Hur många standarder har du använt idag?

Transkript

1

2 STANDARD

3 Hur många standarder har du använt idag?

4 PROBLEM

5 Problem 1 Skola E-tjänst Användarnamn Elev Lösenord DB

6 Problem 1 Användare (elev/pedagog) En inloggning per tjänst Ett lösenord per tjänst Integritet Skola Administration av användare Kontroll av behörighet E-tjänst Administration av användare Lösenordssupport Säkerhet Dålig användarupplevelse Bristfällig säkerhet Onödiga administrativa kostnader

7

8 Hur gjorde Christian? Skola E-tjänst Användarnamn Elev Lösenord

9 Hur gjorde Christian? Skola E-tjänst Användarnamn Elev Lösenord Intyg Logga in IdP SP

10 Fint! Men

11 Problem 2 Användarorganisation X? Tjänsteleverantör e-tjänst DB? Tjänsteleverantör e-tjänst? Tjänsteleverantör e-tjänst

12 Problem 2 Användarorganisation A Användarorganisation B Användarorganisation C Följ min standard! Följ min standard! Följ min standard! Följ min standard! Tjänsteleverantör e-tjänst

13 Problem 2 Användar- Organisation A Tjänsteleverantör e-tjänst Användar- Organisation B Tjänsteleverantör e-tjänst Användar- Organisation C Tjänsteleverantör e-tjänst

14 LÖSNINGEN?

15 Standardsystem eller Standard för system?

16 Ett system för alla eller Möjlighet för alla att välja de system/komponenter som passar bäst Proprietär One system to rule them all Skolfederation

17 Standardsystem Integration mot ett centralt system/plattform (portal eller liknande) Systemet utgör ett nav mellan alla skolor och alla tjänster

18 Lösningen ger ofta mervärden i form av funktioner som kan vara användbara vid nyttjandet av de tjänster som förmedlas Men hur blir det om olika skolor vill använda olika standardsystem? Eller om en skola vill byta system?

19 FEDERATION Gemensam standard och infrastruktur All kommunikation går direkt mellan skola och tjänst Portaler och plattformar kan fortfarande användas, men följer samma standard

20 Skolor och e-tjänster förhåller sig till standarden och väljer de lösningar som är bäst lämpade för respektive verksamhet Federationen levererar ingen portal, ingen inloggningslösning. Inga användare finns registrerade.

21 En närmare titt på problem 2 Nyckel Metadata Out of Band Nyckel Metadata? Förutsätter att parterna enats om: Teknik/standard Tillämpning Information Format Tillit/säkerhet Rutiner?

22 I en sektor med hundratals aktörer Användar- Organisation A Tjänsteleverantör e-tjänst Användar- Organisation B Tjänsteleverantör e-tjänst Användar- Organisation C Tjänsteleverantör e-tjänst

23 Federationens infrastruktur Metadata Nyckel Metadata Nyckel Metadata Nyckel Aggregerad och publicerad metadata Metadata+certifikat 1 Metadata+certifikat 2 Metadata+certifikat 3 Metadata+certifikat 4 Metadata+certifikat 5 Metadata+certifikat 6 / / Aggregerat metadata Signera och publicera Federationsoperatör Metadata Nyckel Metadata Nyckel Metadata Nyckel

24 Federation och Standard Infrastruktur

25 UTBILDNINGSSEKTORN Ökad säkerhet Stimulera utveckling ANVÄNDARORGANISATION Valfrihet att välja sin egen lösning Enklare tjänsteintegration Enhetlig administration av användare TJÄNSTELEVERANTÖR Slippa administration av användare Enklare integration av skolhuvudmän ANVÄNDARE SSO, en inloggning till alla tjänster Minskad administration av lösenord för lärare Stärkt skydd av integritet

26 Medlemmar Totalt 236 medlemmar Varav 163 användarorganisationer 73 är tjänsteleverantörer Av användarorganistationerna är 132 kommunala skolhuvudmän (kartan) 25 friskolor 4 förbund 1 myndighet 1 stiftelse

27 Det var vad och varför Men Varför just den här standarden? Och varför Internetstiftelsen?

28 Skolfederation från standard till praktisk tillämpning

29 Exempel på effekter av standarder edugain Interfederation Standardisering Harmonisering Kravställning Utveckling Med mera..

30 Fler federationer att förhålla sig till Svensk e-legitimation Swamid Skolfederation Sambi eidas eduroam edugain

31 Berörda aktörer behöver ansluta till Sambi innan november 2019.

32 Visionen en IAM-arkitektur för kommunen Fristående molntjänst Lokala tjänster Federation A E-leg IdP Lösenord Federation B Interfederation

33 Internetstiftelsen

34 Stadgar (utdrag) Stiftelsens ändamål är att främja en god stabilitet i infrastrukturen för internet i Sverige samt främja forskning, utbildning och undervisning inom data- och telekommunikation, särskilt med inriktning på internet. Stiftelsen skall härvid prioritera områden som ökar effektiviteten i infrastrukturen för elektronisk datakommunikation. Stiftelsen skall bland annat sprida information om forsknings- och utvecklingsarbete, initiera och genomföra forsknings- och utvecklingsprojekt samt genomföra kvalificerade utredningar. Stiftelsen skall särskilt främja utvecklingen av hanteringen av domännamn under toppdomänen.se och andra nationella domäner avseende Sverige. Stadgarna antogs

35

36

37

38 Utvecklingen fortsätter

39 Egil Utvecklingsprojekt för effektivare beställning av digitala läromedel Elevlegitimation Tillitsramverk pilot - kommunikation G Suite och Office 365 Skolverket Digitala nationella prov Åtkomst genom interfederation

40 Egil

41 Varför Egil? Skola SAML Just in Time Provisioning Ingen för- eller avprovisionering Proprietära API:er Kostnadsdrivande, skalar inte Bulkdata Fördröjning, ofta engångskörningar Manuell hantering Resurskrävande, långsamt, felhantering E-tjänst CRUD Create Read Update - Delete

42 Egil Subsetav standarden SS Fokus på effektivare beställning av digitala läromedel Schema för SCIM System for Cross-domain Identity Management Tillägg av säkerhetsfunktioner Autentisering (federativ) Transportskydd Auktorisation

43 Egil - status Proof of Concept genomförd med skolhuvudmän och tjänsteleverantörer, samordnat av Skolfederation Utvecklingsprojekt genom Sambruk i samverkan med Skolfederation 4ebd0ee51648b40c html

44 Elevlegitimation

45 Elevlegitimation den andra faktorn Inloggning med enbart användarnamn och lösenord har mycket låg säkerhet Ett sätt att stärka säkerheten är att tillföra en andra faktor.

46 Jag vet något Jag har något

47 Elevlegitimation multifaktor och tillit Multifaktorinloggning (exempelvis tvåfaktorautenticering med Facebook, Google eller liknande) stärker skyddet för mig som användare, men ger inte nödvändigtvis en starkare tillit till identiteten för en förlitande part

48 Elevlegitimation - tillit Vi kan ha tillit till någon utan att ha fullständig information om denna Inte bara en tro på människors goda avsikter, utan en välgrundad tro att vissa principer är uppfyllda

49 Elevlegitimation - tillit Tillit till individer eller organisationer som vi inte har detaljerad kännedom om, skapas vanligen genom gemensamma regelverk och en tredje part som kan gå i god för efterlevnad av regelverket

50 Inriktning - för initiativet Elevlegitimation Att skapa en öppen modell för elevers inloggning genom att: Ta fram en första version av tillitsramverk och översiktsbild Starta lokala, praktiskt inriktade piloter mellan Skolhuvudman eid-utfärdare/elevkonton Tjänster att logga in i Kommunicera tips, kontaktpersoner, information om vad som är på gång och erfarenheter

51 Öppen modell för Elevlegitimation Elevens skolhuvudman användarorg. Digitala nationella prov Tillräckligt säkra Tillräckligt eid:n säkra Tillräckligt eid:n säkra Tillräckligt eid:n säkra eid o motsv. IDkoppling Intygsutfärdare Skolfederation eller annan federation Andra externa tjänster som elever loggar in i E-tjänsters SP:n Attributregister Digitala läromedel

52 Flera viktiga delar redan på plats 1(2) Skolors hantering av elever Goda möjligheter att tillräckligt säkert grundidentifiera elever Vissa delar ut digitala elevkonton idag Stor variation eid-utfärdare Godkända eid-utfärdare börjar finnas, elever en bra startmålgrupp för dem Kopplat till skolors elevkonton finns ibland möjlighet till betrodda faktorer (eng: credentials)

53 Flera viktiga delar redan på plats 2(2) Granskningsprocesser och tillitsregler Svenska eid:n med stark autentisering har möjlighet att granskas av DIGG (nivå 2-4) Utländska eid:n godkända på tillitsnivå väsentlig enligt eidas innebär stark autentisering Naturligt att lägga till tillitsramverk och granskning för Skolfederation och andra federationer inom skolsektorn och det finns tillitsregler att kopiera Teknisk metod i federationer och attribut i identitetsintyg SAML 2.0 beprövad federationsstandard, Open ID Connect en möjlig framtid Skolfederation och SWAMID finns redan, modellen öppen för fler federationer Standardisering av attribut inom skolsektorn finns på plats (SS12000)

54 Tre delar - i initiativet Elevlegitimation Organiseras i följande delar: Tillitsramverk och översiktsbild Piloter skolhuvudmän, eid-utfärdare och e-tjänster som hittar samarbeten Kommunikation

55 Tidplan - för initiativet Elevlegitimation Tillitsramverk (första utkast oktober 2018, öppen hantering) Piloter Kommunikation (start oktober 2018) I slutet av våren 2019 har modellen förhoppningsvis klarnat och ett naturligt breddinförande blir möjligt. Det kan ändå ta tid innan alla är med och innan alla nödvändiga eid-lösningar finns.

56 Modell för elektronisk identifiering och auktorisation inom skolsektorn E-legitimering med svenskt eid kvalitetsmärkt Svensk e-legitimation t.ex. Freja eid+ eller (snart) Efos E-legitimering med utländskt eid enligt eidas t.ex. tyskt eid E-legitimering med BankID, Telia eller SITHS E-legitimering med skolkonto Systemintegratör Sweden Connect Intyg B Intyg C Intyg A Intyg D Användaren loggar in i sin skola, skolan går i god för sina användare gentemot den digitala tjänsten (t.h.) Koppling till eid Svenska eidasnoden Intygsutfärdare Behörighetsinfo Skolfederations tillitsregler, metadata och tekniska krav Intyg Skolfederation Digital tjänst t.ex. digitalt nationellt prov via Fidus Skolans grundidentifiering En- eller tvåfaktorsautentisering

57 Tillitsnivåer Tillits-nivåer: Nivå 4 godkänd Svensk e-leg Krav på stark autentisering Nivå 3 godkänd Svensk e-leg Nivå 2 godkänd Svensk e-leg Hög utländska eidas Väsentlig utländska eidas Låg utländska eidas Nivå 3 självdeklarerad, allmänt betrodd Stark autentisering själv-deklarerad Ja Ja Ja Ja Ja Nej Ja Ja Nej Bas självdeklarerad Exempel AB Svenska Pass (intyg på nivå 3) Freja eid+ Efos snart Tyska Estniska Italienska BankID Telia SITHS Tvåfaktors med skolkonto Användarnamn och lösen från skolkonto Intyg A - Sweden Connect Intyg B - Sweden Connect Intyg C - helst S.C. Intyg D - internt Intyg Skolfederation

58 Elevlegitimation mina användare Organisationer har idag ett flertal krav att efterleva som kräver god kontroll över användares identiteter och attribut Det är sannolikt att kraven kommer att öka med tiden

59 Elevlegitimation mina användare Man bör noga överväga var man lagrar användarinformation ur flera perspektiv, inte minst när men måste efterleva krav på en viss tillitsnivå Det gäller exempelvis kontroll över rutiner och möjlighet till integrationer mot godkända elegitimationer

60 G Suite och Office 365

61 G Suite / Office principiell översikt Användarorganisation Tjänster i produkten Integrerade tjänster API Lösenord 2-faktor IdP SSO mot tjänster SP SP API SP

62 Kontroll över funktion och information Hur modulära och utbytbara är de enskilda komponenterna? Hur väl spelar de med etablerade standarder?

63 Kontroll över funktion och information Tillämpa standarder där de finns och är etablerade Kravställ på anpassning till etablerade standarder där det saknas Använd proxylösningar för att kompensera för bristfälliga tillämpningar av standarder, i syfte att skapa ett lösare beroende till tjänsten Undvik att bygga ett beroende till tjänsten som försvårar en framtida migration onödigt mycket Säkerställ djup kompetens om produkten

64 Kontroll över funktion och information Exempel Byt ut produktens IdP mot egen IdP eller IdP som tjänst (Christian) Använd produktens IdP/API och nyttja en proxy för att kompensera för bristfällig tillämpning av standard (Skolfederation och Egil)

65 Vad gör Skolfederation i frågan? Dialog och kravställning mot stora aktörer i samverkan med andra federationer och intressenter Samverkan med integratörer för att skapa paketerade lösningar för anpassningar

66 DNP

67 Digitala nationella prov Skolverket

68 Fidus

69 Allmän information om pågående projekt

70 IdP IdP IdP IdP Universitet Skola Skola Skola Skola Skola Skola Swamid Federation X Skolfederation Sweden Connect Fidus SP IdP Intern IdP Extern Skolverket Källa: Från Skolverkets presentation på Svenskt Federationsforum

71

72 Avslutningsvis

73 Federationen är medlemmarna Var med och påverka och bidra till federationens utveckling Samverka med andra medlemmar Vänd er gärna till federationsoperatören med frågor och förslag

74 Kalmar 3 oktober 2018 Robert Rhudin Sundin robert.sundin@iis.se info@skolfederation.se