Tack för infon Fredrik.

 

Jag vill bara vara säker på att jag förstår rätt. Stämmer det att förändringen i Ladok gör att det ställs krav på lärosätenas IdP:er att släppa något av attributen subject-id och/eller ESI, och det då lämpligen via antingen entitieskategorin Personalized Access Entity Category (https://refeds.org/category/personalized) (eller CoCo v1/v2?) och/eller European Student Identifier Entity Category (https://myacademicid.org/entity-categories/esi)?

 

Med vänlig hälsning

/Johan

 

From: Fredrik Domeij <fredrik.domeij@umu.se>
Sent: den 11 juni 2024 10:24
To: saml-admins@swamid.se
Subject: [Saml-admins] Byte av användaridentifierare i Ladok

 

Nedan följer information som gått ut till Lokala kontaktpersoner för Ladok vid lärosätena. Detta kan vara bra för er andra att veta också!

 

Sammanfattning

Ladokkonsortiet planerar för att byta användaridentifierare i Ladok. Detta innebär att vissa lärosäten behöver göra anpassningar i sin inloggningstjänst (IdP) i SWAMID. För att tidsplanen för bytet ska vara genomförbar behöver anpassningarna vara slutförda senast 2024-11-30.

Bakgrund

Ladokkonsortiet arbetar med att införa kontokoppling i Ladok för studenter. Kontokoppling innebär att studenter ska ges möjlighet att koppla andra inloggningar än inloggningen från sitt svenska lärosäte till Ladok. Detta behov finns särskilt för internationella studenter som efter sina studier inte har kvar sin lärosätesinloggning i Ladok och inte heller är svenska medborgare. Därmed kan de inte logga in via svensk e-legitimation eller skapa ett eduID-konto bekräftat med ett svenskt personnummer. Planerade inloggningsmetoder för kontokoppling är:

För att möjliggöra kontokoppling behöver den användaridentifierare som används i Ladok idag, ePPN (eduPersonPrincipalName), bytas ut. ePPN har använts inom identitetsfederationen SWAMID i många år och i SWAMID finns krav på att den identifieraren aldrig någonsin får återanvändas för en annan person. Detta krav gäller dock inte internationellt för ePPN, vilket innebär att användaridentifieraren för person A tillåts återanvändas för person B vid lärosätet. Därmed får person B tillgång till person A:s uppgifter och behörigheter i system som inte är medvetna om återanvändandet. För att lösa det detta har en ny användaridentifierare skapats, subject-id, som redan från början har detta krav. Utöver det finns en ny "entitetskategori" för att standardisera överföring av subject-id inom SWAMID och eduGAIN, REFEDS Personalized Access Entity Category.

Byte till subject-id som identifierare i Ladok minimerar också risken att personal som loggar in i Ladok för personal från ett lärosäte utanför Sverige har fått en användaridentifierare som är återanvänd.

Påverkade lärosäten

Dessa lärosäten uppfyller idag inte Ladoks krav på subject-id som användaridentifierare och har ett arbete att göra för att uppfylla dessa:

Dessa lärosäten uppfyller idag Ladoks krav men kan behöva anpassa eventuella integrationer mot Ladok inför byte av användaridentifierare:

Tidsplan

Förhoppningen är att kunna leverera funktionalitet för kontokoppling under december 2024, vilket skulle möjliggöra för internationella studenter som lämnar sitt svenska lärosäte efter årsskiftet att utföra kontokoppling innan de lämnar. För att kunna införa kontokopplingen i Ladok för studenter måste samtliga lärosäten ha implementerat entitetskategorin Personalized senast 2024-11-30.

För mer information om status kring Personalized för respektive lärosäte, se Byte till subject-id (kräver inloggning till Ladoks dokumentation, prata med er lokala kontaktperson för Ladok).

 

MVH
Fredrik Domeij, Ladoksupporten

----------------------------------

Ladok Operations

IT-stöd och systemutveckling (ITS)

Umeå universitet

901 87 Umeå

----------------------------------

Telefon: +46 (0)90 786 65 43

Mobil:   +46 (0)70 303 78 36

----------------------------------

fredrik.domeij@umu.se

www.umu.se/it-stod-och-systemutveckling