Skillnader mellan SWAMIDs två tillitsprofiler

Detta dokument är endast rådgivande för full förståelse läs och jämför SWAMIDs bägge tillitsprofiler. Observera att en medlemsorganisation inte behöver uppfylla SWAMID AL2 för alla sina användare så länge som det är möjligt att särskilja och signalera vilka som är SWAMID AL1 och vilka som är SWAMID AL2.

Kursiv text är råd och rekommendationer, inte krav i tillitsprofilen.

Avsnitt

SWAMID AL1

SWAMID AL2

2

Användaren

  • är en person och inte en robot eller annan programvara,
  • är med stor sannolikhet verksam vid medlemsorganisationen,
  • är med stor sannolikhet identifierad med en unik permanent teknisk identifierare samt
  • att användarinformationen är korrekt ansvarar användaren själv för.

Användaren

  • är en identifierad och verifierad person,
  • är verksam vid medlemsorganisationen,
  • är identifierad med en unik permanent teknisk identifierare samt
  • att användarinformationen är korrekt ansvarar medlemsorganisationen för.

3.2

Medlemsorganisationen genomför egenkontroll att de uppfyller SWAMID AL1 och rapporterar detta till SWAMID genom Identity Management Practice Statement med tillhörande checklista.

Tips: Fr.o.m. 2016 är det en rekommendation att ett annat lärosäte hjälper till med granskningen och inte längre ett obligatoriskt krav. Ta gärna hjälp av ett närliggande lärosäte för att få idéer på framtida förbättringar! 

SWAMID genomför granskning mot SWAMID AL2 baserat på av medlemsorganisationen insänd Identity Management Practice Statement.

4.4

Saknar krav för generell loggning för identitetsmiljön hos medlems­organisationen. Särskilda krav finns senare i tillitsprofilen, bla. att lösenordsändringar skett.

Krav finns för generell loggning av identitetsmiljön hos medlems­organisationen. Särskilda krav finns senare i tillitsprofilen, bla. att lösenordsändringar skett.

5.1.1

Tillåter lösenord med låg kvalité, i praktiken endast fem teckens pinkod.

Tips: För att användare enklare ska kunna ”uppgraderas” från SWAMID AL1 till SWAMID AL2 rekommenderas att kraven i SWAMID AL2 tillämpas.

Kräver lösenord med högre kvalité, i praktiken komplext lösenord med minst åtta tecken.

Tips: Exempelvis uppfyller ett AD med "Komplexa lösenord" aktiverat AL2-kraven! 

5.2.5

När ett konto aktiveras för första gången ska användaren verifieras

  • på nätet med hjälp av ett e-postbrev med tidsbegränsad engångskod som skickas till användarens självuppgivna e-postadress,
  • på nätet genom att använda inloggning från annan identitetsutgivare som är godkänd för SWAMID AL1 eller SWAMID AL2,
  • via besök i servicedisk eller motsvarande,
  • via brev med tidsbegränsad engångs­kod till självuppgiven postadress eller
  • via annan av SWAMID godkänd motsvarande metod.

När ett konto aktiveras för första gången, eller då höjning av tillitsnivå görs, ska användaren verifieras

  • på nätet genom att använda inloggning från annan identitetsutgivare som är godkänd för SWAMID AL2,
  • via besök i service desk, eller motsvarande, tillsammans med uppvisande av godkänd legitimations­handling enligt SWAMID AL2,
  • via brev med tidsbegränsad engångs­kod skickad till folkbokföringsadress,
  • via brev med tidsbegränsad engångs­kod till adress på kopia av hushålls­räkning där namnet överensstämmer med namnet på kopia av godkänd legitimationshandling enligt SWAMID AL2 eller
  • via annan av SWAMID godkänd motsvarande metod.

5.2.8

Kontohandläggare och system som används vid kontohantering måste vara verifierade för SWAMID AL1 eller SWAMID AL2.

Tips: Använd gärna användare verifierade för SWAMID AL2 för kontoadministration.

Kontohandläggare och system som används vid kontohantering måste vara verifierade för SWAMID AL2.

Tips: Använd gärna inloggning med mer än en faktor vid kontoadministration.

5.3.3

Lösenordsåterställning ska ske med

  • någon av metoderna i 5.2.5,
  • en kanal uppsatt under tiden som kontot var SWAMID AL1, t.ex. via ett e‑postbrev med tidsbegränsad engångskod till fördefinierad e‑postadress, eller
  • ett konto via extern identitetsutgivare som uppfyller SWAMID AL1 eller SWAMID AL2, t.ex. eduID eller Antagning.se.

Lösenordsåterställning ska ske med

  • någon av metoderna i 5.2.5,
  • två kanaler som används gemensamt och var uppsatta under tiden som kontot var SWAMID AL2, t.ex. via ett e‑postbrev med tidsbegränsad engångslänk till fördefinierad e‑postadress samt ett SMS med tidsbegränsad engångskod till fördefinierad mobiltelefon, eller
  • ett konto via extern identitetsutgivare som uppfyller SWAMID AL2, t.ex. eduID eller Antagning.se.

5.3.4

Inget krav!

Medlemsorganisationen måste kunna aktivera ett tvingande lösenordsbyte för en enskild användare vid ett särskilt tillfälle. Det räcker inte med att användaren gör en lösenordsåterställning.

Krav på att lösenord måste bytas efter viss tid finns inte!