortfattad beskrivning om hur de uppfyller ovanstående regelverk samt att de kan genomföra en framgångsrik autentisering mot SWAMIDs officiella validerings-SP.

Vad ska lärosätena göra:

  1. Lärosätet måste vara godkänt för tillitsprofilen SWAMID AL2. Obeservera att alla användare inte måste uppfylla kraven utan man kan användare som är SWAMID AL2 och andra som är SWAMID AL1, för mer information se SWAMID Identity Assurance på SWAMIDs wiki. SWAMID Operations kommer rekommendera SP:er att enkom godkänna användare som uppfyller SWAMID AL2 i samband med användande av REFEDS Multi-Factor Authentication (MFA) Profile om SP:n inte har väldigt tydliga användningsfall för att vilja acceptera användare som endast uppfyller SWAMID AL1.
  2. Lärosätet måste implementera multifaktorinloggning i sin identitetsutfärdare baserat på SWAMIDs användningsbeskrivning av REFEDS MFA.
  3. Lärosätet måste implementera stöd för krav att SSO utan Re-Authentication inte får användas för Nais. Detta har de flesta lärosäten redan gjort beroende på Ladok 3.

Om inte lärosätet av en eller annat skäl kan genomföra det som de måste göra innan kravet på multifaktor i Nais kommer att införas kommer Sunets tjänst eduID tillhandahålla multifaktorinloggning men då måste användaren använda ett eduID-konto för att logga in i Nais.

  • No labels