Denna FAQ innehåller förtydliganden och svar på frågor som kommer från oss alla som ska införa SWAMID AL1 eller SWAMID AL2 vid vår organisation. Sidan är uppbygd så att varje avsnitt som behöver förtydligas har en egen rubrik och sedan kommer antingen ett förtydligande på svenska eller ett förslag på uppdaterad "guidance" som tydliggör. Allt eftersom fler frågor och funderingar kommer till SWAMID Operations kommersidan fyllas på och förbättras. Vid jämna mellanrum kommer förslag till framtida uppdaterad "guidance" att inkluderas i aktuell tillitsprofil.
Fråga: Ska dokumentation såsom beskrivet i IdM-checklistan skickas med vid AL1?
Svar: IdM-checklistan ersätts till stor del av AL1- och AL2-profilen. SWAMID kommer även att ta fram en Best Common Practice runt vissa delar av skötseln av ett IdM-system.
Guidance:
The member organisation must have defined decommission procedures of the Identity Provider and underlying systems when they are replaced or decommissioned. Special considerations should be taken for decommissioned Components (e.g hard drives, backup media and other storage media) that may contain sensitive or private Subject information, such as passwords, Swedish Personal Identity Number (sv. personnummer) etc . These must be safely and permanently disposed of.
Fråga: Hur kommer det här att fungera när vi lägger saker i molnet. Vi är just på väg att ta Office365 i drift och använda AAD Sync dvs synka upp lösenordet från AD till molnet. Hur sannolikt är det att Microsofts regler för skivminnen uppfyller SWAMIDs krav? Samma gäller ju Amazon och Google.
Svar: Vi skulle säga att ni behöver fråga er leverantör hur de uppfyller detta krav. Vårt förslag är att ni ställer samma fråga till er molnleverantör och ber om dokumenterade rutiner för hur de hanterar känslig och hemlig information (som exvis personuppgifter respektive hashade lösenord) och hur de garanterar att ingen annan kan komma åt den informationen nu eller i framtiden. Under förutsättning att de kan tillhandahålla detta så fungerar det bra som underlag för motsvarande skrivning från er för AL1:an.
Fråga: Om man i anställningsavtal binder den anställde vid alla organisationens policies och riktlinjer räcker då detta?
Svar: Det är möjligt att reglera detta genom anställningsavtalet men det finns nackdelar med det enligt svar på nästa fråga.
Fråga: se ovan 4.2.2.
Svar: Eftersom det står att användaren behöver visa att de godkänner uppdaterade användarregler behöver lärosätet beskriva hur de gör detta när reglerna uppdateras. Särskilt att tänka på är att det är svårt att bevisa om användaren är medveten om att reglerna finns om de inte explicit godkänt den.
Fråga: Kan man använda e-post för att informera om uppdateringar till AUP?
Svar: Ja, Vid förändrade användningsregler för en identitet i identitetshanteringssystem kan man meddela alla identitetsinnehavare via mail att användningsreglerna ändrats.
Fråga: Gäller detta även internt i en egen datorhall?
Svar: Kravet ställs på trafik till och från identitetshanteringssystemen på publikt datornät (dvs. inte datorhallsspecfika managementnät avsedda för backup och systemadministration) där användaridentiteter och lösenord är inblandade, t.ex. vid påloggning, lösenordsändring, lösenordssynkronisering och nätverkstrafiken mellan en Shibboleth-IdP och en Active Directory-server som verifierar lösenord vid inloggning. Denna trafik ska vara krypterad. Publika sökningar mot katalogtjänster har inte krav på att vara krypterade.
Fråga: Är det ok att lagra lösenord som används vid federationsinloggning i klartext?
Svar: Nej, lösenord för användare som kan använda SWAMID ska vara krypterade och säkert lagrade. Däremot är det tillåtet att ha användare med osäkra lösenord i samma infrastruktur så länge de inte kan använda federationen.
Fråga: Hur gör jag i Active Directory för att lösenorden ska uppfylla kraven i SWAMID AL2?
Svar: Ställ in att lösenord måste vara minst 8 tecken långa samt att de måste uppfylla Microsofts komplexitetskrav alternativt att lösenorden måste vara minst 14 tecken långa.
Fråga: Om man aktiverar rate-limiting för lösenordsgissningar gäller detta samtliga autentiseringsvägar eller bara via SAML2?
Svar: Ja, detta gäller samtliga ställen där man kan mata in användarnamn och lösenord. Rekommendationen är att man aktiverar rate-limiting i Active Directory och/eller LDAP (beroende på vilken inloggningskälla man använder) och därefter hanterar felrapporter i inloggningarna, t.ex. SAML2.
Fråga: Vad menas med det här? Vi förstår inte riktigt. Eller menar ni typ att man inte ska logga in med tjänstekonton i IdP:n och eduroam?
Svar: Det betyder två olika saker:
Fråga: Är det möjligt att återställa lösenord med hjälp av SMS till självuppgivet telefonnummer med bibehållen AL-nivå?
Svar: För att återställa lösenordet och bibehålla AL1-nivå krävs en i förväg verifierad kanal, t ex epost ELLER SMS, som man sedan använder för att distribuera möjligheten att återställa lösenordet. För kommande AL2-nivå kommer det att krävas två i förväg verifierade kanaler, t ex epost OCH SMS, som man sedan använder tillsammans för att distribuera möjligheten att återställa lösenordet.
Förslag på hur man kan implementera lösenordåterställning via två kanaler i SWAMID AL2.
Dessutom rekommenderas att även ha funktionalitet för att återställa lösenord med hjälp av autentisering mot eduID eller motsvarande identitetskälla inom federationen.
Fråga: Vad betyder detta? Ska vi beskriva hur vi hanterar att kontot inaktiveras beroende på att kontoinnehavaren inte längre finns kvar vid organisationen och hur kontot sedan ska aktiveras igen när kontoinnehavaren är tillbaka?
Svar: Nej, avsnittet handlar om att stänga en användarens inloggningsmöjligheter och kräva att de byter lösenord innan de kan använda inloggningen igen. Detta används t.ex. vid misstanke om att lösenord kommit på avvägar i samband med fishing.