Versions Compared

Old Version 6

changes.mady.by.user Pål Axelsson

Saved on

compared with

New Version 7

changes.mady.by.user Pål Axelsson

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

För att möte behovet av multifaktorinloggning i Nais utan att begränsa användningen har SWAMID Operations policygrupp tagit fram en ny multifaktorinloggningsprofil för SWAMID. Den nya profilen för personverifierad multifaktorinloggning är användbar för användare vid svenska lärosäten även för andra tjänster både i Sverige och inom andra akademiska federationer anslutna till eduGAIN.

Den nya profilen för personverifierad multifaktor består i princip av tre delar:

  • Administrativa krav i hanteringen av multifaktorn vid utdelande, utbyte och borttagande
    • En multifaktor får inte kopplas till personens konto endast genom att användaren loggar in och registrerar egen multifaktor utan kopplingen måste ske genom
      • utdelande på samma sätt som när lärosätet genomför kontoutdelning för en person får ett konto med tillitsnivå SWAMID AL2 eller
      • utdelande där personen under processen för att få tillgång till multifaktorn uppvisar legitimation (det är denna som är krav för Nais).
    • Användaren måste kunna byta ut sin multifaktor vid t.ex. byte av mobiltelefon.
    • Lärosätet måste kunna spärra användningen användarens multifaktor om behov finns.
    • Det är möjligt, men inte ett krav, att personen kan samtidigt ha mer än en multifaktor registrerad och aktiv kopplade till sin användare.
  • Tekniska krav på multifaktorlösningen
    • Tillåter både lösningar där befintligt lösenord kompletteras med en andra fysisk inloggningsfaktor och en fullständig multifaktor där åtkomst till den andra faktorn skyddas i den fysiska faktorn av en pinkod eller biometri.
    • Profilen innehåller inte vilka tekniska implementationer som kan användas utan pekar ut ett antal modeller från NIST 800-63B. NIST-standarden används för att inte få ett godtycke i val av multifaktormetoder.
    • Multifaktorn ska inte gå att kopiera mellan olika neheter, t.ex. mellan mobiltelefoner.
    • Profilen tillåter både användning av och åsidosättande av Single-Sign On.
  • Tekniska krav för att använda multifaktorinloggning i SWAMID
    • Särskild markering i metadata över om lärosätet uppfyller kraven för personverifierad multifaktor inkl. nivå.
    • Begäran om att använda multifaktorinloggning samt signalering att multifaktorinloggning skett genomförs med den akademiska federationsstandarden REFEDS MFA.

Ett slutgiltigt förslag efter samråd med SWAMIDs medlemmar genom Sunetdagarna och ett webinar med efterföljande frågestund finns på Sunets wiki under adressen https://wiki.sunet.se/display/MFAiNAIS/Final+Draft+of+SWAMID+Person-Proofed+Multi-Factor+Profile.


SWAMID Operations föreslår att SWAMID Board of Trustees godkänner den profilen för personverifierad multifaktorinloggning.

eduID, framtidsplaner (FP)

...

SWAMID Operations, policy gruppen (PA)

För att säkerställa en bred förankring av SWAMID Operations arbete rörande SWAMIDs regelverk och granskningar om godkännande för SWAMIDs tillitsprofiler behöver SWAMID Operations att kompletteras med ytterligare personer.

Ladok och AL2, MFA (MD)

Nästa möte (slutet på sept)

...