10:24 a.m.
Hej,
Jag ska försöka uttrycka det klarare genom en numrerad punktlista så vi alla har samma
information men jag tror du har uppfattat det korrekt. Jag tar även med sådant du inte
frågat om Mats för att göra det tydligare för alla.
1. Alla användare vid en organisation behöver inte ha samma tillitsnivå men ingen kan ha
högre än den maximala nivå som organisationens identitetsutfärdare är godkänd för.
2. En användare som är på AL3-nivå är AL3 om och endast om en MFA-inloggning skett vid
inloggning till tjänsten, SSO tillåts.
3. Om en AL3-användare endast har loggat in med en faktor, t.ex. lösenord, ska
identitetsutgivaren rapportera detta till tjänsten på samma sätt som för en AL2-användare.
Pål
-----Original Message-----
From: Mats Luspa via Saml-admins <saml-admins(a)lists.sunet.se>
Sent: Thursday, March 19, 2026 7:42 AM
To: Björn Mattsson <bjorn(a)sunet.se>
Cc: saml-admins(a)lists.sunet.se
Subject: [Saml-admins] Re: Konfigurera obligatorisk MFA på IdP-sidan
Hej igen!
Jag har missuppfattat sista meningen. En organisation som är AL3 måste
alltså ha möjlighet att köra MFA om t ex en SP kräver detta därav sista
meningen "Tänk på att SWAMID AL3 alltid kräver
multifaktorautentisering.". En person som är AL3-identifierad måste
kunna köra MFA om en SP kräver detta (och därmed signalerar att denne är
AL3 till SP:n).
Men en AL3-person kan logga in med enbart lösenord om SP:n ej kräver
MFA/AL3.
Jag hade den uppfattningen att en AL3-person måste alltid köra MFA (och
signalera AL3) även om SP:n ej kräver detta. Det skulle då bara vara
admin som kan degradera en AL3-person till AL2 eller A1 (som skulle
kunna logga in med lenbart ösenord alltså) om det är så att en AL3
förlorar sin andra faktor. EN AL3-person skulle själv inte kunna göra
detta vilket medför en risk att bli utestängd från inloggning (även från
SP:n som ej kräver MFA) om hen inte får tag i en admin att degradera
ifall den andra faktorn är borttappad.
Det är därför jag bland annat implementerat passkey med password
fallback (för de användare som ej har passkey registrerad). Så det
kanske var onödigt att implementerar detta då :)
/Mats
On 3/18/26 4:37 PM, Mats Luspa via Saml-admins wrote:
--
--
Mats Luspa
Phone: +46 (0)980 79 022
Cellular phone: +46 (0)725813330
Institutet för rymdfysik Fax: +46 (0)980 79 050
Swedish Institute of Space Physics email: matsl(a)irf.se
Visiting/Delivery address: Bengt Hultqvists väg 1, SE-981 92 Kiruna
Postal address: Box 812, SE-981 28 Kiruna
--
PGP Public Key: https://www.irf.se/pgp/matsl
Digital vcard: https://www.irf.se/vcard/mats.luspa
Då behöver en AL3-användare alltså inte alltid
köra med MFA.
Här
https://wiki.sunet.se/spaces/SWAMID/pages/17137941/SWAMID+Assurance+Ho
w-
To?preview=/17137941/235678589/SWAMID%20Identity%20Management%20P
ractice%20Statement%20Template%20v2.2%20FINAL.docx
under 5.1 står
"Tänk på att SWAMID AL3 alltid kräver multifaktorautentisering."
/Mats
On 3/18/26 11:21 AM, Björn Mattsson wrote:
> Hej.
>
> Så som många har löst det så kräver man bara kräver en andra faktor
> om det krävs från SP:n eller om SP:n pushas till MFA via konfig i
> IdP:n enligt den andra tråden.
> Har inloggningen genomförts med 2 faktorer signalerar man AL3 för de
> som är verifierade för detta. Har enbart en faktor används signalerar
> man AL2 även om kontot är verifierat på AL3.
>
> Dvs för att en SP skall få AL3 måste de aktivt kräva MFA vid
> inloggningen.
>
> // Björn M.
>
>
>> On 18 Mar 2026, at 07:19, Mats Luspa via Saml-admins
>> <saml-admins(a)lists.sunet.se> wrote:
>>
>> Då måste man alltså om man är en AL3-organisation alltid köra med
>> MFA för alla SP:ar men ändå ha optionen att falla tillbaka till
>> lösenord för de som har max AL2 (det vill säga ej har någon andra
>> faktor). Man skall väl inte heller göra det möjligt för en
>> AL3-användare att kunna logga in med lösenord. Om en AL3-användare
>> tappat bort sin andra faktor så måste denne kontakta en
>> administratör för att kunna bli degradera till AL2 eller få en ny
>> andra faktor.
>> Är detta rätt uppfattat?
>>
>> /Mats
>>
>> On 3/17/26 6:32 PM, Björn Mattsson via Saml-admins wrote:
>>> Hej.
>>> Ja det stämmer. En användare som ni klassat upp till AL3 som enbart
>>> loggar in med lösenord, då får ni MAX släppa AL2 i eduPersonAssurance.
>>>
>>> // Björn M.
>>>
>>>> On 17 Mar 2026, at 16:27, Mats Luspa via Saml-admins
>>>> <saml-admins(a)lists.sunet.se> wrote:
>>>>
>>>> Hej!
>>>>
>>>> Stämmer det att användare som är AL3 alltid måste använda sig av
>>>> MFA? Det vill säga så fort en sådan användare använder endast
>>>> lösenord t ex för inloggning så degraderas denne till AL2.
>>>>
>>>> /MVH Mats
>>>>
>>>> On 3/17/26 1:08 PM, Mats Luspa wrote:
>>>>> Ok, tack, det var bara en beteckning på ett flow av
>>>>> dokumentationsskäl. Trodde att det var ett som existerade alltså.
>>>>>
>>>>> /MVH Mats
>>>>>
>>>>> On 3/17/26 12:27 PM, Paul Scott wrote:
>>>>>> Man kan skapa en bean och lägger den i global.xml, t.ex.
>>>>>>
>>>>>> <bean p:id="authn/secondFlow"
>>>>>> parent="shibboleth.AuthenticationFlow"
>>>>>> p:passiveAuthenticationSupported="true"
>>>>>> p:forcedAuthenticationSupported="true">
>>>>>> <property name="supportedPrincipals">
>>>>>> <list>
>>>>>> <bean
>>>>>> parent="shibboleth.SAML2AuthnContextClassRef"
>>>>>> c:classRef="https://refeds.org/profile/mfa" />
>>>>>> </list>
>>>>>> </property>
>>>>>> </bean>
>>>>>>
>>>>>> /Paul.
>>>>>>
>>>>>> -----Original Message-----
>>>>>> From: Mats Luspa via Saml-admins
<saml-admins(a)lists.sunet.se>
>>>>>> Reply-To: Mats Luspa <mats.luspa(a)irf.se>
>>>>>> To: saml-admins(a)lists.sunet.se <saml-admins(a)lists.sunet.se>
>>>>>> Subject: [Saml-admins] Re: Konfigurera obligatorisk MFA på
>>>>>> IdP-sidan
>>>>>> Date: 17/03/26 12:21:21
>>>>>>
>>>>>> Hej!
>>>>>>
>>>>>> Jag undrar var och hur man konfigurerar
"authn/secondFlow". Det
>>>>>> är ju
>>>>>> ingen standard "flow" vad jag vet.
>>>>>>
>>>>>> /MVH Mats
>>>>>>
>>>>>> On 2/13/26 9:14 AM, Paul Scott wrote:
>>>>>>> Per‑Olof från Högskolan i Borås har delat med sig av de
>>>>>>> anpassningar
>>>>>>> som de har gjort för att tvinga MFA på olika sätt i
>>>>>>> mfa-authn-config.
>>>>>>> Jag har uppdaterat wiki-sidan[1] med exempelkoden.
>>>>>>>
>>>>>>> [1]
>>>>>>>
https://wiki.sunet.se/display/SWAMID/Force+the+use+of+Refeds+MFA+for+a+sp
ecific+service+provider
>>>>>>>
>>>>>>>
>>>>>>> Stort tack till Högskolan i Borås för bidraget!
>>>>>>>
>>>>>>> /Paul.
>>>>>>>
>>>>>>> -----Original Message-----
>>>>>>> From: Paul Scott <paul.scott(a)kau.se>
>>>>>>> To: saml-admins(a)lists.sunet.se
<saml-admins(a)lists.sunet.se>
>>>>>>> Subject: [Saml-admins] Re: Konfigurera obligatorisk MFA på
>>>>>>> IdP-sidan
>>>>>>> Date: 28/11/25 13:39:39
>>>>>>>
>>>>>>>
>>>>>>> Man kan nog göra mycket med MFA-flöden, men hittills har jag
bara
>>>>>>> skrapat på ytan.
>>>>>>>
>>>>>>> Problemet med exemplet jag gav är att det endast fungerar om
>>>>>>> man vet
>>>>>>> att alla användare har möjlighet att skaffa MFA. Därför
skulle det
>>>>>>> inte
>>>>>>> vara särskilt populärt för oss just nu att aktivera det på
>>>>>>> exempelvis
>>>>>>> Canvas!
>>>>>>>
>>>>>>> Jag funderar på vad nästa steg kan vara för mitt lärosäte.
Kanske
>>>>>>> borde
>>>>>>> man undersöka en logik baserad på om användaren har MFA
>>>>>>> konfigurerad
>>>>>>> (via attributuppslagning) och i så fall använda det. Detta i
>>>>>>> kombination med att vissa tjänster fortsätter att kräva MFA
via
>>>>>>> relying-party. Följande exempel kan man nog bygga vidare på:
>>>>>>>
>>>>>>>
https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199505534/MultiFact
orAuthnConfiguration#Programmatically-Selecting-Flows
>>>>>>>
>>>>>>>
>>>>>>> Jag är dock inte säker på hur man på ett bra sätt kan använda
>>>>>>> listor
>>>>>>> i
>>>>>>> MFA-logiken – kanske går det att göra uppslag baserat på
LDAP-
>>>>>>> grupper?
>>>>>>>
>>>>>>> /Paul.
>>>>>>>
>>>>>>> -----Original Message-----
>>>>>>> From: Simon Lundström <simlu(a)su.se>
>>>>>>> To: Paul Scott <paul.scott(a)kau.se>
>>>>>>> Cc: saml-admins(a)lists.sunet.se
<saml-admins(a)lists.sunet.se>
>>>>>>> Subject: Re: [Saml-admins] Konfigurera obligatorisk MFA på
>>>>>>> IdP-sidan
>>>>>>> Date: 27/11/25 16:08:45
>>>>>>>
>>>>>>> Tack Paul!
>>>>>>>
>>>>>>> Nu vill jag inte låta otacksam men går det inte att göra från
MFA
>>>>>>> flow
>>>>>>> confen?
>>>>>>>
>>>>>>> För om man t.ex. vill lägga till:
>>>>>>> * För alla SP entityIDs i lista X
>>>>>>> OCH
>>>>>>> * användaren kommer från en IP som INTE är i lista Y
>>>>>>>
>>>>>>> så behöver MFA användas.
>>>>>>>
>>>>>>> MVH
>>>>>>> - Simon
>>>>>>>
>>>>>>> On Thu, 2025-11-27 at 15:44:11 +0100, Paul Scott wrote:
>>>>>>>> Hej!
>>>>>>>>
>>>>>>>> Jag lovade att ta fram ett exempel på hur man kan kräva
REFEDS
>>>>>>>> MFA
>>>>>>>> för
>>>>>>>> en SP från IdP-sidan med hjälp av relying-party.xml.
>>>>>>>>
>>>>>>>> Nu finns exemplet på Swamids wiki under SAML IdP Best
Current
>>>>>>>> Practice
>>>>>>>> eller direkt via:
>>>>>>>>
>>>>>>>>
>>>>>>>>
https://wiki.sunet.se/display/SWAMID/Force+the+use+of+Refeds+MFA+for+a+sp
ecific+service+provider
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>> /Paul.
>>>>>>>
>>>>>>> --
>>>>>>> Paul Scott
>>>>>>> Systemutvecklare | Systems developer
>>>>>>>
>>>>>>> KARLSTADS UNIVERSITET | KARLSTAD UNIVERSITY
>>>>>>> SE-651 88 Karlstad Sweden
>>>>>>> Tel: +46 54 700 23 07
>>>>>>> www.kau.se
>>>>>>> När du skickar e-post till Karlstads universitet behandlar vi
>>>>>>> dina
>>>>>>> personuppgifter<https://www.kau.se/gdpr>.
>>>>>>> When you send an e-mail to Karlstad University, we will
process
>>>>>>> your
>>>>>>> personal data<https://www.kau.se/en/gdpr>.
>>>>>>> _______________________________________________
>>>>>>> Saml-admins mailing list -- saml-admins(a)lists.sunet.se
>>>>>>> To unsubscribe send an email to
saml-admins-leave(a)lists.sunet.se
>>>>>> --
>>>>>> Paul Scott
>>>>>> Systemutvecklare | Systems developer
>>>>>>
>>>>>> KARLSTADS UNIVERSITET | KARLSTAD UNIVERSITY
>>>>>> SE-651 88 Karlstad Sweden
>>>>>> Tel: +46 54 700 23 07
>>>>>> www.kau.se
>>>>>> När du skickar e-post till Karlstads universitet behandlar vi
dina
>>>>>> personuppgifter<https://www.kau.se/gdpr>.
>>>>>> When you send an e-mail to Karlstad University, we will process
>>>>>> your
>>>>>> personal data<https://www.kau.se/en/gdpr>.
>>>>>> _______________________________________________
>>>>>> Saml-admins mailing list -- saml-admins(a)lists.sunet.se
>>>>>> To unsubscribe send an email to saml-admins-leave(a)lists.sunet.se
>>>>>>
>>>>>> --
>>>>>> Paul Scott
>>>>>> Systemutvecklare | Systems developer
>>>>>>
>>>>>> KARLSTADS UNIVERSITET | KARLSTAD UNIVERSITY
>>>>>> SE-651 88 Karlstad Sweden
>>>>>> Tel: +46 54 700 23 07
>>>>>> www.kau.se
>>>>>> När du skickar e-post till Karlstads universitet behandlar vi
dina
>>>>>> personuppgifter<https://www.kau.se/gdpr>.
>>>>>> When you send an e-mail to Karlstad University, we will process
>>>>>> your
>>>>>> personal data<https://www.kau.se/en/gdpr>.
>>>>>> _______________________________________________
>>>>>> Saml-admins mailing list -- saml-admins(a)lists.sunet.se
>>>>>> To unsubscribe send an email to saml-admins-leave(a)lists.sunet.se
>>>>> --
>>>>> --
>>>>> Mats Luspa
>>>>> Phone: +46 (0)980 79 022
>>>>> Cellular phone: +46 (0)725813330
>>>>> Institutet för rymdfysik Fax: +46 (0)980 79 050
>>>>> Swedish Institute of Space Physics email: matsl(a)irf.se
>>>>> Visiting/Delivery address: Bengt Hultqvists väg 1, SE-981 92 Kiruna
>>>>> Postal address: Box 812, SE-981 28 Kiruna
>>>>> --
>>>>> PGP Public Key: https://www.irf.se/pgp/matsl
>>>>> Digital vcard: https://www.irf.se/vcard/mats.luspa
>>>>>
>>>>>
>>>>> --
>>>>> Paul Scott
>>>>> Systemutvecklare | Systems developer
>>>>>
>>>>> KARLSTADS UNIVERSITET | KARLSTAD UNIVERSITY
>>>>> SE-651 88 Karlstad Sweden
>>>>> Tel: +46 54 700 23 07
>>>>> www.kau.se
>>>>> När du skickar e-post till Karlstads universitet behandlar vi
>>>>> dina personuppgifter<https://www.kau.se/gdpr>.
>>>>> When you send an e-mail to Karlstad University, we will process
>>>>> your personal data<https://www.kau.se/en/gdpr>.
>>>>> _______________________________________________
>>>>> Saml-admins mailing list -- saml-admins(a)lists.sunet.se
>>>>> To unsubscribe send an email to saml-admins-leave(a)lists.sunet.se
>>> --
>>> --
>>> Mats Luspa
>>> Phone: +46 (0)980 79 022
>>> Cellular phone: +46 (0)725813330
>>> Institutet för rymdfysik Fax: +46 (0)980 79 050
>>> Swedish Institute of Space Physics email: matsl(a)irf.se
>>> Visiting/Delivery address: Bengt Hultqvists väg 1, SE-981 92 Kiruna
>>> Postal address: Box 812, SE-981 28 Kiruna
>>> --
>>> PGP Public Key: https://www.irf.se/pgp/matsl
>>> Digital vcard: https://www.irf.se/vcard/mats.luspa
>>>
>>> _______________________________________________
>>> Saml-admins mailing list -- saml-admins(a)lists.sunet.se
>>> To unsubscribe send an email to saml-admins-leave(a)lists.sunet.se
>> _______________________________________________
>> Saml-admins mailing list -- saml-admins(a)lists.sunet.se
>> To unsubscribe send an email to saml-admins-leave(a)lists.sunet.se
> --
> --
> Mats Luspa
> Phone: +46 (0)980 79 022
> Cellular phone: +46 (0)725813330
> Institutet för rymdfysik Fax: +46 (0)980 79 050
> Swedish Institute of Space Physics email: matsl(a)irf.se
> Visiting/Delivery address: Bengt Hultqvists väg 1, SE-981 92 Kiruna
> Postal address: Box 812, SE-981 28 Kiruna
> --
> PGP Public Key: https://www.irf.se/pgp/matsl
> Digital vcard: https://www.irf.se/vcard/mats.luspa
>
> _______________________________________________
> Saml-admins mailing list -- saml-admins(a)lists.sunet.se
> To unsubscribe send an email to saml-admins-leave(a)lists.sunet.se
_______________________________________________
Saml-admins mailing list -- saml-admins(a)lists.sunet.se
To unsubscribe send an email to saml-admins-leave(a)lists.sunet.se