Protokoll SWAMID Board of Trustees 2024-03-22

Tid

2024-03-22 15.00--16.00

Plats

Videomöte i Zoom

Närvarande

• Zacharias Törnblom (ZT)
• Ann Amling
• Mauritz Danielsson (MD)
• Magnus Höglund
• Jan Nordin
• Hans Wohlfart

Frånvarande

• Per-Olov Hammargren

Adjungerade

• Pål Axelsson (PA)
• Anders Sjöström (AS)
• Fredrik Domeij (FD)

Välkommen (ZT)

Zacharias hälsade välkommen.

Fastställande av dagordning (ZT)

Fastställde dagordningen med tillägg av Kontokoppling i Ladok,

Beslut om ansökningar om godkännande av tillitsnivåer (PA)

• Göteborgs universitet ansöker om förnyat godkännande för SWAMID AL2
  Göteborgs universitet utökar metoderna för bekräftande av individer för SWAMID AL2 till även svensk e-legitimation på tillitsnivå 3 eller högre.
  
  SWAMID Operations rekommenderar Board of Trustees att godkänna deras ansökan.
  
  Beslut: SWAMID Board of Trustees godkänner Göteborgs universtitets ansökan om tillitsnivå SWAMID AL2.
  
  
• Kungliga tekniska högskolan ansöker om förnyat godkännande för SWAMID AL2
  Kungliga tekniska högskolan utökar metoderna för bekräftande av individer för SWAMID AL2 till även svensk e-legitimation på tillitsnivå 3 eller högre.
  
  SWAMID Operations rekommenderar Board of Trustees att godkänna deras ansökan.
  
  Beslut: SWAMID Board of Trustees godkänner Kungliga tekniska högskolas förnyade ansökan om tillitsnivå SWAMID AL2. Hans Wohlfart deltog inte i beslutet.
  
  
• Södertörns högskola ansöker om förnyat godkännande för SWAMID AL2
  Södertörns högskola utökar metoderna för bekräftande av studenter utan svenskt personnummer via eduID. Vidare införs även stöd för multifaktorinloggning som uppfyller kraven i SWAMIDs tillitsprofiler.
  
  SWAMID Operations rekommenderar Board of Trustees att godkänna deras ansökan.
  
  Beslut: SWAMID Board of Trustees godkänner Södertörnshögskolas förnyade ansökan om tillitsnivå SWAMID AL2.
  
  
• eduID ansöker om förnyat godkännande för SWAMID AL3 (FD)
  eduID använder inte längre SvipeID för verifiering av resehandling (pass och nationellt identitetskort) och ändrar beskrivningen av denna kontroll till att inte explicit nämna företag som genomför den. Vidare vill eduID använda Svensk e-legitimation på tillitsnivå 2 för personer utan svenskt personnummer för bekräftande på nivån SWAMID AL2.
  
  SWAMID Operations rekommenderar Board of Trustees att godkänna deras ansökan.
  
  Beslut: SWAMID Board of Trustees godkänner eduIDs förnyade ansökan om tillitsnivå SWAMID AL3. Zacharias Törnblom deltog inte i beslutet.

Översyn av SWAMIDs tillitsnivåer (PA)

Pål berättade om aktuell status runt den påbörjade översynen av SWAMIDs tillitsprofiler. Som berättades vid förra mötet är avsikten med översynen inte att höja kraven i tillitsprofilerna utan göra förtydliganden samt i något fall förenkla kraven. Arbetet kommer att genomföras genom möten tillsammans med SWAMIDs medlemmar, justering av texten av SWAMID Operations baserat på mötena och därefter den formella konsultationsprocessen.

Just nu förbereder SWAMID Operations de aktuella mötena med SWAMIDs medlemmar genom att gå igenom de förändringar och klargöranden som vi ser behöver göras.

När tillitsprofilerna uppdaterades 2020 skrevs det att inloggningsmetoden med engångskoder via standarden TOTP kommer med största sannolikhet inte längre tillåts inom SWAMID och Operations förslag till medlemmarna är att vi plockar bort den metoden i två steg, under 2025 för Authenticator Appar och 2027 för TOTP dosor. Orsaken till detta är TOTP i Authenticator är kopieringsbar mellan olika enheter utan användarna kan hindra det och att TOTP som metod inte kan skyddas mot nätfiske. Vi förslår också en utökad normativ text om vad avsikten med multifaktorinloggning är.

SWAMID Operations har av mer än en tjänst blivit uppmärksammade att vissa lärosäten har svårt att uppfylla kravet på att användaridentifierare är långsiktigt unika och aldrig återanvänds för andra personer än den ursprungliga. Detta eftersom en handfull organisationer använder namnbaserad e-postadress som unik identifierare och den är per definition ej långsiktigt unik. Vi föreslår därför en utökad förklarande normativ text runt kravet på långsiktigt unika identifierare.

Den tredje större saker vi ser efter att DiGG har godkänt två svenska e-legitimationer på tillitsnivå 2 och att de kraven de ställer på användarverifiering vid skapandet av e-legitimationen uppfyller kraven i SWAMID AL2. SWAMID kommer därför att rekommendera att vi ska sänka kraven i vår tillitsprofil. VI ser också en korsintegrering av fysiska identitetshandlingar och e-legitimationer via att en digital representation av resehandling lagrad i e-legitimationen. Vi föreslår att inte lägga till stöd i tillitsprofilerna utan vi kommer tillsammans med första organisationen som vill använda detta skriva motsvarighetsmetod enligt samma modell som vi gjorde runt trepartssamtal och SWAMID AL2.

Övriga frågor (ZT)

• Behov från forskningsinfrastrukturer som påverkar identitetsutfärdarna (AS)
  Tillgängliggörande av access till forskningsinfrastrukturer som tex MAX IV, ESS, LUMI kräver att användarna kan identifieras till den tillitsnivå (LoA)som infrastrukturerna kräver. Inte minst är detta viktigt för att avgöra om de individer som utnyttjar dessa infrastrukturer har rätt att göra det.
  
  Utöver behovet att skydda informationstillgångarna från obehörig access kan det även finnas andra legala krav avseende tillgång till skyddsvärda resurser. Till exempel är många av de högpresterande datorresurserna (HPC) definierade som produkter med dubbla användningsområden (dual-use), vilket betyder att personer som använder dessa resurser inte får vara boende i eller affilierade med länder under embargo från EU. Detta betyder att användare vid dessa resurser måste vara identifierade till en rimlig LoA.
  
  EuroHPC Joint Undertaking tillhandahåller HPC resurser till en allt större grupp av forskare, investeringen från EU i dessa resurser ligger i dagsläget på i runda slängar 1.5G€. Antalet användare som ges tillgång till dessa resurser ökar snabbt och den administrativa bördan hos de enskilda resurstillhandahållarna för att fastställa identiteter och auktorisering för enskilda användare blir snabbt oöverstiglig. En lösning på detta problem är att använda användarnas IdP:er för att säkerställa att en användare är den hen hävdar. För att detta ska vara möjligt behöver dessa IdP:er släppa attribut som till exempel identitet, LoA och affiliering.
  
  
• Status Ladok och krav på tillitsnivåer (MD)
  Mauritz beskrev nuvarande status runt krav på tillitsnivå för inloggning i Ladok. Anställda kan inte sedan i höstas logga in Ladok utan att vara minst SWAMID AL2. Kravet på studenter har ännu inte införts men Ladok fortsätter verka för att alla studenter med svenskt personnummer ska vara minst SWAMID AL2 och senare skarpt införa kravet. Ladok prioriterar nu arbetet med säkerinloggning för anställda.
  
  
• Kontokoppling i Ladok (MD)
  Ladok planerar att byta användaridentifierare från ePPN (eduPersonPrincipalName) till den mer internationellt användbara subject-id som har det globala kravet att den aldrig får återanvändas för annan individ. De flesta lärosäten stödjer redan idag subject-id, övriga behöver göra ett arbete.
  
  I arbetet med subject-id i Ladok så har ett antal lärosäten identifierats som använder e-postadress baserad på för- och efternamn för värde på ePPN/subject-id. Detta ser Ladok som ett problem då det rimligtvis kan vara lätt hänt att e-postadress återanvänds för annan individ vid lärosätet i framtiden, vilket kan innebära att ny person får tillgång till tidigare persons uppgifter och behörigheter, och också bryter mot kraven i SWAMIDs tillitsprofiler.
  

Nästa möte (ZT)

Tid för nästa möte kommer via Doodle. Planerat till veckan före eller efter midsommar.

Avslutande (ZT)

Zacharias avslutade mötet.