Agenda för SWAMID BoT 2021-06-03 14.30-15.30
Plats: Videomöte, Zoom
Efter granskning anser SWAMID Operations att kraven uppfylls och rekommenderar SWAMID Board of Trustees att godkänna ansökan.
Vid föregående möte med SWAMID Board of Trustees beslutades att interimistiskt ge godkännande för SWAMIDs deltagande i interfederationen FIDUS. Innan slutgiligt beslut tas av SWAMID Board of Trustees behövs en tydligare beskrivning av vad FIDUS är, varför SWAMID behöver vara medlemmar samt en riskanalys för påverkan av befintlig användning av SWAMID.
Bakgrund
Skolverket inför på riksdagens och regeringens uppdrag [Uppdrag att digitalisera de nationella proven m.m. U2017/03739/GV] digitala nationella prov i grundskola, gymnasieskola samt kommunal vuxenutbildning. Skolverket tillhandahåller de digitala nationella proven och vissa andra funktioner som e-tjänster riktade till elever och personal (användare) hos skolhuvudmän.
...
Om FIDUS
FIDUS ägs av Skolverket men utvecklas och förvaltas av Sunet. Den består av:
Syfte och mål med FIDUS
Publicering av tjänster i FIDUS
Tjänster som finns i till FIDUS anslutna federationer propageras inte automatiskt till FIDUS. Den tjänsteleverantör som önskar publicera en tjänst i FIDUS måste ansöka om att publicera den tjänsten till FIDUS federationsrådet. Slutgiltigt godkännande tas av FIDUS styrgruppen.
5 universitet och högskolor har anställda som idag konstruerar frågorna till de nationella proven i grund- och gymnasieskola och dessa individer behöver kunna logga in Skolverkets provplattform för att kunna genomföra sitt uppdrag. Tanken är att dessa användare ska kunna använda sin normala inloggning för åtkomst till plattformen så länge denna stödjer multifaktorinloggning enligt SWAMIDs normala standard, annars eduID.
Flera lärosäten har egen eller delad tjänst för verksamhetsförlagd utbildning där personal vid skolhuvudmän vid grund- och gymnasieskolor behöver kunna logga in ta del av information och lämna information om de studenter de har haft i sin verksamhet.
SWAMID hämtar endast hem och återpublicerar i SWAMIDs metadata listan över registrerade tjänster i FIDUS. Vilka attribut, eller personuppgifter, som kan överföras definieras enligt den redan i SWAMID använda entitetskategorin Géant Data Protection Code of Conduct (CoCo). Exakt vilka attribut som behövs attribut defineras i metadata tillsammans med en länk till ett dokument som beskriver hur dessa attribut används.
FIDUS importerar från SWAMID tjänster godkända för FIDUS samt alla SWAMID-registrerade identitetsutfärdare. På liknande sätt gör övriga federationer anslutna till FIDUS, f.n. endast Skolverkets skolmyndighetsfederation och Skolfederation.se. De tjänster som är registrerade i SWAMID och godkända för FIDUS och därmed tillåter inloggningar användare från anslutna federationer läser in FIDUS metadata istället sin egen federations metadata.
Ur både ett drift- och säkerhetsperspektiv minimerar detta påverkan av SWAMIDs interfederering med FIDUS på så sätt att:
Som ett led i det pågående policyarbetet har SWAMID Operations tillsammans med SUNET CERT tagit fram en ny incidenthateringsrutin för SWAMID som är baserad på eduGAIN Security Incident Response Handbook. Orsaken till att arbetet utgått från eduGAINs handbok för incidenthantering är att det mycket troliga scenriet att en incident inom SWAMID inte begränsas till endast SWAMID utan även till en eller flera av våra systerfederationer i eduGAIN alternativt uppstår i en av systerfederationenerna. Från slutet av februari till sista mars har alla medlemmar samt alla registrerade tjänster haft möjlighet att påverka förslaget via SWAMIDs konsultationsprocess. Under konsultationsperioden genomföres även ett webbmöte via Zoom där SWAMID Operations gick igenom förslaget samt öppnade för en allmän diskussion runt det under mötet. Kommentarer från mötet samt ytterligare kommentarer via e-post togs om hand av SWAMID Operations efter konsultationsperiodens slut. De kommentarer vi fick in var positiva men föreslog några få förtydliganden som vi har arbetat in i förslaget som ligger till beslut.
Den föreslagna incidenthanteringsrutinen är uppdelad i två, en för identitetsutfärdare och tjänster samt en för federationsoperatören SWAMID. Dessa båda delar samspelar med varandra för att misstänkt incident ska hanteras så bra som möjligt i samråd. Incidenthanteringsprocessen åsidosätter inte organisationens egna incidenthanteringsprocess utan kompletterar den med SWAMID specifika steg.
Som vanligt är SWAMIDs policydokument skrivna på engelska beroende på att SWAMID verkar i en internationell sammanhang och de olika federationerna inom eduGAIN behöver kunna läsa varandras policydokument. Incidenthetieringsrutinens numrerade checklistor kommer att översättas till Svenska och ersätta dagens incidenthantieringsrutiner från 2012 efter beslut.
Vid alla policyförändringar efter att första policyn för SWAMID skapades och beslutades 2007 har vi inom SWAMID använt en publik konsultationsprocess för att både vara transparenta och förankra förändringar som föreslås. Vad vi dock inte har haft är en formelt nedskriver konsultationsprocess. SWAMID Operations har under våren 2021 formaliserat och skrivit ner den process vi har använt under många år. Processe förankrades inom SWAMID under maj enligt processen förutom att inget presentations- och diskussionsmöte hölls. Inga kommentarer förutom enstaka positiva kommentarer inkom.
Som vanligt är SWAMIDs policydokument skrivna på engelska beroende på att SWAMID verkar i en internationell sammanhang och de olika federationerna inom eduGAIN behöver kunna läsa varandras policydokument.
Videomöte i Zoom
Valter öppnar mötet och hälsar alla välkomna.
Dagordningfastställs.
Beslut: SWAMID Board of Trustees ger ett interimisiskt godkänner att SWAMID deltar i interfederationen FIDUS. Det interimistiska beslutet gäller till och med 2021-12-31. Inför ett permanent beslut skall informationsmaterial, konsekvensanalys och övergripnade beskrivning tas fram.
Efter dagens beslut är X av Y medlemmar inte godkända för någon tillitsprofil. SWAMID Operations har tagit kontakt med flera av dem för att försöka få igång arbetet. SWAMID Operations tror fortfarande att vi kan vara klara till 2021-12-31.
Följande organisationer är idag inte godkända för någon tillitsprofil:
SWAMID Operations har påbörjat översynen av teknikprofilen för SAML. Målet med uppdateringen är förutomharmonisering med övriga policydokument så ska det bli tydligare vilka krav som redan idag ställs för rgistrering med en skillnad. SWAMID Operations vill tydligt införa en begränsning om vilka som har rätt att registrera en tjänst i SWAMID.
Punkten flyttas till nästa möte.