• Detta krav är borttaget från och med februari 2016.

4.1.2 The member organisation MUST adhere to applicable Swedish legislation. The member organisation MUST make and maintain an analysis of applicable legislation for the Identity Provider and underlying systems.

• Förslag till text finns i IMPS-mallen.

4.1.3 The member organisation MUST have documented procedures for data retention and protection in order to ensure the safe management of Subject information.

Guidance:
The member organisation must have defined decommission procedures of the Identity Provider and underlying systems when they are replaced or decommissioned. Special considerations should be taken for decommissioned Components (e.g hard drives, backup media and other storage media) that may contain sensitive or private Subject information, such as passwords, Swedish Personal Identity Number (sv. personnummer) etc . These must be safely and permanently disposed of.

Fråga: Hur kommer det här att fungera när vi lägger saker i molnet. Vi är just på väg att ta Office365 i drift och använda AAD Sync dvs synka upp lösenordet från AD till molnet. Hur sannolikt är det att Microsofts regler för skivminnen uppfyller SWAMIDs krav? Samma gäller ju Amazon och Google.

Svar: Vi skulle säga att ni behöver fråga er leverantör hur de uppfyller detta krav. Vårt förslag är att ni ställer samma fråga till er molnleverantör och ber om dokumenterade rutiner för hur de hanterar känslig och hemlig information (som exvis personuppgifter respektive hashade lösenord) och hur de garanterar att ingen annan kan komma åt den informationen nu eller i framtiden. Under förutsättning att de kan tillhandahålla detta så fungerar det bra som underlag för motsvarande skrivning från er för AL1:an.

4.2.2 All Subjects MUST indicate acceptance of the Acceptable Use Policy before use of the Identity Provider.

Fråga: Om man i anställningsavtal binder den anställde vid alla organisationens policies och riktlinjer räcker då detta?

Svar: Det är möjligt att reglera detta genom anställningsavtalet men det finns nackdelar med det enligt svar på nästa fråga.

4.2.3 All Subjects MUST indicate renewed acceptance of the Acceptable Use Policy if the Acceptable Use Policy is modified.

Fråga: se ovan 4.2.2.

Svar: Eftersom det står att användaren behöver visa att de godkänner uppdaterade användarregler behöver lärosätet beskriva hur de gör detta när reglerna uppdateras. Särskilt att tänka på är att det är svårt att bevisa om användaren är medveten om att reglerna finns om de inte explicit godkänt den.

Fråga: Kan man använda e-post för att informera om uppdateringar till AUP?

Svar: Ja,  Vid förändrade användningsregler för en identitet i identitetshanteringssystem kan man meddela alla identitetsinnehavare via mail att användningsreglerna ändrats.

4.3.3 All network communication between systems related to Identity or Credential management MUST be secure and encrypted, or be physically secured by other means.

Fråga: Gäller detta även internt i en egen datorhall?

Svar: Kravet ställs på trafik till och från identitetshanteringssystemen på publikt datornät (dvs. inte datorhallsspecfika managementnät avsedda för backup och systemadministration) där användaridentiteter och lösenord är inblandade, t.ex. vid påloggning, lösenordsändring, lösenordssynkronisering och nätverkstrafiken mellan en Shibboleth-IdP och en Active Directory-server som verifierar lösenord vid inloggning. Denna trafik ska vara krypterad. Publika sökningar mot katalogtjänster har inte krav på att vara krypterade. 

5.1.1 Passwords MUST contain at least X bits of entropy as defined in NIST SP 800-63-2, Appendix A

Fråga: Är det ok att lagra lösenord som används vid federationsinloggning  i klartext?

Svar: Nej, lösenord för användare som kan använda SWAMID ska vara krypterade och säkert lagrade. Däremot är det tillåtet att ha användare med osäkra lösenord i samma infrastruktur så länge de inte kan använda federationen.

Fråga: Hur gör jag i Active Directory för att lösenorden ska uppfylla kraven i SWAMID AL2?

Svar: Ställ in att lösenord måste vara minst 8 tecken långa samt att de måste uppfylla Microsofts komplexitetskrav alternativt att lösenorden måste vara minst 14 tecken långa.

Fråga: Om man aktiverar rate-limiting för lösenordsgissningar gäller detta samtliga autentiseringsvägar eller bara via SAML2?

Svar: Ja, detta gäller samtliga ställen där man kan mata in användarnamn och lösenord. Rekommendationen är att man aktiverar rate-limiting i Active Directory och/eller LDAP (beroende på vilken inloggningskälla man använder) och därefter hanterar felrapporter i inloggningarna, t.ex. SAML2.

5.1.3 Subjects MUST be actively discouraged from sharing credentials with other subjects either by using technical controls or by requiring users to confirm policy forbidding sharing of credentials or acting in a way that makes stealing credentials easy.

5.2.8 The Registration Authority performing the identity proofing needed to verify SWAMID Assurance Level X compliance MUST be authorized to perform identity proofing at SWAMID Assurance Level X or higher. To be authorized to perform identity proofing at SWAMID Assurance Level X, the Registration Authority itself MUST be using credentials at SWAMID Assurance Level X or higher.

Fråga: Vad menas med det här? Vi förstår inte riktigt. Eller menar ni typ att man inte ska logga in med tjänstekonton i IdP:n och eduroam?

Svar: Det betyder två olika saker:

• De personer som jobbar med kontoadministration, direkt eller indirekt, vid lärosätet ska ha minst samma tillitsprofil som de användare de administrerar.
• Den webbtjänst som används för kontoaktivering, lösenordsändring eller lösenordsåterställning får inte ansluta sig till bakomliggande kontohanteringssystem, t.ex. AD, utan egen inloggning. Exempel webbsidan för kontoaktivering har en AD-användare som denna använder för att skapa AD-kontot för den nya användaren.

5.3.3 For Credential Re-issuing the same methods apply as in 5.2.5.

Fråga: Är det möjligt att återställa lösenord med hjälp av SMS till självuppgivet telefonnummer med bibehållen AL-nivå?

Svar: För att återställa lösenordet och bibehålla AL1-nivå krävs en i förväg verifierad kanal, t ex epost ELLER SMS, som man sedan använder för att distribuera möjligheten att återställa lösenordet. För kommande AL2-nivå kommer det att krävas två i förväg verifierade kanaler, t ex epost OCH SMS, som man sedan använder tillsammans för att distribuera möjligheten att återställa lösenordet.

Förslag på hur man kan implementera lösenordåterställning via två kanaler i SWAMID AL2.

1. Gå till lösenordsåterställningssidan och ange att lösenordsåterställning ska ske med hjälp av SMS och e-post.
2.  Ange personnummer alternativt födelsedata plus registrerad e-postadress.
3. Välj i lista vilken mobil engångskoden ska skickas till (numret är maskat så att bara del av numret syns) samt välj genom lista vilken registrerad e-postadress som för engångskoden unik lösenordsåterställningslänk ska skickas till.
4. Invänta SMS och e-postmeddelande.
5. Öppna den unika lösenordsåterställningslänken och ange koden som skickats med SMS samt det nya lösenordet.

Dessutom rekommenderas att även ha funktionalitet för att återställa lösenord med hjälp av autentisering mot eduID eller motsvarande identitetskälla inom federationen.

5.4 Credential Revocation

Fråga: Vad betyder detta? Ska vi beskriva hur vi hanterar att kontot inaktiveras beroende på att kontoinnehavaren inte längre finns kvar vid organisationen och hur kontot sedan ska aktiveras igen när kontoinnehavaren är tillbaka?

Svar: Nej, avsnittet handlar om att stänga en användarens inloggningsmöjligheter och kräva att de byter lösenord innan de kan använda inloggningen igen. Detta används t.ex. vid misstanke om att lösenord kommit på avvägar i samband med fishing.