...
Aktiviteter | Beskrivning och motivering av behov | Vi beräknar att vi är klara med arbetet i denna aktivitet till den |
---|---|---|
Compliance-process för LoA2 med DIGG | I och med detta godkännande kan eduID användas även för de tjänster som kräver en nivå 2 enligt DIGGs ramverk för tillit. | Klar, godkända för e-legitimation Digg tillitsnivå 2 |
eIDAS | Möjliggöra att fler studentgrupper genom eduID kan använda högskolors och universitets tjänster. | Finns driftsatt i produktion |
Verifiera identitet genom resehandling | Erbjuda möjlighet att med hjälp av en resehandling (pass, nationell identietshandling) verifiera sin identitet på nivå SWAMID AL2 i eduID. | Finns driftsatt i produktion |
Följa SWAMID:s uppdaterade rekommendationer | SWAMID har lanserat nya rekommendationer (länk till dessa riktlinjer). För att följa dessa behöver vi för eduID:s del lägga till och uppdatera en del attribut (länk till förklaring av förändringarna) och förändringarna för eduID utskrivet: Två nya identitetsattribut: Om any eller pairwise-id i metadataattributet urn:oasis:names:tc:SAML:profiles:subject-id:req ger pairwise-id, resp. subject-id ger subject-id Nya entitetskategorier: | Finns driftsatt i produktion |
eduID proxy i produktionsmiljö | Del av arbetet med eduID Connect. | Finns driftsatt i produktion |
Uppdatering av användargränssnitt | Ökad användbarhet med tydlighet i menyer och hur information presenteras på sidan. | Finns driftsatt i produktion |
Uppdatering av flöden för verifiering | Verifiering av identitet tillgängliggörs genom att bli del av flödet när man loggat in. | Finns driftsatt i produktion |
Inbjudnings-flöde för Connect | Möjliggöra att man kan bjuda in någon till en eduID Connect IdP, samt se status på om någon har accepterat inbjudan. | Finns driftsatt i produktion |
Bistå eduID Connect för Sunet | Sunet ska börja använda eduID som inloggning mot sin IdP i eduID Connect. | Finns driftsatt i produktion |
Verifiera identitet med | Verifiering med ytterligare svenska e-legitimationer (exempelvis BankID) i syfte att underlätta åtkomst till system med krav på tillitsnivå SWAMID AL2 och AL3 samt Digg e-leg LoA2. BankID som verifieringsmetod kommer finnas tillgänglig för interna tester till sommaren, och från i hösten kommer det gå att använda för att verifiera identitet på konton. | Finns driftsatt i produktion |
MFA step-up | eduID kommer kunna användas för att göra en MFA step-up (efter inloggning med egen IdP som inte har MFA) för de tjänster som kräver det. | Finns driftsatt i produktion |
Ombudshantering av särskilda konton | I samband med Skolverkets projekt Digitala nationella prov ska Sunet erbjuda en identitetstjänst (IdP) för skolhuvudmän som inte. Identitetstjänsten ska även erbjuda en särskild kontotyp för elever. Denna kontotyp finns inte i eduID sedan tidigare, eftersom den förutsätter att ett eduID-konto har kontroll över ett annat (kan skapa det, göra lösenordsåterställning och kan radera det). | Finns driftsatt i produktion |
Bistå med eduID Connect för skolhuvudmän | Den nya tjänsten eduID Connect kommer göras tillgänglig för att skolhuvudmän utan egen IdP ska kunna identifiera sig för test mot Provtjänsten hos Skolverket inom projektet Digitala nationella prov. | Finns driftsatt i produktion |
Presentera urval godkända säkerhetsnycklar | eduID förlitar sig på den standariserande parten Fido Alliance kring säkerhetsnycklar och kontroll av dessa. Fido Alliance låter förlitande parter hämta metadata över säkerhetsnycklar, där olika nycklar har olika säkerhetsfunktioner. eduID:s bedömning är att endast en del av nycklarna uppnår de krav vi ställer. Därför ska vi presentera en lista som uppdateras automatiskt varje månad över de säkerhetsnycklar som enligt vår bedömning kan användas med eduID, samt beskriva varför vi gjort detta urval. | Finns driftsatt i produktion |
Välja tilltalsnamn | Ett eduID-konto med en verifierad personkoppling kan inte ändra på namnet. Vi vill möjliggöra att man ska kunna välja vilket av ens förnamn som ska skickas med till tjänsten man loggar in mot. | Finns driftsatt i produktion |
Följa SWAMID:s tillitsprofil kopplat till eduPersonAssurance | "Cappucino" för AL2 och "Cappucino" + "Espresso" för AL3 | Finns driftsatt i produktion |
Ange namn i signup-flödet | Många tjänster inom SWAMID kräver att ett namn finns angivet på kontot för att inloggning ska kunna ske. Vi har tidigare förtydligat det behovet genom en steg-för-steg guide i gränssnittet. Nu lägger vi till det i signup-flödet vilket gör att konton inte kan skapas utan namn, vilket gör att de direkt efter skapande kan användas på nivå AL1. | Finns driftsatt i produktion |
Särskilja verifikationsmetoder | Olika verifikationsmetoder signalerar olika tillitsnivå i SWAMID:s - och DIGG:s ramverk. Därför kommer vi bygga upp logik respektive verifikationsmetod så att rätt signalering sker ut mot extern tjänst. Vilken metod som använts signaleras inte ut till externa tjänster, utan används bara inom eduID för att avgöra vilken tillitsnivå man kan signalera till den externa tjänst användaren loggar in mot. | Finns driftsatt i produktion |
Ange eget lösenord i signup-flödet | Användare ska ges möjlighet att ange ett eget lösenord direkt i signup-flödet istället | Finns driftsatt i produktion |
"Säkerhetscenter" | För den användare som lagt till en MFA, och har loggat in med exempelvis lösenord eller med en betrodd device ska det krävas en ytterligare inloggning inuti tjänsten med MFA för att kontrollera och justera inställningar som gäller inloggningsmetoder - så som ändring av lösenord eller lägga till en ny MFA. Så fungerar det redan i praktiken idag, då man om lagt till MFA alltid behöver logga in med denna metod, men i och med införandet av "MFA vid behov" och "Passwordless login" kommer man kunna logga in med en metod som har en lägre säkerhetsnivå - men kommer då inte kunna göra ändringar som kan påverka åtkomsten till kontot förens dess man loggat in med MFA. | Finns driftsatt i produktion |
MFA vid behov | När användaren lagt till en metod för multifaktors-inloggning ska tjänster som använder eduID kunna signalera om det krävs en enkel- eller multifaktors-inloggning för att kunna logga in. Detta gör det möjligt att logga in med nivå AL1 för de tjänster som kräver det, och AL2 för de tjänster som kräver det. | Finns driftsatt i produktion |
Möjlighet för en användare att ta bort samtliga säkerhetsnycklar från ett konto | En användare ska kunna ta bort alla säkerhetsnycklar från ett konto. När en säkerhetsnyckel läggs till på ett kontot markeras detta konto som att det har stöd för multifaktors-inloggning. När denna övergång från ett enkelt till ett konto säkrat med säkerhetsnyckel har skett så går det inte att ångra. Förändringen vi vill göra är att användaren, vid behov, ska kunna ta bort sina säkerhetsnycklar, så att det bara krävs lösenord för att logga in på kontot. | Finns driftsatt i produktion |
Återverifiering av ett konto | En användare ska kunna välja att ta bort sin verifiering från ett konto. Det kan vara anvädbart exempelvis om man sedan tidigare har haft ett utländskt medborgarskap, och sen får ett svenskt medborgarskap och då kunna koppla sin svenska identitet till eduID-kontot. Ett annat användningsfall är att kunna byta vilken verifieringsmetod man använt om man ska komma åt en tjänst som har särskilda krav på tililtssignaleringar, där olika verifieringsmetoder ger möjlighet för kontot att signalera olika saker till tjänsten. | Finns driftsatt i produktion |
Styrkta samordningsnummer | Tjänster inom SWAMID börjar förbereda stöd för styrkta samordningsnummer. I och med detta ska eduID kunna hantera verifiering av konton för de med styrkta samordningsnummer, så att kontot kan användas för att göra koppling mot en tjänst eller annan IdP som kräver det. | Finns driftsatt i produktion |
Verifiera identitet genom resehandling | Erbjuda möjlighet att med hjälp av en resehandling (pass, nationell identietshandling) verifiera sin identitet på nivå SWAMID AL2 i eduID. | Finns driftsatt i produktion |
eduID meddelar användaren om kontot inte uppnår rätt nivå | eduID kontrollerar och meddelar användaren vid inloggning mot en tjänst om kontot inte når upp till kraven som tjänsten kräver. Det gäller då om kontot behöver vara verifierat, om inloggning med en andra faktor eller om inloggning med en verifierad säkerhetsnyckel krävs. | Finns driftsatt i test |
Bistå eduID Connect proxy för Teknik 8:an | Den infrastruktur som byggts upp för att möjliggöra Digitala nationella prov kommer kunna användas för andra projekt inom skolan. Först ut är Teknik 8:an. |
|
AL2/AL3 efter avslutat registreringsflöde | Idag ingår verifiering av epostadress i registreringsflödet. Detta innebär att kontot har tilitsnivå AL1 efter registreringsflödet. Därefter ber vi användaren i nästa steg att logga in för att lägga till säkerhetsnyckel och verifiera sin identitet. Vi vill istället att användaren redan i flödet för att registrera sig ska ha möjlighet att verifiera sin identitet och lägga till säkerhetsnyckel. Användaren har då tillitsnivå AL2 eller AL3 vid slutfört registreringsflöde. Med detta anser vi att det blir ännu enklare för en användare att uppnå de nivåer/de inställningar på sitt konto som idag krävs för många tjänster. | 2024 |
ESI för alla anslutna lärosäten | ESI blir ett allt mer centralt begrepp. eduID kan idag hjälpa de lärosäten som så önskar att hämta ut dessa ESI för studenter, men processen för detta kan förenklas genom att kopplingen till LADOK för eduID blir generell istället för som idag att varje lärosäte behöver förse eduID årligen med ett certifikat. | 2024 |
Passwordless login | Möjliggöra inloggning med en betrodd device, utan att behöva ange ett lösenord. | 2024 |
Mina meddelanden | För att verifiera sin identitet kan man idag ta emot ett brev hem i brevlådan. Vi kommer lägga till möjligheten att även ta emot och verifiera sig genom digitala brev hos Mina meddelanden (Min myndighetspost, Kivra, m.fl.). | 2024 |
...