För att multifaktorinloggning i Nais ska fungera genom SWAMID behöver SWAMID och lärosätena göra förändringar i sina infrastrukturer för identitetshantering. Det behöver även göras ändringar i Nais för att tekniskt kräva och därefter kontrollera de högre inloggningskraven.

Vad ska SWAMID göra

1. SWAMID kommer att följa REFEDS Multi-Factor Authentication (MFA) Profile som teknikprofil för regelverket runt multifaktorinloggning. SWAMID Operations kommer att komplettera teknikprofilen med regelverk om vilka utdelningsmetoder och vilka säkerhetsfaktorer som SWAMID Operations bedömer uppfyller REFEDS Multi-Factor Authentication (MFA) Profile baserade på svenska förhållanden.
2. SWAMID kommer att införa en tillitsmarkering i metadata som indikerar att en IdP uppfyller de tekniska kraven för att genomföra en korrekt autentisering mellan en SP och IdP.
3. SWAMID kommer att markera lärosäte som uppfyller regelverket enligt punkt 1 baserat sig på att lärosätet tillhandahåller en kortfattad beskrivning om hur de uppfyller ovanstående regelverk samt att de kan genomföra en framgångsrik autentisering mot SWAMIDs officiella validerings-SP.
4. SWAMID kommer att tillhandahålla instruktioner för hur SP:er ska implementera multifaktorinloggning.

Vad ska lärosätena göra

1. Lärosätet måste vara godkänt för tillitsprofilen SWAMID AL2 (observera som vanligt att alla användare inte måste uppfylla kraven utan man kan ha användare som är SWAMID AL2 och andra som är SWAMID AL1 inom samma lärosäte, för mer information se SWAMID Identity Assurance på SWAMIDs wiki). Tekniskt kommer det att vara SP:ns ansvar att enkom godkänna användare som uppfyller SWAMID AL2 i samband med användande av REFEDS Multi-Factor Authentication (MFA) Profile.
2. Lärosätet måste implementera multifaktorinloggning i sin identitetsutfärdare (IdP) baserat på SWAMIDs regelverk för REFEDS Multi-Factor Authentication (MFA) Profile.
3. Lärosätet måste i sin identitetsutfärdare (IdP) stödja Re-Authentication för SP:er som efterfrågar detta. SWAMIDs instruktioner för hur SP:er ska implementera multifaktorinloggning kommer ställa krav på Re-Authentication för att starta och avsluta en inloggningssession på ett säkert sätt.
   
   

Om inte lärosätet av en eller annat skäl kan genomföra det som de måste göra innan kravet på multifaktor i Nais kommer att införas kommer Sunets tjänst eduID tillhandahålla multifaktorinloggning men då måste användaren använda ett eduID-konto för att logga in i Nais.

Vad ska UHR göra i Nais

1. I inloggningsförfrågan från Nais till ett lärosätes identitetsutfärdare (IdP) ska Nais ställa krav på:
   1. att användare måste logga in med multifaktor genom att tekniskt signalera krav på REFEDS-MFA för inloggningen och
   2. att användaren måste logga in på nytt oberoende om denna redan sedan tidigare hade en giltig inloggning i IdPn eller inte.
2. När godkänd inloggning är genomförd ska Nais tekniskt kontrollera följande innan användaren släpps in i Nais:
   1. att lärosätet uppfyller kraven för SWAMID AL2,
   2. att användaren uppfyller kraven för SWAMID AL2,
   3. att inloggningen har skett med multifaktor och
   4. att inloggningen i löärosätets identitetsutfärdare (IdP) inte är äldre än 5 minuter.