Agenda för SWAMID BoT 2018-06-20 kl 10.30-12.00

Plats: Videomöte, Zoom på: https://sunet.zoom.us/j/679594307

Här skriver vi minnesanteckningarna normalt sett bara beslut men informationspunkter behöver lite informativ text. Skriv gärna i förväg och komplettera i direkt anslutning till mötet.

I kallelsen tar vi endast med det som behövs för BoTs förberedelse till mötet.

Agenda

Minnesanteckningar

Närvarande

Valter Nordh

Frånvarande

Adjungerade

Pål Axelsson
Fresia Pérez

Ansökningar om att bli godkända för tillitsnivåer (PA, för beslut)

SU ansökar om bli godkänd för tillitsprofilen SWAMID AL2

SWAMID Operations föreslår att SWAMID Board of Trustees godkänner Stockholms universitets ansökan om att bli godkända för SWAMID AL2. (ej klart ännu...)

Beslut om att fastställa profil för personverifierad multi-faktorinloggning (PA, för beslut)

Datainspektionens tillsyn av Nais

Nais är ett ärendehanteringssystem där studenter med en varaktig funktionsnedsättning kan ansöka om att få särskilt pedagogiskt stöd i sina studier vid svenska universitet och högskolor. Systemet underlättar det administrativa och personalkrävande arbetet för lärosätena kring dokumentation och kommunikation med studenterna. Nais används av 32 lärosäten i Sverige.

Datainspektionen gjorde en tillsyn baserat på PuL mot BTH angående Nais våren 2017 där DI förelägger BTH, och därigenom alla lärosäten som använder Nais, i tre olika punkter; 1) Att upphöra behandla känsliga personuppgifter baserat på samtycke. 2) Att tydliggöra för studenten för den sökande studenten vem som är personuppgiftsansvarig. 3) Att endast mottagande handläggare kan ta del av personuppgifter i Nais. För tredje punkten exemplifierar DI med inloggning med e-legitimation för att säkerställa att det är rätt individ.

UHR tog för BTH:s räkning fram en åtgärdsplan för de tre punkterna. När det gäller åtkomst till känsliga personuppgifter för handläggare var svaret att 2-faktorsinloggning ska införas under 2018.

UHR tog i januari kontakt med SWAMID för att få hjälp med att införa 2-faktorsinloggning i inloggning i Nais eftersom Nais använder SWAMID för inloggning. Efterssom behovet av multifaktorinloggning (som är den moderna termen för 2-faktorsinloggning) ökar, bl.a. beroende på den nya Dataskyddsförordningen med komplementlagstiftning, prioriterades detta arbete inom SWAMID Operations.

SWAMID och Nais dokumenterar gemensamt det aktuella arbetet i Sunets wiki på adressen https://wiki.sunet.se/display/MFAiNAIS.

Två utskick om MFA-kravet i Nais har gjots till IT- och SA-chefer på aktuella lärosäten. Det senaste som skickades ut den 5 juni innehöll en fråga från Nais förvaltningsorganisation om hur lärosätena planerar att hantera multifaktorinloggning. För de lärosäten som inte hinner att implementera multifaktorinloggning under 2018, eller inte har de administrativa eller tekniska förutsättningarna att göra detta, kommer eduID gå att använda för användarna som ska logga in i Nais.

Information om förslag till profil för personverifierad multifaktorinloggning

För att möte behovet av multifaktorinloggning i Nais utan att begränsa användningen har SWAMID Operations policygrupp tagit fram en ny inloggningsprofil för SWAMID. Den nya profilen för personverifierad multifaktorinloggning är användbar för användare vid svenska lärosäten även för andra tjänster både i SWAMID och inom andra akademiska federationer anslutna till eduGAIN.

Den nya profilen för personverifierad multifaktor består i princip av tre delar:

Administrativa krav i hanteringen av multifaktorn vid utdelande, utbyte och borttagande
- En multifaktor får inte kopplas till personens konto endast genom att användaren loggar in och registrerar egen multifaktor utan kopplingen måste ske genom
  - utdelande på samma sätt som när lärosätet genomför kontoutdelning för en person får ett konto med tillitsnivå SWAMID AL2 eller
  - utdelande där personen under processen för att få tillgång till multifaktorn uppvisar legitimation (det är denna som är krav för Nais).
- Användaren måste kunna byta ut sin multifaktor vid t.ex. byte av mobiltelefon.
- Lärosätet måste kunna spärra användningen användarens multifaktor om behov finns.
- Det är möjligt, men inte ett krav, att personen kan samtidigt ha mer än en multifaktor registrerad och aktiv kopplade till sin användare.
Tekniska krav på multifaktorlösningen
- Tillåter både lösningar där befintligt lösenord kompletteras med en andra fysisk inloggningsfaktor och en fullständig multifaktor där åtkomst till den andra faktorn skyddas i den fysiska faktorn av en pinkod eller biometri.
- Profilen innehåller inte vilka tekniska implementationer som kan användas utan pekar ut ett antal modeller från NIST 800-63B. NIST-standarden används för att inte få ett godtycke i val av multifaktormetoder.
- Multifaktorn ska inte gå att kopiera mellan olika neheter, t.ex. mellan mobiltelefoner.
- Profilen tillåter både användning av och åsidosättande av Single-Sign On.
Tekniska krav för att använda multifaktorinloggning i SWAMID
- Särskild markering i metadata över om lärosätet uppfyller kraven för personverifierad multifaktor inkl. nivå.
- Begäran om att använda multifaktorinloggning samt signalering att multifaktorinloggning skett genomförs med den akademiska federationsstandarden REFEDS MFA.

Ett slutgiltigt förslag efter samråd med SWAMIDs medlemmar genom Sunetdagarna och ett webinar med efterföljande frågestund finns på Sunets wiki under adressen https://wiki.sunet.se/display/MFAiNAIS/Final+Draft+of+SWAMID+Person-Proofed+Multi-Factor+Profile.

Beslut

SWAMID Operations föreslår att SWAMID Board of Trustees godkänner den nya profilen för personverifierad multifaktorinloggning.

eduID, framtidsplaner (FP, för information)

eIDAS samarbetet, syfte och mål (VN, för information)

SWAMID Operations, policy gruppen (PA, för information)

För att säkerställa en bred förankring av SWAMID Operations arbete rörande SWAMIDs regelverk och granskningar om godkännande för SWAMIDs tillitsprofiler behöver SWAMID Operations att kompletteras med ytterligare personer.