SWAMIDs policyramverk genomgår den tredje större översynen sedan SWAMID första policy skrevs 2006. Målet med denna översyn är primärt att förtydliga, förenkla och sist men inte minst öppna upp för fler inloggningsmetoder än lösenord. Policyöversynens grundförutsättning är att ingen som idag är godkänd enligt nuvarande tillitsramverk inkl. tillitsprofiler behöver gå igenom ny godkännandeprocess förutom för den nya tillitsprofilen SWAMID AL3.

Översynen genomförs av SWAMID Operations men alla medlemsorganisationer och anslutna tjänster kommer att kunna kommentera och föreslå förändringar i flera s.k. Community Consensus Processes. Denna process innebär att SWAMID Operations skickar ut ett eller flera av policydokumenten för påsyn och kommentarer. Därefter kommer SWAMID Operations kommer bjuda in till presentations- och diskussionsmöten. Det går även att skicka kommentarer till e-postlistan saml-admins eller direkt till SWAMID Operations.

Aktuell status

Community Consensus Process 1 - 2020-04-07 – 2020-05-15

SWAMID Operations inbjuder nu alla till att läsa och kommentera de första förslagen till uppdateringar av SWAMIDs policyramverk, SWAMIDs huvudpolicy och de två befintliga tillitsprofilerna samt den helt nya tillitsprofilen SWAMID AL3.

Huvudpolicyn innehåller mest moderniseringar men med en stor förändring. Det står nu ännu tydligare att alla medlemsorganisationer med identitetsutgivare måste vara godkända för minst en tillitsprofil. De organisationer som idag inte är godkända för någon tillitsprofil kommer att få en övergångsperiod tills när de måste vara godkända. SWAMID Board of Trustees beslutar hur lång denna övergångsperiod blir.

De två befintliga tillitsprofilerna har moderniserats och de största förändringarna rör avsnitt 5.1.1 om inloggningsmetoder och avsnitt 5.2.5 runt identifiering av användare. Även avsnitt 5.3 och 5.4 har uppdaterats för att följa förändringarna i avsnitt 5.2.5. Det finns endast en brytande förändring och det är att lösenordskraven i SWAMID AL1 höjs till de befintliga i SWAMID AL2. SWAMID Operations har inte hittat någon organisation som redan är godkänd för SWAMID AL1 som inte uppfyller det förändrade kravet redan nu.

Den nya tillitsprofilen SWAMID AL3 ersätter inloggningsprofil för Person-Proofed Multi-Factor with high identity assurance som togs fram till Nais för något år sedan. De tre identitetsutfärdare som idag är godkända för MFA-inloggning som fungerar i Nais kommer behöva genomgå ett nytt godkännandeförfarande.

Policydokument som ingår Community Consensus Process 1

• SWAMID Federation Policy v3.0 DRAFT
• SWAMID Identity Assurance Level 1 Profile v3.0 DRAFT
• SWAMID Identity Assurance Level 2 Profile v2.0 DRAFT
• SWAMID Identity Assurance Level 3 Profile v1.0 DRAFT

Zoommöten för presentation och diskussion

SWAMID Operations kommer att genomföra två tvåtimmars möten med presentation och diskussion runt förändringen. Ni är välkomna att delta på ett eller bägge men de kommer att ha samma innehåll.

• Onsdagen den 15 april 13-15 - https://sunet.zoom.us/j/949971361
• Tisdagen den 21 april 10-12 - https://sunet.zoom.us/j/771116799

Presentationen från zoommötena

• Policyöversyn 2020 - Community Consensus Process 1

Tidsperiod för Community Consensus Process 1

Under perioden 7 april till den 15 maj är det möjligt att diskutera och kommentera förslagen till förändringar. Därefter kommer SWAMID Operations att gå igenom kommentarer och diskussioner som framkommit. Arenor för diskussioner och kommentarer är zoommötena, e-postlistan saml-admins och direktbrev till SWAMID Operations.

SWAMID's policy framework is undergoing the third major review since SWAMID's first policy was written in 2006. The goal of this review is primarily to clarify, simplify and last but not least to open up more login methods than passwords. The basic premise of the policy review is that no one who is currently approved according to the current assurance framework incl. assurance profiles need to go through a new approval process except for the new assurance profile SWAMID AL3.

The review is being carried out by SWAMID Operations, but all member organisations and affiliated services will be able to comment on and propose changes in several Community Consensus Processes. This process means that SWAMID Operations sends out one or more of the policy documents for review and comment. Subsequently, SWAMID Operations will invite you to presentation and discussion meetings. You can also send comments to the mailing list saml-admins or directly to SWAMID Operations.

Current status

Community Review 1 - 2020-04-07 – 2020-05-15

SWAMID Operations invites everyone to read and comment on the first proposals for updates on the SWAMID's policy framework. In the first round SWAMID's main policy and the two existing assurance profiles and the brand new assurance profile SWAMID AL3 are included.

The main policy contains most modernisation's but with a major change. It is now even clearer that all member organisations with identity providers must be approved for at least one assurance profile. Those organisations that are currently not approved for any assurance profile will have a transitional period until when they must be approved. The SWAMID Board of Trustees decides how long this transition period will be.

The two existing assurance profiles have been modernised and the biggest changes are in section 5.1.1 on login methods and section 5.2.5 around user identification. Sections 5.3 and 5.4 have also been updated to follow the changes in Section 5.2.5. There is only one breaking change and it is that the password requirements in SWAMID AL1 are increased to the existing ones in SWAMID AL2. SWAMID Operations has not found any organisation that is already approved for SWAMID AL1 that does not already meet the changed requirement.

The new assurance profile SWAMID AL3 replaces the login profile for Person-Proofed Multi-Factor with high identity assurance that was developed for Nais a year ago. The three identity providers that are currently approved for MFA login that works with Nais will need to undergo a new approval process.

Policy documents included in Community Consensus Process 1

• SWAMID Federation Policy v3.0 DRAFT
• SWAMID Identity Assurance Level 1 Profile v3.0 DRAFT
• SWAMID Identity Assurance Level 2 Profile v2.0 DRAFT
• SWAMID Identity Assurance Level 3 Profile v1.0 DRAFT

Zoom meetings for presentation and discussion

SWAMID Operations will conduct two two-hour meetings with presentation and discussion around the change in Swedish. You are welcome to participate in one or both but they will have the same content.

• Wednesday, April 15, 13-15
• Tuesday, April 21, 10-12

Community Consensus Process Time Period 1

During the period 7 April to 15 May, it is possible to discuss and comment on the proposed changes. Subsequently, SWAMID Operations will go through comments and discussions that have emerged. The arenas for discussions and comments are the zoom meetings, the mailing list saml-admins and direct mail to SWAMID Operations.