Videomöte i Zoom
Pål öppnar mötet och hälsar alla välkomna.
Dagordningfastställs.
European Spallation Source (ESS) ansöker om att bli medlemmar av SWAMID samt godkännande för uppfyllande SWAMID AL1
Efter granskning anser SWAMID Operations att kraven uppfylls och rekommenderar SWAMID Board of Trustees att godkänna ansökan.
Beslut: SWAMID Board of Trustees godkänner European Spallation Source ansökan om att bli medlemmar av SWAMID samt godkännande för tillitsnivå SWAMID AL1.
World Maritime University ansöker om att bli medlemmar av SWAMID samt godkännande för uppfyllande SWAMID AL1
Efter granskning anser SWAMID Operations att kraven uppfylls och rekommenderar SWAMID Board of Trustees att godkänna ansökan.
Beslut: SWAMID Board of Trustees godkänner World Maritime University's ansökan om att bli medlemmar av SWAMID samt godkännande för tillitsnivå SWAMID AL1.
Enskilda högskolan Stockholm ansöker om godkännande för uppfyllande av SWAMID AL2
Efter granskning anser SWAMID Operations att kraven uppfylls och rekommenderar SWAMID Board of Trustees att godkänna ansökan.
Beslut: SWAMID Board of Trustees godkänner Enskilda högskolan Stockholms ansökan om godkännande för tillitsnivå SWAMID AL2.
Stockholms universitet ansöker om förnyat godkännande för uppfyllande SWAMID AL2
Efter granskning anser SWAMID Operations att kraven uppfylls och rekommenderar SWAMID Board of Trustees att godkänna ansökan. SU har omarbetat sina aktiveringsrutiner och rutiner för lösenordsåterställning för att bättre kunna hantera dessa processer vid i pandemitider.
Beslut: SWAMID Board of Trustees godkänner Stockholms universitets ansökan om förnyat godkännande för tillitsnivå SWAMID AL2.
Vid föregående möte med SWAMID Board of Trustees beslutades att interimistiskt ge godkännande för SWAMIDs deltagande i interfederationen FIDUS. Innan slutgiligt beslut tas av SWAMID Board of Trustees behövs en tydligare beskrivning av vad FIDUS är, varför SWAMID behöver vara medlemmar samt en riskanalys för påverkan av befintlig användning av SWAMID.
Bakgrund
Skolverket inför på riksdagens och regeringens uppdrag [Uppdrag att digitalisera de nationella proven m.m. U2017/03739/GV] digitala nationella prov i grundskola, gymnasieskola samt kommunal vuxenutbildning. Skolverket tillhandahåller de digitala nationella proven och vissa andra funktioner som e-tjänster riktade till elever och personal (användare) hos skolhuvudmän.
...
Om FIDUS
FIDUS ägs av Skolverket men utvecklas och förvaltas av Sunet. Den består av:
Syfte och mål med FIDUS
Publicering av tjänster i FIDUS
Tjänster som finns i till FIDUS anslutna federationer propageras inte automatiskt till FIDUS. Den tjänsteleverantör som önskar publicera en tjänst i FIDUS måste ansöka om att publicera den tjänsten till FIDUS federationsrådet. Slutgiltigt godkännande tas av FIDUS styrgruppen.
5 universitet och högskolor har anställda som idag konstruerar frågorna till de nationella proven i grund- och gymnasieskola och dessa individer behöver kunna logga in Skolverkets provplattform för att kunna genomföra sitt uppdrag. Tanken är att dessa användare ska kunna använda sin normala inloggning för åtkomst till plattformen så länge denna stödjer multifaktorinloggning enligt SWAMIDs normala standard, annars eduID.
Flera lärosäten har egen eller delad tjänst för verksamhetsförlagd utbildning där personal vid skolhuvudmän vid grund- och gymnasieskolor behöver kunna logga in ta del av information och lämna information om de studenter de har haft i sin verksamhet.
SWAMID hämtar endast hem och återpublicerar i SWAMIDs metadata listan över registrerade tjänster i FIDUS. Vilka attribut, eller personuppgifter, som kan överföras definieras enligt den redan i SWAMID använda entitetskategorin Géant Data Protection Code of Conduct (CoCo). Exakt vilka attribut som behövs attribut defineras i metadata tillsammans med en länk till ett dokument som beskriver hur dessa attribut används.
FIDUS importerar från SWAMID tjänster godkända för FIDUS samt alla SWAMID-registrerade identitetsutfärdare. På liknande sätt gör övriga federationer anslutna till FIDUS, f.n. endast Skolverkets skolmyndighetsfederation och Skolfederation.se. De tjänster som är registrerade i SWAMID och godkända för FIDUS och därmed tillåter inloggningar användare från anslutna federationer läser in FIDUS metadata istället sin egen federations metadata.
Ur både ett drift- och säkerhetsperspektiv minimerar detta påverkan av SWAMIDs interfederering med FIDUS på så sätt att:
Beslut: SWAMID Board of Trustees beslutar att SWAMID deltar i interfederationen FIDUS.
Som ett led i det pågående policyarbetet har SWAMID Operations tillsammans med SUNET CERT tagit fram en ny incidenthateringsrutin för SWAMID som är baserad på eduGAIN Security Incident Response Handbook. Orsaken till att arbetet utgått från eduGAINs handbok för incidenthantering är att det mycket troliga scenriet att en incident inom SWAMID inte begränsas till endast SWAMID utan även till en eller flera av våra systerfederationer i eduGAIN alternativt uppstår i en av systerfederationenerna. Från slutet av februari till sista mars har alla medlemmar samt alla registrerade tjänster haft möjlighet att påverka förslaget via SWAMIDs konsultationsprocess. Under konsultationsperioden genomföres även ett webbmöte via Zoom där SWAMID Operations gick igenom förslaget samt öppnade för en allmän diskussion runt det under mötet. Kommentarer från mötet samt ytterligare kommentarer via e-post togs om hand av SWAMID Operations efter konsultationsperiodens slut. De kommentarer vi fick in var positiva men föreslog några få förtydliganden som vi har arbetat in i förslaget som ligger till beslut.
Den föreslagna incidenthanteringsrutinen är uppdelad i två, en för identitetsutfärdare och tjänster samt en för federationsoperatören SWAMID. Dessa båda delar samspelar med varandra för att misstänkt incident ska hanteras så bra som möjligt i samråd. Incidenthanteringsprocessen åsidosätter inte organisationens egna incidenthanteringsprocess utan kompletterar den med SWAMID specifika steg.
Som vanligt är SWAMIDs policydokument skrivna på engelska beroende på att SWAMID verkar i en internationell sammanhang och de olika federationerna inom eduGAIN behöver kunna läsa varandras policydokument. Incidenthetieringsrutinens numrerade checklistor kommer att översättas till Svenska och ersätta dagens incidenthantieringsrutiner från 2012 efter beslut.
Beslut: SWAMID Board of Trustees beslutar att godkänna de uppdaterade incidenthatneringsrutinerna.
Vid alla policyförändringar efter att första policyn för SWAMID skapades och beslutades 2007 har vi inom SWAMID använt en publik konsultationsprocess för att både vara transparenta och förankra förändringar som föreslås. Vad vi dock inte har haft är en formelt nedskriver konsultationsprocess. SWAMID Operations har under våren 2021 formaliserat och skrivit ner den process vi har använt under många år. Processe förankrades inom SWAMID under maj enligt processen förutom att inget presentations- och diskussionsmöte hölls. Inga kommentarer förutom enstaka positiva kommentarer inkom.
Som vanligt är SWAMIDs policydokument skrivna på engelska beroende på att SWAMID verkar i en internationell sammanhang och de olika federationerna inom eduGAIN behöver kunna läsa varandras policydokument.
Beslut: SWAMID Board of Trustees beslutar att godkänna förslaget till formell konsultationsprocess.
Efter dagens beslut är 12 av 64 medlemmar inte godkända för någon tillitsprofil. SWAMID Operations har tagit kontakt med alla för att försöka få igång arbetet. SWAMID Operations tror fortfarande att vi kan vara klara till 2021-12-31.
Följande organisationer är idag inte godkända för någon tillitsprofil:
SWAMID Operations genomför en översyn av teknikprofilen för SAML. Målet med uppdateringen är förutomharmonisering med övriga policydokument så ska det bli tydligare vilka krav som redan idag ställs för rgistrering med en skillnad. SWAMID Operations vill tydligt införa en begränsning om vilka som har rätt att registrera en tjänst i SWAMID.
Punkten flyttas till nästa möte.
Inga
Tisdagen den 21 september 2021 15-16.