I identitetsfederationen SWAMID är tillit till att universitet och högskolor hanterar användare och inloggningar tillräckligt bra grunden för att tjänsteleverantörer ska lita på att det är rätt användare som loggar in. För att definiera vad som är tillräckligt bra SWAMID finns två tillitsprofiler, SWAMID AL1 och SWAMID AL2.

SWAMID Identity Assurance Level 1 Profile (SWAMID AL1)

Tillitsprofilen SWAMID AL1 innebär tre saker:

1. Att det är en person som innehar och använder kontot, detta kallas även för obekräftad användare.
2. Informationen knuten till kontot är oftast uppgiven av och ansvaras för av användaren själv.
3. Lärosätets identitetshanteringssystem uppfyller minst kraven i SWAMID AL1.

För att en medlem ska bli godkänd som identitetsutfärdare för tillitsprofilen SWAMID AL1 krävs en tillitsdeklaration genom Identity Management Practice Statement (IMPS) tillsammans med tillgång till eventuella dokument som hänvisats till. SWAMID kontrollerar tillitsdeklarationen tillsammans med undertecknad SWAMID AL1 check list (finns på ovanstående länk) innan godkännande.

SWAMID Identity Assurance Level 2 Profile (SWAMID AL2)

Tillitsprofilen SWAMID AL2 innebär tre saker:

1. Utökning av SWAMID AL1.
2. Ställer högre krav på att lärosätet vet vem personen är som innehar och använder kontot, detta kallas även för bekräftad användare.
3. Lärosätet ansvarar för personinformationen till skillnad från i SWAMID AL1.

För att en medlem ska bli godkänd som identitetsutfärdare för tillitsprofilen SWAMID AL2 krävs en tillitsdeklaration genom Identity Management Practice Statement (IMPS) tillsammans med tillgång till eventuella dokument som hänvisats till. SWAMID genomför en granskning av tillitsdeklarationen innan godkännande.

SWAMID AL1 eller SWAMID AL2?

De flesta tjänster har bara behov av tillitsprofil SWAMID AL1 men vissa verksam­hetskritiska tjänster såsom antagningssystemet NyA och studie­dokumentations­systemet Ladok kräver för all, eller viss, användning att användaren är en bekräftad användare, dvs. tillitsprofil SWAMID AL2. En god rekommendation är att system som ger användaren tillgång till personuppgifter om användaren själv eller om andra personer bör kräva konton som minst uppfyller SWAMID AL2.

Alla användare vid lärosätet ett lärosäte behöver inte uppfylla samma tillitsprofil så länge som inloggningstjänsten via s.k. attributrelease kan signalera till aktuell tjänst vilken tillitsprofil som användaren har. Ett lärosäte kan bli godkänt ggodkänt för att intyga att enskilda användare uppfyller:

• SWAMID AL1 AL2 eller SWAMID AL2AL1,
• endast SWAMID AL1 eller
• ingen av dem.

...

För att en medlem ska bli godkänd att signalera en viss tillitsprofil vid inloggning i tjänst för en användare inom federationen måste medlemmen först se till så att medlemsorganisationen blir godkänd för aktuell tillitsprofil, eller en högre tillitsprofil. För att bli godkänd måste medlemmen skriva en tillitsdeklaration för att visa att medlemsorganisationen uppfyller kraven i tillitsprofilen. Detta görs genom en tillitsdeklaration. Tillitsdeklarationen består av en Identity Management Practice Statement (IMPS), se mall nedan, tillsammans med de dokument som refereras till i IMPS. För SWAMID AL1 krävs även att SWAMID AL1 check list bifogas tillitsdeklarationen.

SWAMID Identity Assurance Level 1 Profile (SWAMID AL1)

• Beslutad SWAMID Identity Assurance Level 1 Profile.
• För godkännande av identitetsutfärdare krävs tillitsdeklaration genom Identity Management Practice Statement (IMPS) tillsammans med tillgång till eventuella dokument som hänvisats till.
• SWAMID kontrollerar tillitsdeklarationen tillsammans med undertecknad SWAMID AL1 check list (finns på ovanstående länk) innan godkännande.

SWAMID Identity Assurance Level 2 Profile (SWAMID AL2)

...

, se ovan.

Mallar för att bästa praxis

...