I identitetsfederationen SWAMID är tillit till att universitet, högskolor hanterar användare och inloggningar tillräckligt bra grunden för att tjänsteleverantörer ska lita på att det är rätt användare som loggar in. Inom SWAMID använder vi för oss anpassade tillitsprofiler för att påvisa vilken tillit en tjänsteleverantör kan ha när det gäller att det är rätt person som loggar in i tjänsten. Vi har tagit fram två tillitsprofiler: SWAMID AL1 för obekräftade användare där uppgifter om användaren kan vara självuppgivna och okontrollerade och SWAMID AL2 där uppgifter om användaren är kontrollerade av användarens hemorganisation.

För att en medlemsorganisation ska bli godkänd att signalera en viss tillitsprofil för en användare vid inloggning i tjänst måste medlemmen först se till att organisationen blir godkänd för aktuell, eller högre, tillitsprofil. För att bli godkänd måste medlemsorganisationen skriva en tillitsdeklaration (en. Identity Management Practice Statement, förkortat IMPS), för att visa att medlemsorganisationen uppfyller kraven i aktuell tillitsprofil. Observera att alla användare i medlemsorganisationen inte behöver uppfylla samma tillitsprofil så länge som aktuell nivå kan säkerställas med attributrelease.

Som en förberedelse inför workshopen rekommenderar vi följande:

• Leta upp länkar eller dokument till organisationens
  • användarregler,
  • lösenordspolicy,
  • tjänstedefinition för identitetsutgivaren (IdP) eller användarhanteringssystem (IAM) och
  • policy för hantering av personuppgifter för identitetsutgivaren (IdP).
  • (eller motsvarande)
• Gå igenom mallen för IMPS och sammanställ den information som lärosätet har i driftdokumentation, policydokument osv.
  • IMPS-mallen finns under rubriken "Mallar för bästa praxis" på wikisidan SWAMID Identity Assurance.
• Glöm inte att prata med dina kollegor om det finns några frågor du är osäker på.

Material:

• Presentation som används under workshopen: SWAMID WS 2016 - Att skriva IMPS.pdf