Introduktion till Skolfederation

Transkript

1 Introduktion till Skolfederation 19 april 2017 Internetstiftelsen i Sverige, IIS Kursledare: Bengt Wällstedt, bengt.wallstedt@gmail.com

2 09.00 Vad är Skolfederation Bakgrund, Arkitektur, Uppbyggnad och omfattning, varför Skolfederation, Målsättningar, Begrepp, Skolfederation idag Federationstekniken och SSO Single Sign-On Standard SAML V2.0, Autentiseringsbegäran, Metadata, Tekniska profiler, Single Log-Out Skolfederations attributprofil, Hands-on-test av federerad inloggning Genomgång av Skolfederations attribut, När de ska användas, Leverantörslistan, Hands-on LUNCH Hur man kommer igång Att bli medlem, Att föra över metadata, Att ansluta medlemmar, Exempel, eduroam Tillit och säkerhet Säkerhetsföreskrifter, Personuppgiftsbiträdesavtalsmall, Dataskyddsförordningen eduroam Kort beskrivning av tilläggstjänsten eduroam Framtid och utveckling Tillit till identiteter och attribut, App-inloggning, Livscykelhantering, Andra federationer Summering SLUT

3 Vad är IIS? Internetstiftelsen i Sverige

4 IIS är federationsoperatör

5 Mål för dagens kurs Övergripande förståelse för vilka problem som Skolfederation försöker lösa, och hur Hur och varför dagens upplägg med IIS som federationsoperatör kommit till I grova drag vad som krävs för att implementera Skolfederation som användarorganisation eller tjänsteleverantör

6 Kursmoment 1 Vad är Skolfederation

7 Vad är en identitetsfederation? En identitetsfederation är en sammanslutning av organisationer som har kommit överens om att lita på varandras elektroniska identiteter och behörighetsstyrande attribut för att underlätta användarnas åtkomst till elektroniska tjänster och skydda den personliga integriteten.

8 Historia Skolfederation 2007 Swamid - Den tekniska förebilden 2011 SIS/TK450 knoppade av Skolfederation 2012 Diskussioner om utformningen 2013 Start

9

10 Mål från 2012 Skolfederation ska underlätta svensk utbildningssektors användning av digitala tjänster och läromedel!

11 Mål från 2012 Skolfederation ska vara smal och grund!

12 Mål för skolfederation UTBILDNINGSSEKTORN Ökad säkerhet Stimulera utveckling ANVÄNDARORGANISATION TJÄNSTELEVERANTÖR Slippa administration av användare Enklare integration av skolhuvudmän Valfrihet att välja sin egen lösning Enklare tjänsteintegration Enhetlig administration av användare ANVÄNDARE SSO, en inloggning till alla tjänster Minskad administration av lösenord för lärare Stärkt skydd av integritet

13 Undvik olika integrationer

14 En standard för integrationen FEDERATION Gemensam standard och infrastruktur

15 Vad Skolfederation inte är Skolfederation är inte en central inloggningstjänst Användare loggar inte in med Skolfederation Skolfederation lagrar ingen användarinformation

16 Skolfederation är en standard, INTE en central meddelandeväxel Ej central inloggning

17 Skolfederation beslutar INTE om åtkomst, tjänsten gör! Skolhuvudman Tjänsteleverantör Avtal Intyg med attribut Skolfederation

18 Skolfederation ansvarar inte för Avtal mellan användarorganisation och tjänsteleverantör Utformning av åtkomstkontroll Vilka attribut som tjänsten ska använda Eventuell provisionering av konton, grupper, klasser etc Hantera eller ansvara för personuppgifter

19 Skolfederation SAMVERKAN Teknisk standard Gemensam infrastruktur Attribut Säkerhet

20 Federationsdrift Medlemshantering Metadatahantering Drift av infrastrukturen Attributförvaltning Tilliten till identiteter och attribut Information

21 Skolfederations Federationsdrift idag Medlemshantering Metadatahantering Drift av infrastrukturen Attributförvaltning Tilliten till identiteter och attribut Information

22 Skolfederations referensgrupp Anna Jogrenius, Liber Markus Landin, NE Nationalencyklopedin Carl-Johan Bonander, Nova Software AB Mats Gahnström, Västerås stad Erling Sjöstrom, Tieto Måns Larsson, Svenska Läromedel på Internet Fredrik Wellner, Södertälje kommun Niklas Leide, Skolon AB Geir Emblemsvåg, Fronter Nordic Palle Girgensohn, PingPong Hans Nilsson, Täby kommun Per Brahm, Learnify Joakim Norbäck, KJNC Per Magnus Byström, Stockholms stad Johan Wahlström, Södertälje kommun Rickard Vinde, Svenska Läromedel Johannes Millegård, Digilär Staffan Hagnell, IIS Malin Annergård, SKL Stig Andersson, SPSM Marcus Ander, Gleerups Utbildning

23 Federationen är medlemmarna Var med och påverka och bidra till federationens utveckling Samverka med andra medlemmar Vänd er gärna till federationsoperatören med frågor och förslag

24 Kursmoment 2 Federationstekniken och SSO; Single Sign-On

25 Traditionell inloggning Användarorganisation Användare E-tjänst Vad är det för fel på det här då? Användarnamn ********** DB

26 Traditionell inloggning - problem: Användarorganisation Administration av behörigheter Användare Inloggning per tjänst Lösenord per tjänst E-tjänst e s l e lev pp Säkerhetskrav Lösenordssupport ru t a s d o t n k e ä h v a r n Användarnamn v e i a t k a ä g r i t s ål is g i n D l i ********** l ä m f t d s i a r a B g i d ö n O r e d na DB

27 Exempel på inloggning med SAML Intyg Intyg Välkommen! DB

28 Exemplet väcker några frågor Hur vet IdP:n vilken tjänst användaren vill ansluta till? Hur vet e-tjänsten att den kan lita på intyget från IdP:n? Vad är det för information som skickas i intyget?

29 Information i intyget (förenklat) Name ID Ex. transient / persistent ID (pseudonym) Iuerfn#y873yniuw%eyr847 Användarens attribut Namn: Carl Carlsson E-post: carl-ang@skola.engelholm.se Organisation: Ängelholms kommun Roll: Elev i klass 1a Livslängd Giltig till och med /16:00

30 <SAML Response> Exempel på hur ett SAML Response Message kan se ut i verkligheten

31 Hur vet tjänsten att den kan lita på intyget? Intyg a er ign Ve rifi S X.509 Certifikat er a Certifikat Out of Band Metadata Metadata

32 Hur vet IdP:n vilken tjänst användaren vill ansluta till? idp.iis.se/sso= Intyg Iis.se/portal Intyg Välkommen! e-service1 e-service2 2 1 e-service3 3

33 Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?

34 Självklart inte! Det finns flera metoder att initiera en SAML-inloggning ur användarperspektivet

35 Övningsuppgift [SFK2-35] Hur vet IdP:n vilken tjänst användaren vill ansluta till? Hur vet e-tjänsten att den kan lita på intyget från IdP:n? Vad är det för information som skickas i intyget?

36 Initiering av SAML-inloggning IdP-initierad inloggning Inloggningen startar hos användarorganisationen som i det tidigare exemplet SP-initierad inloggning Inloggningen startar hos e-tjänsten.

37 SP-initierad inloggning Intyg Välkommen! DB 3 2 Intyg 4 Logga in med Välkommen! skolfederation 1 Begäran Begäran

38 <SAML AuthnRequest> Exempel på hur en SAML Request kan se ut i verkligheten

39 Hur vet SP:n vilken IdP som kan ställa ut intyg för användaren??

40 IdP-discovery (exempel) Tjänsten tillhandahåller en unik URL för respektive användarorganisation ( Tjänsten känner till användarorganisationens IP-adressrymd Tjänsten listar alla aktuella IdP:er i en anvisningstjänst och användaren får aktivt välja sin IdP E-tjänster kan använda flera smarta metoder i kombination för att underlätta autentiseringen av användaren

41 Anvisningstjänst 2 OrganizationDisplayName Anvisningstjänst Borås 4 Borås E-tjänst SP 3 Gävle Gävle 1 Krokom Gävle Allt informationsutbyte sker genom omdirigering av användarens webbläsare Krokom

42 Vad SAML kan göra åt våra problem: Användarorganisation Administration av behörigheter Användare Inloggning per tjänst Lösenord per tjänst E-tjänst e s l e lev pp Säkerhetskrav Lösenordssupport ru t a s d o t n k e ä h v a r n Användarnamn v e i a t k a ä g r i t s ål is g i n D l i ********** l ä m f t d s i a r a B g i d ö n O r e d na

43 Men Vi har nya problem i en annan dimension

44 Anslutning mellan parter Certifikat Certifikat Out of Band Metadata Metadata Förutsätter att parterna enats om: Teknik/standard Tillämpning Information Format Tillit/säkerhet Rutiner

45 Användarorganisationens perspektiv Följ min standard! IdP

46 E-tjänstens perspektiv Följ min standard! IdP SP IdP Följ min standard! IdP Följ min standard!

47 Sektorns perspektiv En integration per anslutning IdP SP IdP SP IdP SP Hundratals eller tusentals organisationer

48 En standard för integrationen FEDERATION Gemensam standard och infrastruktur

49 Gemensam standard Skolfederations tekniska krav SAML 2.0 Implementationsprofil egov2 2.0 beskriver vilka delar av SAML som måste implementeras Deploymentprofilen saml2int beskriver vilka delar av SAML som måste vara i bruk samt hur dessa ska användas Namnstandard för anvisningstjänst Pågående arbete med attributprofiler

50 Gemensam infrastruktur Aggregerat metadataregister signerat med federationens nyckel Central anvisningstjänst Verktyg för validering av metadata Testmiljö

51 Aggregerat metadataregister Metadata Certifikat Metadata Certifikat Metadata Certifikat Aggregerad och publicerad metadata Metadata+certifikat 1 Metadata+certifikat 2 Metadata+certifikat 3 Metadata+certifikat 4 Metadata+certifikat 5 Metadata+certifikat 6 / / Signera och publicera Aggregerat metadata Federationsoperatör Metadata Certifikat Metadata Certifikat Metadata Certifikat

52 Skolfederation Aggregerat metadata

53 Tekniska miljöer i Skolfederation Produktion (endast för medlemmar) Metadataregister Central anvisningstjänst Endast för medlemmar Trial (öppen för alla ) Metadataregister Central anvisningstjänst Trial IdP Trial SP -

54 Trial IdP Trial SP *Trial IdP/SP är inte uppdaterade enligt senaste attributprofilen

55 Anvisningstjänst exempel

56 Anvisningstjänst exempel

57 Anvisningstjänst - exempel

58

59 Övningsuppgift [SFK2-59] Vilken är den mest centrala komponenten i det vi kallar federationens gemensamma infrastruktur? Ge några exempel på vad som kan standardiseras inom en federation

60 SAML 2.0 Security Assertion Markup Language

61 Kort om SAML Öppen standard från OASIS XML-baserat ramverk för att kommunicera information för autentisering, behörighet och attribut för användare SAML SAML SAML 2.0

62 SAML 2.0 Assertions Information om användaren Authentication statements (hur användaren har autentiserats) Attribute statements (användarens attribut) Authorization decision statements (information för att avgöra användarens rättigheter) Protocols Paketering och hantering av SAML-element Assertion Query and Request Protocol Authentication Request Protocol Artifact Resolution Protocol Bindings Mappar SAML-protokoll till andra protokoll SAML SOAP Binding (based on SOAP 1.1) Reverse SOAP (PAOS) Binding HTTP Redirect (GET) Binding Profiles HTTP POST Binding HTTP Artifact Binding SAML URI Binding Beskriver hur ovanstående kombineras för en specifik tillämpning SSO Profiles Assertion Query/Request Profile Artifact Resolution Profile Name Identifier Mapping Profile SAML Attribute Profiles

63 Övningsuppgift - korv 2 Homer äter korven 1 Den grillade korven förbereds för att ätas 3 Homer grillar en korv

64 Övningsuppgift [SFK2-64] Nisse har just kommit till jobbet och har ännu inte loggat in i någonstans. Innan han gör något annat vill han klara av ett ärende i tjänsten service.se. Tjänsten finns inte i portalen på Nisses företag. I vilken ordning händer nedanstående? idp.krokom.se Användarnamn Lösenord Logga in IdP:n har ställt ut ett intyg och dirigerar Nisse tillbaka till SP:n som skickade begäran. Välkommen! Logga in med: E-post lösenord service.se har identifierat vilken IdP Nisse använder och dirigerar honom vidare med en AuthnRequest (begäran om intyg). Välkommen Nisse! Välj din intygsutfärdare Borås Gävle Krokom Nisse vill till tjänsten service.se. Tjänsten finns inte i portalen på Nisses företag. Nisse vill logga in via en federation. Eftersom han gick direkt till tjänstens webbsida så känner den inte till vilken IdP Nisse använder, utan diririgerar honom till en anvisningstjänst. service.se har många olika typer av användare och erbjuder därför flera olika alternativ för inloggning.

65 Kom ihåg det här Inloggning här! Intyg med användarinformation via omdirigering av webbläsare Intyg Intyg Välkommen! Användarnamn ********** 2 1 DB 3

66 FACIT

67 Facit [SFK2-35] Hur vet Idp:n vilken tjänst användaren vill ansluta till? - Länk som pekar ut tjänsten (IdP-initierad inloggning) Hur vet e-tjänsten att den kan lita på intyget från IdP:n? - SP:n och IdP:n måste i förväg ha skapat förtroende för varandra genom att ha utbytt nyklas som bevisar respektive identitet. - IdP:n och SP:n måste ha utbytt metadata om varandra. Vad är det för information som skickas i intyget? - Name ID (transient eller presistent unik identitet) - Attribut (namn, e-post, roll, etc) - Giltighetstid

68 Facit [SFK2-59] Vilken är den mest centrala komponenten i det vi kallar federationens gemensamma infrastruktur? - Signerat och aggregerat metadataregister med medlemmarnas certifikat Ge några exempel på vad som kan standardiseras inom en federation. - Teknisk standard - Tillämpning (tekniska profiler) - Information och format (attribut) - Tillitshantering/säkerhet - Rutiner

69 Facit [SFK2-64] SAML-implementationen i exemplet är inte ett föredöme avseende användarvänlighet. Användaren ställs inför flera val i olika sammanhang under inloggningsflödet. Överkurs: Hur skulle en mer användarvänlig implementation kunna se ut? 4 idp.krokom.se Användarnamn Lösenord Logga in IdP:n har ställt ut ett intyg och dirigerar Nisse tillbaka till SP:n som skickade begäran. 2 Välkommen! Logga in med: E-post lösenord service.se har identifierat vilken IdP Nisse använder och dirigerar honom vidare med en AuthnRequest (begäran om intyg) Välkommen Nisse! 3 Välj din intygsutfärdare Borås Gävle Krokom Nisse vill till tjänsten service.se. Tjänsten finns inte i portalen på Nisses företag. Nisse vill logga in via en federation. Eftersom han gick direkt till tjänstens webbsida så känner den inte till vilken IdP Nisse använder, utan diririgerar honom till en anvisningstjänst. service.se har många olika typer av användare och erbjuder därför flera olika alternativ för inloggning.

70 Kursmoment 3 Skolfederations attributprofil

71 Exempel på några viktiga personer Elev Namn: Test Elev1 Årskurs: 1 Klass: 1B:16/17 Grupp: IDH1BJOAD16/17 Skola: Rebbelberga skola Kommun: Ängelholm Användar-ID: testelev1 Elev Namn: Test Elev3 Årskurs: gy 3 Klass: TE3c/1617 Grupp: Sv3TE3bc/1617LiEa Grupp: Hi1a1TE3c/1617MaCh Grupp: Re1TE3bc/1617FrJe Grupp: GyarbTE3/1617NoJo Grupp: Ma4NANAS3TE3/1617VcBo Skola: Ängelholms gymnasieskola Kommun: Ängelholm Användar-ID: testelev3 Elev Namn: Test Elev2 Årskurs: 7 Klass: 71a:16/17 Grupp: EN71aPEFR16/17 Grupp: HI71aNOML16/17 Grupp: MA71aNOML16/17 Grupp: SH71aNOML16/17 Skola: Kungsgårdsskolan Kommun: Ängelholm Användar-ID: testelev2 Lärare Namn: Test Lärare1 Mentor: 1B:16/17 Skola: Rebbelberga skola Kommun: Ängelholm Användar-ID: testlar1

72 Hur ska tjänsten veta att en viss person har tillgång till tjänsten och vilken roll personen har? I SAML-intyget kan finnas diverse information om en person, roll(er), grupper, klasser, skolor etc, etc. Dessa uppgifter kallas ATTRIBUT! Varifrån och hur hämtas dessa uppgifter så att de kan skickas med i intyget? Alla attributvärden som skickas i intyget bör alltid hämtas direkt från elevregistret (och ev. personalregistret)!

73 Information i intyget (förenklat) Name ID Ex. transient / persistent ID (pseudonym) Iuerfn#y873yniuw%eyr847 Användarens attribut Namn: Test Elev1 E-post: testelev1@skola.engelholm.se Organisation: Ängelholms kommun Roll: Elev i klass 1B:16/17 Livslängd Giltig till och med /16:00

74 Attributprofilen Har tagits fram och vidareutvecklas kontinuerligt inom arbetsgrupp 4 i SIS projekt TK 450 Förvaltas av Skolfederation Publicerad på

75 Syfte med detta dokument Detta dokument förtecknar en federationsgemensam vokabulär bestående av attribut för att beskriva uppgifter om vad som inom skolfederationen kallas en Användare. Dokumentet är framtaget av SIS/TK 450 IT standarder för lärande, arbetsgrupp 4. Dokumentet är tänkt att användas på följande sätt: För att lista de attribut som kan ingå i en teknisk överenskommelse mellan användarorganisation och tjänsteleverantör. För att hålla en tydlig definition av attributens innebörd. För att anvisa hur information ska kodas.

76 Krav 1. När en viss uppgift om en Användare behöver kunna presenteras för en e-tjänst och det i detta dokument finns ett attribut för denna uppgift ska det attributet användas. Andra representationer för samma uppgift ska med andra ord inte användas. 2. Representationen av attribut ska följa deploymentprofilen Det innebär bland annat att NameFormat ska vara urn:oasis:names:tc:saml:2.0:attrname-format:uri, t.ex. ska urn:oid: användas som namn för attributet e-post (alltså inte mail ). 3. I en överenskommelse mellan användarorganisationen och tjänsteleverantören ska avgöras vilka attribut som presenteras för tjänsteleverantören. Personuppgiftsbiträdesavtal samt ytterligare kravställning ska också ingå i överenskommelsen. Ytterst är det användarorganisationen som har ansvaret för vilka uppgifter som tillgängliggörs och till vem. Läs mer på ering-av-personuppgifter/.

77 Rekommendationer 1. En minimalistisk princip ska gälla så att inte fler attribut än nödvändigt presenteras för en tjänst. 2. Det finns inget krav på att samtliga attribut behöver finnas och kunna levereras för att en användarorganisation ska få vara med i federationen. 3. Ett av skolfederations syften är att inte exponera personuppgifter mer än nödvändigt. Olika attribut har olika potential att exponera personuppgifter. Vissa utgör normalt ingen risk för integriteten och kan därför ingå i alla intyg medan andra kan innehålla uppgifter som är av känsligare art. Attribut bör därför inte användas utan en noggrann prövning av säkerhet och personuppgiftshantering. Vid prövningen ska en samlad bedömning göras av det som tillgängliggörs.

78 Vokabulär Attributen i denna vokabulär ska kunna användas för att ange uppgifter om en Användare, definierad som den fysiska person som har tilldelats en identitet i Skolfederation. För varje attribut nedan anger rubriken en benämning som bör användas i löpande text för att beteckna den uppgift som attributet representerar. Därefter följer namnet och representationen av attributet, en förklarande text och eventuellt ett exempel.

79 NameID Enligt den deploymentprofil som Skolfederation använder ( så ska en IdP alltid ha förmågan att sätta ett transient-id som NameID och eventuellt, som ett alternativ därtill, istället använda ett persistent-id. Andra format avrådes. Transient-id är ett engångs-id för användaren, som gäller *bara* för en specifik inloggning. Persistent-id är ett icke spårbart, men över tid persistent, ID för användaren i relation till just en viss IdP och en viss SP. Se deploymentprofilen för detaljer. Det är bra att förstå att en SP inte nödvändigtvis måste förlita sig på NameID som unik identifierare för en användare. Ett vanligt undantag att SP:n hellre använder ett attribut som en spårbar identifierare, såsom edupersonprincipalname (eppn) som är gemensam för flera tjänster. Det är personuppgiftsombudets ansvar att bedöma om det är rimligt att tjänsten har behov av spårbara identifierare.

80 Attributprofilen Varifrån kommer värdena som de skickade attributen har? Elevregistret (Procapita, IST Extens) Personalregistret Viktigt: Hur ser processen ut när data hämtas från dessa register (databaser) och lämnas över till IdP:n? Hur hanterar vi situationer som inte passar in, t.ex. personer med skyddade identiteter?

81 Vilka attribut kräver de olika tjästerna? Se: Leverantör: Diverse läromedel på webben AB Obligatoriska attribut: sisschoolgrade edupersonprincipalname givenname sn noreduorgunituniqueidentifier edupersonscopedaffiliation noredupersonbirthdate Valfria attribut: o ou displayname mail schacgender

82 Hands on inloggning, attribut, portaltänk 1. Inloggning via anvisningstjänst: OBS! Använd inkognitoläge! OBS! Nationalencykopedin: Svenska Djur: Vi använder Ängelholms IdP, Ängelholms kommun Användarnamn: [endast tillgängligt under pågående kurs]

83 Hands on inloggning, attribut, portaltänk 2. IdP-initierad inloggning ( portallänk ) Generell konstruktion av länk. Detta behövs: 1: Url till IdP:ns Single Sign On -service (hittar man i metadatat) 2: Parameter som signalerar sändning av oombett intyg (unsolicited SAML-response, olika beroende på vilken IdP-produkt som används) 3: SP:ns entity-id (hittar man i metadatat) Bygg sedan ihop 1, 2 och 3 till en enda (lång) url

84 <md:entitydescriptor xmlns:md="urn:oasis:names:tc:saml:2.0:metadata" xmlns:mdui="urn:oasis:names:tc:saml:metadata:ui" xmlns:ds=" <md:idpssodescriptor protocolsupportenumeration="urn:oasis:names:tc:saml:2.0:protocol" WantAuthnRequestsSigned="false"> <md:extensions> <mdui:uiinfo xmlns:mdui="urn:oasis:names:tc:saml:metadata:ui"> <mdui:displayname xml:lang="en">municipality of Ängelholm</mdui:DisplayName> <mdui:displayname xml:lang="sv">ängelholms kommun</mdui:displayname> <mdui:description xml:lang="en">municipality of Ängelholm IDP</mdui:Description> <mdui:description xml:lang="sv">ängelholms kommun IDP</mdui:Description> <mdui:logo width="76" height="116"> </mdui:logo> </mdui:uiinfo> </md:extensions> <md:singlesignonservice Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location=" </md:idpssodescriptor> <md:organization> <md:organizationname xml:lang="en">municipality of Ängelholm</md:OrganizationName> <md:organizationname xml:lang="sv">ängelholms kommun</md:organizationname> <md:organizationdisplayname xml:lang="en">municipality of Ängelholm</md:OrganizationDisplayName> <md:organizationdisplayname xml:lang="sv">ängelholms kommun</md:organizationdisplayname> <md:organizationurl xml:lang="en"> <md:organizationurl xml:lang="sv"> </md:organization> <md:contactperson contacttype="technical"> <md:surname>administrator</md:surname> </md:contactperson> </md:entitydescriptor>

85 <md:entitydescriptor xmlns:md="urn:oasis:names:tc:saml:2.0:metadata" entityid=" <md:spssodescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolsupportenumeration="urn:oasis:names:tc:saml:2.0:protocol"> <md:keydescriptor use="signing"> <ds:keyinfo xmlns:ds=" <ds:x509data> <ds:x509certificate>(utelämnat)</ds:x509certificate> </ds:x509data> </ds:keyinfo> </md:keydescriptor> <md:keydescriptor use="encryption"> <ds:keyinfo xmlns:ds=" <ds:x509data> <ds:x509certificate>(utelämnat)</ds:x509certificate> </ds:x509data> </ds:keyinfo> </md:keydescriptor> <md:singlelogoutservice Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location=" <md:singlelogoutservice Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location=" <md:nameidformat>urn:oasis:names:tc:saml:2.0:nameid-format:transient</md:nameidformat> <md:nameidformat>urn:oasis:names:tc:saml:2.0:nameid-format:persistent</md:nameidformat> <md:assertionconsumerservice Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Artifact" Location=" index="0"/> <md:assertionconsumerservice Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location=" index="1" isdefault="true"/> <md:assertionconsumerservice Binding="urn:oasis:names:tc:SAML:2.0:bindings:PAOS" Location=" index="2"/> <md:assertionconsumerservice xmlns:hoksso="urn:oasis:names:tc:saml:2.0:profiles:holder-of-key:sso:browser" Binding="urn:oasis:names:tc:SAML:2.0:profiles:holder-of-key:SSO:browser" Location=" hoksso:protocolbinding="urn:oasis:names:tc:saml:2.0:bindings:http-artifact" index="3"/> <md:assertionconsumerservice xmlns:hoksso="urn:oasis:names:tc:saml:2.0:profiles:holder-of-key:sso:browser" Binding="urn:oasis:names:tc:SAML:2.0:profiles:holder-of-key:SSO:browser" Location=" hoksso:protocolbinding="urn:oasis:names:tc:saml:2.0:bindings:http-post" index="4"/> </md:spssodescriptor> </md:entitydescriptor>

86 Hands on inloggning, attribut, portaltänk Ängelholms IdP SSO-service: Parameter för oombett intyg (specifik för SimpleSamlPHP som används som Idp i Ängelholm):?spentityid= NE:s SP:s entity-id: Hela url:en blir alltså: amlauth

87 Hands on inloggning, attribut, portaltänk Ängelholms IdP SSO-service: Parameter för oombett intyg (specifik för SimpleSamlPHP):?spentityid= Svenska Djur (Condidact AB) SP:s entity-id: Hela url:en blir alltså: dact.dk/federeret%20autentifikation/skolfederationen/metadata

88 Hands on inloggning, attribut, portaltänk Fel metadata saknas för - beror på url:ens format i deras entity-id: Vi fixar till det: testar: secure.condidact.dk/federeret%2520autentifikation/skolfederationen/metadata

89 Hands on inloggning, attribut, portaltänk Fungerar! Men vi hamnar inte på Svenska Djur! Condidact har förmodligen flera olika tjänster som använder samma SP. Vi behöver berätta mer för deras SP för att den ska kunna ta oss till Svenska Djur. Vi måste lägga in två kommandoparametrar till i url:en för att det ska fungera rätt: &RelayState= (url som webläsaren skickas vidare till)?target= (url som webläsaren till slut ska hamna på) condidact.dk/federeret%2520autentifikation/skolfederationen/metadata&relaystate= condidact.dk/federeret%2520autentifikation/skolfederationen?target= Här måste man ta hjälp av någon som driver tjänsten i fråga för att få ihop det! Inte det allra mest optimala sättet för en tjänsteleverantör att konfigurera sin SP.

90 Hands on inloggning, attribut, portaltänk 3. SP-initierad inloggning ( portallänk ) Inte lika generellt som IdP-initierad inloggning. I princip... 1: Url till SP:ns landningssida efter inloggning (kan vara svår att hitta) 2: parameter som signalerar att man vill logga in (produktspecifik för SP:n) 3: IdP:ns entity-id (hittar man i metadatat) Bygg sedan ihop 1, 2 och 3 till en enda (lång) url. Kan vara ganska svårt att ta reda på allt som behövs för att det ska fungera

91 Hands on inloggning, attribut, portaltänk Nationalencyklopedin: &idp= ata.php För en användare fungerar denna länk precis likadant som den IdP-initierade länken

92 Hands on inloggning, attribut, portaltänk Prova själv! Färdiga url:er finns på eps.skola.engelholm.se/skolfed OBS! Använd inkognitoläge!

93 Tre exempel på implementationer Typisk portal : login.skola.engelholm.se Via befintlig lärplattform: fronter.skola.engelholm.se Enkel öppen länksamling login.skola.engelholm.se/index.php/nologin

94 Kursmoment 4 Tillit och säkerhet

95 Vad ska vi uppnå? Skolfederation ska underlätta svensk utbildningssektors användning av digitala tjänster och läromedel! Lösningen ska vara enkel att använda, säker, kostnadseffektiv, lättadministrerad, utvecklingsbar samtidigt som den värnar om den personliga integriteten.

96 Vems ansvar? Användarorganisationen är ansvarig för hanteringen av personuppgifter Skolfederation ändrar inte det Skolfederation kan dock underlätta för en användarorganisation

97 Hur underlätta? 1. Undvika sända personuppgifter i onödan Använd pseudonymer och var restriktiv med attribut Standardisera attributprofiler för olika typer av tjänster En gemensam personuppgiftsbiträdesavtalsmall Standardiserad signalering för inloggningen Säkerhetsföreskrifter för användarorganisationer och tjänsteleverantörer anslutna till Skolfederation

98 Pseudonymer Tjänsteleverantör Användarorganisation Intyg Pseudonym + Attribut Användare Pseudonymer bör användas som identifieringsbegrepp Permanenta pseudonymer - olika för varje E-tjänst. Icke-permanenta pseudonymer - en ny pseudonym vid varje nytt tillfälle och för varje E-tjänst.

99 Personuppgiftsbiträdesavtal Mallen framtaget för att underlätta personuppgiftshanteringen genom att ha en gemensam mall Helt frivillig, för de som önskar att använda den

100 Tillitsnivå - Level of Assurance, LoA ett koncept i federationer LoA 1 Ingen eller liten tillit till identiteten Typ Facebook, Google, Hotmail LoA 2 Begränsad tillit till identiteten AD-identitet, företagsinternt, domänspecifikt LoA 3 Hög tillit till identiteten Svensk e-legitimation, BankID, SITHS, Pass, körkort LoA 4 Mycket hög tillit till identiteten?

101 E-legitimationsnämnden (ELN) och Svensk e-legitimation eid-leverantör Möjlighet att leverera identitetsintyg till anslutna offentliga myndigheter För närvarande tillitsnivå 3 Ska vara godkänd som utfärdare av Svensk e-legitimation eller ha avtal med en godkänd Utfärdare av Svensk e-legitimation Utfärdare av Svensk e-legitimation Krav på Utfärdare av Svensk e-legitimation att över tid uppfyller kraven i ELNs tillitsramverk Man kan vara utfärdare av Svensk e-legitimation utan att var med i ELNs federtion.

102 E-legitimationsnämndens Tillitsramverk Krav på Organisation och styrning Fysisk, administrativ och personalorienterad säkerhet Teknisk säkerhet Ansökan, identifiering och registrering Tillgänglighet Revision Kräver bl a ett informationssäkerhetsarbete enligt LIS ISO/IEC eller liknande Genomför riskanalys - Vad behövs göras? Implementera ett regelverk för informationssäkerhetsarbetet - Så här ska vi göra det! Genomför en internrevision - Gör vi det vi ska?

103 Datainspektionens krav Har inget uttryckligt krav på en viss LoA nivå! Om skolans IT-system är tillgängligt via internet, och systemet innehåller integritetskänsliga uppgifter, krävs det särskild god IT-säkerhet. Det innebär att skolan måste försäkra sig om att det verkligen är rätt personer som får åtkomst till uppgifterna och att överföringen sker på ett säkert sätt. Skolan måste använda sig av stark autentisering (exempelvis engångslösenord eller e-legitimation) och uppgifterna måste förses med krypteringsskydd vid överföringen. Från DI:s webbplats

104 Tillitsnivåer för Skolfederation För närvarande: Bas godkänd medlem i Skolfederation Bas medför inga andra krav än de som följer med medlemskapet i Skolfederation. 2FA tvåfaktorsautentisering Den skyddsklass för E-legitimationer och utställande av Identitetsintyg vars grad av skydd motsvarar datainspektionens krav på stark autentisering, då IT-system är tillgängligt via Internet, och systemet innehåller integritetskänsliga uppgifter. Ingen granskning av kravets efterlevnad görs av Skolfederation, utan detta åligger Skolhuvudmannen.

105 LoA avser inte kvalitén attribut utan endast på eid!

106 Skolfederations tillitsramverk Endast ett bör-krav Det är fortsatt användar-organisationens och tjänste-leverantörens ansvar

107 Fortsatt arbete för ömsesidig tillit Tjänsteleverantör ska kunna ha tillit till att både Identiteter och Attribut i utfärdade intyg är korrekta Användarorganisation ska kunna ha tillit till att Tjänsteleverantör hanterar känsliga uppgifter och tillhandahåller Tjänsten korrekt Sambi går före i detta arbete!

108 Nya Dataskyddsförordningen EU-förordning: (EU) 2016/679 General Data Protection Regulation Börjar gälla som svensk lag 25 maj Ersätter då PuL. Ställer högre krav på ordning och reda. Vilka register finns, vilka uppgifter behandlas och varför? Ställer högre krav på systematisk organisatorisk säkerhet och kontroll Datainspektionen får utökade uppgifter, bl.a. att vid behov döma ut administrativ sanktionsavgift (~böter) och att hantera klagomål från enskilda

109 Nya Dataskyddsförordningen Syftar till att säkra individens rättigheter - Tillgång (begära ut sina uppgifter) - Rätta fel - Portera data (från en tjänst till en annan) - Radera ( bli glömd ) Relevant skydd och säkerhet baserat på risk Systematisk uppföljning av skyddsåtgärder Incidenthantering Mycket stora sanktionsavgifter vid försummelser Datainspektionen tillsynsmyndighet

110 Nya Dataskyddsförordningen Artikel Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken

111 Nya Dataskyddsförordningen 1. d).. ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet. Artikel 33 Vid en personuppgiftsincident ska den personuppgiftsansvarige utan onödigt dröjsmål och, om så är möjligt, inte senare än 72 timmar efter att ha fått vetskap om den, anmäla personuppgiftsincidenten till den tillsynsmyndighet som..

112 Kursmoment 5 Medlemskap och kom-igång

113 Skolfederations driftprocesser Medlemshantering Metadatahantering Drift av infrastrukturen Attributförvaltning Tilliten till identiteter och attribut Information

114 Utökat medlemskapsbegrepp Tjänsteleverantör Användarorganisation Skolhuvudman Utbildningsanordnare enligt studiestödsförordningen Användare Intyg Pseudonym + Attribut

115 Medlemsutveckling

116 194 MEDLEMMAR 137 ANVÄNDARORGANISATIONER 108 kommunala skolhuvudmän karta 24 friskolor 4 förbund 1 myndighet 57 TJÄNSTELEVERANTÖRER

117 57 tjänsteleverantörer Presenteras på webbplatsen: AV Media Skåne Filmoteket Kikora AB Ping Pong AB Swedish Film AB Axiell Education & Media Fridtjuv AB Lantmäteriet Qlear AB Svenska Läromedel på Internet AB Clio Online (Bonnier Education AB) Gleerups Utbildning AB Learnify AB Sanoma Utbildning Tempus Information Systems AB Comfact AB Glosboken AB Liber AB Schoolodo AB Tieto Sweden Healthcare & Welfare ConDidact AB GotIT AB Linfre Education SchoolSoft AB TimeEdit AB Creaza AS InfoMentor P.O.D.B AB Mediacenter, Region Västerbotten Skolon AB Unikum - Unikt lärande AB Digilär AB Inläsningstjänst Utbildning och Media Mediapoolen Västra Götaland Smart Classroom Manager Urkund Dugga AB Inspera AS MV-Nordic AB Softronic AB (Vklass) Webbstjärnan/IIS Edimia Education AB Invigos AB MyStudyWeb Sweden AB Specialpedagogiska skolmyndigheten Wordfinder Software AB EdQu AB IST Sverige AB Natur & Kultur Stockholms universitet Ekonomikörkort PG HB Itsac AB NE Nationalencyklopedin AB Studentlitteratur AB Elevspel AB Itslearning AB Nova Software AB Studi.se

118 Bli medlem

119 Årsavgift För användarorganisation (baserat på antal elever) Liten användarorganisation (upp till 500 elever): SEK/år Mellanstor användarorganisation ( elever): SEK/år Stor användarorganisation (mer än elever): SEK/år För tjänsteleverantör (baserat på omsättning) Icke-kommersiell tjänsteleverantör: 500 SEK/år Liten tjänsteleverantör (omsättning upp till 1MSEK/år): SEK/år Stor tjänsteleverantör (omsättning mer än 1MSEK/år): SEK/år

120 eduroam Avtal Individuella priser för varje medlem, baserat på invånarantal, elevantal och personal

121 Medlemsavtal Anslutningsavtal (Användarorganisation resp. Tjänsteleverantör) Bilaga 1 - Tekniska krav Bilaga 2 Säkerhetsföreskrifter (Användarorganisation resp. Tjänsteleverantör) Bilaga 3 UTGÅR, ersatt av attributprofil Bilaga 4 - Avgifter Bilaga 5 Ordlista, definitioner Kontaktuppgifter (blankett)

122 Kontaktuppgifter Huvudkontakt övergripande, publiceras på Skolfederations webbplats Teknisk kontakt den person som blir motringd vid uppladdning av nytt metadata! Incidentansvarig kan vara en funktions-brevlåda/-tel, ska alltid bevakas PUL-kontakt Fakturakontakt

123 Metadatahantering 1. Validering 2. Sänd via formulär 3. Checksumma 4. Kundtjänst motringer teknisk kontakt 5. Publicering

124 Medlemmarna är federationen Alla kan bidra genom att: vara medlem delta i arbetsgrupper lyfta eller driva viktiga frågor dela med sig av erfarenheter till andra

125 Medlemmars önskemål

126 Medlemmars önskemål

127 Medlemmars önskemål Personuppgiftsbiträdesavtal Mall framtagen för att underlätta för de som önskar använda

128 Federationsoperatören som koordinator Erfarenhetsutbyten Alingsås, 7 april 2016 Spår på internetdagarna Stockholm, 22 november 2016

129 Resurser Webbplatsen är basen o Nyheter och intervjuer o Guider och vägledningar o Medlemslista o Tjänster och deras attribut listas o Integratörer och konsulter presenteras o Inspelningar från egna event publiceras o Medlemsfunktioner Lämna nytt metadata Byta kontaktpersoner

130 Resurser forts. Nyhetsbrev o o generella tekniska Referensgrupp Kurser Informationsträffar Seminarier Workshops

131 Referensinformation Goda exempel Vägledning - verktyg från SKL Inspiration från andra

132 Exempel: Sundvalls kommun Rapport om sitt införande av Skolfederation Målbild Infrastruktur Attributskrav och attributskällor Teknisk lösning

133 Case Helsingborgs stad Erfarenheter från projekt Skolportal inklusive Skolfederation Rekommendationer Framgångsfaktorer Tänk på Undvik

134 Case Helsingborgs stad Projektmall Helsingborgs stads projektplan som grund Vägledning och inspiration Referensinformation

135 Internetguide

136 Online-kurs

137 Kontakt

138 Kursmoment 6 eduroam

139 eduroam eduroam erbjuds som tilläggstjänst till Skolfederation För att bli medlem i eduroam krävs att man är medlem som användarorganisation i Skolfederation Delad WiFi för utbildningssektorn

140

141

142

143

144

145 eduroam - teknik

146 eduroam - översikt Sverige Skolfederation Övriga världen Sunet WiFi WiFi Kommuner, friskolor mm WiFi Universitet, högskolor

147

148 Kursmoment 7 Framtid och utveckling

149 Men först

150 Övningsuppgift [SFK7-148] I övningsuppgift [SFK2-64] såg vi ett inloggningsflöde där användaren behövde agera aktivt i själva inloggningen. Vilka var dessa val? Skriv upp den i den ordning de kom:

151 Övningsuppgift [SFK7-149] Skulle något eller några av dessa moment kunna undvikas, och i så fall hur?

152 Inloggning för nativeappar Förenklad inloggning för tjänster som enbart levereras som nativeapp Det går att skapa inloggning för nativeappar redan idag, men lösningen innebär onödig komplexitet för tjänster som saknar webbplattform Utvecklingsprojekt pågår, pilot Bygger på ny standard OpenID Connect

153 Livscykelhantering av användarkonton För-populering av tjänstens konton Uppdatering av användaruppgifter (utan inloggning) Borttagning av konton Ny standard från SIS (TK 450/AG 09 skolschema), nu på remiss. Presenterades 15 mars hos IIS Bygger på SCIM (System for Cross-domain Identity Management) Skapa Uppdatera Radera

154 Nationell elevlegitimation En arbetsgrupp med deltagare från IIS, Skolverket, SKL, ett antal kommuner, de större leverantörerna av verksamhetssystem för skolan, de större leverantörerna av e-tjänstelösningar.

155 Guide för stöd vid upphandling Ett stödmaterial kommer att tas fram som ska innehjålla råd och anvisningar för att utforma upphandligar av federativa system så att viktiga egenskaper inte förbises.

156 Andra federationer Flera andra nationella e-legitimationer och federationer (framförallt inom utbildningssektorn)

157 Varför alla dessa federationer? Skolfederation eduroam Sambi Swamid Svensk e-legitimation Med flera

158 Nivåer av standardisering Applikation Sektor Skola Infrastruktur Vård och omsorg

159 Standarder hjälper utvecklingen framåt Avsaknad av standard hindrar spridning och skapar inlåsning Trösklar och hinder i teknik och regelverk hämmar utveckling av tjänster och affärsmodeller Standardisering på rätt nivå bidrar till utvecklingen av hela sektorn

160 Federationer i praktiken Lokala federationer Federationer Interfederationer Svensk e-legitimation Skolfederation Europa Office 365 Huvudman eller e-tjänst GAFE USA Sambi Swamid edugain Tjänst xyz Federation xyz SAML 2.0 Saml2Int egov2 Återanvändning av bef standarder och format Australien Och fler

161 Interfederation Federation A IdP Federation B SP IdP IdP SP IdP SP SP Filter Interfederation IdP IdP SP SP Federation C Metadata Metadata IdP Filter SP IdP Federation D SP Metadata

162 edugain

163 Arbetsformer alla kan bidra Bli medlem Lämna förslag eller belys problem Engagera dig i SIS/TK 450 Driv eller delta i arbetsgrupp i Skolfederation Medverka i pilot Dela med dig av erfarenheter och praktiska lösningar Referensfall Erfarenhetsutbyte Delta i referensgrupp Med mera

164 Facit

165 Facit [SKF7-148] I övningsuppgift [SFK2-41] såg vi ett inloggningsflöde där användaren behövde agera aktivt i själva inloggningen. Vilka var dessa val? Skriv upp den i den ordning de kom: Välja att logga in med Skolfederation Välja sin IdP Logga in i sin IdP

166 Facit [SKF7-149] Skulle något eller några av dessa moment kunna undvikas, och i så fall hur? Välja att logga in med Skolfederation - Portal hos användarorganisation med IdP-initierad inloggning - Unik webbadress per skolhuvudman Välja sin IdP - Behövs inte om ovanstående är löst, annars; - Lokal anvisningstjänst som kommer ihåg val - Smart IdP-discovery baserat på IP-range eller liknande (funkar ibland) Logga in i sin IdP - Har vi inte redan loggat in så lär vi behöva göra det. Det är ju själva vitsen med inloggning.

167 Introduktionskurs för Skolfederation Summering

168 Skolfederation SAMVERKAN Teknisk standard Gemensam infrastruktur Attribut Säkerhet

169 Mål för Skolfederation UTBILDNINGSSEKTORN Ökad säkerhet Stimulera utveckling ANVÄNDARORGANISATION TJÄNSTELEVERANTÖR Slippa administration av användare Enklare integration av skolhuvudmän Valfrihet att välja sin egen lösning Enklare tjänsteintegration Enhetlig administration av användare ANVÄNDARE SSO, en inloggning till alla tjänster Minskad administration av lösenord för lärare Stärkt skydd av integritet

170 Tekniken Inloggning här! Intyg med användarinformation via omdirigering av webbläsare Intyg Intyg Välkommen! Användarnamn ********** 2 1 DB 3

171 Federationer i praktiken Lokala federationer Federationer Interfederationer Svensk e-legitimation Skolfederation Europa Office 365 Huvudman eller e-tjänst GAFE USA Sambi Swamid edugain Tjänst xyz Federation xyz SAML 2.0 Saml2Int egov2 Återanvändning av bef standarder och format Australien Och fler

172 Federationen är medlemmarna Var med och påverka och bidra till federationens utveckling Samverka med andra medlemmar Vänd er gärna till federationsoperatören med frågor och förslag

173 Tack! Kursarrangör: Internetstiftelsen i Sverige kursledare: Bengt Wällstedt, bengt.wallstedt@gmail.com info@skolfederation.se

174 Extra övningsuppgifter

175 Extra övningsuppgift [SFK8-171] SAML-biljetten kan innehålla personuppgifter som inte bör eller får lämnas ut i onödan. Vad händer om en tjänst lurar användare att försöka logga in med Skolfederation och att välja sin IdP i en anvisningstjänst som byggts av den falska tjänsten?

176 FACIT

177 Facit [SFK8-171] SAML-biljetten kan innehålla personuppgifter som inte bör eller får lämnas ut i onödan. Vad händer om en tjänst lurar användare att försöka logga in med Skolfederation och att välja sin IdP i en anvisningstjänst som byggts av den falska tjänsten? IdP hittar inte SP:n i metadata och kommer inte att ställa ut någon biljett.