Elektroniska identiteter i AKKA vid Uppsala universitet SWAMIDs ...
Elektroniska identiteter i AKKA vid Uppsala universitet SWAMIDs ...
Elektroniska identiteter i AKKA vid Uppsala universitet SWAMIDs ...
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Avdelningen för IT och inköp<br />
Universitetsförvaltningen<br />
Pål Axelsson<br />
Postadress:<br />
Box 887<br />
751 08 <strong>Uppsala</strong><br />
Gatuadress:<br />
Lägerhyddsvägen 2, hus 3<br />
752 37 <strong>Uppsala</strong><br />
Telefon:<br />
018 - 471 7918<br />
Telefax:<br />
018 - 471 7876<br />
Hemsida:<br />
www.its.uu.se<br />
Epost:<br />
Pal.Axelsson@its.uu.se<br />
Division for IT and Procurement<br />
University Administration<br />
Pål Axelsson<br />
Postal address:<br />
Box 887<br />
SE-751 08 <strong>Uppsala</strong><br />
SWEDEN<br />
Visiting address:<br />
Lägerhyddsvägen 2, building 3<br />
SE-752 37 <strong>Uppsala</strong><br />
SWEDEN<br />
Telephone:<br />
+46 18 - 471 7918<br />
Telefax:<br />
+46 18 - 471 7876<br />
Web site:<br />
www.its.uu.se<br />
E-mail:<br />
Pal.Axelsson@its.uu.se<br />
2010-07-02<br />
Version 2.1<br />
1 (7)<br />
<strong>Elektroniska</strong> <strong>identiteter</strong> i <strong>AKKA</strong> <strong>vid</strong> <strong>Uppsala</strong> <strong>universitet</strong><br />
Detta PM beskriver de olika typer av elektroniska <strong>identiteter</strong> som finns i<br />
<strong>Uppsala</strong> <strong>universitet</strong>s katalogsystem <strong>AKKA</strong>. PMet är framtaget med tre syften;<br />
Dels för att kortfattat beskriva <strong>AKKA</strong>s identitetstyper. Dels för att definiera<br />
förtroendenivå enligt NIST Electronic Authentication Guideline Version 1.0.2 1<br />
och OMB E-Authentication Guidance for Federal Agencies 2 för identitetstyperna.<br />
Och dels för att definiera om en viss identitetstyp får delta i Swedish<br />
Academic Identity Federation 3 – nedan kallat SWAMID.<br />
I detta PM är det bara säkerställandet att en viss identitet tillhör en viss person<br />
och identitetens livscykel som bedöms mot <strong>SWAMIDs</strong> Definition av<br />
förtroendenivåer gällande identitetsutgivande 4 , se bilaga 1.<br />
<strong>SWAMIDs</strong> relation till förtroendenivåer<br />
För att en identitet ska få delta i identitetsfederationen SWAMID krävs att det<br />
inte finns något som hindrar att identiteten kan uppfylla LoA2.<br />
<strong>AKKA</strong>s relation till förtroendenivåer<br />
Här följer en beskrivning av alla identitetstyper i <strong>AKKA</strong> inkl. förtroendenivåklassificering<br />
och definition av eventuellt deltagande i SWAMID. De två senare<br />
sammanfattas först i tabellen nedan och sedan kommer en längre beskrivning.<br />
Identitetstyp Förtroendenivå SWAMID<br />
Personalidentitet LoA2 Ja<br />
Studerandeidentitet LoA2 Ja<br />
Funktionsidentitet LoA1 Nej<br />
Studentorganisationsidentitet LoA1 Nej<br />
Extern identitet LoA1 Nej<br />
Gästidentitet LoA2 Nej<br />
Tillfällig identitet<br />
LoA1 Nej<br />
1 NIST Special Publication 800-63 Version 1.0.2, Electronic Authentication Guideline,<br />
april 2006, http://csrc.nist.gov/publications/nistpubs/800-63/SP800-63V1_0_2.pdf<br />
2 Executive Office of the President, Office of Management and Budget Memorandum<br />
M-04-04, E-Authentication Guidance for Federal Agencies, 16 december 2003,<br />
http://www.whitehouse.gov/omb/memoranda/fy04/m04-04.pdf<br />
3 SWAMID, http://www.swamid.se<br />
4 <strong>SWAMIDs</strong> Definition av förtroendenivåer gällande identitetsutgivande,<br />
http://www.swamid.se/pub/jsp/polopoly.jsp?d=2981&a=56553
2 (7)<br />
I samband med överlämnandet av den elektroniska identiteten övergår ansvaret<br />
för att endast avsedd person/personer använder den elektroniska identiteten till<br />
innehavaren av den elektroniska identiteten. Personen/personerna bär sedan<br />
ansvaret för att rapportera in förlust av den elektroniska identiteten och andra<br />
händelser som kan medföra att suveränitet över den elektroniska identiteten inte<br />
längre kan garanteras.<br />
Personalidentitet<br />
Personal <strong>vid</strong> <strong>Uppsala</strong> <strong>universitet</strong> har möjlighet att ha en elektronisk identitet<br />
under den period som de är anställda <strong>vid</strong> <strong>Uppsala</strong> <strong>universitet</strong>. Till personal<br />
räknas även personer som av prefekt/motsv. anses vara verksam <strong>vid</strong><br />
institutionen/motsvarande utan att inneha en formell anställning – s.k. person<br />
med anställningsliknande förhållande.<br />
När den katalogansvarige <strong>vid</strong> institutionen/motsvarande lägger in en anställning<br />
på en person i <strong>universitet</strong>skatalogen har de även möjlighet att aktivera den<br />
elektroniska identiteten för den anställde. Uppgifter om den elektroniska<br />
identiteten skickas i slutet kuvert adresserat till den anställdes adress <strong>vid</strong><br />
institutionen eller hämtas mot uppvisande av giltig identitetshandling på<br />
IT-stöd. Med avseende på detta uppfylls LoA2 enligt definitionen i inledningen.<br />
Förtroendenivå LoA4 kan uppfyllas om identitetsinformation såsom lösenord<br />
endast lämnas ut i samband med uppvisande av giltig identitetshandling. Detta<br />
kan genomföras på flera sätt, t.ex. lämna ut informationen mot uppvisande av<br />
giltig identitetshandling på särskilda utlämningsställen eller skicka<br />
informationen med hjälp av rekommenderad post. Vidare är det möjligt att<br />
registrera att giltig svensk legitimationshandling eller pass för utländska<br />
medborgare har kontrollerats av särskilda handläggare.<br />
Den elektroniska identiteten avslutas automatiskt när den sista anställningen tas<br />
bort på personen ur <strong>universitet</strong>skatalogen.<br />
Studerandeidentitet<br />
Studerande <strong>vid</strong> <strong>Uppsala</strong> <strong>universitet</strong> har möjlighet att ha en elektronisk identitet<br />
så länge som de är aktivt studerande <strong>vid</strong> <strong>universitet</strong>et. Med aktivt studerande<br />
menas för grundutbildningsstuderande att den studerande är registrerad på kurs<br />
eller har resultatregistrering på en kurs innevarande termin och för en forskarstuderande<br />
att denne har en aktivitetsgrad större än 0 % innevarande eller<br />
föregående termin.<br />
Den studerande söker elektronisk identitet antingen via en elektronisk blankett –<br />
där personnummer och pinkod som är utskickad med post till aktuell adress i<br />
Uppdok/ Ladok används för identifiering – eller via en pappersblankett.
Uppgifter om den elektroniska identiteten kan lämnas ut enligt eget val efter<br />
ansökan och kontroll av att den studerande är aktivt studerande innevarande<br />
termin på tre olika sätt:<br />
- hämtas elektroniskt på särskild webbsida där identifiering sker med<br />
personnummer och samma pinkod som användes <strong>vid</strong> den elektroniska<br />
ansökan (kan bara användas i kombination med elektronisk ansökan),<br />
- skickas i slutet kuvert till aktuell adress i Uppdok/Ladok eller<br />
- hämtas mot uppvisande av legitimation på särskilda utlämningsställen.<br />
Förtroendenivå LoA4 kan uppfyllas om identitetsinformation såsom lösenord<br />
endast lämnas ut i samband med uppvisande av giltig identitetshandling på<br />
samma sätt som för identitetstypen personal. I övriga fall uppfylls LoA2.<br />
3 (7)<br />
Terminsvis kontrolleras att den studerande fortfarande är aktivt studerande, om<br />
inte stängs kontot automatiskt av 15 februari om senaste registrering var<br />
föregående vårtermin och 15 september om senaste registrering var föregående<br />
hösttermin. Undantagsvis kan en studerande behålla sin identitet även om denne<br />
inte f.n. studerar <strong>vid</strong> <strong>Uppsala</strong> <strong>universitet</strong>, t.ex. <strong>vid</strong> utbytesstudier utomlands eller<br />
innehar ett arvoderat förtroendeuppdrag i kår, nation eller annan<br />
studentorganisation.<br />
Funktionsidentitet<br />
Institutioner/motsvarande <strong>vid</strong> <strong>universitet</strong>et har ofta behov av e-postadresser där<br />
innehavaren av en viss e-postadress växlar men behovet av kontinuitet är stort<br />
med avseende på tillgång till gamla e-postkonversationer eller där flera personer<br />
delar på en och samma e-postadress och behöver kunna ta del av e-postkonversationerna.<br />
Funktions<strong>identiteter</strong> används även för utrustning som behöver kunna autentisera<br />
mot någon tjänst, såsom nätinloggning, eller kunna skicka och ta emot e-post,<br />
t.ex. kopiatorer.<br />
Förtroendenivå LoA2 kan inte uppnås då det inte är säkert att det är en enskild<br />
person som innehar identiteten. Med avseende på detta kan dessa <strong>identiteter</strong> inte<br />
användas inom SWAMID.<br />
De elektroniska <strong>identiteter</strong>na avslutas först när institutionen/motsvarande<br />
meddelar att de inte längre vill använda dem eller då ansvariga för hanteringen<br />
av elektroniska <strong>identiteter</strong> genomför en revision av funktions<strong>identiteter</strong> och inte<br />
får information om att identiteten ska fortsätta att vara aktiv.<br />
Studentorganisationsidentitet<br />
Godkända studentorganisationer <strong>vid</strong> <strong>Uppsala</strong> <strong>universitet</strong> kan få elektroniska<br />
<strong>identiteter</strong> efter att ordförande/förste kurator/motsvarande har skickat in en<br />
skriftlig begäran om att etablera en eller flera elektroniska <strong>identiteter</strong>. Brev med<br />
uppgifter om den elektroniska identiteten skickas till av organisationen angiven<br />
adress. Med godkänd studentorganisation <strong>vid</strong> <strong>Uppsala</strong> <strong>universitet</strong> menas en<br />
studentorganisation som blivit godkänd av chefen för studerandebyrån. Villkor<br />
för godkännandet innebär i korthet att studentorganisationen har verksamhet<br />
avsedd för studerande <strong>vid</strong> <strong>universitet</strong>et.
4 (7)<br />
Förtroendenivå LoA2 kan inte uppnås då det inte är säkert att det är en enskild<br />
person som innehar identiteten. Med avseende på detta kan dessa <strong>identiteter</strong> inte<br />
användas inom SWAMID.<br />
De elektroniska <strong>identiteter</strong>na avslutas först när studentorganisationen meddelar<br />
att de inte längre vill använda dem eller då ansvariga för hanteringen av<br />
elektroniska <strong>identiteter</strong> genomför en revision av <strong>identiteter</strong> för studentorganisationer<br />
och inte får kontakt med organisationen.<br />
Extern identitet<br />
Vid vissa tillfällen behöver personer som inte är verksamma <strong>vid</strong> <strong>universitet</strong>et<br />
enligt ovan en elektronisk identitet för att komma åt olika för identiteten<br />
identifierade IT-tjänster. Dessa elektroniska <strong>identiteter</strong> skapas och delas ut i<br />
särskild ordning.<br />
Förtroendenivå LoA2 kan inte uppnås då det inte är säkert att det är en enskild<br />
person som innehar identiteten. Med avseende på detta kan dessa <strong>identiteter</strong> inte<br />
användas inom SWAMID.<br />
Den elektroniska identiteten avslutas antingen då den verksamhet <strong>vid</strong><br />
<strong>universitet</strong>et som begärt den elektroniska identiteten meddelar att den ska<br />
upphöra eller då ansvariga för elektroniska <strong>identiteter</strong> genomför en revision och<br />
inte får information om att identiteten ska fortsätta att vara aktiv.<br />
Gästidentitet<br />
Det främsta sättet för besökanden från andra lärosäten att få tillgång till det<br />
trådlösa nätet <strong>vid</strong> <strong>Uppsala</strong> <strong>universitet</strong> är via eduroam 5 . Eduroam kan dock bara<br />
användas av de besökare vars hemmaorganisationer deltar i samarbetet<br />
eduroam. Med avseende på detta kan övriga besökare <strong>vid</strong> behov bli tilldelade en<br />
gästidentitet för nätanvändning <strong>vid</strong> besöket av <strong>universitet</strong>et.<br />
All personal är generellt delegerad rätten att utfärda max fem samtidiga gäst<strong>identiteter</strong><br />
där dessa kan vara giltiga i max sju dygn. Den generella rättigheten<br />
att utfärda gäst<strong>identiteter</strong> kan inskränkas efter beslut av prefekt/motsv. Särskilt<br />
definierade personer har rätt att utfärda ett obegränsat antal gäst<strong>identiteter</strong> med<br />
en giltighet på max 30 dagar avsett för konferenser och längre besök <strong>vid</strong> en<br />
institution/motsv.<br />
Giltig identitetshandling ska kontrolleras <strong>vid</strong> utlämnade av identiteten vilket<br />
medför LoA2 men med avseende på att den som innehar identiteten inte är<br />
knuten till <strong>Uppsala</strong> <strong>universitet</strong> kan identiteten inte användas i SWAMID.<br />
Den elektroniska identiteten avslutas antingen <strong>vid</strong> den tidpunkt som definierats<br />
när identiteten skapades eller tidigare om behov finns.<br />
5 eduroam – Educational Roaming Infrastructure, http://www.eduroam.org
5 (7)<br />
Tillfällig identitet<br />
Personer som tillfälligt besöker <strong>universitet</strong>et och behöver använda IT-tjänster<br />
<strong>vid</strong> <strong>universitet</strong>et – undantaget nätaccess – kan få en tillfällig identitet. I samband<br />
med konferenser eller större möten kan det hända att flera personer delar på den<br />
tillfälliga identiteten. Tillfälliga <strong>identiteter</strong> delas ut i särskild ordning av<br />
definierade anställda <strong>vid</strong> <strong>universitet</strong>et.<br />
Förtroendenivå LoA2 kan inte uppnås då det inte är säkert att det är en enskild<br />
person som innehar identiteten. Med avseende på att dessa <strong>identiteter</strong> inte<br />
behöver tillhöra personer knutna till <strong>Uppsala</strong> <strong>universitet</strong> eller att det inte är<br />
säkert att en enskild person innehar identiteten kan identiteten inte användas i<br />
SWAMID.<br />
Den elektroniska identiteten avslutas antingen <strong>vid</strong> den tidpunkt som har begärts<br />
av den verksamhet <strong>vid</strong> <strong>universitet</strong>et som ansökt om den eller då ansvariga för<br />
elektroniska <strong>identiteter</strong> genomför en revision och inte får information om att<br />
identiteten ska fortsätta att vara aktiv.
Bilaga 1<br />
Definition av förtroendenivåer gällande identitetsutgivande 6<br />
I NIST Electronic Authentication Guideline 7 definieras fyra förtroendenivåer -<br />
eng. Level of Assurance, nedan förkortat LoA. I bedömningen av den totala<br />
förtroendenivån ingår flera områden; identitetshantering,<br />
inloggningsmekanismer och överföring av genomförd inloggning.<br />
I området identitetshantering ingår hanteringen av elektroniska <strong>identiteter</strong>s,<br />
även känt som användaridentitet, användarkonto, och datorkonto, hela<br />
livscykeln, d.v.s. från att de skapas till att de avvecklas. Nedan definieras<br />
kortfattat förtroendenivåer med utgångspunkt utifrån med vilken säkerhet en<br />
utlämnare av en elektronisk identitet kan verifiera mottagarens identitet.<br />
Definitionen är anpassad efter svenska förhållanden främst med avseende på<br />
identitetsfederationen för den högre utbildningen i Sverige, SWAMID<br />
(http://www.swamid.se).<br />
I samband med överlämnandet av den elektroniska identiteten övergår ansvaret<br />
för att endast avsedd person använder identiteten till innehavaren av den<br />
elektroniska identiteten. Personen bär sedan ansvaret för att rapportera in förlust<br />
av den elektroniska identiteten och andra händelser som kan medföra att<br />
personen inte längre kan garantera suveränitet över den elektroniska identiteten.<br />
En identitet med högre förtroendenivå uppfyller även kraven för en lägre, det<br />
vill säga en identitet som uppfyller LoA2 uppfyller även LoA1.<br />
LoA1 - obekräftad användare<br />
LoA1 innebär att det finns liten eller ingen möjlighet att fastställa vem som<br />
innehar och använder en elektronisk identitet. Exempel på elektroniska<br />
<strong>identiteter</strong> av typen LoA1 är Windows Live-konto och Google-konto.<br />
LoA2 - bekräftad användare<br />
LoA2 innebär att det finns rimlig möjlighet att fastställa vem som innehar och<br />
använder en elektronisk identitet. Vem som ursprungligen tar emot identiteten<br />
fastställs genom att identiteten styrks <strong>vid</strong> utlämnade av identitetsinformation<br />
eller att identitetsinformationen skickas till en postadress – till exempel<br />
folkbokföringsadressen eller arbetsplatsens adress – där det är sannolikhet att<br />
den person som identitetsinformationen tillhör även är den person som ta del av<br />
den informationen.<br />
LoA3 - kontrollerad användare<br />
LoA3 innebär att det finns god möjlighet att fastställa vem som innehar och<br />
använder en elektronisk identitet. Detta säkerställs via kontroll av giltig<br />
identitetshandling <strong>vid</strong> utlämnade av identitetsinformation. Med giltig<br />
identitetshandling menas nationellt identitetskort, pass, körkort, SIS-godkänt<br />
identitetskort och e-legitimation.<br />
6 <strong>SWAMIDs</strong> Definition av förtroendenivåer gällande identitetsutgivande,<br />
http://www.swamid.se/pub/jsp/polopoly.jsp?d=2981&a=56553<br />
7 NIST Special Publication 800-63 Version 1.0.2, april 2006,<br />
http://csrc.nist.gov/publications/nistpubs/800-63/SP800-63V1_0_2.pdf
7 (7)<br />
LoA4 - verifierad användare<br />
LoA4 innebär att det finns mycket god möjlighet att fastställa vem som innehar<br />
och använder en elektronisk identitet. Med avseende på att detta PM är<br />
begränsat till identitetsutgivande är det ingen skillnad mellan LoA3 och LoA4<br />
förutom att e-legitimation inte får användas.
Change language