SWAMID Federation Policy

Alla SWAMIDs policydokument

En identitetsfederations vara eller icke vara beror på alla parters tillit till federationen. För att möjliggöra tillit finns en federationspolicy som reglerar federationsoperatörens organisation och arbetssätt samt regelverket för identitetsutgivare och tjänsteleverantörer.

Policyn för SWAMID består av tre delar: SWAMID Federation Policy som beskriver styrningen och organisationen, tillitsprofilerna som beskriver vad en förlitande part kan förvänta sig av en lärosätesinloggning via SWAMID och teknologiprofilerna som beskriver de tekniska gränssnitten för SAML WebSSO och eduroam. Vid sidan om tillits- och teknologiprofilerna finns även entitetskategorier för att förenkla kommunikation mellan identitetsutgivare och tjänsteleverantörer.

Paraplyvy SWAMID Policy

Identitetsutgivare (IdP)

För att en organisation ska kunna använda tjänster kopplade till SWAMID behöver organisationen bli medlem i federationen. Detta görs genom att medlemsansökan undertecknas och skickas in till SWAMID via post och e-post. Till medlemsansökan bifogas även en tillitsdeklaration, SWAMID AL1 eller SWAMID AL2. Tillitsdeklarationen behöver endast skickas med e-post.

Vad är SWAMID AL1 och SWAMID AL2?

I identitetsfederationen SWAMID är tillit till att federationens medlemmar, dvs. primärt universitet och högskolor, hanterar användare och inloggningar tillräckligt bra grunden för att tjänsteleverantörer ska lita på att det är rätt användare som loggar in. För att definiera vad som är tillräckligt bra finns två tillitsprofiler, SWAMID AL1 och SWAMID AL2. I korthet innebär inloggning av en användare med SWAMID AL1 att det är en person som innehar och använder kontot, även kallat för obekräftad användare. På motsvarande sätt innebär inloggning av en användare med SWAMID AL2 att medlemsorganisationen vet vem som innehar och använder kontot, även kallat för bekräftad användare.

Tillitspyramiden

Kraven på en medlemsorganisationen är högre för SWAMID AL2 än SWAMID AL1 vilket i praktiken innebär att om medlemmen är godkänd för SWAMID AL2 kan organisationen presentera både bekräftade och obekräftade användare i federationssamarbetet så länge det är möjligt att skilja på användare med olika tillitsprofiler. En organisation som endast är godkänd för SWAMID AL1 kan däremot enbart presentera obekräftade användare i federationssamarbetet.

Tjänsteleverantör (SP)

SWAMIDs nyttjanderegler syftar till att underlätta tillgång till SWAMIDS metadata för externa tjänsteleverantörer. Nyttjandereglerna beskriver syfte, tillgång och till vad man får nyttja SWAMIDs metadata. Genom att acceptera SWAMIDs nyttjanderegler ersätts behovet av ett kontrakt mellan SWAMID och externa tjänsteleverantörer. För att ytterligare underlätta för tjänsteleverantörer att få rätt information om användare som loggar in använder SWAMID entitetskategorier.

Säkerhetsprofilen REFEDS SIRTFI

The Security Incident Response Trust Framework for Federated Identity från REFEDS, förkortat SIRTFI, är en internationell Best Current Practice.

SWAMID Board of Trustees rekommenderar starkt att både identitetsutgivare och tjänsteleverantörer i SWAMID använder säkerhetsprofilen REFEDS SIRTFI för att öka tilltron för att medlemmar och tjänster i SWAMID sköts på ett säkerhetsmässigt bra sätt.

REFEDS SIRTFI ersätter den tidigare IdM-checklistan som SWAMID tog fram tillsammans med SUSEC i samband med SWAMID 2.0. En av skillnaderna mellan IdM-checklistan och REFEDS SIRTFI är att REFEDS SIRTFI gäller både identitetsutgivare (IdP) och tjänsteleverantörer (SP). Medlemsorganisationer som uppfyller SWAMID AL1 eller SWAMID AL2 för sin identitetsutgivare uppfyller automatiskt flera av kraven i REFEDS SIRTFI. Främst behöver de även säkerställa att de uppfyller de operativa kraven i profilen samt att de har rutiner på plats för incidenthantering innan de meddelar SWAMID Operations att de uppfyller säkerhetsprofilen REFEDS SIRTFI.

Interfederation

SWAMID är medlem av interfederationen eduGAIN. På samma sätt som varje medlem i SWAMID måste skriva en tillitsdeklaration genom Identity Management Practice Statement måste varje medlem i interfederationen skriva och publicera en Metadata Registration Practice Statement.

 

SWAMIDs policy omfattas formellt av opensource-licensen, CC BY-SA 3.0.

 

SWAMID


SWAMID

Anders "Herr Nilsson" Nilsson

Anders Lördal

Björn Mattson

Administrativ inom SWAMID Operations
0455-385163

Einar Lönn

swamid ops

Eskil Swahn

Policy inom SWAMID Operations
+46 46 222 1323

Hans Berggren

Hans Nordlöf

Systemarkitekt & projektledare
+46702137391

Johan Peterson

013-285730

Pål Axelsson

Systemförvaltare SWAMID och produktägare ORCID
+46704080175

Paul Scott

Administrativ inom SWAMID Operations.
0701-914283

Roland Hedberg

Valter Nordh

CTO, produktchef SWAMID & TCS
0707-884742
Summary in English

SWAMID Federation Policy

For an Identity Federation trust is everything. To enable trust there is a federation policy that regulates the federation operator’s organisation and working methods as well as the regulatory framework for Identity Providers and Service Providers.

The policy for SWAMID consists of three parts: SWAMID Federation Policy describes the management and organization, assurance profiles describing what a relying party can expect from a educational sector login via SWAMID and technology profiles describing the technical interfaces WebSSO SAML and eduroam. Alongside the assurance and technology profiles are also Entity Categories to facilitate communication between Identity Providers and Service Providers.

Identity Provider (IdP)

For an organisation to be able to use services linked to SWAMID the organisation needs to become a member of the Federation. This is done by the Membership Agreement signed and submitted to SWAMID by mail and e-mail. Together with the Membership Agreement an Assurance Declaration for SWAMID AL1 or SWAMID AL2 in form of an Identity Management Practice Statement must be submitted. The Assurance Declaration need only to be sent by e-mail.

Service Provider (SP)

The SWAMID Metadata Terms of Access and Use is aimed at facilitating access to SWAMIDS Metadata for external Service Providers. The Terms of Access and Use outline the purpose, access to and how you can use SWAMID Metadata. The SWAMID Metadata Terms of Access and Use is used instead of a contract between SWAMID and external service providers. To further enable the service providers to get the right information about users who log in using SWAMID there are Entity Categories.

REFEDS SIRTFI

The Security Incident Response Trust Framework for Federated Identity from REFEDS, abbreviated SIRTFI, is an international Best Current Practice IT security profile. REFEDS SIRTFI replaces the previous SWAMID IdM-checklist. One of the differences between the SWAMID IdM-checklist and the REFEDS SIRTFI is that REFEDS SIRTFI is for both Identity Providers (IdP) and Service Providers (SP).

SWAMID Board of Trustees strongly recommends that both the Identity Providers and Service Providers in SWAMID use the incident response framework REFEDS SIRTFI to increase the trust that SWAMID members and services manage IT security in good practice.

Interfederation

SWAMID is a member of the Interfederation eduGAIN. In the same way that every member of SWAMID must write a Trust Declaration in the Identity Management Practice Statement, any member of the interfederation write and publish a Federation Metadata Registration Practice Statement.

 

SWAMID policy is formally covered by the open source license, CC BY-SA 3.0.