Hej,
Under veckan träffades SWAMID Operations för vårens F2F-möte. Vi hade två
fullproppade och produktiva dagar med allt från himmel och jord. Jag vill
passa på att rapportera om några frågor som kom upp till diskussion.
*BankID som digitalt ID-kort*
Under förra året utökade BankID funktionaliteten med att det är möjligt att
läsa in en resehandling (pass eller nationellt identitetskort) i
BankID-appen för att kunna använda som en digital representation av
resehandlingen när legitimering behöver göras. Fler och fler organisationer
har börjat godkänna denna digitala representation för legitimering, t.ex.
Systembolaget vid ålderskontroll och PostNord vid utlämning av paket. Vi
har fått förfrågan från flera universitet och högskolor om det är ok att
använda detta vid utlämning av användarkonton under SWAMID AL2 och SWAMID
AL3. Södertörns högskola och Linköpings universitet har nu skickat in
uppdaterade IMPSer där de beskrivet att de vill använda den digitala
representationen av identitetshandling. Därför la operations avsevärd tid
under veckan möte på att diskutera om och hur vi skulle kunna rekommendera
er att godkänna en sådan användning. Vi är inte klara med diskussionerna
men tänkte ändå nämna att det pågår att vi tills BoT-mötet om en månad
kommer med en beslutsrekommendation.
På mötet kom vi preliminärt fram till två saker gällande BankID som
identitetshandling (https://www.bankid.com/foretag/digitalt-id-kort)
- "Styrkt kontroll med skanner" anser vi i operations med stor
sannolikhet är samma sak som användning av e-legitimation eftersom BankID
ställer ut ett valideringsintyg på samma sätt som för normal användning av
e-legitimationen.
- "Skanna med hjälp av BankID-appen" uppfyller troligtvis motsvarande
krav som i AL2 eftersom det är en digital representation av resehandling
(pass och nationellt identitetskort) som låses upp med en e-legitimation,
dvs. räknas som en 8 i 5.2.5.
- "Visuell kontroll" duger med största sannolikhet inte för SWAMID AL2.
Motsvarigheten i Freja eID+ anser vi inte uppfyller samma krav eftersom det
är inte bilden från resehandlingen som visas utan en egensatt bild.
*Lösenordsfri inloggning och multifaktorinloggning med hjälp av Passkeys*
Microsoft, Google och Apple pratar numera väldigt ofta lösenordsfri
(passwordless) inloggning och inom SWAMID och eduID har vi haft ögonen på
detta väldigt länge. Formellt heter denna standard Passkey och är en
speciell profil av FIDO2-standarden. Den primära avsikten med Passkeys är
att ersätta lösenord vid inloggning eftersom de både är säkrare och enklare
att använda enligt de som tagit fram standardprofilen. En sak som skiljer
Passkeys från övriga FIDO2-nycklar är att de kan vara synkningsbara mellan
enheter och det är precis vad Apple har implementerat i sin Keychain under
IOS och MacOS. Det har gjort att vi i Operations har funderat på om de kan
fortsätta att vara godkända som en faktor i multifaktorsinloggning. Nu har
NIST kommit med en vägledning, eller ett supplement till NIST SP.800-63B
när de beskriver deras syn på detta, Incorporating Syncable Authenticators
Into NIST SP 800-63B
<https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63Bsup1.p…>.
Denna vägledning är väldigt bra och tydligt skriven och konstaterar om
vissa kriterier är uppfyllda kan Passkeys uppfylla kraven för software
cryptographic authenticators vilka vi har med i SWAMIDs uppräknade godkända
MFA-modeller. Operations hade en lång diskussion runt detta, delvis
tillsammans med Zacharias, om vi ansåg att kraven är uppfyllda och
sammanfattningsvis kan vi nog anse att de är det men det kräver att
lagringen av en synkningsbar Passkey skyddas på korrekt sätt samt att
användarna i ”lösenordsreglerna” kraftigt avråds att låna ut eller dela med
sig av sina Passkeys till andra individer. VI kommer att bedöma varje
organisation för sig som vill använda Passkeys för sig för att se om de
uppfyller NISTs krav.
*Årlig bekräftelse*
Både i SWAMIDs tillitsprofiler och teknologiprofil för SAML WebSSO står det
att organisationer måste årligen bekräfta att de fortfarande uppfyller
kraven. Sedan i december har SWAMID Operations skickat ut påminnelsebrev om
att registrerade tjänster och identitetsutfärdare måste verifiera att
registrerat metadata fortfarande är korrekt. Varje entitet får en sådan
förfrågan en gång per år baserat på när de senast uppdaterade metadatat
eller när de verifierade senast. Vi har nu hunnit med ungefär hälften av
alla entiteter och genomfört första två avstängningarna eftersom de inte
verifierat sina metadata på minst ett år. Rent praktiskt går det till så
att när det gått 10 månader skickar vi ut ett första brev där vi ber dem
verifiera sina metadata. Sedan kommer det ett påminnelsebrev efter 11 och
12 månader. Efter 13 månader försöker vi få kontakt med dem ännu en gång
via alla kontaktvägar vi har registrerade i metadata samt historiska
kontaktuppgifter. Om de då inte verifierar sina metadata inom 2 veckor
avregistrerar vi dem ur SWAMID. De två tjänsterna som hittills har blivit
avstängda har inte återkommit till oss för att lägga tillbaka dem.
Vi håller nu på att förbereda för att göra motsvarande för IMPSer, dvs att
identitetsutfärdare årligen måste verifiera att deras IMPSer fortfarande
stämmer. Vi håller på att planera för hur vi ska göra detta och hur
systemstödet ska se ut men grundmodellen är den samma som med den årliga
verifieringen av metadata. Jag tror inte att vi hinner börja genomföra
denna kontroll förrän sent i höst. Fördelen med IMPS-verifieringen är att
vi alltid har en sista kontaktpunkt innan eventuell avstängningen sker,
Sunets kontaktperson för organisationen, så jag tror inte att detta kommer
att ge några oavsiktliga avstängningar.
*ADFS Toolkit*
En ny version av ADFS Toolkit är på väg. Denna innehåller en del ny
funktionalitet som vi vill att ska införa. Sunet har behov av att få
statistik om hur mycket SWAMID används och därför har vi implementerat
samma stöd för statistikrapportering som finns i Shibboleth IdP. Det kommer
göra att vi senare i år kommer att be alla som använder ADFS Toolkit
uppdaterar till senaste versionen.
*Shibboleth IdP v5*
Som ni troligtvis sett i Sunets månadsbrev och eventuellt i brev till
e-postlistan saml-admins måste alla som använder Shibboleth IdP som
identitetsutfärdare uppgradera till senaste versionen innan november.
Orsaken är att Shibboleth IdP v4 blir end-of-life 1 september i år. För att
stödja detta arbete har operations genomfört ett webinar som finns inspelat
och tillgängligt på Sunet Play
<https://play.sunet.se/channel/SWAMID%2B-%2BSwedish%2BAcademic%2BIdentity%2B…>.
Vidare har vi varannan vecka från mitten av april haft ett zoommöte
varannan torsdag för att kunna erbjuda hjälp. Vidare rekommenderar vi alla
att använda e-postlistan saml-admins för att få hjälp av varandra. Zoomötet
kommer att ta paus under sommaren och påbörjas igen i mitten av augusti och
hållas fram till slutet av november.
Det var allt för denna gång
Pål
Hej,
Vill bara på minna Ann, Magnus och Hans att svara på Doodlen för nästa
BoT-möte.
https://doodle.com/meeting/participate/id/bkOO7z6b
En av de saker som vi kommer ta upp och diskutera är en alternativ modell
för identitetskontroll vid besök i vid disk för att aktivera användarkonto
eller genomföra lösenordsbyte. Numera finns det möjlighet att läsa in pass
eller svenskt nationellt identitetskort i BankID och det är många personer
som vill använda det istället för att visa fysiskt identitetskort. Efter
ansökan från Södertörns högskola har vi i SWAMID Operations undersökt om
det är möjligt att göra detta på ett tillräckligt säkert sätt. Tillsammans
med Södertörns högskola har vi nu tagit fram ett förslag om hur man kan
genomföra en sådan identifiering och tanken är att vi ska upp modellen för
diskussion och beslut på nästa BoT. Fram till agendan skickas ut kommer jag
att generalisera Södertörns förslag så att det kan användas som mall för
andra organisationer.
Så här ser den föreslagna processen ut för Södertörns högskola:
Verifiering av Digitalt ID via BankID för utlämning av SH-konto sker genom
1. Personen som vill hämta ut sitt SH-konto tar fram sitt Digitala ID i
Mobilt BankID applikationen. För att göra det måste hen verifiera sig med
sitt mobila BankID. Det digitala ID:t visar under en begränsad tidsperiod
foto, ålder, namn och personnummer.
2. Kontohandläggaren kontrollerar att fotot på i det digitala ID:t
stämmer överens med personen de har framför sig. Kontohandläggaren
kontrollerar även säkerhetsdetaljerna enligt BankIDs instruktioner för
visuell kontroll (https://www.bankid.com/foretag/digitalt-id-kort) Om
kontrollerna av det digitala ID:t stämmer skannar kontohandläggaren
qr-koden på mobilskärmen med en hårdvaruscanner.
3. QR-kodens värde skickas via kontoutlämningsapplikationen till BankIDs
API för verifiering (
https://www.bankid.com/utvecklare/guider/verifiering-av-digitalt-id-kort/in…)
4. Resultat
1. Om BankIDs API godkänner QR-koden skickas användarens personnummer
och namn tillbaka till kontoutlämningsapplikationen och utlämningen av
SH-kontot kan göras med det verifierade personnumret.
2. Om BankIDs API inte godkänner QR-koden returneras endast en felkod
med beskrivning som visas i kontoutlämningsapplikationen. I och med att
kontoutlämningsapplikationen inte fått något personnummer från
BankIDs API
kan inget SH-konto lämnas ut.
Pål
Agenda SWAMID Board of Trustees 2024-03-22
Tid
2024-03-22 15.00--16.00
Plats
Videomöte i Zoom, https://sunet.zoom.us/j/7040801750
SWAMID Board of Trustees
* Zacharias Törnblom (ZT)
* Ann Amling
* Mauritz Danielsson (MD)
* Per-Olov Hammargren
* Magnus Höglund
* Jan Nordin
* Hans Wohlfart
Adjungerade
* Pål Axelsson (PA)
* Anders Sjöström (AS)
* Fredrik Domeij (FD)
Välkommen (ZT)
Fastställande av dagordning (ZT)
Beslut om ansökningar om godkännande av tillitsnivåer (PA)
* Göteborgs universitet ansöker om förnyat godkännande för SWAMID AL2
Göteborgs universitet utökar metoderna för bekräftande av invider för SWAMID AL2 till även svensk e-legtimation på tillitsnivå 3 eller högre.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras ansökan.
* Kungliga tekniska högskolan ansöker om förnyat godkännande för SWAMID AL2
Kungliga tekniska högskolan utökar metoderna för bekräftande av invider för SWAMID AL2 till även svensk e-legtimation på tillitsnivå 3 eller högre.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras ansökan.
* Södertörns högskola ansöker om förnyat godkännande för SWAMID AL2
Södertörns högskola utökar metoderna för bekräftande av studenter utan svenskt personnummer via eduID. Vidare införs även stöd för multifaktorinloggning som uppfyller kraven i SWAMIDs tilltisprofiler.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras ansökan.
* eduID ansöker om förnyat godkännande för SWAMID AL3 (FD)
eduID använder inte längre SvipeID för verifiering av resehandling (pass och nationellt identitetskort) och ändrar beskrivningen av denna kontroll till att inte explicit nämna företag som genomför den. Vidare vill eduID använda Svensk e-legitimation på tillitsnivå 2 för personer utan svenskt personnummer för begräftande på nivån SWAMID AL2.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras ansökan.
Översyn av SWAMIDs tillitsnivåer (PA)
Övriga frågor (ZT)
* Behov från forskningsinfrastrukturer som påverkar identietsutfärdarna (AS)
* Status Ladok och krav på tillitsnivåer (MD)
Nästa möte (ZT)
Avslutande (ZT)
Hej,
Jag har nu bestämt tiden för nästa SWAMID Board of Trustees till den 22
mars 15-16. Jag lommer att skicka ut en kalenderhändelse inkl zoomlänk när
jag är tillbaka i Sverige nästa vecka.
Jag har även bjudit in Anders Sjöström från Lunarc i Lund. Han har tackat
ja att bli en del av BoT ochbjgst nu väntar jag på det formella beslutet
från Sunets kommitté.
Pål
---------- Forwarded message ---------
Från: Doodle <mailer(a)doodle.com>
Date: ons 6 mars 2024 09:19
Subject: You booked: SWAMID Board of Trustees #1 2024
To: <pax(a)sunet.se>
The final time is now official.
<https://url1812.doodle.com/ls/click?upn=u001.Be96VLas4B-2FEwwhKPmNUWgS0UDuU…>
Time found, event booked
Hi Pål Axelsson,
We've booked your time for *SWAMID Board of Trustees #1 2024:*
22 mars 2024 15:00 - 16:00 Europe/Stockholm (GMT+01:00)
Awesome job! Notifications have been sent to participants—along with
calendar invites. Now you can focus on preparing for the event.
See booked event
<https://url1812.doodle.com/ls/click?upn=u001.Be96VLas4B-2FEwwhKPmNUWqKXNdOD…>
Hej,
Nu börjar det bli dags att planera in årets första BoT-möte. Gå in på nedanstående Doodle och svar så fort som möjligt så att jag kan planera när vi ska ha mötet.
https://doodle.com/meeting/participate/id/bk6P1xra
Pål
Agenda SWAMID Board of Trustees 2023-19-19*Tid*
2023-12-19 11.00--12.00
*Plats*
Videomöte i Zoom, https://sunet.zoom.us/j/68168833373
*Inbjudna*
- Zacharias Törnblom (ZT)
- Ann Amling
- Mauritz Danielsson (MD)
- Per-Olov Hammargren
- Magnus Höglund
- Jan Nordin
- Hans Wohlfart
- Per Zettervall
*Adjungerade*
- Pål Axelsson (PA)
Välkommen (ZT)Fastställande av dagordning (ZT)Beslut om ansökningar om
godkännande av tillitsnivåer (PA)
- *Örebro universitet ansöker om godkännande för SWAMID AL3*
-
*Karlstads universitet ansöker om förnyat godkännande för SWAMID AL3 *
-
*Högskolan i Kristianstad ansöker om förnyat godkännande för SWAMID AL2 *
-
*Högskolan i Skövde ansöker om förnyat godkännande för SWAMID AL2 *
-
*Mälardalens universitet ansöker om förnyat godkännande för SWAMID AL2 *
-
*Umeå universitet ansöker om förnyat godkännande för SWAMID AL3 *
Översyn av SWAMIDs tillitsnivåer (PA)Övriga frågor (ZT)Nästa möte
(ZT)Avslutande
(ZT)
Hej,
Nästa SWAMID Board of Trustees är den 19 december 11-12. Det var en av tre
tider som fungerade bäst för de som svarat.
Agenda kommer minst en vecka före möte.
Zoom möte
https://sunet.zoom.us/j/68168833373
Mötes-ID: 681 6883 3373
Pål
Hej,
Det var länge sedan vi hade ett BoT-möte och orsaken till det är att vi
inte haft några ärenden att avhandla. Nu har vi under de senaste veckorna
dock kommit så långt i höstens granskningsprocesser så att vi har 5 eller 6
IMPSer som SWAMID Operations har granskat och rekommenderar beslut. Tyvärr
är vi ju också på väg till slutet av året och julen närmar sig med
orkanfart i denna kyliga början av vintern. Jag försöker få till ett möte
mellan tredje och fjärde advent och jag vet att det är svårt men jag skulle
uppskatta om ni markerar alla tider ni kan så snabbt som det går så att vi
bokar en tid helst redan denna vecka.
Doodle: https://doodle.com/meeting/participate/id/avYP3RLe
Pål
