beteckningsningsförklaring - Luleå tekniska universitet

Elektronisk identitetshantering vid Ltu
2009-07-14
Version 1.0
Peter Fjellström +46 920 49 31 44 peter.fjellstrom@ltu.se
IT-Service
Luleå tekniska universitet

BETECKNINGSNINGSFÖRKLARING
Beteckning Svensk beskrivning English notation
ITS IT-Service IT-Service
Ladok ”Lokalt Adb-baserat ”Local adb based documentation
Dokumentationssystem” system”
Nationellt system för National system for study
studiedokumentation documentation
LoA Förtroendenivåer Level of Assurance
LTU Luleå Tekniska Universitet Luleå University of Technology
NyA Högskolornas Nya Antagningssystem The higher educations new admission
System
PIdeal Personalideal Personnel ideal
SD Servicedesk Service Desk
SIS Institutet för Svensk standard Swedish Standards Institute
SMS Kort meddelandetjänst Short Message Service
StiL Studentidrotten Luleå Organisation for student sports, Luleå
SUNET Svenska universitets datornätverk Swedish University Computer Network
SWAMI Svenska alliansen för Swedish Alliance for Middleware
mellanprogramvaru infrastruktur Infrastructure
SWAMID Svensk akademisk identitetsfederation Swedish Academic Identity
i

INNEHÅLLSFÖRTECKNING
BETECKNINGSNINGSFÖRKLARING................................................................................ i
INNEHÅLLSFÖRTECKNING ............................................................................................ iii
1 INLEDNING ................................................................................................................. 1
1.1 Bakgrund ............................................................................................................... 1
1.2 Mål och syfte ......................................................................................................... 1
1.3 Avgränsningar........................................................................................................ 1
2 FÖRTROENDENIVÅER .............................................................................................. 3
2.1 LoA 1..................................................................................................................... 3
2.2 LoA 2..................................................................................................................... 3
2.3 LoA 3..................................................................................................................... 3
2.4 LoA 4..................................................................................................................... 3
3 ELEKTRONISKA IDENTITETERS LIVSCYKEL....................................................... 5
3.1 Personalanvändare ................................................................................................. 5
3.2 Studentanvändare................................................................................................... 5
3.3 Besöksanvändare.................................................................................................... 6
3.4 Externa användare.................................................................................................. 6
3.5 SWAMID-anslutningsbara identiteter .................................................................... 6
4 REFERENSER.............................................................................................................. 7
BILAGA A Ansvarsförbindelse personal....................................................................... A-1
BILAGA B Anställning upphör......................................................................................B-1
BILAGA C Ansvarsförbindelse student..........................................................................C-1
iii

1 INLEDNING
1.1 Bakgrund
SWAMI bedriver projektet SWAMID inom SUNET. SWAMID är en identitetsfederation
vars syfte är att erbjuda delade tjänster för medlemmar. Alla universitet och högskolor är
välkomna att ansöka om medlemskap i identitetsfederationen.
Medlemskap i identitetsfederationen kan endast uppnås då ställda krav i federationspolicyn
uppfylls (Johansson & Wiberg, 2008). Det viktigaste steget för utvärdering i
ansökningsprocessen är att de elektroniska identiteternas livscykel beskrivs. Det måste
avgöras om identiteterna möter SWAMID:s förtroendenivåer.
1.2 Mål och syfte
Med detta som bakgrund önskar Luleå tekniska universitet medlemskap i
identitetsfederationen. Målet med detta dokument är att:
• Definiera förtroendenivåer (Burr m fl, 2006; SWAMID, 2006).
• Beskriva livscykeln för Luleå tekniska universitets elektroniska identiteter.
• Avgöra vilka av Luleå tekniska universitets elektroniska identiteter som kan anslutas
till SWAMID.
1.3 Avgränsningar
Här hanteras endast med vilken säkerhetsnivå utlämnaren av den elektroniska identiteten
säkerställer mottagarens identitet.
1

2 FÖRTROENDENIVÅER
I Burr m fl (2006) beaktas den totala förtroendenivån vid hanteringen av elektroniska
identiteter. Fyra definierade förtroendenivåer hanterar identitetshantering,
inloggningsmekanism, fjärrinloggning och använda försäkringsmekanismer vid
kommunikation med andra parter.
Enligt SWAMID (2006) är rekommendationerna från Burr m fl (2006) försvenskade och har
anpassats för den högre utbildningen i Sverige. Då den elektroniska identiteten överlämnas
läggs ansvaret på innehavaren. Ansvaret innebär att allt som hotar suveräniteten över
identiteten måste rapporteras. Därför hanteras här endast med vilken säkerhet utlämnaren av
den elektroniska identiteten säkerställer mottagarens identitet. För anslutningsmöjlighet mot
SWAMID krävs förtroendenivå 2 eller högre.
2.1 LoA 1
Det är svårt att avgöra vem som äger suveränitet över den elektroniska identiteten då ingen
styrkning av mottagaridentiteten sker. Klassas som obekräftad användare.
2.2 LoA 2
Vid överlämnandet av den elektroniska identiteten måste mottagaren styrka sin identitet.
Även postutskick till t.ex. folkbokförings- eller arbetsplatsadress är godkänd då sannolikt rätt
person erhåller identitetsinformationen. LoA 2 klassas som bekräftad användare då det
rimligen är rätt person som erhåller uppgifterna.
2.3 LoA 3
Det är goda möjligheter att säkerställa vem som mottagit och nyttjar den elektroniska
identiteten. Identitetsinformationen erhålls mot något av följande alternativ:
• Nationellt identitetskort
• Pass
• Körkort
• SIS-godkänt identitetskort (eng: Swedish Standards Institute)
• E-legitimation
2.4 LoA 4
Se LoA 3, skillnaden är att e-legitimation ej används här.
3

3 ELEKTRONISKA IDENTITETERS LIVSCYKEL
3.1 Personalanvändare
All personal vid Ltu skall utan undantag inneha en personalanvändare efter rektorsbeslut. Vid
anställning kan närmsta chef, IT-samordnare, administrativ chef eller person som delegerats
rätten beställa en personalanvändare. Anställda vid kår och andra studentorganisationer räknas
som personal. För arbetande studenter vid dessa organisationer används studentidentitet.
Inhyrda konsulter eller annan personal som har behov av en personalanvändare kan efter
beställning av ovan nämnda Ltu-ansvariga personer erhålla denna.
Personalanvändaren skapas av ITS i personalhanteringssystemet PIdeal. Den elektroniska
identiteten erhålls mot styrkning enligt förtroendenivå 4 i SD. Postutskick till angiven adress i
personalsystemet eller arbetsadress förekommer. En ansvarsförbindelse (BILAGA A) måste
tecknas innan personalkontot aktiveras. Vid bortglömt lösenord eller användarnamn kan ett
nytt erhållas m.h.a. post (arbets- eller given adress i personalsystemet), styrkt avhämtning i
SD (LoA 4) eller SMS-utskick till registrerat mobiltelefonnummer (vision.adm.ltu.se/,
www.hitta.se, www.eniro.se). Det medför att förtroendenivå 2 kan appliceras.
Då en anställning upphör (BILAGA B) sägs personalanvändaren upp av närmsta chef, ITsamordnare,
administrativ chef eller person som delegerats uppsägningsrätten. Vid dödsfall
ansvarar dessa personer för att gallring och arkivering av handlingar utförs inom 3 månader.
Då en anställd slutar ansvarar den anställde för att gallring och arkivering utförs senast 1
månad efter anställningens upphörande. Den anställdes närmsta chef är ansvarig för att
gallring och arkivering kommer till stånd. Slutligen inaktiveras personalanvändaren.
3.2 Studentanvändare
Alla studenter (inhemska som utbytes) vid Luleå tekniska universitet har rätten till en
studentanvändare. Skapelseprocessen för studentanvändaren sker enligt följande:
• Studentens ansökan genomgick processen via www.studera.nu (Högskoleverkets
portal i samarbete med VHS och högskolor). Informationen når NyA då studenterna är
antagna och förs sedan över till LADOK.
• Sena antagningar och vissa utbytesstudenter registreras direkt i LADOK.
• Studentanvändarna skapas automatiskt utifrån LADOK-informationen och återfinns
sedan i Ideal.
Alla studenter erhåller sin elektroniska identitet till angiven adress vid ansökningstillfället
(temporär- eller folkbokföringsadress, LoA 2). Identiteten kan även mottas i SD genom
styrkning enligt förtroendenivå 4. Kontot aktiveras efter det elektroniska avtalet accepterats
vid inloggningen på studentportalen (BILAGA C). Glömda användaridentitetsuppgifter
5

erhålls i SD (LoA 4), temporär-, folkbokförings-adress eller SMS till registrerat
mobiltelefonnummer (www.hitta.se, www.eniro.se) (LoA 2).
En studentanvändare inaktiveras automatiskt efter 18 månaders inaktivitet. Med inaktivitet
menas att studenten ej varit inskriven på kurs eller program under denna period. Studenten
ansvarar själv för att hemmakatalog och e-post arkiveras.
3.3 Besöksanvändare
Besökare (konferens, studiebesök etc) till Ltu kan erhålla en tillfällig elektronisk identitet för
Internet-Access. Besöksanvändare beställs av en vid Ltu anställd person som vid mottagandet
i SD måste styrka sin identitet enligt förtroendenivå 4. Varaktigheten är mellan 1 - 30 dagar.
Studenter från andra universitet kan erhålla en besöksanvändare genom att styrka sina studier
på ett tillförlitligt vis. Maximal användarvarighet är då 1 dag.
Eftersom det inte går att avgöra vem som äger suveränitet över den elektroniska identiteten
tillhör besöksanvändaren förtroendenivå 1.
3.4 Externa användare
Studerande vid andra universitet kan erhålla en extern användare för bokning av bibliotekets
grupprum. Användaren erhåller endast rätten till bokningsfunktionen och är därmed inte
aktuell för anslutning till SWAMID.
3.5 SWAMID-anslutningsbara identiteter
Lägsta förtroendenivån för elektroniska identiteter som ansluts till SWAMID är 2. En
användare som uppfyller en högre förtroendenivå uppfyller automatiskt de lägre nivåerna.
Tabell 3.1 SWAMID-anslutningsbara elektroniska identiteter vid Luleå Tekniska Universitet.
”X” visar uppnådd förtroendenivå.
Elektroniska identieter LoA 1 LoA 2 LoA 3 LoA 4
Personalanvändare X
Studentanvändare X
6

4 REFERENSER
Burr, W.E., Dodson D.F. & Polk, W.T. 2006. Electronic Autentication Guideline
(elektroniskt). NIST Special Publication 800-63 Version 1.0.2. Tillgänglig on-line:
(2009-07-07).
Johansson, L & Wiberg, T. 2008. SWAMID Identity Federation Policy v1.0 (elektroniskt).
Tillgänglig on-line: (2009-07-07).
SWAMID. 2006. Information om projektet SWAMID (elektroniskt). Tillgänglig online:
(2009-07-07).
7

BILAGA A Ansvarsförbindelse personal
A-1

Figur A-1 Ansvarsförbindelse för anställda vid Luleå tekniska universitet.
A-2

BILAGA B Anställning upphör
B-1

Figur B-1 Rektorsbeslut angående upphörande av anställning.
B-2

Figur B-2 Rektorsbeslut angående upphörande av anställning.
B-3

Figur B-3 Rektorsbeslut angående upphörande av anställning.
B-4

Figur B-4 Rektorsbeslut angående upphörande av anställning.
B-5

B-6

BILAGA C Ansvarsförbindelse student
C-1

Figur C-1 Aktivering av studentanvändarkonto.
C-2

Figur C-2 Datorregler vid Luleå tekniska universitet.
C-3

Figur C-3 Datorregler vid Luleå tekniska universitet.
C-4

Figur C-4 Datorregler vid Luleå tekniska universitet.
C-5