- Lärosätet måste vara godkänt för tillitsprofilen SWAMID AL2 (observera som vanligt att alla användare inte måste uppfylla kraven utan man kan ha användare som är SWAMID AL2 och andra som är SWAMID AL1 inom samma lärosäte, för mer information se SWAMID Identity Assurance på SWAMIDs wiki). Tekniskt kommer det att vara SP:ns ansvar att enkom godkänna användare som uppfyller SWAMID AL2 i samband med användande av REFEDS Multi-Factor Authentication (MFA) Profile.
- Lärosätet måste implementera multifaktorinloggning i sin identitetsutfärdare baserat på SWAMIDs regelverk för REFEDS Multi-Factor Authentication (MFA) Profile.
- Lärosätet måste stödja Re-Authentication för SP:er som efterfrågar detta. SWAMIDs instruktioner för hur SP:er ska implementera multifaktorinloggning kommer ställa krav på Re-Authentication för att starta och avsluta en inloggningssession på ett säkert sätt.
Om inte lärosätet av en eller annat skäl kan genomföra det som de måste göra innan kravet på multifaktor i Nais kommer att införas kommer Sunets tjänst eduID tillhandahålla multifaktorinloggning men då måste användaren använda ett eduID-konto för att logga in i Nais. Vad ska UHR göra i Nais- I inloggningsförfrågan från Nais till ett lärosätes IdP ska Nais ställa krav på:
- att användare måste logga in med multifaktor genom att tekniskt signalera krav på REFEDS-MFA för inloggningen och
- att användaren måste logga in på nytt oberoende om denna redan sedan tidigare hade en giltig inloggning i IdPn eller inte.
- När godkänd inloggning är genomförd ska Nais tekniskt kontrollera följande innan användaren släpps in i Nais:
- att lärosätet uppfyller kraven för SWAMID AL2,
- att användaren uppfyller kraven för SWAMID AL2,
- att inloggningen har skett med multifaktor och
- att inloggningen i löärosätets IdP inte är äldre än 5 minuter.
|