You are viewing an old version of this page. View the current version.

Compare with Current View Page History

Version 1 Next »

Vid inloggning till en tjänst som kräver SWAMID AL2 behöver ett antal kontroller göras. Om någon kontroll misslyckas så behöver användaren informeras om hur den bäst löser problemet.

Instruktionerna nedan är skrivna för Shibboleth Service Provider. Motsvarande behöver göras för annan SP-programvara.

Förslag på ordning av kontroller vid inloggning:

  1. Kontroll att IdP:n uppfyller SWAMID AL2 (assurance-certification/Meta-Assurance-Certification)
  2. Kontroll att identifierande attribut följer med (ex. eduPersonPrincipalName/eppn)
  3. Kontroll att assurance-attributet följer med från IdP:n (eduPersonAssurance/assurance)
  4. Kontroll att användaren uppfyller SWAMID AL2 (eduPersonAssurance/assurance)

Referenssidor:

1. Kontroll att IdP:n uppfyller SWAMID AL2

Se 3.3 Configure Shibboleth SP - Check for Identity Assurance or REFEDS SIRTFI#3.3ConfigureShibbolethSPCheckforIdentityAssuranceorREFEDSSIRTFI-GetassuranceprofilesfrommetadataintheShibbolethServiceProvider för att säkerställa att Meta-Assurance-Certification följer med som ett attribut till applikationen.

Attributet Meta-Assurance-Certification är en lista med certifieringar som IdP:n har i metadatan. Listan är typiskt en semikolonseparerad sträng, exempel:

http://www.swamid.se/policy/assurance/al1;http://www.swamid.se/policy/assurance/al2;http://www.swamid.se/policy/authentication/swamid-al2-mfa-hi;https://refeds.org/sirtfi

Kontrollera att exakt http://www.swamid.se/policy/assurance/al2 finns i listan. Om så inte är fallet så är det lämpligt att meddela användaren att IdP:n inte är godkänd för SWAMID AL2, uppmana användaren att uppmana sin IdP att ordna med detta samt eventuellt att hänvisa till eduID där alla med svenskt personnummer kan uppnå SWAMID AL2. En errorURL bör även presenteras för användaren med kod AUTHORIZATION_FAILURE och URL:en till SWAMID AL2 som kontext:

Din inloggningstjänst uppfyller inte tillitsnivån SWAMID AL2.

För tillgång till tjänsten så behöver både ditt lärosäte och ditt användarkonto uppfylla SWAMID Identity Assurance Level 2 Profile.

Vilka lärosäten och inloggningstjänster som gör detta framgår i SWAMIDs medlemslista.

Kontakta IT-support eller motsvarande för ditt lärosäte och uppmana dem att implementera tillitsnivån SWAMID AL2 så att tjänster i SWAMID säkert kan identifiera dig.

Din inloggningstjänst tillhandahåller denna informationssida som kan hjälpa dig att lösa detta problem: https://idp.example.se/ErrorUrl

I väntan på att ditt eget lärosäte implementerar SWAMID AL2 så kan du skapa ett eduID-konto på eduid.se och där bekräfta din identitet. I och med det så lyfter du då upp ditt eduID-konto till SWAMID AL2 och kan få tillgång till tjänsten via ditt konto på eduID.

Ditt användarnamn: abcdef01@example.se.

ErrorURL:en ovan ska då peka på https://idp.example.se/ErrorUrl/?errorurl_code=AUTHORIZATION_FAILURE&errorurl_ts=...&errorurl_rp=...&errorurl_tid=...&errorurl_ctx=http://www.swamid.se/policy/assurance/al2. Se Service Provider error handling during federated login för mer information om errorURL.

2. Kontroll att identifierande attribut följer med

Kontrollera att de attribut som krävs av tjänsten har ett värde. Detta kan typiskt röra sig om eduPersonPrincipalName som ofta används som användarnamn i tjänster, eller kanske norEduPersonNIN eller personalIdentityNumber. Om attribut saknas så är det lämpligt att meddela användaren att IdP:n inte skickar attributen som krävs för att identifiera dig, hänvisa användaren till sin support via IdP:ns errorURL, med kod IDENTIFICATION_FAILURE och entitetskategori (samt eventuellt specifikt attribut) som kontext:

Din inloggningstjänst skickade ingen identitet

Ingen identitet skickades med vid inloggning. Kontakta IT-support eller motsvarande för ditt lärosäte eller din inloggningtjänst för hjälp.

Din inloggningstjänst tillhandahåller denna informationssida som kan hjälpa dig att lösa detta problem: https://idp.example.se/ErrorUrl

Teknisk information: eduPersonPrincipalName (eppn) saknas

ErrorURL:en ovan ska då peka på https://idp.example.se/ErrorUrl/?errorurl_code=IDENTIFICATION_FAILURE&errorurl_ts=...&errorurl_rp=...&errorurl_tid=...&errorurl_ctx=http://refeds.org/category/research-and-scholarship,%20eduPersonPrincipalName.

3. Kontroll att assurance-attributet följer med från IdP:n

Förutom de direkt identifierande attributen så behöver även kontroll göras att assurance-attributet följer med. IdP:er kan vara konfigurerade att släppa användarnamn och personnummer men specifikt inte assurance. Alla användare i SWAMID måste uppfylla minst SWAMID AL1 så frånvaro av attributet beror sannolikt på att IdP:n inte alls släpper attributet. Om attribut saknas så är det lämpligt att meddela användaren att IdP:n inte skickar tillitsnivå, hänvisa användaren till sin support via IdP:ns errorURL, med kod IDENTIFICATION_FAILURE och entitetskategori (samt eventuellt eduPersonAssurance) som kontext:

Din inloggningstjänst skickade ingen tillitsnivå

Ingen tillitsnivå skickades med vid inloggning. Kontakta IT-support eller motsvarande för ditt lärosäte eller din inloggningtjänst för hjälp.

Din inloggningstjänst tillhandahåller denna informationssida som kan hjälpa dig att lösa detta problem: https://idp.example.se/ErrorUrl

Teknisk information: eduPersonAssurance saknas

ErrorURL:en ovan ska då peka på https://idp.example.se/ErrorUrl/?errorurl_code=IDENTIFICATION_FAILURE&errorurl_ts=...&errorurl_rp=...&errorurl_tid=...&errorurl_ctx=http://refeds.org/category/research-and-scholarship,%20eduPersonAssurance.

4. Kontroll att användaren uppfyller SWAMID AL2

Kontrollera slutligen att SWAMID AL2 uppfylls för användaren. Attributet assurance är en lista med tillitsnivåer som användaren uppfyller. Listan är typiskt en semikolonseparerad sträng, exempel:

http://www.swamid.se/policy/assurance/al1;http://www.swamid.se/policy/assurance/al2

Kontrollera att exakt http://www.swamid.se/policy/assurance/al2 finns i listan. Om så inte är fallet så är det lämpligt att meddela användaren att kontot behöver bekräftas hos användarens lärosäte/inloggningstjänst. En errorURL bör även presenteras för användaren med kod AUTHORIZATION_FAILURE och URL:en till SWAMID AL2 som kontext:

Bekräftad användare krävs

Ditt användarkonto vid ditt lärosäte eller din inloggningstjänst är inte bekräftat. Kontakta IT-support eller motsvarande för ditt lärosäte för hjälp. Använder du eduID för att logga in måste du logga in i eduID och där bekräfta din identitet.

Din inloggningstjänst tillhandahåller denna informationssida som kan hjälpa dig att lösa detta problem: https://idp.example.se/ErrorUrl

Ditt användarnamn: abcdef01@example.se.

ErrorURL:en ovan ska då peka på https://idp.example.se/ErrorUrl/?errorurl_code=AUTHORIZATION_FAILURE&errorurl_ts=...&errorurl_rp=...&errorurl_tid=...&errorurl_ctx=http://www.swamid.se/policy/assurance/al2.

Om användarna i tjänsten förväntas ha en hög teknisk kompetens kan det ofta också vara lämpligt att hänvisa till https://release-check.swamid.se/ där användaren kan se sina egna attribut och annan information kopplat till sin inloggningstjänst.

  • No labels