View
12
Download
0
Category
Preview:
Citation preview
Introduktion till Skolfederation19 april 2017
Kursledare: Bengt Wällstedt, bengt.wallstedt@gmail.com
Internetstiftelsen i Sverige, IIS
09.00 Vad är SkolfederationBakgrund, Arkitektur, Uppbyggnad och omfattning, varför Skolfederation, Målsättningar, Begrepp, Skolfederation idag
Federationstekniken och SSO Single Sign-OnStandard SAML V2.0, Autentiseringsbegäran, Metadata, Tekniska profiler, Single Log-Out
Skolfederations attributprofil, Hands-on-test av federerad inloggningGenomgång av Skolfederations attribut, När de ska användas, Leverantörslistan, Hands-on
12.00 LUNCH
13.00 Hur man kommer igångAtt bli medlem, Att föra över metadata, Att ansluta medlemmar, Exempel, eduroam
Tillit och säkerhetSäkerhetsföreskrifter, Personuppgiftsbiträdesavtalsmall, Dataskyddsförordningen
eduroamKort beskrivning av tilläggstjänsten eduroam
Framtid och utvecklingTillit till identiteter och attribut, App-inloggning, Livscykelhantering, Andra federationer
Summering
16.00 SLUT
IIS är federationsoperatör
Mål för dagens kurs
• Övergripande förståelse för vilka problem som Skolfederation försöker lösa, och hur
• Hur och varför dagens upplägg med IIS som federationsoperatör kommit till
• I grova drag vad som krävs för att implementera Skolfederation som användarorganisation eller tjänsteleverantör
Kursmoment 1
Vad är Skolfederation
Vad är en identitetsfederation?
En identitetsfederation är en sammanslutning av
organisationer som har kommit överens om att lita på
varandras elektroniska identiteter och behörighetsstyrande
attribut för att underlätta användarnas åtkomst till elektroniska
tjänster och skydda den personliga integriteten.
Historia Skolfederation
• 2007 Swamid - Den tekniska förebilden
• 2011 SIS/TK450 – knoppade av Skolfederation
• 2012 Diskussioner om utformningen
• 2013 Start
”Skolfederation ska underlätta svensk utbildningssektors användning av digitala
tjänster och läromedel!”
Mål från 2012
”Skolfederation ska vara smal och grund!”
Mål från 2012
ANVÄNDARE• SSO, en inloggning till alla tjänster• Minskad administration av lösenord för lärare• Stärkt skydd av integritet
TJÄNSTELEVERANTÖR• Slippa administration av användare• Enklare integration av skolhuvudmän
ANVÄNDARORGANISATION• Valfrihet att välja sin egen lösning• Enklare tjänsteintegration• Enhetlig administration av användare
UTBILDNINGSSEKTORN• Ökad säkerhet• Stimulera utveckling
Mål för skolfederation
Undvik olika integrationer
FEDERATION
Gemensam standard och infrastruktur
En standard för integrationen
Vad Skolfederation inte är
• Skolfederation är inte en central inloggningstjänst
• Användare loggar inte in med Skolfederation
• Skolfederation lagrar ingen användarinformation
Ej central inloggning
Skolfederation är en standard, INTE en central meddelandeväxel
TjänsteleverantörSkolhuvudman
Skolfederation beslutar INTE om åtkomst, tjänsten gör!
Avtal
Intyg med
attribut
Skolfederation
Skolfederation ansvarar inte för
• Avtal mellan användarorganisation och tjänsteleverantör
• Utformning av åtkomstkontroll
• Vilka attribut som tjänsten ska använda
• Eventuell provisionering av konton, grupper, klasser etc
• Hantera eller ansvara för personuppgifter
Gemensam infrastruktur
Säkerhet…
AttributTeknisk standard
SAMVERKAN
Skolfederation
Medlemshantering
Metadatahantering
Drift av infrastrukturen
Attributförvaltning
Tilliten till identiteter och attribut
Information
Federationsdrift
Medlemshantering
Metadatahantering
Drift av infrastrukturen
Attributförvaltning
Tilliten till identiteter och attribut
Information
Skolfederations Federationsdrift idag
• Anna Jogrenius, Liber• Carl-Johan Bonander, Nova Software AB• Erling Sjöstrom, Tieto• Fredrik Wellner, Södertälje kommun• Geir Emblemsvåg, Fronter Nordic• Hans Nilsson, Täby kommun• Joakim Norbäck, KJNC• Johan Wahlström, Södertälje kommun• Johannes Millegård, Digilär• Malin Annergård, SKL• Marcus Ander, Gleerups Utbildning
• Markus Landin, NE Nationalencyklopedin • Mats Gahnström, Västerås stad• Måns Larsson, Svenska Läromedel på Internet• Niklas Leide, Skolon AB• Palle Girgensohn, PingPong• Per Brahm, Learnify• Per Magnus Byström, Stockholms stad• Rickard Vinde, Svenska Läromedel• Staffan Hagnell, IIS• Stig Andersson, SPSM
Skolfederations referensgrupp
• Var med och påverka och bidra till federationens utveckling
• Samverka med andra medlemmar• Vänd er gärna till federationsoperatören med frågor och förslag
Federationen är medlemmarna
Kursmoment 2
Federationstekniken och SSO; Single Sign-On
www.e-service.se
Användarorganisation Användare E-tjänst
Traditionell inloggning
Vad är det för fel på det här då?
www.e-service.se
Användarnamn
**********
DB
www.e-service.se
• Administration av behörigheter
• Inloggning per tjänst• Lösenord per tjänst
• Säkerhetskrav• Lösenordssupport
Traditionell inloggning - problem:
www.e-service.se
Användarnamn
**********
DB
• Dålig användarupplevelse
• Bristfällig säkerhet
• Onödiga administrativa kostnader
Användarorganisation Användare E-tjänst
Exempel på inloggning med SAML
www.e-service.se
Välkommen!
DB
1
Intyg
2 3
Intyg
• Hur vet IdP:n vilken tjänst användaren vill ansluta till?
• Hur vet e-tjänsten att den kan lita på intyget från IdP:n?
• Vad är det för information som skickas i intyget?
Exemplet väcker några frågor
• Name ID• Ex. transient / persistent ID (pseudonym)
• Iuerfn#y873yniuw%eyr847
• Användarens attribut• Namn: Carl Carlsson• E-post: carl-ang@skola.engelholm.se• Organisation: Ängelholms kommun• Roll: Elev i klass 1a
• Livslängd• Giltig till och med 2017-04-19/16:00
Information i intyget (förenklat)
<SAML Response>
Exempel på hur ett SAML Response Message kan se ut i verkligheten
Hur vet tjänsten att den kan lita på intyget?
www.e-service.se
CertifikatX.509
Metadata
Certifikat
Metadata”Out of Band”
Intyg
Signera Verifiera
www.e-service.se
Välkommen!Intyg
12 3
IntygIis.se/portal
Hur vet IdP:n vilken tjänst användaren vill ansluta till?
idp.iis.se/sso=www.e-service1.se*
e-service1
e-service2
e-service3
Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?
Självklart inte!
Det finns flera metoder att initiera en SAML-inloggning ur användarperspektivet
• Hur vet IdP:n vilken tjänst användaren vill ansluta till?
• Hur vet e-tjänsten att den kan lita på intyget från IdP:n?
• Vad är det för information som skickas i intyget?
Övningsuppgift [SFK2-35]
• IdP-initierad inloggningInloggningen startar hos användarorganisationen som i det tidigare exemplet
• SP-initierad inloggningInloggningen startar hos e-tjänsten.
Initiering av SAML-inloggning
SP-initierad inloggning
www.e-service.se
Välkommen!DB
Intyg
23
4
Intygwww.e-service.se
Logga in med skolfederation
1Begäran
Begäran
Välkommen!
<SAML AuthnRequest>Exempel på hur en SAML Request kan se ut i verkligheten
Hur vet SP:n vilken IdP som kan ställa ut intyg för användaren?
www.e-service.se?
• Tjänsten tillhandahåller en unik URL för respektive användarorganisation (www.iis.e-service.se, www.skatteverket.e-service.se)
• Tjänsten känner till användarorganisationens IP-adressrymd• Tjänsten listar alla aktuella IdP:er i en anvisningstjänst och användaren får aktivt välja sin IdP
E-tjänster kan använda flera smarta metoder i kombination för att underlätta autentiseringen av användaren
IdP-discovery (exempel)
Anvisningstjänst
E-tjänstSP
Anvisningstjänst
Borås
Gävle
Krokom
OrganizationDisplayName
Borås
Gävle
Krokom
1
2
34
Gävle
Allt informationsutbyte sker genom omdirigering av användarens webbläsare
www.e-service.se
• Administration av behörigheter
• Inloggning per tjänst• Lösenord per tjänst
• Säkerhetskrav• Lösenordssupport
Vad SAML kan göra åt våra problem:
www.e-service.se
Användarnamn
**********• Dålig användarupplevelse
• Bristfällig säkerhet
• Onödiga administrativa kostnader
Användarorganisation Användare E-tjänst
Men…Vi har nya problem i en annan dimension
Anslutning mellan parter
www.e-service.se
Certifikat
Metadata
Certifikat
Metadata”Out of Band”
Förutsätter att parterna enats om:• Teknik/standard• Tillämpning• Information• Format• Tillit/säkerhet• Rutiner• …
Användarorganisationens perspektiv
IdP
Följ min standard!
E-tjänstens perspektiv
Följ min standard!
Följ min standard!
IdP
IdP
IdP
SP
Följ min standard!
Sektorns perspektiv
SP
SP
SP
IdP
IdP
IdP
En integration per anslutning
Hundratals eller tusentals organisationer
En standard för integrationen
FEDERATION
Gemensam standard och infrastruktur
• Skolfederations tekniska krav• SAML 2.0• Implementationsprofil eGov2 2.0
• beskriver vilka delar av SAML som måste implementeras• Deploymentprofilen saml2int
• beskriver vilka delar av SAML som måste vara i bruk samt hur dessa ska användas
• Namnstandard för anvisningstjänst• Pågående arbete med attributprofiler
Gemensam standard
• Aggregerat metadataregister signerat med federationens nyckel
• Central anvisningstjänst• Verktyg för validering av metadata• Testmiljö
Gemensam infrastruktur
Aggregerat metadataregisterAggregerad och
publicerad metadata
Metadata+certifikat 1Metadata+certifikat 2Metadata+certifikat 3Metadata+certifikat 4Metadata+certifikat 5Metadata+certifikat 6
/…/
• Metadata• Certifikat
• Metadata• Certifikat
• Metadata• Certifikat
• Metadata• Certifikat
• Metadata• Certifikat
• Metadata• Certifikat
Aggregerat metadata
Federationsoperatör
Signera och publicera
SkolfederationAggregerat metadata
Produktion (endast för medlemmar)• Metadataregister• Central anvisningstjänst• Endast för medlemmar
Trial (öppen för ”alla”)• Metadataregister• Central anvisningstjänst• Trial IdP• Trial SP - https://trial.skolfederation.se/
Tekniska miljöer i Skolfederation
Trial IdP Trial SP
*Trial IdP/SP är inte uppdaterade enligt senaste attributprofilen
Anvisningstjänst - exempel
Anvisningstjänst - exempel
• Vilken är den mest centrala komponenten i det vi kallar federationens gemensamma infrastruktur?
• Ge några exempel på vad som kan standardiseras inom en federation
Övningsuppgift [SFK2-59]
SAML 2.0Security Assertion Markup Language
• Öppen standard från OASIS• XML-baserat ramverk för att kommunicera information för autentisering, behörighet och attribut för användare
• 2002 - SAML 1.0• 2003 – SAML 1.1• 2005 – SAML 2.0
Kort om SAML
Profiles
Bindings
Protocols
Assertions
Information om användaren• Authentication statements (hur användaren har autentiserats)• Attribute statements (användarens attribut)• Authorization decision statements (information för att avgöra användarens rättigheter)
Paketering och hantering av SAML-element• Assertion Query and Request Protocol• Authentication Request Protocol• Artifact Resolution Protocol
SAML 2.0
Beskriver hur ovanstående kombineras för• SSO Profiles• Artifact Resolution Profile
en specifik tillämpning• Assertion Query/Request Profile• Name Identifier Mapping Profile• SAML Attribute Profiles
Mappar SAML-protokoll till andra protokoll• SAML SOAP Binding (based on SOAP 1.1)• Reverse SOAP (PAOS) Binding• HTTP Redirect (GET) Binding
• HTTP POST Binding• HTTP Artifact Binding• SAML URI Binding
Övningsuppgift - korv
2
1
3
Homer äter korven
Den grillade korven förbereds för att ätas
Homer grillar en korv
Övningsuppgift [SFK2-64]
www.service.se
E-postlösenord
Välkommen!Logga in med:
Välj din intygsutfärdare
BoråsGävleKrokom
idp.krokom.se
AnvändarnamnLösenord
Logga in
www.service.se
Välkommen Nisse!
IdP:n har ställt ut ett intyg och dirigerar Nisse tillbaka till SP:n som skickade begäran.
”service.se” har identifierat vilken IdP Nisse använder och dirigerar honom vidare med en AuthnRequest (begäran om intyg).
Nisse vill till tjänsten ”service.se”. Tjänsten finns inte i portalen på Nisses företag.
Nisse vill logga in via en federation. Eftersom han gick direkt till tjänstens webbsida så känner den inte till vilken IdP Nisse använder, utan diririgerar honom till en anvisningstjänst.
”service.se” har många olika typer av användare och erbjuder därför flera olika alternativ för inloggning.
Nisse har just kommit till jobbet och har ännu inte loggat in i någonstans. Innan han gör något annat vill han klara av ett ärende i tjänsten ”service.se”. Tjänsten finns inte i portalen på Nisses företag. I vilken ordning händer nedanstående?
Kom ihåg det här
www.e-service.se
Välkommen!
DB
Intyg
12 3
Intyg
Inloggning här! Intyg med användarinformation via omdirigering av webbläsare
www.e-service.se
Användarnamn
**********
FACIT
• Hur vet Idp:n vilken tjänst användaren vill ansluta till?- Länk som ”pekar ut” tjänsten (IdP-initierad inloggning)
• Hur vet e-tjänsten att den kan lita på intyget från IdP:n?- SP:n och IdP:n måste i förväg ha skapat förtroende för varandra genom
att ha utbytt nyklas som bevisar respektive identitet. - IdP:n och SP:n måste ha utbytt metadata om varandra.
• Vad är det för information som skickas i intyget?- Name ID (transient eller presistent unik identitet) - Attribut (namn, e-post, roll, etc)- Giltighetstid
Facit [SFK2-35]
• Vilken är den mest centrala komponenten i det vi kallar federationens gemensamma infrastruktur?
- Signerat och aggregerat metadataregister med medlemmarnas certifikat
• Ge några exempel på vad som kan standardiseras inom en federation.
- Teknisk standard- Tillämpning (tekniska profiler)- Information och format (attribut)- Tillitshantering/säkerhet- Rutiner
Facit [SFK2-59]
Facit [SFK2-64]
www.service.se
E-postlösenord
Välkommen!Logga in med:
Välj din intygsutfärdare
BoråsGävleKrokom
idp.krokom.se
AnvändarnamnLösenord
Logga in
www.service.se
Välkommen Nisse!
IdP:n har ställt ut ett intyg och dirigerar Nisse tillbaka till SP:n som skickade begäran.
4 2 5 1 3
”service.se” har identifierat vilken IdP Nisse använder och dirigerar honom vidare med en AuthnRequest (begäran om intyg).
Nisse vill till tjänsten ”service.se”. Tjänsten finns inte i portalen på Nisses företag.
Nisse vill logga in via en federation. Eftersom han gick direkt till tjänstens webbsida så känner den inte till vilken IdP Nisse använder, utan diririgerar honom till en anvisningstjänst.
”service.se” har många olika typer av användare och erbjuder därför flera olika alternativ för inloggning.
SAML-implementationen i exemplet är inte ett föredöme avseende användarvänlighet. Användaren ställs inför flera val i olika sammanhang under inloggningsflödet. Överkurs: Hur skulle en mer användarvänlig implementation kunna se ut?
Kursmoment 3
Skolfederations attributprofil
Exempel på några viktiga personerElevNamn: Test Elev1Årskurs: 1Klass: 1B:16/17Grupp: IDH1BJOAD16/17Skola: Rebbelberga skolaKommun: ÄngelholmAnvändar-ID: testelev1
ElevNamn: Test Elev2Årskurs: 7Klass: 71a:16/17Grupp: EN71aPEFR16/17Grupp: HI71aNOML16/17Grupp: MA71aNOML16/17Grupp: SH71aNOML16/17Skola: KungsgårdsskolanKommun: ÄngelholmAnvändar-ID: testelev2
ElevNamn: Test Elev3Årskurs: gy 3Klass: TE3c/1617Grupp: Sv3TE3bc/1617LiEaGrupp: Hi1a1TE3c/1617MaChGrupp: Re1TE3bc/1617FrJeGrupp: GyarbTE3/1617NoJoGrupp: Ma4NANAS3TE3/1617VcBoSkola: Ängelholms gymnasieskolaKommun: ÄngelholmAnvändar-ID: testelev3
LärareNamn: Test Lärare1Mentor: 1B:16/17Skola: Rebbelberga skolaKommun: ÄngelholmAnvändar-ID: testlar1
• I SAML-intyget kan finnas diverse information om en person, roll(er), grupper, klasser, skolor etc, etc. Dessa uppgifter kallas ATTRIBUT!
Varifrån och hur hämtas dessa uppgifter så att de kan skickas med i intyget?• Alla attributvärden som skickas i intyget bör alltid hämtas direkt från elevregistret (och ev. personalregistret)!
Hur ska tjänsten veta att en viss person har tillgång till tjänsten och vilken roll personen har?
• Name ID• Ex. transient / persistent ID (pseudonym)
• Iuerfn#y873yniuw%eyr847
• Användarens attribut• Namn: Test Elev1• E-post: testelev1@skola.engelholm.se• Organisation: Ängelholms kommun• Roll: Elev i klass 1B:16/17
• Livslängd• Giltig till och med 2017-04-19/16:00
Information i intyget (förenklat)
• Har tagits fram och vidareutvecklas kontinuerligt inom arbetsgrupp 4 i SIS projekt TK 450
• Förvaltas av Skolfederation• Publicerad på www.skolfederation.se
Attributprofilen
http://www.sis.se/informationsteknik-kontorsutrustning/it-tillämpningar/sis-tk-450
Detta dokument förtecknar en federationsgemensam vokabulär bestående av attribut för att beskriva uppgifter om vad som inom skolfederationen kallas en Användare. Dokumentet är framtaget av SIS/TK 450 IT standarder för lärande, arbetsgrupp 4.
Dokumentet är tänkt att användas på följande sätt: • För att lista de attribut som kan ingå i en teknisk överenskommelse
mellan användarorganisation och tjänsteleverantör.• För att hålla en tydlig definition av attributens innebörd.• För att anvisa hur information ska kodas.
Syfte med detta dokument
1. När en viss uppgift om en Användare behöver kunna presenteras för en e-tjänst och det i detta dokument finns ett attribut för denna uppgift ska det attributet användas. Andra representationer för samma uppgift ska med andra ord inte användas.
2. Representationen av attribut ska följa deploymentprofilen http://saml2int.org. Det innebär bland annat att NameFormat ska vara urn:oasis:names:tc:SAML:2.0:attrname-format:uri, t.ex. ska urn:oid:0.9.2342.19200300.100.1.3 användas som namn för attributet e-post (alltså inte mail ).
3. I en överenskommelse mellan användarorganisationen och tjänsteleverantören ska avgöras vilka attribut som presenteras för tjänsteleverantören. Personuppgiftsbiträdesavtal samt ytterligare kravställning ska också ingå i överenskommelsen. Ytterst är det användarorganisationen som har ansvaret för vilka uppgifter som tillgängliggörs och till vem. Läs mer på http://www.datainspektionen.se/lagar-och-regler/personuppgiftslagen/skolor/checklista-for-hantering-av-personuppgifter/.
Krav
1. En minimalistisk princip ska gälla så att inte fler attribut än nödvändigt presenteras för en tjänst.
2. Det finns inget krav på att samtliga attribut behöver finnas och kunna levereras för att en användarorganisation ska få vara med i federationen.
3. Ett av skolfederations syften är att inte exponera personuppgifter mer än nödvändigt. Olika attribut har olika potential att exponera personuppgifter. Vissa utgör normalt ingen risk för integriteten och kan därför ingå i alla intyg medan andra kan innehålla uppgifter som är av känsligare art.Attribut bör därför inte användas utan en noggrann prövning av säkerhet och personuppgiftshantering. Vid prövningen ska en samlad bedömning göras av det som tillgängliggörs.
Rekommendationer
Attributen i denna vokabulär ska kunna användas för att ange uppgifter om en Användare, definierad som den fysiska person som har tilldelats en identitet i Skolfederation.
För varje attribut nedan anger rubriken en benämning som bör användas i löpande text för att beteckna den uppgift som attributet representerar. Därefter följer namnet och representationen av attributet, en förklarande text och eventuellt ett exempel.
Vokabulär
Enligt den deploymentprofil som Skolfederation använder (http://saml2int.org) så ska en IdP alltid ha förmågan att sätta ett transient-id som NameID och eventuellt, som ett alternativ därtill, istället använda ett persistent-id. Andra format avrådes. Transient-id är ett engångs-Id för användaren, som gäller *bara* för en specifik inloggning. Persistent-id är ett icke spårbart, men över tid persistent, ID för användaren i relation till just en viss IdP och en viss SP. Se deploymentprofilen för detaljer.
Det är bra att förstå att en SP inte nödvändigtvis måste förlita sig på NameID som unik identifierare för en användare. Ett vanligt undantag att SP:n hellre använder ett attribut som en spårbar identifierare, såsom eduPersonPrincipalName (eppn) som är gemensam för flera tjänster. Det är personuppgiftsombudets ansvar att bedöma om det är rimligt att tjänsten har behov av spårbara identifierare.
NameID
Attributprofilen
Varifrån kommer värdena som de skickade attributen har?
● Elevregistret (Procapita, IST Extens)
● Personalregistret
Viktigt: Hur ser processen ut när data hämtas från dessa register (databaser) och lämnas över till IdP:n?Hur hanterar vi situationer som inte “passar in”, t.ex. personer med skyddade identiteter?
Vilka attribut kräver de olika tjästerna? Se: https://www.skolfederation.se/tjanster-produkter/
Leverantör:Diverse läromedel på webben ABObligatoriska attribut:sisSchoolGradeeduPersonPrincipalNamegivenNamesnnorEduOrgUnitUniqueIdentifiereduPersonScopedAffiliationnorEduPersonBirthDateValfria attribut:ooudisplayNamemailschacGender
1. Inloggning via anvisningstjänst:OBS! Använd inkognitoläge! OBS!
Vi använder Ängelholms IdP, “Ängelholms kommun”Användarnamn: [endast tillgängligt under pågående kurs]
Hands on – inloggning, attribut, portaltänk
Nationalencykopedin: http://www.ne.seSvenska Djur: http://www.svenska-djur.se
2. IdP-initierad inloggning (“portallänk”)
Generell konstruktion av länk. Detta behövs:
1: Url till IdP:ns Single Sign On -service (hittar man i metadatat)
2: Parameter som signalerar sändning av oombett intyg (unsolicited SAML-response, olika beroende på vilken IdP-produkt som används)
3: SP:ns entity-ID (hittar man i metadatat)
Bygg sedan ihop 1, 2 och 3 till en enda (lång) url
Hands on – inloggning, attribut, portaltänk
<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" xmlns:mdui="urn:oasis:names:tc:SAML:metadata:ui" xmlns:ds="http://www.w3.org/2000/09/xmldsig#"entityID="https://idp.skola.engelholm.se/simplesaml/saml2/idp/metadata.php">
<md:IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol" WantAuthnRequestsSigned="false"><md:Extensions>
<mdui:UIInfo xmlns:mdui="urn:oasis:names:tc:SAML:metadata:ui"><mdui:DisplayName xml:lang="en">Municipality of Ängelholm</mdui:DisplayName><mdui:DisplayName xml:lang="sv">Ängelholms kommun</mdui:DisplayName><mdui:Description xml:lang="en">Municipality of Ängelholm IDP</mdui:Description><mdui:Description xml:lang="sv">Ängelholms kommun IDP</mdui:Description><mdui:Logo width="76" height="116">
http://engelholm.se/Global/Layoutbilder/kommunvapnet_76x116px.png</mdui:Logo>
</mdui:UIInfo></md:Extensions><md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
Location="https://idp.skola.engelholm.se/simplesaml/saml2/idp/SSOService.php"/></md:IDPSSODescriptor><md:Organization>
<md:OrganizationName xml:lang="en">Municipality of Ängelholm</md:OrganizationName><md:OrganizationName xml:lang="sv">Ängelholms kommun</md:OrganizationName><md:OrganizationDisplayName xml:lang="en">Municipality of Ängelholm</md:OrganizationDisplayName><md:OrganizationDisplayName xml:lang="sv">Ängelholms kommun</md:OrganizationDisplayName><md:OrganizationURL xml:lang="en">http://www.engelholm.se/</md:OrganizationURL><md:OrganizationURL xml:lang="sv">http://www.engelholm.se/</md:OrganizationURL>
</md:Organization><md:ContactPerson contactType="technical">
<md:SurName>Administrator</md:SurName><md:EmailAddress>service@skola.engelholm.se</md:EmailAddress>
</md:ContactPerson></md:EntityDescriptor>
<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" entityID="https://www.ne.se/samlauth"> <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol"> <md:KeyDescriptor use="signing"> <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> <ds:X509Data> <ds:X509Certificate>(utelämnat)</ds:X509Certificate> </ds:X509Data> </ds:KeyInfo> </md:KeyDescriptor> <md:KeyDescriptor use="encryption"> <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> <ds:X509Data> <ds:X509Certificate>(utelämnat)</ds:X509Certificate> </ds:X509Data> </ds:KeyInfo> </md:KeyDescriptor> <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://www.ne.se/samlauth/saml/SingleLogout/alias/sso2saml"/> <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://www.ne.se/samlauth/saml/SingleLogout/alias/sso2saml"/> <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat> <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Artifact" Location="https://www.ne.se/samlauth/saml/SSO/alias/sso2saml" index="0"/> <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://www.ne.se/samlauth/saml/SSO/alias/sso2saml" index="1" isDefault="true"/> <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:PAOS" Location="https://www.ne.se/samlauth/saml/SSO/alias/sso2saml" index="2"/> <md:AssertionConsumerService xmlns:hoksso="urn:oasis:names:tc:SAML:2.0:profiles:holder-of-key:SSO:browser" Binding="urn:oasis:names:tc:SAML:2.0:profiles:holder-of-key:SSO:browser" Location="https://www.ne.se/samlauth/saml/HoKSSO/alias/sso2saml" hoksso:ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Artifact" index="3"/> <md:AssertionConsumerService xmlns:hoksso="urn:oasis:names:tc:SAML:2.0:profiles:holder-of-key:SSO:browser" Binding="urn:oasis:names:tc:SAML:2.0:profiles:holder-of-key:SSO:browser" Location="https://www.ne.se/samlauth/saml/HoKSSO/alias/sso2saml" hoksso:ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" index="4"/> </md:SPSSODescriptor> </md:EntityDescriptor>
Ängelholms IdP SSO-service:https://idp.skola.engelholm.se/simplesaml/saml2/idp/SSOService.php
Parameter för oombett intyg (specifik för SimpleSamlPHP som används som Idp i Ängelholm):?spentityid=
NE:s SP:s entity-ID:https://www.ne.se/samlauth
Hela url:en blir alltså:https://idp.skola.engelholm.se/simplesaml/saml2/idp/SSOService.php?spentityid=https://www.ne.se/samlauth
Hands on – inloggning, attribut, portaltänk
Ängelholms IdP SSO-service:https://idp.skola.engelholm.se/simplesaml/saml2/idp/SSOService.php
Parameter för oombett intyg (specifik för SimpleSamlPHP):?spentityid=
Svenska Djur (Condidact AB) SP:s entity-ID:https://secure.condidact.dk/federeret%20autentifikation/skolfederationen/metadata
Hela url:en blir alltså:https://idp.skola.engelholm.se/simplesaml/saml2/idp/SSOService.php?spentityid=https://secure.condidact.dk/federeret%20autentifikation/skolfederationen/metadata
Hands on – inloggning, attribut, portaltänk
Fel… “metadata saknas för https://secure.condidact.dk…” - beror på url:ens format i deras entity-ID:https://secure.condidact.dk/federeret%20autentifikation/skolfederationen/metadata
Vi fixar till det:https://secure.condidact.dk/federeret%2520autentifikation/skolfederationen/metadata
...och testar:https://idp.skola.engelholm.se/simplesaml/saml2/idp/SSOService.php?spentityid=https://secure.condidact.dk/federeret%2520autentifikation/skolfederationen/metadata
Hands on – inloggning, attribut, portaltänk
Fungerar! Men… vi hamnar inte på Svenska Djur! Condidact har förmodligen flera olika tjänster som använder samma SP. Vi behöver berätta mer för deras SP för att den ska kunna ta oss till Svenska Djur.
Vi måste lägga in två kommandoparametrar till i url:en för att det ska fungera rätt:
&RelayState= (url som webläsaren skickas vidare till)
?target= (url som webläsaren till slut ska hamna på)
https://idp.skola.engelholm.se/simplesaml/saml2/idp/SSOService.php?spentityid=https://secure.
condidact.dk/federeret%2520autentifikation/skolfederationen/metadata&RelayState=http://secure.
condidact.dk/federeret%2520autentifikation/skolfederationen?target=http://svenska-djur.se
Här måste man ta hjälp av någon som driver tjänsten i fråga för att få ihop det! Inte det allra mest
optimala sättet för en tjänsteleverantör att konfigurera sin SP.
Hands on – inloggning, attribut, portaltänk
3. SP-initierad inloggning (”portallänk”)
Inte lika generellt som IdP-initierad inloggning. I princip...
1: Url till SP:ns landningssida efter inloggning (kan vara svår att hitta)
2: parameter som signalerar att man vill logga in (produktspecifik för SP:n)
3: IdP:ns entity-ID (hittar man i metadatat)
Bygg sedan ihop 1, 2 och 3 till en enda (lång) url. Kan vara ganska svårt att ta reda på allt som behövs för att det ska fungera
Hands on – inloggning, attribut, portaltänk
Nationalencyklopedin:https://www.ne.se/samlauth/saml/login/alias/sso2saml?disco=true&idp=https://idp.skola.engelholm.se/simplesaml/saml2/idp/metadata.php
För en användare fungerar denna länk precis likadant som den IdP-initierade länken
Hands on – inloggning, attribut, portaltänk
Prova själv!Färdiga url:er finns på eps.skola.engelholm.se/skolfedOBS! Använd inkognitoläge!
Hands on – inloggning, attribut, portaltänk
Tre exempel på implementationer
• “Typisk portal”:login.skola.engelholm.se
• Via befintlig lärplattform:fronter.skola.engelholm.se
• Enkel öppen länksamlinglogin.skola.engelholm.se/index.php/nologin
Kursmoment 4
Tillit och säkerhet
Skolfederation ska underlätta svensk utbildningssektors användning av digitala tjänster
och läromedel!Lösningen ska vara enkel att använda, säker,
kostnadseffektiv, lättadministrerad, utvecklingsbar samtidigt som den värnar om den personliga
integriteten.
Vad ska vi uppnå?
•Användarorganisationen är ansvarig för hanteringen av personuppgifter
•Skolfederation ändrar inte det•Skolfederation kan dock underlätta för en användarorganisation
Vems ansvar?
1. Undvika sända personuppgifter i onödan • Använd pseudonymer och var restriktiv med attribut• Standardisera attributprofiler för olika typer av tjänster
2. En gemensam personuppgiftsbiträdesavtalsmall3. Standardiserad signalering för inloggningen4. Säkerhetsföreskrifter för användarorganisationer och
tjänsteleverantörer anslutna till Skolfederation5. …
Hur underlätta?
PseudonymerTjänsteleverantör
Användare
Pseudonymer bör användas som identifieringsbegrepp • Permanenta pseudonymer - olika för varje E-tjänst. • Icke-permanenta pseudonymer - en ny pseudonym vid
varje nytt tillfälle och för varje E-tjänst.
Användarorganisation
IntygPseudonym
+ Attribut
• Mallen framtaget för att underlätta personuppgiftshanteringen genom att ha en gemensam mall
• Helt frivillig, för de som önskar att använda den
Personuppgifts-biträdesavtal
• LoA 1 Ingen eller liten tillit till identitetenTyp Facebook, Google, Hotmail
• LoA 2 Begränsad tillit till identitetenAD-identitet, företagsinternt, domänspecifikt
• LoA 3 Hög tillit till identitetenSvensk e-legitimation, BankID, SITHS, Pass, körkort
• LoA 4 Mycket hög tillit till identiteten?
Tillitsnivå - Level of Assurance, LoAett koncept i federationer
eID-leverantör• Möjlighet att leverera identitetsintyg till anslutna offentliga myndigheter
• För närvarande tillitsnivå 3
• Ska vara godkänd som utfärdare av Svensk e-legitimation eller ha avtal med en godkänd Utfärdare av Svensk e-legitimation
Utfärdare av Svensk e-legitimation • Krav på Utfärdare av Svensk e-legitimation att över tid uppfyller kraven i ELNs
tillitsramverk
• Man kan vara utfärdare av Svensk e-legitimation utan att var med i ELNs federtion.
E-legitimationsnämnden (ELN) och Svensk e-legitimation
• Krav på • Organisation och styrning• Fysisk, administrativ och personalorienterad säkerhet• Teknisk säkerhet• Ansökan, identifiering och registrering• Tillgänglighet• Revision
• Kräver bl a ett informationssäkerhetsarbete enligt LIS ISO/IEC 27001 eller liknande• Genomför riskanalys - Vad behövs göras?• Implementera ett regelverk för informationssäkerhetsarbetet - Så här ska vi göra
det!• Genomför en internrevision - Gör vi det vi ska?
E-legitimationsnämndens Tillitsramverk
• Har inget uttryckligt krav på en viss LoA nivå!
• ”Om skolans IT-system är tillgängligt via internet, och systemet innehåller integritetskänsliga uppgifter, krävs det särskild god IT-säkerhet. Det innebär att skolan måste försäkra sig om att det verkligen är rätt personer som får åtkomst till uppgifterna och att överföringen sker på ett säkert sätt. Skolan måste använda sig av stark autentisering (exempelvis engångslösenord eller e-legitimation) och uppgifterna måste förses med krypteringsskydd vid överföringen.”
Från DI:s webbplats
Datainspektionens krav
För närvarande:
• Bas – godkänd medlem i SkolfederationBas medför inga andra krav än de som följer med medlemskapet i Skolfederation.
• 2FA – tvåfaktorsautentiseringDen skyddsklass för E-legitimationer och utställande av Identitetsintyg vars grad av skydd motsvarar datainspektionens krav på stark autentisering, då IT-system är tillgängligt via Internet, och systemet innehåller integritetskänsliga uppgifter. Ingen granskning av kravets efterlevnad görs av Skolfederation, utan detta åligger Skolhuvudmannen.
Tillitsnivåer för Skolfederation
LoA avser inte kvalitén attribut utan endast på eID!
•Endast ett ”bör-krav”
•Det är fortsatt användar-organisationens och tjänste-leverantörens ansvar
Skolfederations tillitsramverk
•Tjänsteleverantör ska kunna ha tillit till att både Identiteter och Attribut i utfärdade intyg är korrekta
•Användarorganisation ska kunna ha tillit till att Tjänsteleverantör hanterar känsliga uppgifter och tillhandahåller Tjänsten korrekt
•Sambi går före i detta arbete!
Fortsatt arbete för ömsesidig tillit…
EU-förordning: (EU) 2016/679 General Data Protection Regulation
Börjar gälla som svensk lag 25 maj 2018. Ersätter då PuL.
Ställer högre krav på “ordning och reda”. Vilka register finns, vilka uppgifter behandlas och varför?
Ställer högre krav på systematisk organisatorisk säkerhet och kontroll
Datainspektionen får utökade uppgifter, bl.a. att vid behov döma ut “administrativ sanktionsavgift” (~böter) och att hantera klagomål från enskilda
Nya Dataskyddsförordningen
Syftar till att säkra individens rättigheter
- Tillgång (begära ut sina uppgifter)
- Rätta fel
- Portera data (från en tjänst till en annan)
- Radera (“bli glömd”)
Relevant skydd och säkerhet baserat på risk
Systematisk uppföljning av skyddsåtgärder
Incidenthantering
Mycket stora sanktionsavgifter vid försummelser
Datainspektionen tillsynsmyndighet
Nya Dataskyddsförordningen
Artikel 321. Med beaktande av den senaste utvecklingen,
genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken
Nya Dataskyddsförordningen
1. d) .. ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.
Artikel 33Vid en personuppgiftsincident ska den personuppgiftsansvarige utan onödigt dröjsmål och, om så är möjligt, inte senare än 72 timmar efter att ha fått vetskap om den, anmäla personuppgiftsincidenten till den tillsynsmyndighet som ..
Nya Dataskyddsförordningen
Kursmoment 5
Medlemskap och kom-igång
Medlemshantering
Metadatahantering
Drift av infrastrukturen
Attributförvaltning
Tilliten till identiteter och attribut
Information
Skolfederations driftprocesser
Utökat medlemskapsbegrepp
Tjänsteleverantör
Användare
Användarorganisation
IntygPseudonym
+ Attribut
• Skolhuvudman• Utbildningsanordnare
enligt studiestödsförordningen
Medlemsutveckling
194 MEDLEMMAR
137 ANVÄNDARORGANISATIONER• 108 kommunala skolhuvudmän – karta• 24 friskolor• 4 förbund
• 1 myndighet
57 TJÄNSTELEVERANTÖRER
57 tjänsteleverantörerPresenteras på webbplatsen: https://www.skolfederation.se/medlemstyp/tjansteleverantor/?alla
AV Media Skåne Filmoteket Kikora AB Ping Pong AB Swedish Film AB
Axiell Education & Media Fridtjuv AB Lantmäteriet Qlear AB Svenska Läromedel på Internet AB
Clio Online (Bonnier Education AB) Gleerups Utbildning AB Learnify AB Sanoma Utbildning Tempus Information Systems AB
Comfact AB Glosboken AB Liber AB Schoolodo AB Tieto Sweden Healthcare & Welfare
ConDidact AB GotIT AB Linfre Education SchoolSoft AB TimeEdit AB
Creaza AS InfoMentor P.O.D.B AB Mediacenter, Region Västerbotten Skolon AB Unikum - Unikt lärande AB
Digilär AB Inläsningstjänst Utbildning och Media Mediapoolen Västra Götaland Smart Classroom Manager Urkund
Dugga AB Inspera AS MV-Nordic AB Softronic AB (Vklass) Webbstjärnan/IIS
Edimia Education AB Invigos AB MyStudyWeb Sweden AB Specialpedagogiska skolmyndigheten Wordfinder Software AB
EdQu AB IST Sverige AB Natur & Kultur Stockholms universitet
Ekonomikörkort PG HB Itsac AB NE Nationalencyklopedin AB Studentlitteratur AB
Elevspel AB Itslearning AB Nova Software AB Studi.se
ÅrsavgiftFör användarorganisation (baserat på antal elever)• Liten användarorganisation
(upp till 500 elever): 5 000 SEK/år• Mellanstor användarorganisation
(500-5 000 elever): 10 000 SEK/år• Stor användarorganisation
(mer än 5 000 elever): 20 000 SEK/år
För tjänsteleverantör (baserat på omsättning)• Icke-kommersiell tjänsteleverantör: 500 SEK/år• Liten tjänsteleverantör
(omsättning upp till 1MSEK/år): 5 000 SEK/år• Stor tjänsteleverantör
(omsättning mer än 1MSEK/år): 10 000 SEK/år
eduroam
• Avtal• Individuella priser för varje
medlem, baserat på invånarantal, elevantal och personal
• Anslutningsavtal (Användarorganisation resp. Tjänsteleverantör)
• Bilaga 1 - Tekniska krav• Bilaga 2 – Säkerhetsföreskrifter (Användarorganisation resp.
Tjänsteleverantör)
• Bilaga 3 – UTGÅR, ersatt av attributprofil• Bilaga 4 - Avgifter• Bilaga 5 – Ordlista, definitioner• Kontaktuppgifter (blankett)• https://www.skolfederation.se/bli-medlem/avtal/
Medlemsavtal
•Huvudkontakt – övergripande, publiceras på Skolfederations webbplats•Teknisk kontakt – den person som blir motringd vid uppladdning av nytt metadata!•Incidentansvarig – kan vara en funktions-brevlåda/-tel, ska alltid bevakas•PUL-kontakt•Fakturakontakt
Kontaktuppgifter
Metadatahantering
1. Validering2. Sänd via formulär 3. Checksumma4. Kundtjänst motringer teknisk
kontakt5. Publicering
Medlemmarna är federationen
Alla kan bidra genom att:– vara medlem– delta i arbetsgrupper– lyfta eller driva viktiga frågor– dela med sig av erfarenheter till
andra
Medlemmars önskemål
Personuppgiftsbiträdesavtal• Mall framtagen för att
underlätta för de som önskar använda
Medlemmars önskemål
Federationsoperatören som koordinatorErfarenhetsutbytenAlingsås, 7 april 2016
Spår på internetdagarnaStockholm, 22 november 2016
Resurser• Webbplatsen är basen
o Nyheter och intervjuero Guider och vägledningaro Medlemslistao Tjänster och deras attribut listaso Integratörer och konsulter
presenteraso Inspelningar från egna event
publiceraso Medlemsfunktioner
➢ Lämna nytt metadata➢ Byta kontaktpersoner
Resurser forts.• Nyhetsbrev
o generellao tekniska
• Referensgrupp• Kurser• Informationsträffar• Seminarier• Workshops
Referensinformation• Goda exempel
https://www.skolfederation.se/om/goda-exempel/
• Vägledning - verktyg från SKLhttps://www.skolfederation.se/kom-igang/vagledning/
• Inspiration från andra
• Målbild• Infrastruktur• Attributskrav och attributskällor
• Teknisk lösning
Exempel: Sundvalls kommun
Rapport om sitt införande av Skolfederation
• Erfarenheter från projekt Skolportal inklusive Skolfederation
• Rekommendationer• Framgångsfaktorer• Tänk på• Undvik
Case Helsingborgs stad
• Projektmall• Helsingborgs stads projektplan
som grund• Vägledning och inspiration• Referensinformation
Case Helsingborgs stad
Online-kurs
• info@skolfederation.se
• www.skolfederation.se
Kontakt
Kursmoment 6
eduroam
• eduroam erbjuds som tilläggstjänst till Skolfederation
• För att bli medlem i eduroam krävs att man är medlem som användarorganisation i Skolfederation
eduroam
Delad WiFi för utbildningssektorn
eduroam - teknik
Skolfederation Sunet
Sverige Övriga världen
eduroam - översikt
Universitet, högskolor
Kommuner, friskolor mm
WiFi
WiFi
WiFi
www.skolfederation.se/eduroam/
Kursmoment 7
Framtid och utveckling
Men först…
I övningsuppgift [SFK2-64] såg vi ett inloggningsflöde där användaren behövde agera aktivt i själva inloggningen. Vilka var dessa val?
Skriv upp den i den ordning de kom:
Övningsuppgift [SFK7-148]
Skulle något eller några av dessa moment kunna undvikas, och i så fall hur?
Övningsuppgift [SFK7-149]
Förenklad inloggning för tjänster som enbart levereras som nativeapp• Det går att skapa inloggning för nativeappar redan idag, men lösningen innebär onödig komplexitet för tjänster som saknar webbplattform
• Utvecklingsprojekt pågår, pilot• Bygger på ny standard OpenID Connect http://openid.net/connect/
Inloggning för nativeappar
Skapa Uppdatera Radera
• För-populering av tjänstens konton
• Uppdatering av användaruppgifter (utan inloggning)
• Borttagning av konton• Ny standard från SIS
(TK 450/AG 09 skolschema), nu på remiss. Presenterades 15 mars hos IIS
• Bygger på SCIM (System for Cross-domain Identity Management) http://www.simplecloud.info/
Livscykelhantering av användarkonton
En arbetsgrupp med deltagare från IIS, Skolverket, SKL, ett antal kommuner, de större leverantörerna av verksamhetssystem för skolan, de större leverantörerna av e-tjänstelösningar.
Nationell elevlegitimation
Ett stödmaterial kommer att tas fram som ska innehjålla råd och anvisningar för att utforma upphandligar av federativa system så att viktiga egenskaper inte förbises.
Guide för stöd vid upphandling
Andra federationer
Flera andra nationella e-legitimationer och federationer (framförallt inom utbildningssektorn)
• Skolfederation• eduroam• Sambi• Swamid• Svensk e-legitimation• Med flera…
Varför alla dessa federationer?
Nivåer av standardisering
Skola Vård och omsorg
Applikation
Infrastruktur
Sektor
•Avsaknad av standard hindrar spridning och skapar inlåsning
•Trösklar och hinder i teknik och regelverk hämmar utveckling av tjänster och affärsmodeller
•Standardisering på rätt nivå bidrar till utvecklingen av hela sektorn
Standarder hjälper utvecklingen framåt
Lokala federationer InterfederationerFederationer
SAML 2.0Saml2InteGov2Återanvändning av bef standarder och format
Federationer i praktiken
Skolfederation
Sambi
Swamid
Federation xyz
Svensk e-legitimation
Office 365
GAFE
Tjänst xyz
eduGain
Europa USA
Och fler…Australien
Huvudman eller
e-tjänst
Filter
Filter
Interfederation
Federation A Federation B
Federation C Federation D
Interfederation
IdP SP
IdP SP IdP SP
IdP SP
IdP SP
IdP SP IdP SP
IdP SP
Metadata
Metadata
Metadata
eduGAIN
• Bli medlem• Lämna förslag eller belys problem• Engagera dig i SIS/TK 450• Driv eller delta i arbetsgrupp i Skolfederation• Medverka i pilot• Dela med dig av erfarenheter och praktiska lösningar• Referensfall• Erfarenhetsutbyte• Delta i referensgrupp• Med mera…
Arbetsformer – alla kan bidra
Facit
I övningsuppgift [SFK2-41] såg vi ett inloggningsflöde där användaren behövde agera aktivt i själva inloggningen. Vilka var dessa val?
Skriv upp den i den ordning de kom:• Välja att logga in med Skolfederation• Välja sin IdP• Logga in i sin IdP
Facit [SKF7-148]
Skulle något eller några av dessa moment kunna undvikas, och i så fall hur?• Välja att logga in med Skolfederation
- Portal hos användarorganisation med IdP-initierad inloggning- Unik webbadress per skolhuvudman
• Välja sin IdP- Behövs inte om ovanstående är löst, annars;- Lokal anvisningstjänst som kommer ihåg val- Smart IdP-discovery baserat på IP-range eller liknande (funkar ibland)
• Logga in i sin IdP- Har vi inte redan loggat in så lär vi behöva göra det. Det är ju själva vitsen med inloggning.
Facit [SKF7-149]
Introduktionskurs för Skolfederation
Summering
Skolfederation
Gemensam infrastruktur
Säkerhet…
AttributTeknisk standard
SAMVERKAN
ANVÄNDARE• SSO, en inloggning till alla tjänster• Minskad administration av lösenord för lärare• Stärkt skydd av integritet
TJÄNSTELEVERANTÖR• Slippa administration av användare• Enklare integration av skolhuvudmän
ANVÄNDARORGANISATION• Valfrihet att välja sin egen lösning• Enklare tjänsteintegration• Enhetlig administration av användare
UTBILDNINGSSEKTORN• Ökad säkerhet• Stimulera utveckling
Mål för Skolfederation
Tekniken
www.e-service.se
Välkommen!
DB
Intyg
12 3
Intyg
Inloggning här! Intyg med användarinformation via omdirigering av webbläsare
www.e-service.se
Användarnamn
**********
Lokala federationer InterfederationerFederationer
SAML 2.0Saml2InteGov2Återanvändning av bef standarder och format
Federationer i praktiken
Skolfederation
Sambi
Swamid
Federation xyz
Svensk e-legitimation
Office 365
GAFE
Tjänst xyz
eduGain
Europa USA
Och fler…Australien
Huvudman eller
e-tjänst
Federationen är medlemmarna
•Var med och påverka och bidra till federationens utveckling
•Samverka med andra medlemmar•Vänd er gärna till federationsoperatören med frågor och förslag
Tack!kursledare: Bengt Wällstedt, bengt.wallstedt@gmail.comKursarrangör: Internetstiftelsen i Sverige
info@skolfederation.se
Extra övningsuppgifter
SAML-biljetten kan innehålla personuppgifter som inte bör eller får lämnas ut i onödan.
Vad händer om en tjänst lurar användare att försöka logga in med Skolfederation och att välja sin IdP i en anvisningstjänst som byggts av den falska tjänsten?
Extra övningsuppgift [SFK8-171]
FACIT
SAML-biljetten kan innehålla personuppgifter som inte bör eller får lämnas ut i onödan.
Vad händer om en tjänst lurar användare att försöka logga in med Skolfederation och att välja sin IdP i en anvisningstjänst som byggts av den falska tjänsten?• IdP hittar inte SP:n i metadata och kommer inte att ställa ut någon biljett.
Facit [SFK8-171]
Recommended