Protokoll SWAMID Board of Trustees 2024-09-27

Tid

2024-09-27 10.00--11.00

Plats

Videomöte i Zoom

Deltagare

• Zacharias Törnblom (ZT)
• Ann Amling
• Per-Olov Hammargren
• Magnus Höglund
• Anders Sjöström
• Hans Wohlfart

Frånvarande

• Mauritz Danielsson
• Jan Nordin

Adjungerade

• Pål Axelsson (PA)

Välkommen (ZT)

Zacharias hälsade välkommen dagen Board of Trustees.

Fastställande av dagordning (ZT)

Dagordningen som skickades ut 22 september godkändes.

Beslut om uppdaterad alternativ rutin för treparts videoverifiering av användare på AL2-nivå (PA)

Board of Trustees beslöt vid möte 2021-03-11 om en alternativ modell för bekräftande av person på SWAMID AL2-nivå via videosamtal. Efter att Board of Trustees beslutade 2024-06-24 beslutade att tillåta digital representation av resehandling i e-legitimation har SWAMID Operations fått in förfråga om att kunna använda detta för identifiering av betrodd part i videosamtalet och operations har kommit fram till att det borde vara möjligt. Därför föreslår vid följande omskrivning av punkt 7 i processen för videoverifiering.

1. 1. intyga att kontoinnehavaren är personen som identitetshandlingarna är utställda till enligt betrodd parts bästa kännedom.
   2. kunna autentisera sig enligt SWAMID AL2 på ett sätt som kontoadministratören kan verifiera, exempelvis genom
      
      1. att betrodd part i videomötet identifierar sig via digital representation av resehandling i e-legitimation.
      2. att betrodd part och kontoadministratör delar och jämför gemensam engångskod från kontohanteringsportal:
         • att betrodd part via en kontohanteringsportal, under autentisering som uppfyller SWAMID AL2, kvitterar ut en tidsbegränsad engångskod som via samma kontohanteringsportal ger kontoadministratören en bekräftelse på att det är betrodd part som kvitterat ut engångskoden.
         • att kontoadministratören i samband med videosamtalet via en kontohanteringsportal kvitterar ut en tidsbegränsad engångskod som betrodd part, under autentisering som uppfyller SWAMID AL2, i samma kontohanteringsportal anger (efter att fått engångskoden uppläst av kontoadministratören) och att kontoadministratören därmed i samma kontohanteringsportal får bekräftelse på att det är betrodd part som angett engångskoden.
      3. att betrodd part fysiskt befinner sig i samma rum som kontoadministratör samt identifierar sig med hjälp av godkänd legitimationshandling enligt SWAMID AL2 5.2.5 punkt 4 och 5.

Beslut: SWAMID Board of Trustees godkände uppdatering av modell för trepartsvideoverifiering. Modellen är en riskavvägning runt att säkerställa att det är rätt användare som får tillgång till användarkontot och därför ställs särskilda krav på att identifiera betrodd part. 

Beslut om ansökningar om godkännande av tillitsnivåer (PA)

• Göteborgs universitet ansöker om förnyat godkännande för SWAMID AL2
  Göteborgs universitet utökar metoderna för bekräftande av individer för SWAMID AL2 till att även tillåta riskbaserad bedömning av personer utan svenskt personnummer via eduID.
  
  SWAMID Operations rekommenderar Board of Trustees att godkänna deras ansökan.
  
  SWAMID Board of Trustees godkände Göteborgs universitets ansökan.
  
  
• Stockholms universitet ansöker om förnyat godkännande för SWAMID AL2
  Stockholms universitet utökar metoderna för bekräftande av individer för SWAMID AL2 till även att svensk e-legitimation används.
  
  SWAMID Operations rekommenderar Board of Trustees att godkänna deras ansökan.
  
  SWAMID Board of Trustees godkände Stockholms universitets ansökan.
  
  
• Kungliga Konsthögskolan ansöker om förnyat godkännande för SWAMID AL2
  Kungliga Konsthögskolan utökar metoderna för bekräftande av individer för SWAMID AL2 till att även svensk e-legitimation och eduID används.
  
  SWAMID Operations rekommenderar Board of Trustees att godkänna deras ansökan.
  
  SWAMID Board of Trustees godkände Kungliga Konsthögskolans ansökan.
  
  
• Chalmers tekniska högskola ansöker om förnyat godkännande för SWAMID AL2
  Chalmers tekniska högskola utökar metoderna för bekräftande av individer för SWAMID AL2 till att även svensk e-legitimation används.
  
  SWAMID Operations rekommenderar Board of Trustees att godkänna deras ansökan.
  
  SWAMID Board of Trustees godkände Chalmers tekniska högskolas ansökan.
  
  
• Linnéuniversitetet ansöker om förnyat godkännande för SWAMID AL2
  Linnéuniversitetet utökar metoderna för bekräftande av individer för SWAMID AL2 till att treparts videoverifiering av användare på AL2-nivå används. För verifiering av betrodd part används digital representation av resehandling i e-legitimation.
  
  SWAMID Operations rekommenderar Board of Trustees att godkänna deras ansökan.
  
  SWAMID Board of Trustees godkände Linnéuniversitetets ansökan.

Information om end-of-life Shibboleth Identity Provider version 4 (PA)

Shibboleth Identity Provider version 4 blev end-of-life 1 september i år och SWAMIDs teknologiprofil för SAML WebSSO definierar att endast underhållen programvara får användas. För närvarande har 14 organisationer uppdaterat, 9 har påbörjat uppgraderingen, 2 kommer att byta till ADFS och 6 har ännu inte påbörjat uppdateringen.

Under året har SWAMID Operations dels hållit ett webinar under våren och därefter haft öppna frågestunder under våren och hösten. Webinaret finns inspelat och tillgängligt på Sunet Play. Fram till i förra vecka har SWAMID Operations kommunicerat kontinuerligt via saml-adminslistan samt i månadsbrevet till Sunets kontaktpersoner. I förra vecka skickade vi även ett riktat brev till varje organisation som ännu inte har uppdaterat för att efterfråga status och vilken plan organisationen har för att uppdatera. Detta brev skickades till de som har rättighet att uppdatera registrerat metadata i SWAMID samt i metadata angiven administrativ och teknisk kontakt.

Om en organisation inte har uppdaterat sin Shibboleth Identity Provider 1 december kommer SWAMID Operations att påbörja processen att tillfälligt stänga av organisationens identitetsutgivare från SWAMID.

Information om aktuell status översyn av tillitsprofiler (PA)

Pål berättade om aktuell status för aktuell uppdatering av SWAMID tillitsprofiler. Avsikten med uppdateringen är att dels göra det mer beskrivande och dels gör det enklare. Förslaget till förändring innehåller ingen höjning av respektive nivå.

SWAMID Operations har nu nästa ett färdigt förslag som inom ett par veckor. Detta förslag kommer att skickas ut till saml-adminslistan när förslaget är färdigt och kommer att presenteras på de digitala Sunetdagarna i början av november. Därefter kommer SWAMID Operations att skicka ut förslaget på konsultation och genomföra ett antal frågestudenter där alla medlemmar och registrerade tjänster kan diskutera förslaget.

Information om förändringar i eduID (ZT)

Passverifiering med Freja eID påslagen. Det täcker verifiering av personer från världen över och fungerar som komplement till verifiering med svensk e-legitimation och eIDAS.

Standardisering av säkerhetsnycklar pågår ur ett globalt perspektiv. Sunet följer den utvecklingen nära och kommer vid behov anpassa vad olika typer av säkerhetsnycklar kan användas till.

Användning av mobiltelefonnummer för att verifiera identitet och för kontoåterställning kommer fasas ut i eduID. Först ut är att ta bort möjlighet till att verifiera identitet. Redan verifierad användare behåller sin tillitsnivå. Därefter kommer kontoåterställning via verifierat mobiltelefonnummer att fasas ut. Användare som berörs kommer meddelas.

Vi ser också över verifiering via brev till folkbokföringsadress, om också det bör fasas ut, men inget beslut är fattat kring hur det ska hanteras framöver. Användningen av verifiering via brev till folkbokföringsadress har minskat med 90% senaste året. Minskningen sammanfaller i tid med att BankID som verifieringsmetod blev godkänd i eduID.

Övriga frågor

Inga övriga frågor.

Nästa möte (ZT)

En Doodle sänds ut för ett möte i mitten av december.

Avslutande (ZT)

Zacharias tackade för mötet och avslutade.