SWAMID BoT 2018-06-20
Agenda för SWAMID BoT 2018-06-20 kl 10.30-12.00
Agenda
Protokoll
Närvarande
- Mauritz Danielsson
- Fredrik Nilsson
Frånvarande
- Mia Lindegren
- Sverker Holmgren
- Mona Åkerman
- Per Zetterwall
- Valter Nordh, VN
Adjungerade
- Pål Axelsson, PA
- Eskil Swahn, ES
Ansökningar om att bli godkända för tillitsnivåer (PA, för beslut)
Information om SWAMIDs "täckningsgrad" inom universitet och högskolor
Pål presenterade information om vilka lärosäten som är medlemmar i SWAMID idag och vilka lärosäten som uppfyller de olika tillitsprofilerna.
För att få en bild över hur väl tillitsprofilerna täcker lärosätena idag har SWAMID gjort en enkel jämförelse mot UKÄs officiella statistik över lärosätena, HT 2017 för studenter och helår 2016 för anställda.
- 79,2% (38 av 48) av alla lärosäten med examinationsrätt i Sverige är medlemmar i SWAMID
- 99,8% av alla studenter vid lärosäten med examinationsrätt kan använda SWAMID genom att deras organisation är medlem i SWAMID
- 99,7% av alla anställda vid lärosäten med examinationsrätt kan använda SWAMID genom att deras organisation är medlem i SWAMID
Tillitsprofilernas täckningsgrad för lärosäten efter att Stockholm universitet blivit godkända för SWAMID AL2:
- 36,8% av alla SWAMIDs medlemslärosäten är godkända för SWAMID AL2
- 36,8% av alla SWAMIDs medlemslärosäten är godkända för SWAMID AL1
- 67,3% av Sveriges studenter vid lärosäten med examinationsrätt studerar vid ett lärosäte som är godkända för SWAMID AL2
- 24,0% av Sveriges studenter vid lärosäten med examinationsrätt studerar vid ett lärosäte som är godkända för SWAMID AL1
- 68,3% av alla anställda vid lärosäten med examinationsrätt är anställda vid ett lärosäte som är godkända för SWAMID AL2
- 23,9% av alla anställda vid lärosäten med examinationsrätt är anställda vid lärosäten som är godkända för SWAMID AL1
Några intressanta observationer:
- SWAMID täcker alla lärosäten med examinationsrätt förutom några av de riktigt små (främst mindre teologiska högskolor och enskilda anordnare psykoterapeututbildningar)
- Ungefär lika stor andel av lärosätena är godkända för SWAMID AL2 resp. SWAMID AL1
- Ungefär en faktor 2,5 av studenterna studerar vid lärosäten som är godkända för SWAMID AL2 jämfört med SWAMID AL1
- Ungefär en faktor 2,5 av de anställda är anställda vid lärosäten som är godkända för SWAMID AL2 jämfört med SWAMID AL1
SU ansöker om bli godkänd för tillitsprofilen SWAMID AL2
SWAMID Operations föreslår att SWAMID Board of Trustees godkänner Stockholms universitets ansökan om att bli godkända för SWAMID AL2.
Board of Trustees beslutar att godkänna Stockholms universitets ansökan om att bli godkända för SWAMID AL2.
Beslut om att fastställa profil för personverifierad multi-faktorinloggning (PA, för beslut)
Beslut
SWAMID Operations föreslår att SWAMID Board of Trustees godkänner den nya profilen för personverifierad multifaktorinloggning.
Punkten görs om till en informationspunkt med avseende på få deltagare på mötet och därmed fattas inget beslut om profilen fattas förrän nästa möte.
ES och PA går igenom tankegångarna kring framtagandet av tillitsprofilen.
Datainspektionens tillsyn av Nais
Nais är ett ärendehanteringssystem där studenter med en varaktig funktionsnedsättning kan ansöka om att få särskilt pedagogiskt stöd i sina studier vid svenska universitet och högskolor. Systemet underlättar det administrativa och personalkrävande arbetet för lärosätena kring dokumentation och kommunikation med studenterna. Nais används av 32 lärosäten i Sverige.
Datainspektionen gjorde en tillsyn baserat på PuL mot BTH angående Nais våren 2017 där DI förelägger BTH, och därigenom alla lärosäten som använder Nais, i tre olika punkter; 1) Att upphöra behandla känsliga personuppgifter baserat på samtycke. 2) Att tydliggöra för studenten för den sökande studenten vem som är personuppgiftsansvarig. 3) Att endast mottagande handläggare kan ta del av personuppgifter i Nais. För tredje punkten exemplifierar DI med inloggning med e-legitimation för att säkerställa att det är rätt individ.
UHR tog för BTH:s räkning fram en åtgärdsplan för de tre punkterna. När det gäller åtkomst till känsliga personuppgifter för handläggare var svaret att 2-faktorsinloggning ska införas under 2018.
UHR tog i januari kontakt med SWAMID för att få hjälp med att införa 2-faktorsinloggning i inloggning i Nais eftersom Nais använder SWAMID för inloggning. Efterssom behovet av multifaktorinloggning (som är den moderna termen för 2-faktorsinloggning) ökar, bl.a. beroende på den nya Dataskyddsförordningen med komplementlagstiftning, prioriterades detta arbete inom SWAMID Operations.
SWAMID och Nais dokumenterar gemensamt det aktuella arbetet i Sunets wiki på adressen https://wiki.sunet.se/display/MFAiNAIS.
Två utskick om MFA-kravet i Nais har gjots till IT- och SA-chefer på aktuella lärosäten. Det senaste som skickades ut den 5 juni innehöll en fråga från Nais förvaltningsorganisation om hur lärosätena planerar att hantera multifaktorinloggning. För de lärosäten som inte hinner att implementera multifaktorinloggning under 2018, eller inte har de administrativa eller tekniska förutsättningarna att göra detta, kommer eduID gå att använda för användarna som ska logga in i Nais.
Information om förslag till profil för personverifierad multifaktorinloggning
För att möte behovet av multifaktorinloggning i Nais utan att begränsa användningen har SWAMID Operations policygrupp tagit fram en ny inloggningsprofil för SWAMID. Den nya profilen för personverifierad multifaktorinloggning är användbar för användare vid svenska lärosäten även för andra tjänster både i SWAMID och inom andra akademiska federationer anslutna till eduGAIN.
Den nya profilen för personverifierad multifaktor består i princip av tre delar:
- Administrativa krav i hanteringen av multifaktorn vid utdelande, utbyte och borttagande
- En multifaktor får inte kopplas till personens konto endast genom att användaren loggar in och registrerar egen multifaktor utan kopplingen måste ske genom
- utdelande på samma sätt som när lärosätet genomför kontoutdelning för en person får ett konto med tillitsnivå SWAMID AL2 eller
- utdelande där personen under processen för att få tillgång till multifaktorn uppvisar legitimation (det är denna som är krav för Nais).
- Användaren måste kunna byta ut sin multifaktor vid t.ex. byte av mobiltelefon.
- Lärosätet måste kunna spärra användningen användarens multifaktor om behov finns.
- Det är möjligt, men inte ett krav, att personen kan samtidigt ha mer än en multifaktor registrerad och aktiv kopplade till sin användare.
- En multifaktor får inte kopplas till personens konto endast genom att användaren loggar in och registrerar egen multifaktor utan kopplingen måste ske genom
- Tekniska krav på multifaktorlösningen
- Tillåter både lösningar där befintligt lösenord kompletteras med en andra fysisk inloggningsfaktor och en fullständig multifaktor där åtkomst till den andra faktorn skyddas i den fysiska faktorn av en pinkod eller biometri.
- Profilen innehåller inte vilka tekniska implementationer som kan användas utan pekar ut ett antal modeller från NIST 800-63B. NIST-standarden används för att inte få ett godtycke i val av multifaktormetoder.
- Multifaktorn ska inte gå att kopiera mellan olika neheter, t.ex. mellan mobiltelefoner.
- Profilen tillåter både användning av och åsidosättande av Single-Sign On.
- Tekniska krav för att använda multifaktorinloggning i SWAMID
- Särskild markering i SWAMIDs metadata huruvida lärosätet uppfyller kraven för personverifierad multifaktor inkl. nivå.
- Begäran om att använda multifaktorinloggning samt signalering att multifaktorinloggning skett genomförs med den akademiska federationsstandarden REFEDS MFA.
Ett slutgiltigt förslag efter samråd med SWAMIDs medlemmar genom Sunetdagarna och ett webinar med efterföljande frågestund finns på Sunets wiki under adressen https://wiki.sunet.se/display/MFAiNAIS/Final+Draft+of+SWAMID+Person-Proofed+Multi-Factor+Profile.
eduID, ny systemförvaltare Fresia Pèrez (VN, för information)
PA informerar om bytet av systemförvaltare ifrån Hans Nordlöf (som går i pension) till Fresia Pèrez.
Inriktningen framöver kommer att mer verksamhetsstöd och mindre teknik.
eIDAS samarbetet, syfte och mål (VN, för information)
PA informerar om det eIDAS-samarbetet och att VR (genom SUNET) bistår e-Legitimationsnämnden.
Samarbetet öppnar upp för möjligheter att höja tillitsnivån för EU-medborgare, främst studenter.
SWAMID Operations, policy gruppen (PA, för information)
För att säkerställa en bred förankring av SWAMID Operations arbete rörande SWAMIDs regelverk och granskningar om godkännande för SWAMIDs tillitsprofiler behöver SWAMID Operations att kompletteras med ytterligare personer.
Ladok och AL2, MFA (MD, för information)
Punkten avvaktar tills nästa möte!
Nästa möte, slutet på september början på oktober:
https://doodle.com/poll/s6r2nkbbptxmb3ky
Övriga frågor
Inga!