[Saml-admins] Re: Byte av användaridentifierare i Ladok

Tack för infon Fredrik. Jag vill bara vara säker på att jag förstår rätt. Stämmer det att förändringen i Ladok gör att det ställs krav på lärosätenas IdP:er att släppa något av attributen subject-id och/eller ESI, och det då lämpligen via antingen entitieskategorin Personalized Access Entity Category (https://refeds.org/category/personalized) (eller CoCo v1/v2?) och/eller European Student Identifier Entity Category (https://myacademicid.org/entity-categories/esi)? Med vänlig hälsning /Johan From: Fredrik Domeij &lt;fredrik.domeij(a)umu.se&gt; Sent: den 11 juni 2024 10:24 To: saml-admins(a)swamid.se Subject: [Saml-admins] Byte av användaridentifierare i Ladok Nedan följer information som gått ut till Lokala kontaktpersoner för Ladok vid lärosätena. Detta kan vara bra för er andra att veta också! Sammanfattning Ladokkonsortiet planerar för att byta användaridentifierare i Ladok. Detta innebär att vissa lärosäten behöver göra anpassningar i sin inloggningstjänst (IdP) i SWAMID. För att tidsplanen för bytet ska vara genomförbar behöver anpassningarna vara slutförda senast 2024-11-30. Bakgrund Ladokkonsortiet arbetar med att införa kontokoppling i Ladok för studenter. Kontokoppling innebär att studenter ska ges möjlighet att koppla andra inloggningar än inloggningen från sitt svenska lärosäte till Ladok. Detta behov finns särskilt för internationella studenter som efter sina studier inte har kvar sin lärosätesinloggning i Ladok och inte heller är svenska medborgare. Därmed kan de inte logga in via svensk e-legitimation eller skapa ett eduID-konto bekräftat med ett svenskt personnummer. Planerade inloggningsmetoder för kontokoppling är: * eIDAS, europeisk e-legitimation * European Student Identifier (ESI), som är tillgänglig från lärosäten inom Europa som stödjer Erasmus Without Papers (EWP) * subject-id, vilket är en användaridentifierare hos många andra lärosäten i Europa och i övriga världen * eduID-konton utan svenskt personnummer men bekräftade via pass/nationellt id-kort För att möjliggöra kontokoppling behöver den användaridentifierare som används i Ladok idag, ePPN (eduPersonPrincipalName), bytas ut. ePPN har använts inom identitetsfederationen SWAMID i många år och i SWAMID finns krav på att den identifieraren aldrig någonsin får återanvändas för en annan person. Detta krav gäller dock inte internationellt för ePPN, vilket innebär att användaridentifieraren för person A tillåts återanvändas för person B vid lärosätet. Därmed får person B tillgång till person A:s uppgifter och behörigheter i system som inte är medvetna om återanvändandet. För att lösa det detta har en ny användaridentifierare skapats, subject-id <https://wiki.sunet.se/display/SWAMID/subject-id+-+SAML2+General+Purpose+Sub ject+Identifier+in+SWAMID> , som redan från början har detta krav. Utöver det finns en ny "entitetskategori" för att standardisera överföring av subject-id inom SWAMID och eduGAIN, REFEDS Personalized Access Entity Category <https://wiki.sunet.se/display/SWAMID/4.1+Entity+Categories+for+Service+Prov iders#id-4.1EntityCategoriesforServiceProviders-REFEDSPersonalizedAccessEnti tyCategory> . Byte till subject-id som identifierare i Ladok minimerar också risken att personal som loggar in i Ladok för personal från ett lärosäte utanför Sverige har fått en användaridentifierare som är återanvänd. Påverkade lärosäten Dessa lärosäten uppfyller idag inte Ladoks krav på subject-id som användaridentifierare och har ett arbete att göra för att uppfylla dessa: * Enskilda Högskolan Stockholm * Försvarshögskolan * Gymnastik- och idrottshögskolan * Kungl. Konsthögskolan * Kungl. Musikhögskolan i Stockholm * Marie Cederschiöld högskola * Röda Korsets högskola * Sophiahemmet Högskola * Stockholms konstnärliga högskola * Sveriges lantbruksuniversitet Dessa lärosäten uppfyller idag Ladoks krav men kan behöva anpassa eventuella integrationer mot Ladok inför byte av användaridentifierare: * Karlstads universitet * Lunds universitet * Malmö Universitet Tidsplan Förhoppningen är att kunna leverera funktionalitet för kontokoppling under december 2024, vilket skulle möjliggöra för internationella studenter som lämnar sitt svenska lärosäte efter årsskiftet att utföra kontokoppling innan de lämnar. För att kunna införa kontokopplingen i Ladok för studenter måste samtliga lärosäten ha implementerat entitetskategorin Personalized senast 2024-11-30. För mer information om status kring Personalized för respektive lärosäte, se Byte till subject-id <https://confluence.its.umu.se/confluence/display/ITL/Byte+till+subject-id> (kräver inloggning till Ladoks dokumentation, prata med er lokala kontaktperson för Ladok). MVH Fredrik Domeij, Ladoksupporten ---------------------------------- Ladok Operations IT-stöd och systemutveckling (ITS) Umeå universitet 901 87 Umeå ---------------------------------- Telefon: +46 (0)90 786 65 43 Mobil: +46 (0)70 303 78 36 ---------------------------------- fredrik.domeij(a)umu.se <mailto:fredrik.domeij@umu.se> www.umu.se/it-stod-och-systemutveckling <http://www.umu.se/it-stod-och-systemutveckling>