Introduktion till Skolfederation

Relevanta dokument
Erfarenhetsutbyte i Botkyrka. 14 september 2017

Svenskt federationsforum

Internetstiftelsen i Sverige.

Skolfederation. Staffan Hagnell Forsknings och utvecklingschef,.se Skolfederationen

Skolfederation.se. KommITS

Hur många standarder har du använt idag?

Seminarium. 5 september 2013 Sändningen startar kl 09.30

BILAGA 1 Definitioner

Underlag till referensgruppens möte

Anteckningar från referensgruppens möte

Elevlegitimation ett konkret initiativ.

Skolfederation. Staffan Hagnell,.SE

BILAGA 1 Definitioner Version: 2.01

Tillit och användbarhet med Skolfederation

Sambi och Sambis roll Håkan Josefsson Service Manager, Apotekens Service AB

Skolfederation. Staffan Hagnell, tjänsteägare.se

Tekniskt ramverk för Svensk e-legitimation

BILAGA 1 Definitioner Version: 2.02

BILAGA 1 Definitioner

BILAGA 2 Tekniska krav Version 0.81

Tekniskt ramverk för Svensk e- legitimation

Attributprofil för skolfederationen

Anteckningar från referensgruppens möte

Skolfederation.se. Workshop 29 maj 2012

Anteckningar referensgruppens möte

Utveckling av Skolfederations tillitshantering

TJÄNSTEBESKRIVNING FÖR SAMBIS FEDERATIONSTJÄNST

Anteckningar från referensgruppens möte

Välkomna till introduktionskurs i Sambi

Testning av Sambi. Testplan. Version PA12. Fil namn: SAMBI_TP.docx Senast sparad: Copyright (c) 2014 IIS

Underlag till referensgruppens möte

Varför Sambi, för vad och vem, samexistens med andra lösningar, svensk e-leg, SITHS, HSA, Skolfederation et cetera (Ulf Palmgren, SKL, CeSam)

PhenixID & Inera referensarkitektur. Product Manager

Apotekens Service. federationsmodell

eduroam, Skolfederation och kommunal WiFisamverkan

AVTAL FÖR MEDLEMSKAP I SKOLFEDERATION För Tjänsteleverantör

PhenixID + Zappa. Livscykelhantering, Autentisering och Single Sign-On

Introduktion. September 2018

Anteckningar från referensgruppens möte

Underlag till möte om Sambis testbädd och pilotverksamhet

AVTAL FÖR MEDLEMSKAP I SKOLFEDERATION. För Användarorganisation

E-legitimationsutredningen SOU 2010:104

ehälsomyndighetens nya säkerhetskrav

BILAGA 3 Federationsgemensamma attribut

Skolfederation. Workshop om Skolfederation

BILAGA 4 - Fo reskrifter fo r Sambis Federationsoperato r

Anteckningar från referensgruppens möte

E-legitimationsdagen

Vad innebär Skolfederation.se för en kommun?

BILAGA 1 Tekniska krav Version 1.0

E-legitimationsdagen dag 2. En översikt av eidas-arkitekturen och E-legitimationsnämndens erbjudande

torsdag 17 oktober 13 IT's a promise

BILAGA 4 - Fö reskrifter fö r Sambis Federatiönsöperatö r Versiön: 2.0.1

INTEGRATIONER, INLOGGNING, SÄKERHETSASPEKTER RUNT LADOK

Anteckningar från möte om Sambis testbädd och pilotverksamhet

Hantering av tillitsnivåer

Regionalt samarbete. Tillit Federativ lösning för identitets och behörighetshantering

Införande av Skolfederation. Erfarenheter i Sundsvalls kommun

Attributprofil för Skolfederation

Agenda Bakgrunden till Sambi Vad Sambi är Krav som ställs på medlemmarna Erfarenheter från pågående arbeten

BILAGA 3 Tillitsramverk

Skolfederation utveckling och möjligheter 5 september, Finlandshuset

BILAGA 3 Tillitsramverk Version: 2.02

Mobilt Efos och ny metod för stark autentisering

Anteckningar från referensgruppens möte

Federering i praktiken

Federerad åtkomst Information om åtkomst till Apotekens Services tjänster inom ramen för en identitetsfederation.

Tillitsramverket. Detta är Inera-federationens tillitsramverk.

Anteckningar från referensgruppens möte

ehälsomyndighetens nya säkerhetslösning

Välkomna till introduktionskurs i Sambi

BILAGA 1 Tekniska krav

BILAGA 5 - Fö reskrifter fö r Sambiömbud Versiön: 1.0.1

Mötesanteckningar - POC för Admin av elever och grupper i läromedel

Introduktion till SWAMID

Paketerad med erfarenhet. Tillgänglig för alla.

Mobilt Efos och ny metod för stark autentisering

BILAGA 2 Tekniska krav Version 1.3

Frågor och svar. Frågor kring åtkomstlösning

BILAGA 3 Tillitsramverk Version: 2.1

POC för Administration av elever och grupper i läromedel

Version: Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 1.3.1

Mötesanteckningar - Sambidemo

Mötesantecknignar - Sambidemo

Erik Wahlström Product Strategist 28/01/15

Testning av Sambi. Testplan. Version PA5. Fil namn: SAMBI_TP.docx Senast sparad: Copyright (c) 2014 IIS

Anteckningar från möte om Sambis testbädd och pilotverksamhet

Referensarkitektur för Identitet och åtkomst Per Mützell, Inera

Integritetspolicy SMIF

BILAGA 3 Tillitsramverk Version: 1.3

Säkerhet och Tillit i en identitetsfederation

Anslutningsavtal för medlemskap i Sambi

Guide till Inera IdP. Information angående anslutning av Nationella e-tjänster

Strukturerat informationssäkerhetsarbete

Anteckningar från Sambis arbetsgrupp

Målgrupper för Sambi ... Privata omsorgsgivare Apoteksaktörer. Kommuner. Veterinärer Landsting. Tandläkare Privata vårdgivare.

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Svensk e-legitimation

Transkript:

Introduktion till Skolfederation 19 april 2017 Internetstiftelsen i Sverige, IIS Kursledare: Bengt Wällstedt, bengt.wallstedt@gmail.com

09.00 Vad är Skolfederation Bakgrund, Arkitektur, Uppbyggnad och omfattning, varför Skolfederation, Målsättningar, Begrepp, Skolfederation idag Federationstekniken och SSO Single Sign-On Standard SAML V2.0, Autentiseringsbegäran, Metadata, Tekniska profiler, Single Log-Out Skolfederations attributprofil, Hands-on-test av federerad inloggning Genomgång av Skolfederations attribut, När de ska användas, Leverantörslistan, Hands-on 12.00 LUNCH 13.00 Hur man kommer igång Att bli medlem, Att föra över metadata, Att ansluta medlemmar, Exempel, eduroam Tillit och säkerhet Säkerhetsföreskrifter, Personuppgiftsbiträdesavtalsmall, Dataskyddsförordningen eduroam Kort beskrivning av tilläggstjänsten eduroam Framtid och utveckling Tillit till identiteter och attribut, App-inloggning, Livscykelhantering, Andra federationer Summering 16.00 SLUT

Vad är IIS? Internetstiftelsen i Sverige

IIS är federationsoperatör

Mål för dagens kurs Övergripande förståelse för vilka problem som Skolfederation försöker lösa, och hur Hur och varför dagens upplägg med IIS som federationsoperatör kommit till I grova drag vad som krävs för att implementera Skolfederation som användarorganisation eller tjänsteleverantör

Kursmoment 1 Vad är Skolfederation

Vad är en identitetsfederation? En identitetsfederation är en sammanslutning av organisationer som har kommit överens om att lita på varandras elektroniska identiteter och behörighetsstyrande attribut för att underlätta användarnas åtkomst till elektroniska tjänster och skydda den personliga integriteten.

Historia Skolfederation 2007 Swamid - Den tekniska förebilden 2011 SIS/TK450 knoppade av Skolfederation 2012 Diskussioner om utformningen 2013 Start

Mål från 2012 Skolfederation ska underlätta svensk utbildningssektors användning av digitala tjänster och läromedel!

Mål från 2012 Skolfederation ska vara smal och grund!

Mål för skolfederation UTBILDNINGSSEKTORN Ökad säkerhet Stimulera utveckling ANVÄNDARORGANISATION TJÄNSTELEVERANTÖR Slippa administration av användare Enklare integration av skolhuvudmän Valfrihet att välja sin egen lösning Enklare tjänsteintegration Enhetlig administration av användare ANVÄNDARE SSO, en inloggning till alla tjänster Minskad administration av lösenord för lärare Stärkt skydd av integritet

Undvik olika integrationer

En standard för integrationen FEDERATION Gemensam standard och infrastruktur

Vad Skolfederation inte är Skolfederation är inte en central inloggningstjänst Användare loggar inte in med Skolfederation Skolfederation lagrar ingen användarinformation

Skolfederation är en standard, INTE en central meddelandeväxel Ej central inloggning

Skolfederation beslutar INTE om åtkomst, tjänsten gör! Skolhuvudman Tjänsteleverantör Avtal Intyg med attribut Skolfederation

Skolfederation ansvarar inte för Avtal mellan användarorganisation och tjänsteleverantör Utformning av åtkomstkontroll Vilka attribut som tjänsten ska använda Eventuell provisionering av konton, grupper, klasser etc Hantera eller ansvara för personuppgifter

Skolfederation SAMVERKAN Teknisk standard Gemensam infrastruktur Attribut Säkerhet

Federationsdrift Medlemshantering Metadatahantering Drift av infrastrukturen Attributförvaltning Tilliten till identiteter och attribut Information

Skolfederations Federationsdrift idag Medlemshantering Metadatahantering Drift av infrastrukturen Attributförvaltning Tilliten till identiteter och attribut Information

Skolfederations referensgrupp Anna Jogrenius, Liber Markus Landin, NE Nationalencyklopedin Carl-Johan Bonander, Nova Software AB Mats Gahnström, Västerås stad Erling Sjöstrom, Tieto Måns Larsson, Svenska Läromedel på Internet Fredrik Wellner, Södertälje kommun Niklas Leide, Skolon AB Geir Emblemsvåg, Fronter Nordic Palle Girgensohn, PingPong Hans Nilsson, Täby kommun Per Brahm, Learnify Joakim Norbäck, KJNC Per Magnus Byström, Stockholms stad Johan Wahlström, Södertälje kommun Rickard Vinde, Svenska Läromedel Johannes Millegård, Digilär Staffan Hagnell, IIS Malin Annergård, SKL Stig Andersson, SPSM Marcus Ander, Gleerups Utbildning

Federationen är medlemmarna Var med och påverka och bidra till federationens utveckling Samverka med andra medlemmar Vänd er gärna till federationsoperatören med frågor och förslag

Kursmoment 2 Federationstekniken och SSO; Single Sign-On

Traditionell inloggning Användarorganisation Användare E-tjänst Vad är det för fel på det här då? www.e-service.se www.e-service.se Användarnamn ********** DB

Traditionell inloggning - problem: Användarorganisation Administration av behörigheter Användare Inloggning per tjänst Lösenord per tjänst E-tjänst e s l e lev www.e-service.se pp Säkerhetskrav Lösenordssupport ru t a s d o t n k e ä h v a r n Användarnamn v e i a t k a ä g r i t s ål is g i n D l i ********** l ä m f t d s i a r a B g i d ö n O r e d na www.e-service.se DB

Exempel på inloggning med SAML Intyg Intyg www.e-service.se Välkommen! 3 2 1 DB

Exemplet väcker några frågor Hur vet IdP:n vilken tjänst användaren vill ansluta till? Hur vet e-tjänsten att den kan lita på intyget från IdP:n? Vad är det för information som skickas i intyget?

Information i intyget (förenklat) Name ID Ex. transient / persistent ID (pseudonym) Iuerfn#y873yniuw%eyr847 Användarens attribut Namn: Carl Carlsson E-post: carl-ang@skola.engelholm.se Organisation: Ängelholms kommun Roll: Elev i klass 1a Livslängd Giltig till och med 2017-04-19/16:00

<SAML Response> Exempel på hur ett SAML Response Message kan se ut i verkligheten

Hur vet tjänsten att den kan lita på intyget? Intyg a er ign Ve rifi S X.509 Certifikat www.e-service.se er a Certifikat Out of Band Metadata Metadata

Hur vet IdP:n vilken tjänst användaren vill ansluta till? idp.iis.se/sso=www.e-service1.se* Intyg Iis.se/portal Intyg www.e-service.se Välkommen! e-service1 e-service2 2 1 e-service3 3

Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?

Självklart inte! Det finns flera metoder att initiera en SAML-inloggning ur användarperspektivet

Övningsuppgift [SFK2-35] Hur vet IdP:n vilken tjänst användaren vill ansluta till? Hur vet e-tjänsten att den kan lita på intyget från IdP:n? Vad är det för information som skickas i intyget?

Initiering av SAML-inloggning IdP-initierad inloggning Inloggningen startar hos användarorganisationen som i det tidigare exemplet SP-initierad inloggning Inloggningen startar hos e-tjänsten.

SP-initierad inloggning www.e-service.se Intyg www.e-service.se Välkommen! DB 3 2 Intyg 4 Logga in med Välkommen! skolfederation 1 Begäran Begäran

<SAML AuthnRequest> Exempel på hur en SAML Request kan se ut i verkligheten

Hur vet SP:n vilken IdP som kan ställa ut intyg för användaren?? www.e-service.se

IdP-discovery (exempel) Tjänsten tillhandahåller en unik URL för respektive användarorganisation (www.iis.e-service.se, www.skatteverket.e-service.se) Tjänsten känner till användarorganisationens IP-adressrymd Tjänsten listar alla aktuella IdP:er i en anvisningstjänst och användaren får aktivt välja sin IdP E-tjänster kan använda flera smarta metoder i kombination för att underlätta autentiseringen av användaren

Anvisningstjänst 2 OrganizationDisplayName Anvisningstjänst Borås 4 Borås E-tjänst SP 3 Gävle Gävle 1 Krokom Gävle Allt informationsutbyte sker genom omdirigering av användarens webbläsare Krokom

Vad SAML kan göra åt våra problem: Användarorganisation Administration av behörigheter Användare Inloggning per tjänst Lösenord per tjänst E-tjänst e s l e lev www.e-service.se pp Säkerhetskrav Lösenordssupport ru t a s d o t n k e ä h v a r n Användarnamn v e i a t k a ä g r i t s ål is g i n D l i ********** l ä m f t d s i a r a B g i d ö n O r e d na www.e-service.se

Men Vi har nya problem i en annan dimension

Anslutning mellan parter Certifikat Certifikat Out of Band Metadata Metadata www.e-service.se Förutsätter att parterna enats om: Teknik/standard Tillämpning Information Format Tillit/säkerhet Rutiner

Användarorganisationens perspektiv Följ min standard! IdP

E-tjänstens perspektiv Följ min standard! IdP SP IdP Följ min standard! IdP Följ min standard!

Sektorns perspektiv En integration per anslutning IdP SP IdP SP IdP SP Hundratals eller tusentals organisationer

En standard för integrationen FEDERATION Gemensam standard och infrastruktur

Gemensam standard Skolfederations tekniska krav SAML 2.0 Implementationsprofil egov2 2.0 beskriver vilka delar av SAML som måste implementeras Deploymentprofilen saml2int beskriver vilka delar av SAML som måste vara i bruk samt hur dessa ska användas Namnstandard för anvisningstjänst Pågående arbete med attributprofiler

Gemensam infrastruktur Aggregerat metadataregister signerat med federationens nyckel Central anvisningstjänst Verktyg för validering av metadata Testmiljö

Aggregerat metadataregister Metadata Certifikat Metadata Certifikat Metadata Certifikat Aggregerad och publicerad metadata Metadata+certifikat 1 Metadata+certifikat 2 Metadata+certifikat 3 Metadata+certifikat 4 Metadata+certifikat 5 Metadata+certifikat 6 / / Signera och publicera Aggregerat metadata Federationsoperatör Metadata Certifikat Metadata Certifikat Metadata Certifikat

Skolfederation Aggregerat metadata

Tekniska miljöer i Skolfederation Produktion (endast för medlemmar) Metadataregister Central anvisningstjänst Endast för medlemmar Trial (öppen för alla ) Metadataregister Central anvisningstjänst Trial IdP Trial SP - https://trial.skolfederation.se/

Trial IdP Trial SP *Trial IdP/SP är inte uppdaterade enligt senaste attributprofilen

Anvisningstjänst exempel

Anvisningstjänst exempel

Anvisningstjänst - exempel

Övningsuppgift [SFK2-59] Vilken är den mest centrala komponenten i det vi kallar federationens gemensamma infrastruktur? Ge några exempel på vad som kan standardiseras inom en federation

SAML 2.0 Security Assertion Markup Language

Kort om SAML Öppen standard från OASIS XML-baserat ramverk för att kommunicera information för autentisering, behörighet och attribut för användare 2002 - SAML 1.0 2003 SAML 1.1 2005 SAML 2.0

SAML 2.0 Assertions Information om användaren Authentication statements (hur användaren har autentiserats) Attribute statements (användarens attribut) Authorization decision statements (information för att avgöra användarens rättigheter) Protocols Paketering och hantering av SAML-element Assertion Query and Request Protocol Authentication Request Protocol Artifact Resolution Protocol Bindings Mappar SAML-protokoll till andra protokoll SAML SOAP Binding (based on SOAP 1.1) Reverse SOAP (PAOS) Binding HTTP Redirect (GET) Binding Profiles HTTP POST Binding HTTP Artifact Binding SAML URI Binding Beskriver hur ovanstående kombineras för en specifik tillämpning SSO Profiles Assertion Query/Request Profile Artifact Resolution Profile Name Identifier Mapping Profile SAML Attribute Profiles

Övningsuppgift - korv 2 Homer äter korven 1 Den grillade korven förbereds för att ätas 3 Homer grillar en korv

Övningsuppgift [SFK2-64] Nisse har just kommit till jobbet och har ännu inte loggat in i någonstans. Innan han gör något annat vill han klara av ett ärende i tjänsten service.se. Tjänsten finns inte i portalen på Nisses företag. I vilken ordning händer nedanstående? idp.krokom.se Användarnamn Lösenord Logga in IdP:n har ställt ut ett intyg och dirigerar Nisse tillbaka till SP:n som skickade begäran. Välkommen! Logga in med: E-post lösenord service.se har identifierat vilken IdP Nisse använder och dirigerar honom vidare med en AuthnRequest (begäran om intyg). www.service.se www.service.se Välkommen Nisse! Välj din intygsutfärdare Borås Gävle Krokom Nisse vill till tjänsten service.se. Tjänsten finns inte i portalen på Nisses företag. Nisse vill logga in via en federation. Eftersom han gick direkt till tjänstens webbsida så känner den inte till vilken IdP Nisse använder, utan diririgerar honom till en anvisningstjänst. service.se har många olika typer av användare och erbjuder därför flera olika alternativ för inloggning.

Kom ihåg det här Inloggning här! Intyg med användarinformation via omdirigering av webbläsare Intyg www.e-service.se Intyg www.e-service.se Välkommen! Användarnamn ********** 2 1 DB 3

FACIT

Facit [SFK2-35] Hur vet Idp:n vilken tjänst användaren vill ansluta till? - Länk som pekar ut tjänsten (IdP-initierad inloggning) Hur vet e-tjänsten att den kan lita på intyget från IdP:n? - SP:n och IdP:n måste i förväg ha skapat förtroende för varandra genom att ha utbytt nyklas som bevisar respektive identitet. - IdP:n och SP:n måste ha utbytt metadata om varandra. Vad är det för information som skickas i intyget? - Name ID (transient eller presistent unik identitet) - Attribut (namn, e-post, roll, etc) - Giltighetstid

Facit [SFK2-59] Vilken är den mest centrala komponenten i det vi kallar federationens gemensamma infrastruktur? - Signerat och aggregerat metadataregister med medlemmarnas certifikat Ge några exempel på vad som kan standardiseras inom en federation. - Teknisk standard - Tillämpning (tekniska profiler) - Information och format (attribut) - Tillitshantering/säkerhet - Rutiner

Facit [SFK2-64] SAML-implementationen i exemplet är inte ett föredöme avseende användarvänlighet. Användaren ställs inför flera val i olika sammanhang under inloggningsflödet. Överkurs: Hur skulle en mer användarvänlig implementation kunna se ut? 4 idp.krokom.se Användarnamn Lösenord Logga in IdP:n har ställt ut ett intyg och dirigerar Nisse tillbaka till SP:n som skickade begäran. 2 Välkommen! Logga in med: E-post lösenord service.se har identifierat vilken IdP Nisse använder och dirigerar honom vidare med en AuthnRequest (begäran om intyg). 5 www.service.se 1 www.service.se Välkommen Nisse! 3 Välj din intygsutfärdare Borås Gävle Krokom Nisse vill till tjänsten service.se. Tjänsten finns inte i portalen på Nisses företag. Nisse vill logga in via en federation. Eftersom han gick direkt till tjänstens webbsida så känner den inte till vilken IdP Nisse använder, utan diririgerar honom till en anvisningstjänst. service.se har många olika typer av användare och erbjuder därför flera olika alternativ för inloggning.

Kursmoment 3 Skolfederations attributprofil

Exempel på några viktiga personer Elev Namn: Test Elev1 Årskurs: 1 Klass: 1B:16/17 Grupp: IDH1BJOAD16/17 Skola: Rebbelberga skola Kommun: Ängelholm Användar-ID: testelev1 Elev Namn: Test Elev3 Årskurs: gy 3 Klass: TE3c/1617 Grupp: Sv3TE3bc/1617LiEa Grupp: Hi1a1TE3c/1617MaCh Grupp: Re1TE3bc/1617FrJe Grupp: GyarbTE3/1617NoJo Grupp: Ma4NANAS3TE3/1617VcBo Skola: Ängelholms gymnasieskola Kommun: Ängelholm Användar-ID: testelev3 Elev Namn: Test Elev2 Årskurs: 7 Klass: 71a:16/17 Grupp: EN71aPEFR16/17 Grupp: HI71aNOML16/17 Grupp: MA71aNOML16/17 Grupp: SH71aNOML16/17 Skola: Kungsgårdsskolan Kommun: Ängelholm Användar-ID: testelev2 Lärare Namn: Test Lärare1 Mentor: 1B:16/17 Skola: Rebbelberga skola Kommun: Ängelholm Användar-ID: testlar1

Hur ska tjänsten veta att en viss person har tillgång till tjänsten och vilken roll personen har? I SAML-intyget kan finnas diverse information om en person, roll(er), grupper, klasser, skolor etc, etc. Dessa uppgifter kallas ATTRIBUT! Varifrån och hur hämtas dessa uppgifter så att de kan skickas med i intyget? Alla attributvärden som skickas i intyget bör alltid hämtas direkt från elevregistret (och ev. personalregistret)!

Information i intyget (förenklat) Name ID Ex. transient / persistent ID (pseudonym) Iuerfn#y873yniuw%eyr847 Användarens attribut Namn: Test Elev1 E-post: testelev1@skola.engelholm.se Organisation: Ängelholms kommun Roll: Elev i klass 1B:16/17 Livslängd Giltig till och med 2017-04-19/16:00

Attributprofilen Har tagits fram och vidareutvecklas kontinuerligt inom arbetsgrupp 4 i SIS projekt TK 450 Förvaltas av Skolfederation Publicerad på www.skolfederation.se http://www.sis.se/informationsteknik-kontorsutrustning/it-tillämpningar/sis-tk-450

Syfte med detta dokument Detta dokument förtecknar en federationsgemensam vokabulär bestående av attribut för att beskriva uppgifter om vad som inom skolfederationen kallas en Användare. Dokumentet är framtaget av SIS/TK 450 IT standarder för lärande, arbetsgrupp 4. Dokumentet är tänkt att användas på följande sätt: För att lista de attribut som kan ingå i en teknisk överenskommelse mellan användarorganisation och tjänsteleverantör. För att hålla en tydlig definition av attributens innebörd. För att anvisa hur information ska kodas.

Krav 1. När en viss uppgift om en Användare behöver kunna presenteras för en e-tjänst och det i detta dokument finns ett attribut för denna uppgift ska det attributet användas. Andra representationer för samma uppgift ska med andra ord inte användas. 2. Representationen av attribut ska följa deploymentprofilen http://saml2int.org. Det innebär bland annat att NameFormat ska vara urn:oasis:names:tc:saml:2.0:attrname-format:uri, t.ex. ska urn:oid:0.9.2342.19200300.100.1.3 användas som namn för attributet e-post (alltså inte mail ). 3. I en överenskommelse mellan användarorganisationen och tjänsteleverantören ska avgöras vilka attribut som presenteras för tjänsteleverantören. Personuppgiftsbiträdesavtal samt ytterligare kravställning ska också ingå i överenskommelsen. Ytterst är det användarorganisationen som har ansvaret för vilka uppgifter som tillgängliggörs och till vem. Läs mer på http://www.datainspektionen.se/lagar-och-regler/personuppgiftslagen/skolor/checklista-for-hant ering-av-personuppgifter/.

Rekommendationer 1. En minimalistisk princip ska gälla så att inte fler attribut än nödvändigt presenteras för en tjänst. 2. Det finns inget krav på att samtliga attribut behöver finnas och kunna levereras för att en användarorganisation ska få vara med i federationen. 3. Ett av skolfederations syften är att inte exponera personuppgifter mer än nödvändigt. Olika attribut har olika potential att exponera personuppgifter. Vissa utgör normalt ingen risk för integriteten och kan därför ingå i alla intyg medan andra kan innehålla uppgifter som är av känsligare art. Attribut bör därför inte användas utan en noggrann prövning av säkerhet och personuppgiftshantering. Vid prövningen ska en samlad bedömning göras av det som tillgängliggörs.

Vokabulär Attributen i denna vokabulär ska kunna användas för att ange uppgifter om en Användare, definierad som den fysiska person som har tilldelats en identitet i Skolfederation. För varje attribut nedan anger rubriken en benämning som bör användas i löpande text för att beteckna den uppgift som attributet representerar. Därefter följer namnet och representationen av attributet, en förklarande text och eventuellt ett exempel.

NameID Enligt den deploymentprofil som Skolfederation använder (http://saml2int.org) så ska en IdP alltid ha förmågan att sätta ett transient-id som NameID och eventuellt, som ett alternativ därtill, istället använda ett persistent-id. Andra format avrådes. Transient-id är ett engångs-id för användaren, som gäller *bara* för en specifik inloggning. Persistent-id är ett icke spårbart, men över tid persistent, ID för användaren i relation till just en viss IdP och en viss SP. Se deploymentprofilen för detaljer. Det är bra att förstå att en SP inte nödvändigtvis måste förlita sig på NameID som unik identifierare för en användare. Ett vanligt undantag att SP:n hellre använder ett attribut som en spårbar identifierare, såsom edupersonprincipalname (eppn) som är gemensam för flera tjänster. Det är personuppgiftsombudets ansvar att bedöma om det är rimligt att tjänsten har behov av spårbara identifierare.

Attributprofilen Varifrån kommer värdena som de skickade attributen har? Elevregistret (Procapita, IST Extens) Personalregistret Viktigt: Hur ser processen ut när data hämtas från dessa register (databaser) och lämnas över till IdP:n? Hur hanterar vi situationer som inte passar in, t.ex. personer med skyddade identiteter?

Vilka attribut kräver de olika tjästerna? Se: https://www.skolfederation.se/tjanster-produkter/ Leverantör: Diverse läromedel på webben AB Obligatoriska attribut: sisschoolgrade edupersonprincipalname givenname sn noreduorgunituniqueidentifier edupersonscopedaffiliation noredupersonbirthdate Valfria attribut: o ou displayname mail schacgender

Hands on inloggning, attribut, portaltänk 1. Inloggning via anvisningstjänst: OBS! Använd inkognitoläge! OBS! Nationalencykopedin: http://www.ne.se Svenska Djur: http://www.svenska-djur.se Vi använder Ängelholms IdP, Ängelholms kommun Användarnamn: [endast tillgängligt under pågående kurs]

Hands on inloggning, attribut, portaltänk 2. IdP-initierad inloggning ( portallänk ) Generell konstruktion av länk. Detta behövs: 1: Url till IdP:ns Single Sign On -service (hittar man i metadatat) 2: Parameter som signalerar sändning av oombett intyg (unsolicited SAML-response, olika beroende på vilken IdP-produkt som används) 3: SP:ns entity-id (hittar man i metadatat) Bygg sedan ihop 1, 2 och 3 till en enda (lång) url

<md:entitydescriptor xmlns:md="urn:oasis:names:tc:saml:2.0:metadata" xmlns:mdui="urn:oasis:names:tc:saml:metadata:ui" xmlns:ds="http://www.w3.org/2000/09/xmldsig#"entityid="https://idp.skola.engelholm.se/simplesaml/saml2/idp/metadata.php"> <md:idpssodescriptor protocolsupportenumeration="urn:oasis:names:tc:saml:2.0:protocol" WantAuthnRequestsSigned="false"> <md:extensions> <mdui:uiinfo xmlns:mdui="urn:oasis:names:tc:saml:metadata:ui"> <mdui:displayname xml:lang="en">municipality of Ängelholm</mdui:DisplayName> <mdui:displayname xml:lang="sv">ängelholms kommun</mdui:displayname> <mdui:description xml:lang="en">municipality of Ängelholm IDP</mdui:Description> <mdui:description xml:lang="sv">ängelholms kommun IDP</mdui:Description> <mdui:logo width="76" height="116"> http://engelholm.se/global/layoutbilder/kommunvapnet_76x116px.png </mdui:logo> </mdui:uiinfo> </md:extensions> <md:singlesignonservice Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://idp.skola.engelholm.se/simplesaml/saml2/idp/SSOService.php"/> </md:idpssodescriptor> <md:organization> <md:organizationname xml:lang="en">municipality of Ängelholm</md:OrganizationName> <md:organizationname xml:lang="sv">ängelholms kommun</md:organizationname> <md:organizationdisplayname xml:lang="en">municipality of Ängelholm</md:OrganizationDisplayName> <md:organizationdisplayname xml:lang="sv">ängelholms kommun</md:organizationdisplayname> <md:organizationurl xml:lang="en">http://www.engelholm.se/</md:organizationurl> <md:organizationurl xml:lang="sv">http://www.engelholm.se/</md:organizationurl> </md:organization> <md:contactperson contacttype="technical"> <md:surname>administrator</md:surname> <md:emailaddress>service@skola.engelholm.se</md:emailaddress> </md:contactperson> </md:entitydescriptor>

<md:entitydescriptor xmlns:md="urn:oasis:names:tc:saml:2.0:metadata" entityid="https://www.ne.se/samlauth"> <md:spssodescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolsupportenumeration="urn:oasis:names:tc:saml:2.0:protocol"> <md:keydescriptor use="signing"> <ds:keyinfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> <ds:x509data> <ds:x509certificate>(utelämnat)</ds:x509certificate> </ds:x509data> </ds:keyinfo> </md:keydescriptor> <md:keydescriptor use="encryption"> <ds:keyinfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> <ds:x509data> <ds:x509certificate>(utelämnat)</ds:x509certificate> </ds:x509data> </ds:keyinfo> </md:keydescriptor> <md:singlelogoutservice Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://www.ne.se/samlauth/saml/SingleLogout/alias/sso2saml"/> <md:singlelogoutservice Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://www.ne.se/samlauth/saml/SingleLogout/alias/sso2saml"/> <md:nameidformat>urn:oasis:names:tc:saml:2.0:nameid-format:transient</md:nameidformat> <md:nameidformat>urn:oasis:names:tc:saml:2.0:nameid-format:persistent</md:nameidformat> <md:assertionconsumerservice Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Artifact" Location="https://www.ne.se/samlauth/saml/SSO/alias/sso2saml" index="0"/> <md:assertionconsumerservice Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://www.ne.se/samlauth/saml/SSO/alias/sso2saml" index="1" isdefault="true"/> <md:assertionconsumerservice Binding="urn:oasis:names:tc:SAML:2.0:bindings:PAOS" Location="https://www.ne.se/samlauth/saml/SSO/alias/sso2saml" index="2"/> <md:assertionconsumerservice xmlns:hoksso="urn:oasis:names:tc:saml:2.0:profiles:holder-of-key:sso:browser" Binding="urn:oasis:names:tc:SAML:2.0:profiles:holder-of-key:SSO:browser" Location="https://www.ne.se/samlauth/saml/HoKSSO/alias/sso2saml" hoksso:protocolbinding="urn:oasis:names:tc:saml:2.0:bindings:http-artifact" index="3"/> <md:assertionconsumerservice xmlns:hoksso="urn:oasis:names:tc:saml:2.0:profiles:holder-of-key:sso:browser" Binding="urn:oasis:names:tc:SAML:2.0:profiles:holder-of-key:SSO:browser" Location="https://www.ne.se/samlauth/saml/HoKSSO/alias/sso2saml" hoksso:protocolbinding="urn:oasis:names:tc:saml:2.0:bindings:http-post" index="4"/> </md:spssodescriptor> </md:entitydescriptor>

Hands on inloggning, attribut, portaltänk Ängelholms IdP SSO-service: https://idp.skola.engelholm.se/simplesaml/saml2/idp/ssoservice.php Parameter för oombett intyg (specifik för SimpleSamlPHP som används som Idp i Ängelholm):?spentityid= NE:s SP:s entity-id: https://www.ne.se/samlauth Hela url:en blir alltså: https://idp.skola.engelholm.se/simplesaml/saml2/idp/ssoservice.php?spentityid=https://www.ne.se/s amlauth

Hands on inloggning, attribut, portaltänk Ängelholms IdP SSO-service: https://idp.skola.engelholm.se/simplesaml/saml2/idp/ssoservice.php Parameter för oombett intyg (specifik för SimpleSamlPHP):?spentityid= Svenska Djur (Condidact AB) SP:s entity-id: https://secure.condidact.dk/federeret%20autentifikation/skolfederationen/metadata Hela url:en blir alltså: https://idp.skola.engelholm.se/simplesaml/saml2/idp/ssoservice.php?spentityid=https://secure.condi dact.dk/federeret%20autentifikation/skolfederationen/metadata

Hands on inloggning, attribut, portaltänk Fel metadata saknas för https://secure.condidact.dk - beror på url:ens format i deras entity-id: https://secure.condidact.dk/federeret%20autentifikation/skolfederationen/metadata Vi fixar till det: https://secure.condidact.dk/federeret%2520autentifikation/skolfederationen/metadata...och testar: https://idp.skola.engelholm.se/simplesaml/saml2/idp/ssoservice.php?spentityid=https:// secure.condidact.dk/federeret%2520autentifikation/skolfederationen/metadata

Hands on inloggning, attribut, portaltänk Fungerar! Men vi hamnar inte på Svenska Djur! Condidact har förmodligen flera olika tjänster som använder samma SP. Vi behöver berätta mer för deras SP för att den ska kunna ta oss till Svenska Djur. Vi måste lägga in två kommandoparametrar till i url:en för att det ska fungera rätt: &RelayState= (url som webläsaren skickas vidare till)?target= (url som webläsaren till slut ska hamna på) https://idp.skola.engelholm.se/simplesaml/saml2/idp/ssoservice.php?spentityid=https://secure. condidact.dk/federeret%2520autentifikation/skolfederationen/metadata&relaystate=http://secure. condidact.dk/federeret%2520autentifikation/skolfederationen?target=http://svenska-djur.se Här måste man ta hjälp av någon som driver tjänsten i fråga för att få ihop det! Inte det allra mest optimala sättet för en tjänsteleverantör att konfigurera sin SP.

Hands on inloggning, attribut, portaltänk 3. SP-initierad inloggning ( portallänk ) Inte lika generellt som IdP-initierad inloggning. I princip... 1: Url till SP:ns landningssida efter inloggning (kan vara svår att hitta) 2: parameter som signalerar att man vill logga in (produktspecifik för SP:n) 3: IdP:ns entity-id (hittar man i metadatat) Bygg sedan ihop 1, 2 och 3 till en enda (lång) url. Kan vara ganska svårt att ta reda på allt som behövs för att det ska fungera

Hands on inloggning, attribut, portaltänk Nationalencyklopedin: https://www.ne.se/samlauth/saml/login/alias/sso2saml?disco=true &idp=https://idp.skola.engelholm.se/simplesaml/saml2/idp/metad ata.php För en användare fungerar denna länk precis likadant som den IdP-initierade länken

Hands on inloggning, attribut, portaltänk Prova själv! Färdiga url:er finns på eps.skola.engelholm.se/skolfed OBS! Använd inkognitoläge!

Tre exempel på implementationer Typisk portal : login.skola.engelholm.se Via befintlig lärplattform: fronter.skola.engelholm.se Enkel öppen länksamling login.skola.engelholm.se/index.php/nologin

Kursmoment 4 Tillit och säkerhet

Vad ska vi uppnå? Skolfederation ska underlätta svensk utbildningssektors användning av digitala tjänster och läromedel! Lösningen ska vara enkel att använda, säker, kostnadseffektiv, lättadministrerad, utvecklingsbar samtidigt som den värnar om den personliga integriteten.

Vems ansvar? Användarorganisationen är ansvarig för hanteringen av personuppgifter Skolfederation ändrar inte det Skolfederation kan dock underlätta för en användarorganisation

Hur underlätta? 1. Undvika sända personuppgifter i onödan Använd pseudonymer och var restriktiv med attribut Standardisera attributprofiler för olika typer av tjänster 2. 3. 4. 5. En gemensam personuppgiftsbiträdesavtalsmall Standardiserad signalering för inloggningen Säkerhetsföreskrifter för användarorganisationer och tjänsteleverantörer anslutna till Skolfederation

Pseudonymer Tjänsteleverantör Användarorganisation Intyg Pseudonym + Attribut Användare Pseudonymer bör användas som identifieringsbegrepp Permanenta pseudonymer - olika för varje E-tjänst. Icke-permanenta pseudonymer - en ny pseudonym vid varje nytt tillfälle och för varje E-tjänst.

Personuppgiftsbiträdesavtal Mallen framtaget för att underlätta personuppgiftshanteringen genom att ha en gemensam mall Helt frivillig, för de som önskar att använda den

Tillitsnivå - Level of Assurance, LoA ett koncept i federationer LoA 1 Ingen eller liten tillit till identiteten Typ Facebook, Google, Hotmail LoA 2 Begränsad tillit till identiteten AD-identitet, företagsinternt, domänspecifikt LoA 3 Hög tillit till identiteten Svensk e-legitimation, BankID, SITHS, Pass, körkort LoA 4 Mycket hög tillit till identiteten?

E-legitimationsnämnden (ELN) och Svensk e-legitimation eid-leverantör Möjlighet att leverera identitetsintyg till anslutna offentliga myndigheter För närvarande tillitsnivå 3 Ska vara godkänd som utfärdare av Svensk e-legitimation eller ha avtal med en godkänd Utfärdare av Svensk e-legitimation Utfärdare av Svensk e-legitimation Krav på Utfärdare av Svensk e-legitimation att över tid uppfyller kraven i ELNs tillitsramverk Man kan vara utfärdare av Svensk e-legitimation utan att var med i ELNs federtion.

E-legitimationsnämndens Tillitsramverk Krav på Organisation och styrning Fysisk, administrativ och personalorienterad säkerhet Teknisk säkerhet Ansökan, identifiering och registrering Tillgänglighet Revision Kräver bl a ett informationssäkerhetsarbete enligt LIS ISO/IEC 27001 eller liknande Genomför riskanalys - Vad behövs göras? Implementera ett regelverk för informationssäkerhetsarbetet - Så här ska vi göra det! Genomför en internrevision - Gör vi det vi ska?

Datainspektionens krav Har inget uttryckligt krav på en viss LoA nivå! Om skolans IT-system är tillgängligt via internet, och systemet innehåller integritetskänsliga uppgifter, krävs det särskild god IT-säkerhet. Det innebär att skolan måste försäkra sig om att det verkligen är rätt personer som får åtkomst till uppgifterna och att överföringen sker på ett säkert sätt. Skolan måste använda sig av stark autentisering (exempelvis engångslösenord eller e-legitimation) och uppgifterna måste förses med krypteringsskydd vid överföringen. Från DI:s webbplats

Tillitsnivåer för Skolfederation För närvarande: Bas godkänd medlem i Skolfederation Bas medför inga andra krav än de som följer med medlemskapet i Skolfederation. 2FA tvåfaktorsautentisering Den skyddsklass för E-legitimationer och utställande av Identitetsintyg vars grad av skydd motsvarar datainspektionens krav på stark autentisering, då IT-system är tillgängligt via Internet, och systemet innehåller integritetskänsliga uppgifter. Ingen granskning av kravets efterlevnad görs av Skolfederation, utan detta åligger Skolhuvudmannen.

LoA avser inte kvalitén attribut utan endast på eid!

Skolfederations tillitsramverk Endast ett bör-krav Det är fortsatt användar-organisationens och tjänste-leverantörens ansvar

Fortsatt arbete för ömsesidig tillit Tjänsteleverantör ska kunna ha tillit till att både Identiteter och Attribut i utfärdade intyg är korrekta Användarorganisation ska kunna ha tillit till att Tjänsteleverantör hanterar känsliga uppgifter och tillhandahåller Tjänsten korrekt Sambi går före i detta arbete!

Nya Dataskyddsförordningen EU-förordning: (EU) 2016/679 General Data Protection Regulation Börjar gälla som svensk lag 25 maj 2018. Ersätter då PuL. Ställer högre krav på ordning och reda. Vilka register finns, vilka uppgifter behandlas och varför? Ställer högre krav på systematisk organisatorisk säkerhet och kontroll Datainspektionen får utökade uppgifter, bl.a. att vid behov döma ut administrativ sanktionsavgift (~böter) och att hantera klagomål från enskilda

Nya Dataskyddsförordningen Syftar till att säkra individens rättigheter - Tillgång (begära ut sina uppgifter) - Rätta fel - Portera data (från en tjänst till en annan) - Radera ( bli glömd ) Relevant skydd och säkerhet baserat på risk Systematisk uppföljning av skyddsåtgärder Incidenthantering Mycket stora sanktionsavgifter vid försummelser Datainspektionen tillsynsmyndighet

Nya Dataskyddsförordningen Artikel 32 1. Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken

Nya Dataskyddsförordningen 1. d).. ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet. Artikel 33 Vid en personuppgiftsincident ska den personuppgiftsansvarige utan onödigt dröjsmål och, om så är möjligt, inte senare än 72 timmar efter att ha fått vetskap om den, anmäla personuppgiftsincidenten till den tillsynsmyndighet som..

Kursmoment 5 Medlemskap och kom-igång

Skolfederations driftprocesser Medlemshantering Metadatahantering Drift av infrastrukturen Attributförvaltning Tilliten till identiteter och attribut Information

Utökat medlemskapsbegrepp Tjänsteleverantör Användarorganisation Skolhuvudman Utbildningsanordnare enligt studiestödsförordningen Användare Intyg Pseudonym + Attribut

Medlemsutveckling

194 MEDLEMMAR 137 ANVÄNDARORGANISATIONER 108 kommunala skolhuvudmän karta 24 friskolor 4 förbund 1 myndighet 57 TJÄNSTELEVERANTÖRER

57 tjänsteleverantörer Presenteras på webbplatsen: https://www.skolfederation.se/medlemstyp/tjansteleverantor/?alla AV Media Skåne Filmoteket Kikora AB Ping Pong AB Swedish Film AB Axiell Education & Media Fridtjuv AB Lantmäteriet Qlear AB Svenska Läromedel på Internet AB Clio Online (Bonnier Education AB) Gleerups Utbildning AB Learnify AB Sanoma Utbildning Tempus Information Systems AB Comfact AB Glosboken AB Liber AB Schoolodo AB Tieto Sweden Healthcare & Welfare ConDidact AB GotIT AB Linfre Education SchoolSoft AB TimeEdit AB Creaza AS InfoMentor P.O.D.B AB Mediacenter, Region Västerbotten Skolon AB Unikum - Unikt lärande AB Digilär AB Inläsningstjänst Utbildning och Media Mediapoolen Västra Götaland Smart Classroom Manager Urkund Dugga AB Inspera AS MV-Nordic AB Softronic AB (Vklass) Webbstjärnan/IIS Edimia Education AB Invigos AB MyStudyWeb Sweden AB Specialpedagogiska skolmyndigheten Wordfinder Software AB EdQu AB IST Sverige AB Natur & Kultur Stockholms universitet Ekonomikörkort PG HB Itsac AB NE Nationalencyklopedin AB Studentlitteratur AB Elevspel AB Itslearning AB Nova Software AB Studi.se

Bli medlem

Årsavgift För användarorganisation (baserat på antal elever) Liten användarorganisation (upp till 500 elever): 5 000 SEK/år Mellanstor användarorganisation (500-5 000 elever): 10 000 SEK/år Stor användarorganisation (mer än 5 000 elever): 20 000 SEK/år För tjänsteleverantör (baserat på omsättning) Icke-kommersiell tjänsteleverantör: 500 SEK/år Liten tjänsteleverantör (omsättning upp till 1MSEK/år): 5 000 SEK/år Stor tjänsteleverantör (omsättning mer än 1MSEK/år): 10 000 SEK/år

eduroam Avtal Individuella priser för varje medlem, baserat på invånarantal, elevantal och personal

Medlemsavtal Anslutningsavtal (Användarorganisation resp. Tjänsteleverantör) Bilaga 1 - Tekniska krav Bilaga 2 Säkerhetsföreskrifter (Användarorganisation resp. Tjänsteleverantör) Bilaga 3 UTGÅR, ersatt av attributprofil Bilaga 4 - Avgifter Bilaga 5 Ordlista, definitioner Kontaktuppgifter (blankett) https://www.skolfederation.se/bli-medlem/avtal/

Kontaktuppgifter Huvudkontakt övergripande, publiceras på Skolfederations webbplats Teknisk kontakt den person som blir motringd vid uppladdning av nytt metadata! Incidentansvarig kan vara en funktions-brevlåda/-tel, ska alltid bevakas PUL-kontakt Fakturakontakt

Metadatahantering 1. Validering 2. Sänd via formulär 3. Checksumma 4. Kundtjänst motringer teknisk kontakt 5. Publicering

Medlemmarna är federationen Alla kan bidra genom att: vara medlem delta i arbetsgrupper lyfta eller driva viktiga frågor dela med sig av erfarenheter till andra

Medlemmars önskemål

Medlemmars önskemål

Medlemmars önskemål Personuppgiftsbiträdesavtal Mall framtagen för att underlätta för de som önskar använda

Federationsoperatören som koordinator Erfarenhetsutbyten Alingsås, 7 april 2016 Spår på internetdagarna Stockholm, 22 november 2016

Resurser Webbplatsen är basen o Nyheter och intervjuer o Guider och vägledningar o Medlemslista o Tjänster och deras attribut listas o Integratörer och konsulter presenteras o Inspelningar från egna event publiceras o Medlemsfunktioner Lämna nytt metadata Byta kontaktpersoner

Resurser forts. Nyhetsbrev o o generella tekniska Referensgrupp Kurser Informationsträffar Seminarier Workshops

Referensinformation Goda exempel https://www.skolfederation.se/om/goda-exempel/ Vägledning - verktyg från SKL https://www.skolfederation.se/kom-igang/vagledning/ Inspiration från andra

Exempel: Sundvalls kommun Rapport om sitt införande av Skolfederation Målbild Infrastruktur Attributskrav och attributskällor Teknisk lösning

Case Helsingborgs stad Erfarenheter från projekt Skolportal inklusive Skolfederation Rekommendationer Framgångsfaktorer Tänk på Undvik

Case Helsingborgs stad Projektmall Helsingborgs stads projektplan som grund Vägledning och inspiration Referensinformation

Internetguide

Online-kurs

Kontakt info@skolfederation.se www.skolfederation.se

Kursmoment 6 eduroam

eduroam eduroam erbjuds som tilläggstjänst till Skolfederation För att bli medlem i eduroam krävs att man är medlem som användarorganisation i Skolfederation Delad WiFi för utbildningssektorn

eduroam - teknik

eduroam - översikt Sverige Skolfederation Övriga världen Sunet WiFi WiFi Kommuner, friskolor mm WiFi Universitet, högskolor

www.skolfederation.se/eduroam/

Kursmoment 7 Framtid och utveckling

Men först

Övningsuppgift [SFK7-148] I övningsuppgift [SFK2-64] såg vi ett inloggningsflöde där användaren behövde agera aktivt i själva inloggningen. Vilka var dessa val? Skriv upp den i den ordning de kom:

Övningsuppgift [SFK7-149] Skulle något eller några av dessa moment kunna undvikas, och i så fall hur?

Inloggning för nativeappar Förenklad inloggning för tjänster som enbart levereras som nativeapp Det går att skapa inloggning för nativeappar redan idag, men lösningen innebär onödig komplexitet för tjänster som saknar webbplattform Utvecklingsprojekt pågår, pilot Bygger på ny standard OpenID Connect http://openid.net/connect/

Livscykelhantering av användarkonton För-populering av tjänstens konton Uppdatering av användaruppgifter (utan inloggning) Borttagning av konton Ny standard från SIS (TK 450/AG 09 skolschema), nu på remiss. Presenterades 15 mars hos IIS Bygger på SCIM (System for Cross-domain Identity Management) http://www.simplecloud.info/ Skapa Uppdatera Radera

Nationell elevlegitimation En arbetsgrupp med deltagare från IIS, Skolverket, SKL, ett antal kommuner, de större leverantörerna av verksamhetssystem för skolan, de större leverantörerna av e-tjänstelösningar.

Guide för stöd vid upphandling Ett stödmaterial kommer att tas fram som ska innehjålla råd och anvisningar för att utforma upphandligar av federativa system så att viktiga egenskaper inte förbises.

Andra federationer Flera andra nationella e-legitimationer och federationer (framförallt inom utbildningssektorn)

Varför alla dessa federationer? Skolfederation eduroam Sambi Swamid Svensk e-legitimation Med flera

Nivåer av standardisering Applikation Sektor Skola Infrastruktur Vård och omsorg

Standarder hjälper utvecklingen framåt Avsaknad av standard hindrar spridning och skapar inlåsning Trösklar och hinder i teknik och regelverk hämmar utveckling av tjänster och affärsmodeller Standardisering på rätt nivå bidrar till utvecklingen av hela sektorn

Federationer i praktiken Lokala federationer Federationer Interfederationer Svensk e-legitimation Skolfederation Europa Office 365 Huvudman eller e-tjänst GAFE USA Sambi Swamid edugain Tjänst xyz Federation xyz SAML 2.0 Saml2Int egov2 Återanvändning av bef standarder och format Australien Och fler

Interfederation Federation A IdP Federation B SP IdP IdP SP IdP SP SP Filter Interfederation IdP IdP SP SP Federation C Metadata Metadata IdP Filter SP IdP Federation D SP Metadata

edugain

Arbetsformer alla kan bidra Bli medlem Lämna förslag eller belys problem Engagera dig i SIS/TK 450 Driv eller delta i arbetsgrupp i Skolfederation Medverka i pilot Dela med dig av erfarenheter och praktiska lösningar Referensfall Erfarenhetsutbyte Delta i referensgrupp Med mera

Facit

Facit [SKF7-148] I övningsuppgift [SFK2-41] såg vi ett inloggningsflöde där användaren behövde agera aktivt i själva inloggningen. Vilka var dessa val? Skriv upp den i den ordning de kom: Välja att logga in med Skolfederation Välja sin IdP Logga in i sin IdP

Facit [SKF7-149] Skulle något eller några av dessa moment kunna undvikas, och i så fall hur? Välja att logga in med Skolfederation - Portal hos användarorganisation med IdP-initierad inloggning - Unik webbadress per skolhuvudman Välja sin IdP - Behövs inte om ovanstående är löst, annars; - Lokal anvisningstjänst som kommer ihåg val - Smart IdP-discovery baserat på IP-range eller liknande (funkar ibland) Logga in i sin IdP - Har vi inte redan loggat in så lär vi behöva göra det. Det är ju själva vitsen med inloggning.

Introduktionskurs för Skolfederation Summering

Skolfederation SAMVERKAN Teknisk standard Gemensam infrastruktur Attribut Säkerhet

Mål för Skolfederation UTBILDNINGSSEKTORN Ökad säkerhet Stimulera utveckling ANVÄNDARORGANISATION TJÄNSTELEVERANTÖR Slippa administration av användare Enklare integration av skolhuvudmän Valfrihet att välja sin egen lösning Enklare tjänsteintegration Enhetlig administration av användare ANVÄNDARE SSO, en inloggning till alla tjänster Minskad administration av lösenord för lärare Stärkt skydd av integritet

Tekniken Inloggning här! Intyg med användarinformation via omdirigering av webbläsare Intyg www.e-service.se Intyg www.e-service.se Välkommen! Användarnamn ********** 2 1 DB 3

Federationer i praktiken Lokala federationer Federationer Interfederationer Svensk e-legitimation Skolfederation Europa Office 365 Huvudman eller e-tjänst GAFE USA Sambi Swamid edugain Tjänst xyz Federation xyz SAML 2.0 Saml2Int egov2 Återanvändning av bef standarder och format Australien Och fler

Federationen är medlemmarna Var med och påverka och bidra till federationens utveckling Samverka med andra medlemmar Vänd er gärna till federationsoperatören med frågor och förslag

Tack! Kursarrangör: Internetstiftelsen i Sverige kursledare: Bengt Wällstedt, bengt.wallstedt@gmail.com info@skolfederation.se

Extra övningsuppgifter

Extra övningsuppgift [SFK8-171] SAML-biljetten kan innehålla personuppgifter som inte bör eller får lämnas ut i onödan. Vad händer om en tjänst lurar användare att försöka logga in med Skolfederation och att välja sin IdP i en anvisningstjänst som byggts av den falska tjänsten?

FACIT

Facit [SFK8-171] SAML-biljetten kan innehålla personuppgifter som inte bör eller får lämnas ut i onödan. Vad händer om en tjänst lurar användare att försöka logga in med Skolfederation och att välja sin IdP i en anvisningstjänst som byggts av den falska tjänsten? IdP hittar inte SP:n i metadata och kommer inte att ställa ut någon biljett.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss