Hej på er!
Konstfack och Sunet vill under sommaren genomföra en proof of concept (PoC)
för eduID Connect för Konstfack. Eftersom det ä en PoC med begränsat antal
användare vill vi inte lägga ner en massa tid på att skiva en IMPS för
några månaders PoC och därför frågar jag om det är ok för er att vi låter
Konstfack och Sunet genomföra denna PoC utan uppdaterad IMPS? Som bakgrund
kommer i PoCen kommer Konstfack bjuda in användarna manuellt till
”Konstfack Connect” där den som genomför inbjudan hämtar upp korrekt
uppgifter från Konstfack och alla användare måste vara verifierade
användare i eduID, dvs. uppfylla kraven för SWAMID AL2.
Vad säger ni kan vi godkänna denna PoC för användning från och med juni
fram till höstens första BoT då Konstfack måste ha lämnat in en ny IMPS för
användning av eduID Connect om de vill fortsätta. Svara som svar på detta
brev både om ni anser att det är ok eller inte. Ann och Zacharias är jäviga
i detta så de får inte svara men ni andra behöver göra det snarast. När
enkel majoritet har uppnåtts eller att 31 maj har kommit och gått så
meddelar jag resultatet.
Tack på förhand
Pål
Hej,
Under veckan träffades SWAMID Operations för vårens F2F-möte. Vi hade två
fullproppade och produktiva dagar med allt från himmel och jord. Jag vill
passa på att rapportera om några frågor som kom upp till diskussion.
*BankID som digitalt ID-kort*
Under förra året utökade BankID funktionaliteten med att det är möjligt att
läsa in en resehandling (pass eller nationellt identitetskort) i
BankID-appen för att kunna använda som en digital representation av
resehandlingen när legitimering behöver göras. Fler och fler organisationer
har börjat godkänna denna digitala representation för legitimering, t.ex.
Systembolaget vid ålderskontroll och PostNord vid utlämning av paket. Vi
har fått förfrågan från flera universitet och högskolor om det är ok att
använda detta vid utlämning av användarkonton under SWAMID AL2 och SWAMID
AL3. Södertörns högskola och Linköpings universitet har nu skickat in
uppdaterade IMPSer där de beskrivet att de vill använda den digitala
representationen av identitetshandling. Därför la operations avsevärd tid
under veckan möte på att diskutera om och hur vi skulle kunna rekommendera
er att godkänna en sådan användning. Vi är inte klara med diskussionerna
men tänkte ändå nämna att det pågår att vi tills BoT-mötet om en månad
kommer med en beslutsrekommendation.
På mötet kom vi preliminärt fram till två saker gällande BankID som
identitetshandling (https://www.bankid.com/foretag/digitalt-id-kort)
- "Styrkt kontroll med skanner" anser vi i operations med stor
sannolikhet är samma sak som användning av e-legitimation eftersom BankID
ställer ut ett valideringsintyg på samma sätt som för normal användning av
e-legitimationen.
- "Skanna med hjälp av BankID-appen" uppfyller troligtvis motsvarande
krav som i AL2 eftersom det är en digital representation av resehandling
(pass och nationellt identitetskort) som låses upp med en e-legitimation,
dvs. räknas som en 8 i 5.2.5.
- "Visuell kontroll" duger med största sannolikhet inte för SWAMID AL2.
Motsvarigheten i Freja eID+ anser vi inte uppfyller samma krav eftersom det
är inte bilden från resehandlingen som visas utan en egensatt bild.
*Lösenordsfri inloggning och multifaktorinloggning med hjälp av Passkeys*
Microsoft, Google och Apple pratar numera väldigt ofta lösenordsfri
(passwordless) inloggning och inom SWAMID och eduID har vi haft ögonen på
detta väldigt länge. Formellt heter denna standard Passkey och är en
speciell profil av FIDO2-standarden. Den primära avsikten med Passkeys är
att ersätta lösenord vid inloggning eftersom de både är säkrare och enklare
att använda enligt de som tagit fram standardprofilen. En sak som skiljer
Passkeys från övriga FIDO2-nycklar är att de kan vara synkningsbara mellan
enheter och det är precis vad Apple har implementerat i sin Keychain under
IOS och MacOS. Det har gjort att vi i Operations har funderat på om de kan
fortsätta att vara godkända som en faktor i multifaktorsinloggning. Nu har
NIST kommit med en vägledning, eller ett supplement till NIST SP.800-63B
när de beskriver deras syn på detta, Incorporating Syncable Authenticators
Into NIST SP 800-63B
<https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63Bsup1.p…>.
Denna vägledning är väldigt bra och tydligt skriven och konstaterar om
vissa kriterier är uppfyllda kan Passkeys uppfylla kraven för software
cryptographic authenticators vilka vi har med i SWAMIDs uppräknade godkända
MFA-modeller. Operations hade en lång diskussion runt detta, delvis
tillsammans med Zacharias, om vi ansåg att kraven är uppfyllda och
sammanfattningsvis kan vi nog anse att de är det men det kräver att
lagringen av en synkningsbar Passkey skyddas på korrekt sätt samt att
användarna i ”lösenordsreglerna” kraftigt avråds att låna ut eller dela med
sig av sina Passkeys till andra individer. VI kommer att bedöma varje
organisation för sig som vill använda Passkeys för sig för att se om de
uppfyller NISTs krav.
*Årlig bekräftelse*
Både i SWAMIDs tillitsprofiler och teknologiprofil för SAML WebSSO står det
att organisationer måste årligen bekräfta att de fortfarande uppfyller
kraven. Sedan i december har SWAMID Operations skickat ut påminnelsebrev om
att registrerade tjänster och identitetsutfärdare måste verifiera att
registrerat metadata fortfarande är korrekt. Varje entitet får en sådan
förfrågan en gång per år baserat på när de senast uppdaterade metadatat
eller när de verifierade senast. Vi har nu hunnit med ungefär hälften av
alla entiteter och genomfört första två avstängningarna eftersom de inte
verifierat sina metadata på minst ett år. Rent praktiskt går det till så
att när det gått 10 månader skickar vi ut ett första brev där vi ber dem
verifiera sina metadata. Sedan kommer det ett påminnelsebrev efter 11 och
12 månader. Efter 13 månader försöker vi få kontakt med dem ännu en gång
via alla kontaktvägar vi har registrerade i metadata samt historiska
kontaktuppgifter. Om de då inte verifierar sina metadata inom 2 veckor
avregistrerar vi dem ur SWAMID. De två tjänsterna som hittills har blivit
avstängda har inte återkommit till oss för att lägga tillbaka dem.
Vi håller nu på att förbereda för att göra motsvarande för IMPSer, dvs att
identitetsutfärdare årligen måste verifiera att deras IMPSer fortfarande
stämmer. Vi håller på att planera för hur vi ska göra detta och hur
systemstödet ska se ut men grundmodellen är den samma som med den årliga
verifieringen av metadata. Jag tror inte att vi hinner börja genomföra
denna kontroll förrän sent i höst. Fördelen med IMPS-verifieringen är att
vi alltid har en sista kontaktpunkt innan eventuell avstängningen sker,
Sunets kontaktperson för organisationen, så jag tror inte att detta kommer
att ge några oavsiktliga avstängningar.
*ADFS Toolkit*
En ny version av ADFS Toolkit är på väg. Denna innehåller en del ny
funktionalitet som vi vill att ska införa. Sunet har behov av att få
statistik om hur mycket SWAMID används och därför har vi implementerat
samma stöd för statistikrapportering som finns i Shibboleth IdP. Det kommer
göra att vi senare i år kommer att be alla som använder ADFS Toolkit
uppdaterar till senaste versionen.
*Shibboleth IdP v5*
Som ni troligtvis sett i Sunets månadsbrev och eventuellt i brev till
e-postlistan saml-admins måste alla som använder Shibboleth IdP som
identitetsutfärdare uppgradera till senaste versionen innan november.
Orsaken är att Shibboleth IdP v4 blir end-of-life 1 september i år. För att
stödja detta arbete har operations genomfört ett webinar som finns inspelat
och tillgängligt på Sunet Play
<https://play.sunet.se/channel/SWAMID%2B-%2BSwedish%2BAcademic%2BIdentity%2B…>.
Vidare har vi varannan vecka från mitten av april haft ett zoommöte
varannan torsdag för att kunna erbjuda hjälp. Vidare rekommenderar vi alla
att använda e-postlistan saml-admins för att få hjälp av varandra. Zoomötet
kommer att ta paus under sommaren och påbörjas igen i mitten av augusti och
hållas fram till slutet av november.
Det var allt för denna gång
Pål
Hej,
Vill bara på minna Ann, Magnus och Hans att svara på Doodlen för nästa
BoT-möte.
https://doodle.com/meeting/participate/id/bkOO7z6b
En av de saker som vi kommer ta upp och diskutera är en alternativ modell
för identitetskontroll vid besök i vid disk för att aktivera användarkonto
eller genomföra lösenordsbyte. Numera finns det möjlighet att läsa in pass
eller svenskt nationellt identitetskort i BankID och det är många personer
som vill använda det istället för att visa fysiskt identitetskort. Efter
ansökan från Södertörns högskola har vi i SWAMID Operations undersökt om
det är möjligt att göra detta på ett tillräckligt säkert sätt. Tillsammans
med Södertörns högskola har vi nu tagit fram ett förslag om hur man kan
genomföra en sådan identifiering och tanken är att vi ska upp modellen för
diskussion och beslut på nästa BoT. Fram till agendan skickas ut kommer jag
att generalisera Södertörns förslag så att det kan användas som mall för
andra organisationer.
Så här ser den föreslagna processen ut för Södertörns högskola:
Verifiering av Digitalt ID via BankID för utlämning av SH-konto sker genom
1. Personen som vill hämta ut sitt SH-konto tar fram sitt Digitala ID i
Mobilt BankID applikationen. För att göra det måste hen verifiera sig med
sitt mobila BankID. Det digitala ID:t visar under en begränsad tidsperiod
foto, ålder, namn och personnummer.
2. Kontohandläggaren kontrollerar att fotot på i det digitala ID:t
stämmer överens med personen de har framför sig. Kontohandläggaren
kontrollerar även säkerhetsdetaljerna enligt BankIDs instruktioner för
visuell kontroll (https://www.bankid.com/foretag/digitalt-id-kort) Om
kontrollerna av det digitala ID:t stämmer skannar kontohandläggaren
qr-koden på mobilskärmen med en hårdvaruscanner.
3. QR-kodens värde skickas via kontoutlämningsapplikationen till BankIDs
API för verifiering (
https://www.bankid.com/utvecklare/guider/verifiering-av-digitalt-id-kort/in…)
4. Resultat
1. Om BankIDs API godkänner QR-koden skickas användarens personnummer
och namn tillbaka till kontoutlämningsapplikationen och utlämningen av
SH-kontot kan göras med det verifierade personnumret.
2. Om BankIDs API inte godkänner QR-koden returneras endast en felkod
med beskrivning som visas i kontoutlämningsapplikationen. I och med att
kontoutlämningsapplikationen inte fått något personnummer från
BankIDs API
kan inget SH-konto lämnas ut.
Pål
