Protokoll SWAMID Board of Trustees 2024-03-22
Tid
2024-03-22 15.00--16.00
Plats
Videomöte i Zoom
Närvarande
- Zacharias Törnblom (ZT)
- Ann Amling
- Mauritz Danielsson (MD)
- Magnus Höglund
- Jan Nordin
- Hans Wohlfart
Frånvarande
- Per-Olov Hammargren
Adjungerade
- Pål Axelsson (PA)
- Anders Sjöström (AS)
- Fredrik Domeij (FD)
Välkommen (ZT)
Fastställande av dagordning (ZT)
Beslut om ansökningar om godkännande av tillitsnivåer (PA)
- Göteborgs universitet ansöker om förnyat godkännande för SWAMID AL2
Göteborgs universitet utökar metoderna för bekräftande av individer för SWAMID AL2 till även svensk e-legitimation på tillitsnivå 3 eller högre.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras ansökan.
Beslut: SWAMID Board of Trustees godkänner Göteborgs universtitets ansökan om tillitsnivå SWAMID AL2. - Kungliga tekniska högskolan ansöker om förnyat godkännande för SWAMID AL2
Kungliga tekniska högskolan utökar metoderna för bekräftande av individer för SWAMID AL2 till även svensk e-legitimation på tillitsnivå 3 eller högre.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras ansökan.
Beslut: SWAMID Board of Trustees godkänner Kungliga tekniska högskolas förnyade ansökan om tillitsnivå SWAMID AL2. - Södertörns högskola ansöker om förnyat godkännande för SWAMID AL2
Södertörns högskola utökar metoderna för bekräftande av studenter utan svenskt personnummer via eduID. Vidare införs även stöd för multifaktorinloggning som uppfyller kraven i SWAMIDs tillitsprofiler.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras ansökan.
Beslut: SWAMID Board of Trustees godkänner Södertörnshögskolas förnyade ansökan om tillitsnivå SWAMID AL2. - eduID ansöker om förnyat godkännande för SWAMID AL3 (FD)
eduID använder inte längre SvipeID för verifiering av resehandling (pass och nationellt identitetskort) och ändrar beskrivningen av denna kontroll till att inte explicit nämna företag som genomför den. Vidare vill eduID använda Svensk e-legitimation på tillitsnivå 2 för personer utan svenskt personnummer för bekräftande på nivån SWAMID AL2.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras ansökan.
Beslut: SWAMID Board of Trustees godkänner eduIDs förnyade ansökan om tillitsnivå SWAMID AL3.
Översyn av SWAMIDs tillitsnivåer (PA)
Pål berättade om aktuell status runt den påbörjade översynen av SWAMIDs tillitsprofiler. Som berättades vid förra mötet är avsikten med översynen inte att höja kraven i tillitsprofilerna utan göra förtydliganden samt i något fall förenkla kraven. Arbetet kommer att genomföras genom möten tillsammans med SWAMIDs medlemmar, justering av texten av SWAMID Operations baserat på mötena och därefter den formella konsultationsprocessen.
Just nu förbereder SWAMID Operations de aktuella mötena med SWAMIDs medlemmar genom att gå igenom de förändringar och klargöranden som vi ser behöver göras.
När tillitsprofilerna uppdaterades 2020 skrevs det att inloggningsmetoden med engångskoder via standarden TOTP kommer med största sannolikhet inte längre tillåts inom SWAMID och Operations förslag till medlemmarna är att vi plockar bort den metoden i två steg, under 2025 för Authenticator Appar och 2027 för TOTP dosor. Orsaken till detta är TOTP i Authenticator är kopieringsbar mellan olika enheter utan användarna kan hindra det och att TOTP som metod inte kan skyddas mot nätfiske. Vi förslår också en utökad normativ text om vad avsikten med multifaktorinloggning är.
SWAMID Operations har av mer än en tjänst blivit uppmärksammade att vissa lärosäten har svårt att uppfylla kravet på att användaridentifierare är långsiktigt unika och aldrig återanvänds för andra personer än den ursprungliga. Detta eftersom en handfull organisationer använder namnbaserad e-postadress som unik identifierare och den är per definition ej långsiktigt unik. Vi föreslår därför en utökad förklarande normativ text runt kravet på långsiktigt unika identifierare.
Den tredje större sake vi ser efter att DiGG har godkänt två svenska e-legitimationer på tillitsnivå 2 och att de kraven de ställer på användarverifiering vid skapandet av e-legitimationen uppfyller kraven i SWAMID AL2. SWAMID kommer därför att rekommendera att vi ska sänka kraven i vår tillitsprofil. VI ser också en korsintegrering av fysiska identitetshandlingar och e-legitimationer via att en digital representation av resehandling lagrad i e-legitimationen. Vi föreslår att inte lägga till stöd i tillitsprofilerna utan vi kommer tillsammans med första organisationen som vill använda detta skriva motsvarighetsmetod enligt samma modell som vi gjorde runt trepartssamtal och SWAMID AL2.
Övriga frågor (ZT)
- Behov från forskningsinfrastrukturer som påverkar identitetsutfärdarna (AS)
- Status Ladok och krav på tillitsnivåer (MD)