Toppen!
Tack igen för infon 😊
Med vänlig hälsning
/Johan
From: Fredrik Domeij <fredrik.domeij(a)umu.se>
Sent: den 13 juni 2024 12:15
To: Johan Hjortskull <johan.hjortskull(a)lnu.se>; saml-admins(a)swamid.se
Subject: Re: Byte av användaridentifierare i Ladok
Nästan. Det blir från Ladok krav på att REFEDS Personalized Access Entity Category
implementeras (och därmed också subject-id med ett värde som är godtagbart i SWAMID).
ESI är också ytterst lämpligt att implementera (via European Student Identifier Entity
Category), och specifikt med ESI-värde från Ladok så studenter får samma ESI-värde
oberoende av vilken IdP de använder vid inloggning vid utbytesstudier. Detta är dock i
dagsläget oberoende av inloggningen i Ladok då vi helt lutar oss mot norEduPersonNIN för
inloggning i Ladok för studenter från svenska lärosäten och (snart) på subject-id (vi
använder ePPN/eduPersonPrincipalName idag) för inloggning i Ladok för personal från
svenska lärosäten.
Just LNU har dock redan implementerat både Personalized och ESI så ni behöver inte göra
några förändringar avseende detta.
För information så kommer vi fortsätta begära personnummer/interimspersonnummer i
norEduPersonNIN via CoCo för Ladok för studenter så ingen förändring avseende det.
/Fredrik
_____
From: Johan Hjortskull
Sent: Thursday, June 13, 2024 11:35 AM
To: Fredrik Domeij; saml-admins(a)swamid.se <mailto:saml-admins@swamid.se>
Subject: RE: Byte av användaridentifierare i Ladok
Tack för infon Fredrik.
Jag vill bara vara säker på att jag förstår rätt. Stämmer det att förändringen i Ladok gör
att det ställs krav på lärosätenas IdP:er att släppa något av attributen subject-id
och/eller ESI, och det då lämpligen via antingen entitieskategorin Personalized Access
Entity Category (
https://refeds.org/category/personalized) (eller CoCo v1/v2?) och/eller
European Student Identifier Entity Category
(
https://myacademicid.org/entity-categories/esi)?
Med vänlig hälsning
/Johan
From: Fredrik Domeij <fredrik.domeij(a)umu.se <mailto:fredrik.domeij@umu.se> >
Sent: den 11 juni 2024 10:24
To: saml-admins(a)swamid.se <mailto:saml-admins@swamid.se>
Subject: [Saml-admins] Byte av användaridentifierare i Ladok
Nedan följer information som gått ut till Lokala kontaktpersoner för Ladok vid lärosätena.
Detta kan vara bra för er andra att veta också!
Sammanfattning
Ladokkonsortiet planerar för att byta användaridentifierare i Ladok. Detta innebär att
vissa lärosäten behöver göra anpassningar i sin inloggningstjänst (IdP) i SWAMID. För att
tidsplanen för bytet ska vara genomförbar behöver anpassningarna vara slutförda senast
2024-11-30.
Bakgrund
Ladokkonsortiet arbetar med att införa kontokoppling i Ladok för studenter. Kontokoppling
innebär att studenter ska ges möjlighet att koppla andra inloggningar än inloggningen från
sitt svenska lärosäte till Ladok. Detta behov finns särskilt för internationella studenter
som efter sina studier inte har kvar sin lärosätesinloggning i Ladok och inte heller är
svenska medborgare. Därmed kan de inte logga in via svensk e-legitimation eller skapa ett
eduID-konto bekräftat med ett svenskt personnummer. Planerade inloggningsmetoder för
kontokoppling är:
* eIDAS, europeisk e-legitimation
* European Student Identifier (ESI), som är tillgänglig från lärosäten inom Europa som
stödjer Erasmus Without Papers (EWP)
* subject-id, vilket är en användaridentifierare hos många andra lärosäten i Europa och i
övriga världen
* eduID-konton utan svenskt personnummer men bekräftade via pass/nationellt id-kort
För att möjliggöra kontokoppling behöver den användaridentifierare som används i Ladok
idag, ePPN (eduPersonPrincipalName), bytas ut. ePPN har använts inom
identitetsfederationen SWAMID i många år och i SWAMID finns krav på att den identifieraren
aldrig någonsin får återanvändas för en annan person. Detta krav gäller dock inte
internationellt för ePPN, vilket innebär att användaridentifieraren för person A tillåts
återanvändas för person B vid lärosätet. Därmed får person B tillgång till person A:s
uppgifter och behörigheter i system som inte är medvetna om återanvändandet. För att lösa
det detta har en ny användaridentifierare skapats, subject-id
<https://wiki.sunet.se/display/SWAMID/subject-id+-+SAML2+General+Purpose+Subject+Identifier+in+SWAMID>
, som redan från början har detta krav. Utöver det finns en ny
"entitetskategori" för att standardisera överföring av subject-id inom SWAMID
och eduGAIN, REFEDS Personalized Access Entity Category
<https://wiki.sunet.se/display/SWAMID/4.1+Entity+Categories+for+Service+Providers#id-4.1EntityCategoriesforServiceProviders-REFEDSPersonalizedAccessEntityCategory>
.
Byte till subject-id som identifierare i Ladok minimerar också risken att personal som
loggar in i Ladok för personal från ett lärosäte utanför Sverige har fått en
användaridentifierare som är återanvänd.
Påverkade lärosäten
Dessa lärosäten uppfyller idag inte Ladoks krav på subject-id som användaridentifierare
och har ett arbete att göra för att uppfylla dessa:
* Enskilda Högskolan Stockholm
* Försvarshögskolan
* Gymnastik- och idrottshögskolan
* Kungl. Konsthögskolan
* Kungl. Musikhögskolan i Stockholm
* Marie Cederschiöld högskola
* Röda Korsets högskola
* Sophiahemmet Högskola
* Stockholms konstnärliga högskola
* Sveriges lantbruksuniversitet
Dessa lärosäten uppfyller idag Ladoks krav men kan behöva anpassa eventuella integrationer
mot Ladok inför byte av användaridentifierare:
* Karlstads universitet
* Lunds universitet
* Malmö Universitet
Tidsplan
Förhoppningen är att kunna leverera funktionalitet för kontokoppling under december 2024,
vilket skulle möjliggöra för internationella studenter som lämnar sitt svenska lärosäte
efter årsskiftet att utföra kontokoppling innan de lämnar. För att kunna införa
kontokopplingen i Ladok för studenter måste samtliga lärosäten ha implementerat
entitetskategorin Personalized senast 2024-11-30.
För mer information om status kring Personalized för respektive lärosäte, se Byte till
subject-id
<https://confluence.its.umu.se/confluence/display/ITL/Byte+till+subject-id> (kräver
inloggning till Ladoks dokumentation, prata med er lokala kontaktperson för Ladok).
MVH
Fredrik Domeij, Ladoksupporten
----------------------------------
Ladok Operations
IT-stöd och systemutveckling (ITS)
Umeå universitet
901 87 Umeå
----------------------------------
Telefon: +46 (0)90 786 65 43
Mobil: +46 (0)70 303 78 36
----------------------------------
fredrik.domeij(a)umu.se <mailto:fredrik.domeij@umu.se>
www.umu.se/it-stod-och-systemutveckling
<http://www.umu.se/it-stod-och-systemutveckling>