INTEGRATIONER, INLOGGNING, SÄKERHETSASPEKTER RUNT LADOK OCH ATI-GRUPPEN Ulrika Ringeborn, IT-strateg/Objektägare IT, och Ola Ljungkrona, tekniskt införandestöd Nätverksträff för kontaktpersoner för Ladok och examensansvariga, 2015-11-25 Konstfack, Stockholm
2 AGENDA Inloggning i Ladok IdP vad är det? SWAMID AL-nivåer Multifaktor (MFA) E-signering Nya Ladok säkerhetsaspekter Integration ATI-gruppen
Inloggning i Ladok
4 INLOGGNING Inloggning till Ladok görs genom Lärosätets egna IdP (Identity Provider). IdP:n håller reda på vem som är vem : en katalogtjänst som på ett standaridesrat sätt kan autentisera användare. Gör att användare kan logga in i nya Ladok via sitt lärosäte (hemorganisation). Ladok finns med som tjänsteleverantör inom SWAMID-federationen och litar därmed på alla IdP som är med i federationen. Vad är SWAMID? En federation av tjänster (Service Provider, SP) och identitetstjänster (Identity Provider, IdP) Tar fram tillitsramverk för federationen SWAMID AL2-policy
5 INLOGGNING, forts. SWAMID är en nationell identitetsfederation Swedish Academic Identity (www.swamid.se). SWAMID är i sin tur med i andra internationella identitetsfederationer och måste därmed följa deras regler. SWAMID är en del av SUNETs infrastruktur. SWAMID omfattar de flesta universitet, högskolor och övriga myndigheter som är relaterade till forsknings- och utbildningssektorn i Sverige. SWAMID erbjuder kvalitetssäkrad och säker identifiering av anställda, studenter, alumner och andra associerade med forskning och högre utbildning i Sverige, de nordiska länderna, övriga Europa samt även i USA och Asien.
6 INLOGGNING, forts. SWAMID definierar två olika tillitsnivåer sk. AL-nivåer (Assurance Level) för åtkomst till tjänster: o SWAMID AL1: Att det är en person som innehar och använder ett konto, vilket kallas obekräftad användare. Informationen knuten till kontot är oftast uppgiven av och ansvaras för av användaren själv. Lärosätets identitetshanteringssystem uppfyller minst denna tillitsnivå. o SWAMID AL2: Är en utökning av SWAMID AL1 och ställer högre krav på att lärosätet vet vem personen som innehar och använder kontot är. Användare på denna nivån kallas bekräftad användare. Lärosätet ansvarar för personinformationen till skillnad från SWAMID AL1.
7 INLOGGNING, forts. För att logga in i nya Ladok kommer tillitsnivå enligt AL2 att krävas. Arbete pågår nu för att godkänna SWAMID AL2-policy
8 AL-NIVÅER (Assurance Level) Kallas även LoA (Level of Assurance) Tillitsnivåer Definieras i tillitsramverk SWAMID använder sig av Kantaras tillitsramverk
9 AL-NIVÅER ENLIGT KANTARA TILLITSRAMVERK Hur vi delar ut kontot Hur vi säkerställer användandet av kontot
10 AL-NIVÅER Finns som när man delar ut ett konto AL1 obekräftad användare AL2 bekräftad användare AL3 ännu starkare bekräftande (endast ID-handling) AL4 mera..
11 MULTIFAKTOR Förkortas MFA (Multi Factor Authentication) Kallas även 2-faktor Det innebär att användaren har ngt mer än bara sitt lösenord Används för att utvärdera en identitet när den används
12 ANVÄNDNINGSOMRÅDEN 2-FAKTOR Normala krav på säker användning av kontot Låga krav på information om individen SWAMID AL1 + lösenord Höga krav på information om individen SWAMID AL2 + lösenord Höga krav på säker användning av kontot Används ej. SWAMID AL2 + MFA
13 STATUS SWAMID AL1 POLICY http://www.swamid.se/om-swamid/medlemmar.html AL2-policyn ligger för beslut Ansökan kan göras snart
E-signering
15 E-SIGNERING BEHOV Ofta vill en verksamhet ta bort de manuella rutinerna med underskrifter av papper för att förenkla hanteringen runt underskrifter Att signera ngt betyder att intyga att ngt är korrekt (dokumentera beslut etc.) och senare kunna verifiera att det är riktigt (vidimera)
16 E-SIGNERING GÅR DET ATT BYTA RAKT AV? Njae! Man skall inte bara byta rakt av, dvs. där man idag skriver under manuellt byta ut mot e-signatur Ta reda på syftet först! Med e-signering sker identifiering och signering som två skilda saker När man skriver under manuellt görs båda två men mediet (papper) gör att vi blandar ihop dessa digitalt går det att skilja på dessa eftersom vi inte har papper som skall sparas i arkivet
17 E-SIGNERING - ANVÄNDNINGSFALL Externa dokument som lämnar myndighet (handlingar som framställs och som senare skall kunna verifieras som en originalhandling) Interna beslut som skall dokumenteras Inkommande handling till myndighet
18 EXTERNA DOKUMENT Det enklaste fallet (tycker jag) En handling framställs och skall sedan intygas att den är korrekt utanför den signerade personen/organisationens vetskap Beroende på arkivredovisningen kan det ställa krav på bevarande. Skall handlingen sparas måste vissa krav på digitalt bevarande uppfyllas (RAFS 2009:1 och2) Hur skall mottagare verifiera riktigheten?
19 E-SIGNERING DOKUMENTATION AV BESLUT Det finns väldigt lite formkrav för hur detta skall ske inom statlig verksamhet Det krävs i princip aldrig en underskrift eller e-signering Men för att kunna dokumentera ett beslut används många gånger papper och då måste en underskrift göras. Men tar vi bort papper så kan vi ju digitalt dokumentera beslut genom loggar eller andra sätt att skapa spårbarhet ESV:s föreskrifter till 22 Behörighet att förfoga över myndighetens medel Förfogande över myndighetens medel ska godkännas med namnteckning eller med elektronisk signatur https://sv.wikipedia.org/wiki/digital_signatur E-signering påverkar bevarandet
Nya Ladok - säkerhetsaspekter
21 Nya Ladok - säkerhetsaspekter I nya Ladok måste vi vara säkra på att användaren som loggar in är en känd person AL2-nivå! När system integrerar så måste vi ha koll på vilket system som loggar in (certifikat) Tillitsnivåer för åtkomst till tjänster bestäms och kan förändras av dem som levererar tjänsterna, sk. Service Providers (SP). Lokalt säkerhetsarbete är mycket viktigt! Regler, rutiner, utbildning, information, påminnelser, SSO
Integrationer
23 Integrationer Olas tankar om hur lokala integrationer kan hanteras, vad konsortiets integrationsstöd kan innebära och andra aspekter
ATI-gruppen
25 ATI-gruppen ATI Arbetsgruppen för teknisk integration ATI-gruppen: är en undergrupp till UNITCF (universitetens IT-chefsforum) har som syfte att analysera och utreda förslag till väl fungerande integrationslösningar för svenska universitet och högskolor. skall stärka samarbetet mellan lärosäten och jobbar med konkreta frågeställningar inom integrationsområdet. En viktig del i arbetet är kompetenseutveckling genom diskussioner, workshops, föredrag m.m. Ingen formell grupp.
26 ATI-gruppen, forts. Arbetsgruppen ska analysera: Infrastruktur för integration Standardisering, metoder och verktyg rörande integration Styrning för teknisk integration Ramverk för teknisk integration Gruppen träffas för workshops under SUNET-veckan men även i andra forum. Representanter från ett 15-tal lärosätena ingår i gruppen.
27 ATI-gruppen, forts. Under 2015 har ATI-gruppen haft fokus på: Systemintegration - som har blivit en allt viktigare del för att effektivt kunna tillgodose verksamhetens behov. Nya tjänster till studenter och anställda ställer höga krav på ett ökat informationsutbyte mellan IT-system på universiteteten. Skapa och underhålla ett samarbetsnätverk som leder till erfarenhetsutbyte och samsyn inom området för alla svenska universitet och högskolor. Detta görs genom att t.ex. samordna arbetsgrupper och ordna workshops. Målet är att skapa en gemensam plattform vilken lättare kan leda till konkreta samarbetsprojekt kopplat till integration. Ta nästa steg i arbetet med att ta fram en gemensam referensarkitektur för integration för svenska lärosäten. En Task Force-gruppering driver arbetet. Nya Ladok och integrationsfrågor. http://www.swami.se/projekt/