beteckningsningsförklaring - Luleå tekniska universitet
beteckningsningsförklaring - Luleå tekniska universitet
beteckningsningsförklaring - Luleå tekniska universitet
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Elektronisk identitetshantering vid Ltu<br />
2009-07-14<br />
Version 1.0<br />
Peter Fjellström +46 920 49 31 44 peter.fjellstrom@ltu.se<br />
IT-Service<br />
<strong>Luleå</strong> <strong>tekniska</strong> <strong>universitet</strong>
BETECKNINGSNINGSFÖRKLARING<br />
Beteckning Svensk beskrivning English notation<br />
ITS IT-Service IT-Service<br />
Ladok ”Lokalt Adb-baserat ”Local adb based documentation<br />
Dokumentationssystem” system”<br />
Nationellt system för National system for study<br />
studiedokumentation documentation<br />
LoA Förtroendenivåer Level of Assurance<br />
LTU <strong>Luleå</strong> Tekniska Universitet <strong>Luleå</strong> University of Technology<br />
NyA Högskolornas Nya Antagningssystem The higher educations new admission<br />
System<br />
PIdeal Personalideal Personnel ideal<br />
SD Servicedesk Service Desk<br />
SIS Institutet för Svensk standard Swedish Standards Institute<br />
SMS Kort meddelandetjänst Short Message Service<br />
StiL Studentidrotten <strong>Luleå</strong> Organisation for student sports, <strong>Luleå</strong><br />
SUNET Svenska <strong>universitet</strong>s datornätverk Swedish University Computer Network<br />
SWAMI Svenska alliansen för Swedish Alliance for Middleware<br />
mellanprogramvaru infrastruktur Infrastructure<br />
SWAMID Svensk akademisk identitetsfederation Swedish Academic Identity<br />
i
INNEHÅLLSFÖRTECKNING<br />
BETECKNINGSNINGSFÖRKLARING................................................................................ i<br />
INNEHÅLLSFÖRTECKNING ............................................................................................ iii<br />
1 INLEDNING ................................................................................................................. 1<br />
1.1 Bakgrund ............................................................................................................... 1<br />
1.2 Mål och syfte ......................................................................................................... 1<br />
1.3 Avgränsningar........................................................................................................ 1<br />
2 FÖRTROENDENIVÅER .............................................................................................. 3<br />
2.1 LoA 1..................................................................................................................... 3<br />
2.2 LoA 2..................................................................................................................... 3<br />
2.3 LoA 3..................................................................................................................... 3<br />
2.4 LoA 4..................................................................................................................... 3<br />
3 ELEKTRONISKA IDENTITETERS LIVSCYKEL....................................................... 5<br />
3.1 Personalanvändare ................................................................................................. 5<br />
3.2 Studentanvändare................................................................................................... 5<br />
3.3 Besöksanvändare.................................................................................................... 6<br />
3.4 Externa användare.................................................................................................. 6<br />
3.5 SWAMID-anslutningsbara identiteter .................................................................... 6<br />
4 REFERENSER.............................................................................................................. 7<br />
BILAGA A Ansvarsförbindelse personal....................................................................... A-1<br />
BILAGA B Anställning upphör......................................................................................B-1<br />
BILAGA C Ansvarsförbindelse student..........................................................................C-1<br />
iii
1 INLEDNING<br />
1.1 Bakgrund<br />
SWAMI bedriver projektet SWAMID inom SUNET. SWAMID är en identitetsfederation<br />
vars syfte är att erbjuda delade tjänster för medlemmar. Alla <strong>universitet</strong> och högskolor är<br />
välkomna att ansöka om medlemskap i identitetsfederationen.<br />
Medlemskap i identitetsfederationen kan endast uppnås då ställda krav i federationspolicyn<br />
uppfylls (Johansson & Wiberg, 2008). Det viktigaste steget för utvärdering i<br />
ansökningsprocessen är att de elektroniska identiteternas livscykel beskrivs. Det måste<br />
avgöras om identiteterna möter SWAMID:s förtroendenivåer.<br />
1.2 Mål och syfte<br />
Med detta som bakgrund önskar <strong>Luleå</strong> <strong>tekniska</strong> <strong>universitet</strong> medlemskap i<br />
identitetsfederationen. Målet med detta dokument är att:<br />
• Definiera förtroendenivåer (Burr m fl, 2006; SWAMID, 2006).<br />
• Beskriva livscykeln för <strong>Luleå</strong> <strong>tekniska</strong> <strong>universitet</strong>s elektroniska identiteter.<br />
• Avgöra vilka av <strong>Luleå</strong> <strong>tekniska</strong> <strong>universitet</strong>s elektroniska identiteter som kan anslutas<br />
till SWAMID.<br />
1.3 Avgränsningar<br />
Här hanteras endast med vilken säkerhetsnivå utlämnaren av den elektroniska identiteten<br />
säkerställer mottagarens identitet.<br />
1
2 FÖRTROENDENIVÅER<br />
I Burr m fl (2006) beaktas den totala förtroendenivån vid hanteringen av elektroniska<br />
identiteter. Fyra definierade förtroendenivåer hanterar identitetshantering,<br />
inloggningsmekanism, fjärrinloggning och använda försäkringsmekanismer vid<br />
kommunikation med andra parter.<br />
Enligt SWAMID (2006) är rekommendationerna från Burr m fl (2006) försvenskade och har<br />
anpassats för den högre utbildningen i Sverige. Då den elektroniska identiteten överlämnas<br />
läggs ansvaret på innehavaren. Ansvaret innebär att allt som hotar suveräniteten över<br />
identiteten måste rapporteras. Därför hanteras här endast med vilken säkerhet utlämnaren av<br />
den elektroniska identiteten säkerställer mottagarens identitet. För anslutningsmöjlighet mot<br />
SWAMID krävs förtroendenivå 2 eller högre.<br />
2.1 LoA 1<br />
Det är svårt att avgöra vem som äger suveränitet över den elektroniska identiteten då ingen<br />
styrkning av mottagaridentiteten sker. Klassas som obekräftad användare.<br />
2.2 LoA 2<br />
Vid överlämnandet av den elektroniska identiteten måste mottagaren styrka sin identitet.<br />
Även postutskick till t.ex. folkbokförings- eller arbetsplatsadress är godkänd då sannolikt rätt<br />
person erhåller identitetsinformationen. LoA 2 klassas som bekräftad användare då det<br />
rimligen är rätt person som erhåller uppgifterna.<br />
2.3 LoA 3<br />
Det är goda möjligheter att säkerställa vem som mottagit och nyttjar den elektroniska<br />
identiteten. Identitetsinformationen erhålls mot något av följande alternativ:<br />
• Nationellt identitetskort<br />
• Pass<br />
• Körkort<br />
• SIS-godkänt identitetskort (eng: Swedish Standards Institute)<br />
• E-legitimation<br />
2.4 LoA 4<br />
Se LoA 3, skillnaden är att e-legitimation ej används här.<br />
3
3 ELEKTRONISKA IDENTITETERS LIVSCYKEL<br />
3.1 Personalanvändare<br />
All personal vid Ltu skall utan undantag inneha en personalanvändare efter rektorsbeslut. Vid<br />
anställning kan närmsta chef, IT-samordnare, administrativ chef eller person som delegerats<br />
rätten beställa en personalanvändare. Anställda vid kår och andra studentorganisationer räknas<br />
som personal. För arbetande studenter vid dessa organisationer används studentidentitet.<br />
Inhyrda konsulter eller annan personal som har behov av en personalanvändare kan efter<br />
beställning av ovan nämnda Ltu-ansvariga personer erhålla denna.<br />
Personalanvändaren skapas av ITS i personalhanteringssystemet PIdeal. Den elektroniska<br />
identiteten erhålls mot styrkning enligt förtroendenivå 4 i SD. Postutskick till angiven adress i<br />
personalsystemet eller arbetsadress förekommer. En ansvarsförbindelse (BILAGA A) måste<br />
tecknas innan personalkontot aktiveras. Vid bortglömt lösenord eller användarnamn kan ett<br />
nytt erhållas m.h.a. post (arbets- eller given adress i personalsystemet), styrkt avhämtning i<br />
SD (LoA 4) eller SMS-utskick till registrerat mobiltelefonnummer (vision.adm.ltu.se/,<br />
www.hitta.se, www.eniro.se). Det medför att förtroendenivå 2 kan appliceras.<br />
Då en anställning upphör (BILAGA B) sägs personalanvändaren upp av närmsta chef, ITsamordnare,<br />
administrativ chef eller person som delegerats uppsägningsrätten. Vid dödsfall<br />
ansvarar dessa personer för att gallring och arkivering av handlingar utförs inom 3 månader.<br />
Då en anställd slutar ansvarar den anställde för att gallring och arkivering utförs senast 1<br />
månad efter anställningens upphörande. Den anställdes närmsta chef är ansvarig för att<br />
gallring och arkivering kommer till stånd. Slutligen inaktiveras personalanvändaren.<br />
3.2 Studentanvändare<br />
Alla studenter (inhemska som utbytes) vid <strong>Luleå</strong> <strong>tekniska</strong> <strong>universitet</strong> har rätten till en<br />
studentanvändare. Skapelseprocessen för studentanvändaren sker enligt följande:<br />
• Studentens ansökan genomgick processen via www.studera.nu (Högskoleverkets<br />
portal i samarbete med VHS och högskolor). Informationen når NyA då studenterna är<br />
antagna och förs sedan över till LADOK.<br />
• Sena antagningar och vissa utbytesstudenter registreras direkt i LADOK.<br />
• Studentanvändarna skapas automatiskt utifrån LADOK-informationen och återfinns<br />
sedan i Ideal.<br />
Alla studenter erhåller sin elektroniska identitet till angiven adress vid ansökningstillfället<br />
(temporär- eller folkbokföringsadress, LoA 2). Identiteten kan även mottas i SD genom<br />
styrkning enligt förtroendenivå 4. Kontot aktiveras efter det elektroniska avtalet accepterats<br />
vid inloggningen på studentportalen (BILAGA C). Glömda användaridentitetsuppgifter<br />
5
erhålls i SD (LoA 4), temporär-, folkbokförings-adress eller SMS till registrerat<br />
mobiltelefonnummer (www.hitta.se, www.eniro.se) (LoA 2).<br />
En studentanvändare inaktiveras automatiskt efter 18 månaders inaktivitet. Med inaktivitet<br />
menas att studenten ej varit inskriven på kurs eller program under denna period. Studenten<br />
ansvarar själv för att hemmakatalog och e-post arkiveras.<br />
3.3 Besöksanvändare<br />
Besökare (konferens, studiebesök etc) till Ltu kan erhålla en tillfällig elektronisk identitet för<br />
Internet-Access. Besöksanvändare beställs av en vid Ltu anställd person som vid mottagandet<br />
i SD måste styrka sin identitet enligt förtroendenivå 4. Varaktigheten är mellan 1 - 30 dagar.<br />
Studenter från andra <strong>universitet</strong> kan erhålla en besöksanvändare genom att styrka sina studier<br />
på ett tillförlitligt vis. Maximal användarvarighet är då 1 dag.<br />
Eftersom det inte går att avgöra vem som äger suveränitet över den elektroniska identiteten<br />
tillhör besöksanvändaren förtroendenivå 1.<br />
3.4 Externa användare<br />
Studerande vid andra <strong>universitet</strong> kan erhålla en extern användare för bokning av bibliotekets<br />
grupprum. Användaren erhåller endast rätten till bokningsfunktionen och är därmed inte<br />
aktuell för anslutning till SWAMID.<br />
3.5 SWAMID-anslutningsbara identiteter<br />
Lägsta förtroendenivån för elektroniska identiteter som ansluts till SWAMID är 2. En<br />
användare som uppfyller en högre förtroendenivå uppfyller automatiskt de lägre nivåerna.<br />
Tabell 3.1 SWAMID-anslutningsbara elektroniska identiteter vid <strong>Luleå</strong> Tekniska Universitet.<br />
”X” visar uppnådd förtroendenivå.<br />
Elektroniska identieter LoA 1 LoA 2 LoA 3 LoA 4<br />
Personalanvändare X<br />
Studentanvändare X<br />
6
4 REFERENSER<br />
Burr, W.E., Dodson D.F. & Polk, W.T. 2006. Electronic Autentication Guideline<br />
(elektroniskt). NIST Special Publication 800-63 Version 1.0.2. Tillgänglig on-line:<br />
(2009-07-07).<br />
Johansson, L & Wiberg, T. 2008. SWAMID Identity Federation Policy v1.0 (elektroniskt).<br />
Tillgänglig on-line: (2009-07-07).<br />
SWAMID. 2006. Information om projektet SWAMID (elektroniskt). Tillgänglig online:<br />
(2009-07-07).<br />
7
BILAGA A Ansvarsförbindelse personal<br />
A-1
Figur A-1 Ansvarsförbindelse för anställda vid <strong>Luleå</strong> <strong>tekniska</strong> <strong>universitet</strong>.<br />
A-2
BILAGA B Anställning upphör<br />
B-1
Figur B-1 Rektorsbeslut angående upphörande av anställning.<br />
B-2
Figur B-2 Rektorsbeslut angående upphörande av anställning.<br />
B-3
Figur B-3 Rektorsbeslut angående upphörande av anställning.<br />
B-4
Figur B-4 Rektorsbeslut angående upphörande av anställning.<br />
B-5
B-6
BILAGA C Ansvarsförbindelse student<br />
C-1
Figur C-1 Aktivering av studentanvändarkonto.<br />
C-2
Figur C-2 Datorregler vid <strong>Luleå</strong> <strong>tekniska</strong> <strong>universitet</strong>.<br />
C-3
Figur C-3 Datorregler vid <strong>Luleå</strong> <strong>tekniska</strong> <strong>universitet</strong>.<br />
C-4
Figur C-4 Datorregler vid <strong>Luleå</strong> <strong>tekniska</strong> <strong>universitet</strong>.<br />
C-5