Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Introduktion till SkolfederationKurs
10.00 Vad är SkolfederationBakgrund, Arkitektur, uppbyggnad och omfattning, Varför Skolfederation, målsättningar, Begrepp, Skolfederation idag
Federationstekniken och SSO Single Sign-OnStandard SAML V2.0, Autentiseringsbegäran, Metadata, Tekniska profiler, Single Log-Out
12.00 LUNCH
13.00 Hur man kommer igångAtt bli medlem, Att föra över metadata, Att ansluta medlemmar, Exempel, eduroamSkolfederations attributprofilGenomgång av Skolfederations attribut, När ska de används, LeverantörslistanTillit och säkerhetSäkerhetsföreskrifter, PersonuppgiftsbiträdesavtalsmalleduroamKort beskrivning av tilläggstjänsten eduroamFramtid och utvecklingTillit till identiteter och attribut, App-inloggning, Livscykelhantering, Andra federationerSummering
16.30 SLUT
IIS styrelse• Ylva Hambraeus Björling,
styrelseordföranden, utsedd av ISOC-SE
• Inger Persson, utsedd av Sveriges konsumenter
• Karina Duvinger, utsedd av Svensk Handel
• Mikael Abrahamsson, utsedd av SOF, Sveriges Internetoperatörers Forum
• Anna Caracolias, utsedd av ISOC-SE
• Lars Lindgren, utsedd av Svenska Bankföreningen
• Pär Nygårds, utsedd av Svenskt Näringsliv
• Mattias Karlsson, suppleant, utsedd av SOF, Sveriges Internetoperatörers Forum
• Anna-Karin Smedberg, suppleant, utsedd av Svensk Handel
• Jonas Lejon, utsedd av styrelsens medlemmar
Bredbandskollen
Internetfonden
Internetguider
Webbstjärnan
Internetdagarna
Internetmuseum
Internetstatistik Barnhack
Digital delaktighet
Kursportal Teknisk utveckling
Testverktyg
.se domänen .nu domänen
IIS är federationsoperatör
Skolfederation
Sambi
eduroam
Vad är SkolfederationKurs
Skolfederation
• Skolfederation är inte en central inloggningstjänst
• Användare loggar inte in med Skolfederation
• Skolfederation lagrar ingen användarinformation
Vad är en identitetsfederation?
En identitetsfederation är en sammanslutning av
organisationer som har kommit överens om att lita på
varandras elektroniska identiteter och behörighetsstyrande
attribut för att underlätta användarnas åtkomst till
elektroniska tjänster och skydda den personliga integriteten.
Historia Skolfederation
• 2007 Swamid - Den tekniska förebilden
• 2011 SIS/TK450 – knoppade av Skolfederation
• 2012 Diskussioner om utformningen
• 2013 Start
SIS TK450
Mål från 2012:
Skolfederation ska underlätta svensk utbildningssektors användning av digitala tjänster och läromedel!
Mål från 2012:
Skolfederation ska vara smal och grund!
Mål för Skolfederation
Användarorganisation• Valfrihet, att välja
sin egen lösning• Enklare tjänste-
integration• Enhetlig administration
av användare
Användare• SSO, En inloggning till alla tjänster• Minskad administration av lösenord för lärare• Stärkt skydd av integritet
Tjänsteleverantör• Slippa administration
av användare• Enklare integration av
Skolhuvudmän
Utbildningssektorn• Ökad säkerhet• Stimulera utveckling
Undvik olika integrationer
E-tjänst
Tjänsteleverantör
E-tjänst
Tjänsteleverantör
E-tjänst
Tjänsteleverantör
Användar-organisation
Användar-organisation
Användar-organisation
En standard för integrationen
E-tjänst
Tjänsteleverantör
E-tjänst
Tjänsteleverantör
E-tjänst
Tjänsteleverantör
Federation
Gemensam regler och
infrastruktur
Användar-organisation
Användar-organisation
Användar-organisation
Vad Skolfederation inte är!
Skolfederation är en standard, INTE en central meddelandeväxel
Ej central inloggning
E-tjänst
Tjänsteleverantör
E-tjänst
Tjänsteleverantör
E-tjänst
Tjänsteleverantör
Användar-organisation
Användar-organisation
Användar-organisation
TjänsteleverantörSkolhuvudman
IntygMed attribut
Avtal E-tjänst
Skolfederation
Skolfederation beslutar INTE om åtkomst, tjänsten gör!
Skolfederation ansvar inte för
• Avtal mellan användarorganisation och tjänsteleverantör
• Utformning av åtkomstkontroll
• Vilka attribut som tjänsten ska använda
• Eventuell provisionering av konton, grupper, klasser etc
• Hantera eller ansvara för personuppgifter
Skolfederation
Samverkan
Teknisk standard Gemensam
infrastruktur
Attribut Säkerhet…
Medlemshantering
Metadatahantering
Drift av infrastrukturen
Attributförvaltning
Tilliten till identiteter och attribut
AttributförvaltningInformation
Federationsdrift
Skolfederations federationsdrift idag
Medlemshantering
Metadatahantering
Drift av infrastrukturen
Attributförvaltning
Attributförvaltning
Tilliten till identiteter och attribut
Information
Skolfederations referensgruppen• Anna Jogrenius, Liber
• Erling Sjöstrom, Tieto
• Fredrik Wellner, Södertälje kommun
• Geir Emblemsvåg, Fronter Nordic
• Hans Nilsson, Täby kommun
• Ingrid Martens, Nova Software AB
• Joakim Norbäck, KJNC
• Johan Wahlström, Södertälje kommun
• Johannes Millegård, Digilär
• Lise Östergaard Källman, NE Nationalencyklopedin
• Marcus Ander, Gleerups Utbildning
• Malin Annergård, SKL
• Mats Gahnström, Västerås stad
• Måns Larsson, Svenska Läromedel på Internet
• Palle Girgensohn, PingPong
• Per Brahm, Learnify
• P-M Andersson , Stockholms stad
• Rickard Vinde, Svenska Läromedel
• Staffan Hagnell, IIS
• Stig Andersson, SPCM
• Ulf Solberg, Stockholms stad
Federationen är medlemmarna
• Var med och påverka och bidra till federationens utveckling
• Samverka med andra medlemmar
• Vänd er gärna till federationsoperatören med frågor och förslag
Federationstekniken och SSO, Single Sign-On
Kurs
Traditionell inloggning
www.e-service.se
www.e-service.se
DB
Användarnamn
Lösenord
Användarorganisation Användare E-tjänst
Vad är det för fel på det här då?
Exempel på problem med traditionell inloggning som SAML angriper
www.e-service.se
www.e-service.se
DB
Användarnamn
Lösenord
• Inloggning per tjänst• Lösenord per tjänst
• Administration av behörigheter
• Säkerhetskrav• Lösenordssupport
Exempel på inloggning med SAML
www.e-service.se
[redirect]
DB
Användarnamn
Lösenord
IdP
Intyg
12
3
Intyg
SP
Exemplet väcker några frågor
• Hur vet IdP:n vilken tjänst användaren vill ansluta till?
• Hur vet e-tjänsten att den kan lita på intyget från IdP:n?
• Vad är det för information som skickas i intyget?
Information i intyget (förenklat)
• Name ID• Ex. transient / persistent ID (pseudonym)
• Iuerfn#y873yniuw%eyr847
• Användarens attribut• Namn: Kalle Karlsson• E-post: [email protected]• Organisation: Ronneby kommun• Roll: Lärare
• Livslängd• Giltig till och med 2015-08-27/13:54
<SAML Response>
Exempel på hur ett SAML Response Message kan se ut i verkligheten
Hur vet tjänsten att denkan lita på intyget?
www.e-service.se
SPIdP
CertifikatX.509
Metadata
Certifikat
Metadata
”Out of Band”
Intyg
Hur vet IdP:n vilken tjänst användaren vill ansluta till?
www.e-service.se
IdP
Intyg
12
3
Intyg
SP
iis.se/portal
e-service1
e-service2
e-service3
idp.iis.se/sso=www.e-service1.se*
IIS
Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?
Självklart inte!
Det finns flera metoder att initiera en SAML-inloggning ur användarperspektivet
Övningsuppgift [SFK43]
• Hur vet IdP:n vilken tjänst användaren vill ansluta till?
• Hur vet e-tjänsten att den kan lita på intyget från IdP:n?
• Vad är det för information som skickas i intyget?
Initiering av SAML-inloggning
• IdP-initierad inloggning
Inloggningen startar hos användarorganisationen som i det tidigare exemplet
• SP-initierad inloggning
Inloggningen startar hos e-tjänsten.
SP-initierad inloggning
www.e-service.se
www.e-service.se
SPLogga in med
Skolfederation
BegäranBegäran
3
Intyg
4
12
IdP
Intyg
<SAML AuthnRequest>
Exempel på hur en SAML Request kan se ut i verkligheten
Hur vet SP:n vilken IdP som kan ställa ut intyg för användaren?
IdP
IdP
IdP
www.e-service.seSP?
IdP-discovery (exempel)
• Tjänsten tillhandahåller en unik URL för respektive användarorganisation (www.iis.e-service.se, www.skatteverket.e-service.se)
• Tjänsten känner till användarorganisationens IP-adressrymd
• Tjänsten listar alla aktuella IdP:er i en anvisningstjänst och användaren får aktivt välja sin IdP
E-tjänster kan använda flera smarta metoder i kombination för att underlätta autentiseringen av användaren
Anvisningstjänst
IdP
IdP
IdP
E-tjänstSP
Anvisningstjänst
Borås
Gävle
Krokom
OrganizationDisplayName
Borås
Gävle
Krokom
1
2
34
Gävle
Allt informationsutbyte sker genom omdirigering av användarens webbläsare
Exempel på problem med traditionell inloggning som SAML angriper
www.e-service.se
www.e-service.se
Användarnamn
Lösenord
• Inloggning per tjänst• Lösenord per tjänst
• Administration av behörigheter
• Säkerhetskrav• Lösenordssupport
Men…
Vi har nya problem i en annan dimension
Anslutning mellan parter
www.e-service.se
SPIdP
Certifikat
Metadata
Certifikat
Metadata
”Out of Band”
Förutsätter att parterna enats om:• Teknik/standard• Tillämpning• Information• Format• Tillit/säkerhet• Rutiner• …
Användarorganisationens perspektiv
Tjänsteleverantör
E-tjänst
Tjänsteleverantör
E-tjänst
Tjänsteleverantör
E-tjänst
Användar-organisation IdP
Följ min standard
E-tjänstens perspektiv
Tjänsteleverantör
E-tjänstAnvändar-organisation SP
Följ min standard
IdP
IdP
IdP
Sektorns perspektiv
Tjänsteleverantör
E-tjänst
Tjänsteleverantör
E-tjänst
Tjänsteleverantör
E-tjänst
Användar-organisation IdP
IdP
IdP
SP
SP
SP
En integration per anslutning
Hundratals eller tusentals organisationer…
En standard för integrationen
Tjänsteleverantör
E-tjänst
Tjänsteleverantör
E-tjänst
Tjänsteleverantör
E-tjänst
Användar-organisation
Federation
Gemensam standard och infrastruktur
Gemensam standard
• Skolfederations tekniska krav• SAML 2.0• Implementationsprofil eGov2 2.0
• beskriver vilka delar av SAML som måste implementeras
• Deploymentprofilen saml2int• beskriver vilka delar av SAML som måste vara i bruk samt hur
dessa ska användas
• Namnstandard för anvisningstjänst• Pågående arbete med attributprofiler
Gemensam infrastruktur
• Aggregerat metadataregister signerat med federationens nyckel
• Central anvisningstjänst
• Verktyg för validering av metadata
• Testmiljö
Federationsoperatör
Aggregerat metadataregister
• Metadata• Certifikat
• Metadata• Certifikat
• Metadata• Certifikat
• Metadata• Certifikat
• Metadata• Certifikat
• Metadata• Certifikat
Aggregeratmetadata
Aggregerad och publicerad metadata
Metadata+certifikat 1Metadata+certifikat 2Metadata+certifikat 3Metadata+certifikat 4Metadata+certifikat 5Metadata+certifikat 6
/…/
Signera och publicera
Tjänsteleverantör
E-tjänst
Tjänsteleverantör
E-tjänst
Tjänsteleverantör
E-tjänst
Aggregerat metadataSkolfederation
Tekniska miljöer i Skolfederation
Produktion (endast för medlemmar)
• Metadataregister
• Central anvisningstjänst
• Endast för medlemmar
Trial (öppen för ”alla”)
• Metadataregister
• Central anvisningstjänst
• Trial IdP
• Trial SP
Trial IdP Trial SP
*Trial IdP/SP är inte uppdaterade enligt senaste attributprofilen
Anvisningstjänst -exempel
Anvisningstjänst -exempel
Anvisningstjänst - exempel
Övningsuppgift [SFK65]
• Vilken är den mest centrala komponenten i det vi kallar federationens gemensamma infrastruktur?
• Ge några exempel på vad som kan standardiseras inom en federation
SAML 2.0Security Assertion Markup Language
Kort om SAML
• Öppen standard från OASIS
• XML-baserat ramverk för att kommunicerainformation för autentisering, behörighet ochattribut för användare
• 2002 - SAML 1.0
• 2003 – SAML 1.1
• 2005 – SAML 2.0
Profiles
Bindings
Protocols
SAML 2.0
Assertions
Information om användaren• Authentication statements (hur användaren har autentiserats)• Attribute statements (användarens attribut)• Authorization decision statements (information för att avgöra användarens rättigheter)
Paketering och hantering av SAML-element• Assertion Query and Request Protocol• Authentication Request Protocol• Artifact Resolution Protocol
• Name Identifier Management Protocol• Single Logout Protocol• Name Identifier Mapping Protocol
Mappar SAML-protokoll till andra protokoll• SAML SOAP Binding (based on SOAP 1.1)• Reverse SOAP (PAOS) Binding• HTTP Redirect (GET) Binding
• HTTP POST Binding• HTTP Artifact Binding• SAML URI Binding
• Beskriver hur ovanstående kombineras för• SSO Profiles• Artifact Resolution Profile• Assertion Query/Request Profile
en specifik tillämpning• Name Identifier Mapping Profile• SAML Attribute Profiles
Övningsuppgift - korv
2
1
3
Homer äter korven
Den grillade korven förbereds för att ätas
Homer grillar en korv
Övningsuppgift [SFK70]
www.service.se
E-postlösenord
Välkommen!Logga in med:
Välj din intygsutfärdare
Borås
Gävle
Krokom
idp.krokom.se
Användarnamn
Lösenord
Logga in
www.service.se
Välkommen Nisse!
IdP:n har ställt ut ett intyg och dirigerar Nisse tillbaka till SP:nsom skickade begäran.
”service.se” har identifierat vilken IdP Nisse använder och dirigerar honom vidare med en AuthnRequest (begäran om intyg).
Nisse vill till tjänsten ”service.se”. Tjänsten finns inte i portalen på Nisses företag.
Nisse vill logga in via en federation. Eftersom han gick direkt till tjänstens webbsida så känner den inte till vilken IdP Nisse använder, utan diririgerar honom till en anvisningstjänst.
”service.se” har många olika typer av användare och erbjuder därför flera olika alternativ för inloggning.
Nisse har just kommit till jobbet och har ännu inte loggat in i någonstans. Innan han gör något annat vill han klara av ett ärende i tjänsten ”service.se”. Tjänsten finns inte i portalen på Nisses företag. I vilken ordning händer nedanstående?
Kom ihåg det här
www.e-service.se
[redirect]
DB
Användarnamn
Lösenord
IdP
Intyg
12
3
Intyg
SP
Inloggning här! Intyg med användarinformation via omdirigering av webbläsare
Skolfederations attributprofilKurs
Information i intyget (förenklat)
• Name ID• Ex. transient / persistent ID (pseudonym)
• Iuerfn#y873yniuw%eyr847
• Användarens attribut• Namn: Kalle Karlsson• E-post: [email protected]• Organisation: Ronneby kommun• Roll: Lärare
• Livslängd• Giltig till och med 2015-08-27/13:54
Attributprofilen
• Har tagits fram och vidareutvecklas kontinuerligt inom arbetsgrupp 4 i SIS projekt TK 450
• Förvaltas av Skolfederation
• Publicerad på www.skolfederation.se
http://www.sis.se/informationsteknik-kontorsutrustning/it-tillämpningar/sis-tk-450
Syfte med detta dokument
Detta dokument förtecknar en federationsgemensam vokabulär bestående av attribut för att beskriva uppgifter om vad som inom skolfederationen kallas en Användare. Dokumentet är framtaget av SIS/TK 450 IT standarder för lärande, arbetsgrupp 4.
Dokumentet är tänkt att användas på följande sätt:
• För att lista de attribut som kan ingå i en teknisk överenskommelse mellan användarorganisation och tjänsteleverantör.
• För att hålla en tydlig definition av attributens innebörd.
• För att anvisa hur information ska kodas.
Krav
1. När en viss uppgift om en Användare behöver kunna presenteras för en e-tjänst och det i detta dokument finns ett attribut för denna uppgift ska det attributet användas. Andra representationer för samma uppgift ska med andra ord inte användas.
2. Representationen av attribut ska följa deploymentprofilen http://saml2int.org. Det innebär bland annat att NameFormat ska vara urn:oasis:names:tc:SAML:2.0:attrname-format:uri, t.ex. ska urn:oid:0.9.2342.19200300.100.1.3 användas som namn för attributet e-post (alltså inte mail ).
3. I en överenskommelse mellan användarorganisationen och tjänsteleverantören ska avgöras vilka attribut som presenteras för tjänsteleverantören. Personuppgiftsbiträdesavtal samt ytterligare kravställning ska också ingå i överenskommelsen. Ytterst är det användarorganisationen som har ansvaret för vilka uppgifter som tillgängliggörs och till vem. Läs mer på http://www.datainspektionen.se/lagar-och-regler/personuppgiftslagen/skolor/checklista-for-hantering-av-personuppgifter/.
Rekommendationer
1. En minimalistisk princip ska gälla så att inte fler attribut än nödvändigt presenteras för en tjänst.
2. Det finns inget krav på att samtliga attribut behöver finnas och kunna levereras för att en användarorganisation ska få vara med i federationen.
3. Ett av skolfederations syften är att inte exponera personuppgifter mer än nödvändigt. Olika attribut har olika potential att exponera personuppgifter. Vissa utgör normalt ingen risk för integriteten och kan därför ingå i alla intyg medan andra kan innehålla uppgifter som är av känsligare art.Attribut bör därför inte användas utan en noggrann prövning av säkerhet och personuppgiftshantering. Vid prövningen ska en samlad bedömning göras av det som tillgängliggörs.
Vokabulär
Attributen i denna vokabulär ska kunna användas för att ange uppgifter om en Användare, definierad som den fysiska person som har tilldelats en identitet i Skolfederation.
För varje attribut nedan anger rubriken en benämning som bör användas i löpande text för att beteckna den uppgift som attributet representerar. Därefter följer namnet och representationen av attributet, en förklarande text och eventuellt ett exempel.
NameID
Enligt den deploymentprofil som Skolfederation använder (http://saml2int.org) så ska en IdP alltid ha förmågan att sätta ett transient-id som NameID och eventuellt, som ett alternativ därtill, istället använda ett persistent-id. Andra format avrådes. Transient-id är ett engångs-Id för användaren, som gäller *bara* för en specifik inloggning. Persistent-id är ett icke spårbart, men över tid persistent, ID för användaren i relation till just en viss IdP och en viss SP. Se deploymentprofilen för detaljer.
Det är bra att förstå att en SP inte nödvändigtvis måste förlita sig på NameID som unik identifierare för en användare. Ett vanligt undantag att SP:n hellre använder ett attribut som en spårbar identifierare, såsom eduPersonPrincipalName (eppn) som är gemensam för flera tjänster. Det är personuppgiftsombudets ansvar att bedöma om det är rimligt att tjänsten har behov av spårbara identifierare.
Attributprofilen
https://www.skolfederation.se/tjanster-produkter/
Leverantör:
Diverse läromedel på webben AB
Obligatoriska attribut:
sisSchoolGrade
eduPersonPrincipalName
givenName
sn
norEduOrgUnitUniqueIdentifier
eduPersonScopedAffiliation
norEduPersonBirthDate
Valfria attribut:
o
ou
displayName
schacGender
Tillit och säkerhetKurs
Vad ska vi uppnå?
Skolfederation ska underlätta svensk utbildningssektors användning av digitala tjänster och
läromedel!
Lösningen ska vara enkel att använda, säker, kostnadseffektiv, lättadministrerad, utvecklingsbar
samtidigt som den värnar om den personliga integriteten.
Vems ansvar?
• Användarorganisationen är ansvarig för hanteringen av personuppgifter
• Skolfederation ändrar inte det
• Skolfederation kan dock underlätta för en användarorganisation
Hur underlätta?
1. Undvika sända personuppgifter i onödan • Använd pseudonymer och var restriktiv med attribut
• Standardisera attributprofiler för olika typer av tjänster
2. En gemensam personuppgiftsbiträdesavtalsmall
3. Standardiserad signalering för inloggningen
4. Säkerhetsföreskrifter för användarorganisationer och tjänsteleverantörer anslutna till Skolfederation
5. …
Pseudonymer
Tjänsteleverantör
Användare
Pseudonymer bör användas som identifieringsbegrepp • Permanenta pseudonymer - olika för varje E-tjänst. • Icke-permanenta pseudonymer - en ny pseudonym vid
varje nytt tillfälle och för varje E-tjänst.
Användarorganisation
IntygPseudonym+ Attribut
Personuppgifts-biträdesavtal
• Mallen framtaget för att underlätta personuppgiftshanteringen genom att ha en gemensam mall
• Helt frivillig, för de som önskar att använda den
Tillitsnivå - Level of Assurance, LoAett koncept i federationer
• LoA 1 Ingen eller liten tillit till identitetenTyp Facebook, Google, Hotmail
• LoA 2 Begränsad tillit till identitetenAD-identitet, företagsinternt, domänspecifikt
• LoA 3 Hög tillit till identitetenSvensk e-legitimation, BankID, SITHS, Pass, körkort
• LoA 4 Mycket hög tillit till identiteten?
E-legitimationsnämnden (ELN) och Svensk e-legitimation
eID-leverantör
• Möjlighet att leverera identitetsintyg till anslutna offentliga myndigheter
• För närvarande tillitsnivå 3
• Ska vara godkänd som utfärdare av Svensk e-legitimation eller ha avtal med en godkänd
Utfärdare av Svensk e-legitimation
Utfärdare av Svensk e-legitimation
• Krav på Utfärdare av Svensk e-legitimation att över tid uppfyller kraven i ELNs tillitsramverk
• Man kan vara utfärdare av Svensk e-legitimation utan att var med i ELNs federtion.
E-legitimationsnämndens Tillitsramverk
• Krav på • Organisation och styrning• Fysisk, administrativ och personalorienterad säkerhet• Teknisk säkerhet• Ansökan, identifiering och registrering• Tillgänglighet• Revision
• Kräver bl a ett informationssäkerhetsarbete enligt LIS ISO/IEC 27001 eller liknande
• Genomför riskanalys - Vad behövs göras?• Implementera ett regelverk för informationssäkerhetsarbetet - Så här ska vi
göra det!• Genomför en internrevision - Gör vi det vi ska?
Datainspektionens krav
• Har inget uttryckligt krav på en viss LoA nivå!
• ”Om skolans IT-system är tillgängligt via internet, och systemet innehåller integritetskänsliga uppgifter, krävs det särskild god IT-säkerhet. Det innebär att skolan måste försäkra sig om att det verkligen är rätt personer som får åtkomst till uppgifterna och att överföringen sker på ett säkert sätt. Skolan måste använda sig av stark autentisering (exempelvis engångslösenord eller e-legitimation) och uppgifterna måste förses med krypteringsskydd vid överföringen.”
Från DI:s webbplats
Tillitsnivåer för Skolfederation
För närvarande:
• Bas – godkänd medlem i SkolfederationBas medför inga andra krav än de som följer med medlemskapet i Skolfederation.
• 2FA – tvåfaktorsautentiseringDen skyddsklass för E-legitimationer och utställande av Identitetsintyg vars grad av skydd motsvarar datainspektionens krav på stark autentisering, då IT-system är tillgängligt via Internet, och systemet innehåller integritetskänsliga uppgifter. Ingen granskning av kravets efterlevnad görs av Skolfederation, utan detta åligger Skolhuvudmannen.
LoA avser inte kvalitén attribututan endast på eID!
Skolfederations tillitsramverk
• Endast ett ”bör-krav”
• Det är fortsatt användar-organisationens och tjänste-leverantörens ansvar
Fortsatt arbete för ömsesidig tillit…
• Tjänsteleverantör ska kunna ha tillit till att både Identiteter och Attribut i utfärdade intyg är korrekta
• Användarorganisation ska kunna ha tillit till att Tjänsteleverantör hanterar känsliga uppgifter och tillhandahåller Tjänsten korrekt
• Sambi går före i detta arbete!
Medlemskap och kom-igång
Kurs
Skolfederations driftsprocesser
Attributförvaltning
Medlemshantering
Metadatahantering
Drift av infrastrukturen
Attributförvaltning
Tilliten till identiteter och attribut
Information
Tjänsteleverantör
Användare
Användarorganisation
IntygPseudonym+ Attribut
Utökat medlemskapsbegrepp
• Skolhuvudman
• Utbildningsanordnare enligt studiestödsförordningen
142
100
42
0
10
20
30
40
50
60
70
80
90
100
110
120
130
140
150
Totalt Skolhuvudman Tjänsteleverantör
Medlemsutveckling2013 2014 2015
142 medlemmar
100 Skolhuvudmän
• Kommunala 72 – karta
• Friskolor 24
• Förbund 3
• Myndighet 1
42 tjänsteleverantörer
Priser
eduroam
• Avtal
• Individuella priser för varje medlem, baserat på invånarantal, elevantal och personal
Medlemsavtal
• Anslutningsavtal (Användarorganisation resp. Tjänsteleverantör)
• Bilaga 1 - Tekniska krav
• Bilaga 2 – Säkerhetsföreskrifter (Användarorganisation resp. Tjänsteleverantör)
• Bilaga 3 – UTGÅR, ersatt av attributprofil
• Bilaga 4 - Avgifter
• Bilaga 5 – Ordlista, definitioner
• Kontaktuppgifter (blankett)
• https://www.skolfederation.se/bli-medlem/avtal/
Kontaktuppgifter
• Huvudkontakt – övergripande, publiceras på Skolfederations webbplats
• Teknisk kontakt – den person som blir motringd vid uppladdning av nytt metadata!
• Incidentansvarig – kan vara en funktions-brevlåda/-tel, ska alltid bevakas
• PUL-kontakt
• Fakturakontakt
Metadatahantering
1. Validering
2. Sänd via formulär
3. Checksumma
4. Kundtjänst motringerteknisk kontakt
5. Publicering
Medlemmarna är federationen
Alla kan bidra genom att:– vara medlem
– delta i arbetsgrupper
– lyfta eller driva viktiga frågor
– dela med sig av erfarenheter till andra
Medlemmars önskemål
Medlemmars önskemål
Medlemmars önskemål
Personuppgiftsbiträdesavtal• Mall framtagen för att
underlätta för de som önskar använda
Federationsoperatören som koordinator
Helsingborg, 23 april 2015
Skolfederationsdagen, 16 sept 2015
Boden, 27 oktober 2015
Endagskurs
Resurser
• Webbplatsen är basen
• Nyheter och intervjuer
• Guider och broschyrer
• Nyhetsbrev• generella
• tekniska
• Referensgrupp
Resurser forts.
• Inspelningar från egna event publiceras
• Medlemslista
• Tjänster och deras attribut listas
• Integratörer och konsulter presenteras
Exempel: Sundvalls kommun
• Målbild
• Infrastruktur
• Attributskrav och attributskällor
• Teknisk lösning
Rapport om sitt införande av Skolfederation
Case Helsingborgs stad
• Erfarenheter från projekt Skolportal inklusive Skolfederation• Rekommendationer
• Framgångsfaktorer
• Tänk på
• Undvik
Case Helsingborgs stad
• Projektmall• Helsingborgs stads
projektplan som grund
• Vägledning och inspiration
• Referensinformation
Kontakt
• www.skolfederation.se
eduroamKurs
eduroam
• eduroam erbjuds som tilläggstjänst till Skolfederation
• För att bli medlem i eduroam krävs att man är medlem som användarorganisation i Skolfederation
Delad WiFi för utbildningssektorn
eduroam - teknik
Skolfederation Sunet
Sverige Övriga världen
eduroam - översikt
Universitet, högskolor
Kommuner, friskolor mm
WiFi
WiFi
WiFi
www.skolfederation.se/eduroam/
Framtid och utvecklingKurs
Men först…
Övningsuppgift [SFK129:a]
I övningsuppgift [SFK70] såg vi ett inloggningsflöde där användaren behövde agera aktivt i själva inloggningen. Vilka var dessa val?
Skriv upp den i den ordning de kom:
Övningsuppgift [SFK129:b]
Skulle något eller några av dessa moment kunna undvikas, och i så fall hur?
Inloggning för nativeappar
Förenklad inloggning för tjänster som enbart levereras som nativeapp
• Det går att skapa inloggning för nativeappar redan idag, men lösningen innebär onödig komplexitet för tjänster som saknar webbplatform
OpenID Connect
• OpenID Connect är en intressant framtida standard för inloggning med nativeappar
• http://openid.net/connect/
Skapa Uppdatera Radera
Livscykelhantering av användarkonton
• Förpopulering av tjänstens konton
• Uppdatering av användaruppgifter (utan inloggning)
• Borttagning av konton
SCIM
• SCIM (System for Cross-domain IdentityManagement) är det alternativ som har mest fokus i nuläget
• http://www.simplecloud.info/
Portalstrategi
• Vad är en portal?
• Vad är syftet med en portal?
• Vem är bäst lämpad att utveckla och driva portalen?
Andra federationer
Flera andra nationella e-legitimationer och federationer (framförallt inom utbildningssektorn)
Varför alla dessa federationer?
• Skolfederation
• eduroam
• Sambi
• Swamid
• Svensk e-legitimation
• Med flera…
Nivåer av standardisering
Skola Vård och omsorg
Applikation
Infrastruktur
Sektor
Standarder hjälper utvecklingen framåt
• Avsaknad av standard bromsar hindrar spridning och skapar inlåsning
• Trösklar och hinder i teknik och regelverk hämmar utveckling av tjänster och affärsmodeller
• Standardisering på rätt nivå bidrar till utvecklingen av hela sektorn
Lokala federationer InterfederationerFederationer
SAML 2.0Saml2InteGov2Återanvändning av bef standarder och format
Federationer i praktiken
Skolfederation
Sambi
Swamid
Federation xyz
Svensk e-legitimation
Office 365
GAFE
Tjänst xyz
eduGain
Europa USA
Och fler…Australien
Huvudman eller
e-tjänst
Filter
Filter
Interfederation
Federation A Federation B
Federation C Federation D
Interfederation
IdP SP
IdP SP IdP SP
IdP SP
IdP SP
IdP SP IdP SP
IdP SP
Metadata
Metadata
Metadata
eduGAIN
Arbetsformer – alla kan bidra
• Bli medlem
• Lämna förslag eller belys problem
• Engagera dig i SIS/TK 450
• Driv eller delta i arbetsgrupp i Skolfederation
• Medverka i pilot
• Dela med dig av erfarenheter och praktiska lösningar
• Referensfall
• Erfarenhetsutbyte
• Delta i referensgrupp
• Med mera…
SummeringKurs
Skolfederation
Samverkan
Teknisk standard Gemensam
infrastruktur
Attribut Säkerhet…
Mål för Skolfederation
Användarorganisation• Valfrihet, att välja sin
egen lösning• Enklare
tjänsteintegration• Enhetlig administration
av användare
Användare• SSO, En inloggning till alla tjänster• Minskad administration av lösenord för lärare• Stärkt skydd av integritet
Tjänsteleverantör• Slippa administration
av användare• Enklare integration av
Skolhuvudmän
Utbildningssektorn• Ökad säkerhet• Stimulera utveckling
Tekniken
www.e-service.se
[redirect]
DB
Användarnamn
Lösenord
IdP
Intyg
12
3
Intyg
SP
Inloggning här! Intyg med användarinformation via omdirigering av webbläsare
Lokala federationer InterfederationerFederationer
SAML 2.0Saml2InteGov2Återanvändning av bef standarder och format
Federationer i praktiken
Skolfederation
Sambi
Swamid
Federation xyz
Svensk e-legitimation
Office 365
GAFE
Tjänst xyz
eduGain
Europa USA
Och fler…Australien
Huvudman eller
e-tjänst
Federationen är medlemmarna
• Var med och påverka och bidra till federationens utveckling
• Samverka med andra medlemmar
• Vänd er gärna till federationsoperatören med frågor och förslag