I identitetsfederationen SWAMID är tillit till att universitet, högskolor och andra medlemmar hanterar användare och inloggningar tillräckligt bra grunden för att tjänsteleverantörer ska lita på att det är rätt användare som loggar in. För att definiera vad som är tillräckligt bra finns tillitsprofiler i SWAMID.

Tillitsprofilen SWAMID AL2 innebär fyra saker:

1. En utökning av SWAMID AL1.
2. Att högre krav ställs på att lärosätet vet vem personen är som innehar och använder kontot, detta kallas även för bekräftad användare.
3. Att lärosätet ansvarar för personinformationen till skillnad från i SWAMID AL1.
4. Att lärosätets identitetshanteringssystem uppfyller minst kraven i SWAMID AL2.

Beslutad tillitsprofil:

• SWAMID Identity Assurance Level 2 Profile

Vid ansökan om SWAMID AL2 ska medlemsorganisationen skicka till SWAMID:

• Tillitsdeklaration för SWAMID AL2 genom en Identity Management Practice Statement
• Alla dokument, eller länk till publikt publicerade dokument, som hänvisas till i tillitsdeklarationen

SWAMID granskar medlemsorganisationens ansökan baserat på tillitsdeklarationen.

I SWAMID-wikin finns stöd för runt arbetet med att skriva en tillitsdeklaration.

Ekvivalenta metoder för användarbekräftande godkända av SWAMID Board of Trustees

Under 5.2.5 i SWAMID Identity Assurance Level 2 Profile finns ett antal modeller för att bekräfta att det är rätt person som får tillgång till sitt användarkonto vid organisationen. I denna lista finns även att en ekvivalent modell kan godkännas. Nedan finns de som generellt har godkänts av SWAMID Board of Trustees.

Rutin för identifiering via videosamtal

Bakgrund

Det har länge funnits önskemål ifrån SWAMIDs medlemmar att skapa en rutin som möjliggör att kunna identifiera användare som ej fysiskt befinner sig på plats i organisationens lokaler. Under 2020 inträffade en pandemi vilket har aktualiserat behovet. SWAMID Operations har därför tagit fram ett förslag för godkännande av SWAMID Board of Trustees för vad som skulle kunna vara en rimlig nivå för identifiering som uppfyller avsnitt 5.2.5, punkt 8 för SWAMID Identity Assurance Level 2 Profile (SWAMID AL2) för att möjliggöra kontoaktivering på distans. SWAMID Board of Trustees godkände metoden 2021-03-11.

Observera att denna rutin inte är lämplig att använda för studenter!

Definitioner

Kontoadministratör - Administratör hos medlemsorganisationen som har teknisk tillgång till att administrera konton i medlemsorganisationens identitets- och behörighetssystem, antingen via tekniska gränssnitt alternativt via en speciellt avsedd applikation för detta. Kontoadministratören ska ha möjligheten att autentisera sig enligt SWAMID AL2.

Betrodd part - Anställd medarbetare hos medlemsorganisationen med möjlighet att autentisera sig enligt SWAMID AL2.

Kontoinnehavare - Fysisk person (benämnd Subject enligt tillitsprofilen) som ska få eller har fått ett konto hos medlemsorganisation och ska identifieras.

Beskrvning av rutinen

1. Själva identifieringen ska ske via ett treparts videosamtal med kontoadministratör, betrodd part samt kontoinnehavare närvarande.
2. Organisationen måste ha rutiner på plats, t.ex. via arbetsordningen, för att minimera kontoadministratörens eventuella beroendeställning gentemot betrodd part och kontoinnehavare.
3. Kontoinnehavare ska vara känd sedan tidigare för betrodd part. Följande relationer är exempel på vad som avses med känd för denna rutin:
   1. Betrodd part är ansvarig chef för kontoinnehavaren organisatoriskt.
   2. Betrodd part har varit del i att genomföra anställningsintervjuer eller motsvarande i samband med en nyanställning och därigenom träffat kontoinnehavaren ifråga ett antal gånger via videosamtal.
   3. Betrodd part och kontoinnehavaren har arbetat tillsammans i t.ex. forskningssamarbeten mellan lärosäten och därigenom träffat kontoinnehavaren vid upprepade tillfällen innan videosamtalet för identifiering sker.
4. Kontoinnehavare ska bifoga en kopia av godkända identitetshandlingar (enligt avsnitt 5.2.5 punkt 4 eller 5 i SWAMID AL2) till kontoadministratören i förväg, antingen i elektronisk form alternativt som papperskopia. Kopian ska vara en komplett kopia där all information på den aktuella identitetshandlingen är fullt läsbar. Kontoadministratören ska därmed kunna granska kopian i förväg för att säkerställa att rätt information finns tillgänglig och är läsbar.
5. Kontoinnehavaren ska vid videosamtalet uppvisa den aktuella identitetshandlingen så att kontoadministratören kan verifiera den inskickade kopians likhet samt överensstämmelse med person i videosamtalet.
6. Förnamn, efternamn och personnummer (födelsedatum om person utan svenskt personnummer) ska stämma överens med medlemsorganisationens eventuella förregistrerad information gällande kontoinnehavaren. Denna information behövs även för att vid ett senare tillfälle kunna göra en riskbedömning i samband med en lösenordsåterställning.
7. Betrodd part ska under videosamtalet
   1. intyga att kontoinnehavaren är personen som identitetshandlingarna är utställda till enligt betrodd parts bästa kännedom.
   2. kunna autentisera sig enligt SWAMID AL2 på ett sätt som kontoadministratören kan verifiera, exempelvis genom
      
      1. att betrodd part via en kontohanteringsportal, under autentisering som uppfyller SWAMID AL2, kvitterar ut en tidsbegränsad engångskod som via samma kontohanteringsportal ger kontoadministratören en bekräftelse på att det är betrodd part som kvitterat ut engångskoden.
      2. att kontoadministratören i samband med videosamtalet via en kontohanteringsportal kvitterar ut en tidsbegränsad engångskod som betrodd part, under autentisering som uppfyller SWAMID AL2, i samma kontohanteringsportal anger (efter att fått engångskoden uppläst av kontoadministratören) och att kontoadministratören därmed i samma kontohanteringsportal får bekräftelse på att det är betrodd part som angett engångskoden.
8. Kontoaktiveringsuppgifter ska distribueras ifrån kontoadministratör till kontoinnehavare på ett tillräckligt säkert sätt, exempelvis genom att läsa upp en tidsbegränsad engångskod för kontoinnehavaren i videosamtalet eller distribuera engångskod via videosamtalets chat-funktion.

Within the Identity Federation SWAMID is trust that universities, university colleges and other members manage users and logins good enough the foundation for Service Providers to be confident that it is the right user that is accessing the system. To define what is good enough SWAMID has decided on two Assurance Profiles for Identity Providers and their users.

The Assurance Profile SWAMID AL2 means three things:

1. Extension of SWAMID AL1.
2. The Member Organisation has more positively identified the user, this is also known as a confirmed user.
3. The information associated with the user account is the Member Organisation responsible for.

Current Assurance Profile SWAMID AL2:

• SWAMID Identity Assurance Level 2 Profile

When applying for SWAMID AL2, the Member Organisation must supply with the application:

• Assurance Declaration for SWAMID AL2 through an Identity Management Practice Statement describing how the Member Organisation fulfils the Assurance Profile.
• All documents, or link to the publicly published documents, referred to in the Assurance Declaration.

SWAMID Audits the Member Organisation based on the Assurance Declaration.