20151013 skolfederation kurs · 2 3 intyg sp iis.se/portal e-service1 e-service2 e-service3...
TRANSCRIPT
![Page 1: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/1.jpg)
Introduktion till SkolfederationKurs
![Page 2: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/2.jpg)
10.00 Vad är SkolfederationBakgrund, Arkitektur, uppbyggnad och omfattning, Varför Skolfederation, målsättningar, Begrepp, Skolfederation idag
Federationstekniken och SSO Single Sign-OnStandard SAML V2.0, Autentiseringsbegäran, Metadata, Tekniska profiler, Single Log-Out
12.00 LUNCH
13.00 Hur man kommer igångAtt bli medlem, Att föra över metadata, Att ansluta medlemmar, Exempel, eduroamSkolfederations attributprofilGenomgång av Skolfederations attribut, När ska de används, LeverantörslistanTillit och säkerhetSäkerhetsföreskrifter, PersonuppgiftsbiträdesavtalsmalleduroamKort beskrivning av tilläggstjänsten eduroamFramtid och utvecklingTillit till identiteter och attribut, App-inloggning, Livscykelhantering, Andra federationerSummering
16.30 SLUT
![Page 3: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/3.jpg)
IIS styrelse• Ylva Hambraeus Björling,
styrelseordföranden, utsedd av ISOC-SE
• Inger Persson, utsedd av Sveriges konsumenter
• Karina Duvinger, utsedd av Svensk Handel
• Mikael Abrahamsson, utsedd av SOF, Sveriges Internetoperatörers Forum
• Anna Caracolias, utsedd av ISOC-SE
• Lars Lindgren, utsedd av Svenska Bankföreningen
• Pär Nygårds, utsedd av Svenskt Näringsliv
• Mattias Karlsson, suppleant, utsedd av SOF, Sveriges Internetoperatörers Forum
• Anna-Karin Smedberg, suppleant, utsedd av Svensk Handel
• Jonas Lejon, utsedd av styrelsens medlemmar
![Page 4: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/4.jpg)
Bredbandskollen
Internetfonden
Internetguider
Webbstjärnan
Internetdagarna
Internetmuseum
Internetstatistik Barnhack
Digital delaktighet
Kursportal Teknisk utveckling
Testverktyg
.se domänen .nu domänen
![Page 5: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/5.jpg)
IIS är federationsoperatör
Skolfederation
Sambi
eduroam
![Page 6: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/6.jpg)
Vad är SkolfederationKurs
![Page 7: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/7.jpg)
Skolfederation
• Skolfederation är inte en central inloggningstjänst
• Användare loggar inte in med Skolfederation
• Skolfederation lagrar ingen användarinformation
![Page 8: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/8.jpg)
Vad är en identitetsfederation?
En identitetsfederation är en sammanslutning av
organisationer som har kommit överens om att lita på
varandras elektroniska identiteter och behörighetsstyrande
attribut för att underlätta användarnas åtkomst till
elektroniska tjänster och skydda den personliga integriteten.
![Page 9: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/9.jpg)
Historia Skolfederation
• 2007 Swamid - Den tekniska förebilden
• 2011 SIS/TK450 – knoppade av Skolfederation
• 2012 Diskussioner om utformningen
• 2013 Start
![Page 10: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/10.jpg)
SIS TK450
![Page 11: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/11.jpg)
Mål från 2012:
Skolfederation ska underlätta svensk utbildningssektors användning av digitala tjänster och läromedel!
![Page 12: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/12.jpg)
Mål från 2012:
Skolfederation ska vara smal och grund!
![Page 13: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/13.jpg)
Mål för Skolfederation
Användarorganisation• Valfrihet, att välja
sin egen lösning• Enklare tjänste-
integration• Enhetlig administration
av användare
Användare• SSO, En inloggning till alla tjänster• Minskad administration av lösenord för lärare• Stärkt skydd av integritet
Tjänsteleverantör• Slippa administration
av användare• Enklare integration av
Skolhuvudmän
Utbildningssektorn• Ökad säkerhet• Stimulera utveckling
![Page 14: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/14.jpg)
Undvik olika integrationer
E-tjänst
Tjänsteleverantör
E-tjänst
Tjänsteleverantör
E-tjänst
Tjänsteleverantör
Användar-organisation
Användar-organisation
Användar-organisation
![Page 15: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/15.jpg)
En standard för integrationen
E-tjänst
Tjänsteleverantör
E-tjänst
Tjänsteleverantör
E-tjänst
Tjänsteleverantör
Federation
Gemensam regler och
infrastruktur
Användar-organisation
Användar-organisation
Användar-organisation
![Page 16: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/16.jpg)
Vad Skolfederation inte är!
![Page 17: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/17.jpg)
Skolfederation är en standard, INTE en central meddelandeväxel
Ej central inloggning
E-tjänst
Tjänsteleverantör
E-tjänst
Tjänsteleverantör
E-tjänst
Tjänsteleverantör
Användar-organisation
Användar-organisation
Användar-organisation
![Page 18: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/18.jpg)
TjänsteleverantörSkolhuvudman
IntygMed attribut
Avtal E-tjänst
Skolfederation
Skolfederation beslutar INTE om åtkomst, tjänsten gör!
![Page 19: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/19.jpg)
Skolfederation ansvar inte för
• Avtal mellan användarorganisation och tjänsteleverantör
• Utformning av åtkomstkontroll
• Vilka attribut som tjänsten ska använda
• Eventuell provisionering av konton, grupper, klasser etc
• Hantera eller ansvara för personuppgifter
![Page 20: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/20.jpg)
Skolfederation
Samverkan
Teknisk standard Gemensam
infrastruktur
Attribut Säkerhet…
![Page 21: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/21.jpg)
Medlemshantering
Metadatahantering
Drift av infrastrukturen
Attributförvaltning
Tilliten till identiteter och attribut
AttributförvaltningInformation
Federationsdrift
![Page 22: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/22.jpg)
Skolfederations federationsdrift idag
Medlemshantering
Metadatahantering
Drift av infrastrukturen
Attributförvaltning
Attributförvaltning
Tilliten till identiteter och attribut
Information
![Page 23: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/23.jpg)
Skolfederations referensgruppen• Anna Jogrenius, Liber
• Erling Sjöstrom, Tieto
• Fredrik Wellner, Södertälje kommun
• Geir Emblemsvåg, Fronter Nordic
• Hans Nilsson, Täby kommun
• Ingrid Martens, Nova Software AB
• Joakim Norbäck, KJNC
• Johan Wahlström, Södertälje kommun
• Johannes Millegård, Digilär
• Lise Östergaard Källman, NE Nationalencyklopedin
• Marcus Ander, Gleerups Utbildning
• Malin Annergård, SKL
• Mats Gahnström, Västerås stad
• Måns Larsson, Svenska Läromedel på Internet
• Palle Girgensohn, PingPong
• Per Brahm, Learnify
• P-M Andersson , Stockholms stad
• Rickard Vinde, Svenska Läromedel
• Staffan Hagnell, IIS
• Stig Andersson, SPCM
• Ulf Solberg, Stockholms stad
![Page 24: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/24.jpg)
Federationen är medlemmarna
• Var med och påverka och bidra till federationens utveckling
• Samverka med andra medlemmar
• Vänd er gärna till federationsoperatören med frågor och förslag
![Page 25: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/25.jpg)
Federationstekniken och SSO, Single Sign-On
Kurs
![Page 26: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/26.jpg)
Traditionell inloggning
www.e-service.se
www.e-service.se
DB
Användarnamn
Lösenord
Användarorganisation Användare E-tjänst
Vad är det för fel på det här då?
![Page 27: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/27.jpg)
Exempel på problem med traditionell inloggning som SAML angriper
www.e-service.se
www.e-service.se
DB
Användarnamn
Lösenord
• Inloggning per tjänst• Lösenord per tjänst
• Administration av behörigheter
• Säkerhetskrav• Lösenordssupport
![Page 28: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/28.jpg)
Exempel på inloggning med SAML
www.e-service.se
[redirect]
DB
Användarnamn
Lösenord
IdP
Intyg
12
3
Intyg
SP
![Page 29: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/29.jpg)
Exemplet väcker några frågor
• Hur vet IdP:n vilken tjänst användaren vill ansluta till?
• Hur vet e-tjänsten att den kan lita på intyget från IdP:n?
• Vad är det för information som skickas i intyget?
![Page 30: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/30.jpg)
Information i intyget (förenklat)
• Name ID• Ex. transient / persistent ID (pseudonym)
• Iuerfn#y873yniuw%eyr847
• Användarens attribut• Namn: Kalle Karlsson• E-post: [email protected]• Organisation: Ronneby kommun• Roll: Lärare
• Livslängd• Giltig till och med 2015-08-27/13:54
![Page 31: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/31.jpg)
<SAML Response>
Exempel på hur ett SAML Response Message kan se ut i verkligheten
![Page 32: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/32.jpg)
Hur vet tjänsten att denkan lita på intyget?
www.e-service.se
SPIdP
CertifikatX.509
Metadata
Certifikat
Metadata
”Out of Band”
Intyg
![Page 33: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/33.jpg)
Hur vet IdP:n vilken tjänst användaren vill ansluta till?
www.e-service.se
IdP
Intyg
12
3
Intyg
SP
iis.se/portal
e-service1
e-service2
e-service3
idp.iis.se/sso=www.e-service1.se*
IIS
![Page 34: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/34.jpg)
Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?
![Page 35: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/35.jpg)
Självklart inte!
Det finns flera metoder att initiera en SAML-inloggning ur användarperspektivet
![Page 36: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/36.jpg)
Övningsuppgift [SFK43]
• Hur vet IdP:n vilken tjänst användaren vill ansluta till?
• Hur vet e-tjänsten att den kan lita på intyget från IdP:n?
• Vad är det för information som skickas i intyget?
![Page 37: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/37.jpg)
Initiering av SAML-inloggning
• IdP-initierad inloggning
Inloggningen startar hos användarorganisationen som i det tidigare exemplet
• SP-initierad inloggning
Inloggningen startar hos e-tjänsten.
![Page 38: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/38.jpg)
SP-initierad inloggning
www.e-service.se
www.e-service.se
SPLogga in med
Skolfederation
BegäranBegäran
3
Intyg
4
12
IdP
Intyg
![Page 39: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/39.jpg)
<SAML AuthnRequest>
Exempel på hur en SAML Request kan se ut i verkligheten
![Page 40: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/40.jpg)
Hur vet SP:n vilken IdP som kan ställa ut intyg för användaren?
IdP
IdP
IdP
www.e-service.seSP?
![Page 41: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/41.jpg)
IdP-discovery (exempel)
• Tjänsten tillhandahåller en unik URL för respektive användarorganisation (www.iis.e-service.se, www.skatteverket.e-service.se)
• Tjänsten känner till användarorganisationens IP-adressrymd
• Tjänsten listar alla aktuella IdP:er i en anvisningstjänst och användaren får aktivt välja sin IdP
E-tjänster kan använda flera smarta metoder i kombination för att underlätta autentiseringen av användaren
![Page 42: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/42.jpg)
Anvisningstjänst
IdP
IdP
IdP
E-tjänstSP
Anvisningstjänst
Borås
Gävle
Krokom
OrganizationDisplayName
Borås
Gävle
Krokom
1
2
34
Gävle
Allt informationsutbyte sker genom omdirigering av användarens webbläsare
![Page 43: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/43.jpg)
Exempel på problem med traditionell inloggning som SAML angriper
www.e-service.se
www.e-service.se
Användarnamn
Lösenord
• Inloggning per tjänst• Lösenord per tjänst
• Administration av behörigheter
• Säkerhetskrav• Lösenordssupport
![Page 44: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/44.jpg)
Men…
Vi har nya problem i en annan dimension
![Page 45: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/45.jpg)
Anslutning mellan parter
www.e-service.se
SPIdP
Certifikat
Metadata
Certifikat
Metadata
”Out of Band”
Förutsätter att parterna enats om:• Teknik/standard• Tillämpning• Information• Format• Tillit/säkerhet• Rutiner• …
![Page 46: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/46.jpg)
Användarorganisationens perspektiv
Tjänsteleverantör
E-tjänst
Tjänsteleverantör
E-tjänst
Tjänsteleverantör
E-tjänst
Användar-organisation IdP
Följ min standard
![Page 47: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/47.jpg)
E-tjänstens perspektiv
Tjänsteleverantör
E-tjänstAnvändar-organisation SP
Följ min standard
IdP
IdP
IdP
![Page 48: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/48.jpg)
Sektorns perspektiv
Tjänsteleverantör
E-tjänst
Tjänsteleverantör
E-tjänst
Tjänsteleverantör
E-tjänst
Användar-organisation IdP
IdP
IdP
SP
SP
SP
En integration per anslutning
Hundratals eller tusentals organisationer…
![Page 49: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/49.jpg)
En standard för integrationen
Tjänsteleverantör
E-tjänst
Tjänsteleverantör
E-tjänst
Tjänsteleverantör
E-tjänst
Användar-organisation
Federation
Gemensam standard och infrastruktur
![Page 50: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/50.jpg)
Gemensam standard
• Skolfederations tekniska krav• SAML 2.0• Implementationsprofil eGov2 2.0
• beskriver vilka delar av SAML som måste implementeras
• Deploymentprofilen saml2int• beskriver vilka delar av SAML som måste vara i bruk samt hur
dessa ska användas
• Namnstandard för anvisningstjänst• Pågående arbete med attributprofiler
![Page 51: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/51.jpg)
Gemensam infrastruktur
• Aggregerat metadataregister signerat med federationens nyckel
• Central anvisningstjänst
• Verktyg för validering av metadata
• Testmiljö
![Page 52: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/52.jpg)
Federationsoperatör
Aggregerat metadataregister
• Metadata• Certifikat
• Metadata• Certifikat
• Metadata• Certifikat
• Metadata• Certifikat
• Metadata• Certifikat
• Metadata• Certifikat
Aggregeratmetadata
Aggregerad och publicerad metadata
Metadata+certifikat 1Metadata+certifikat 2Metadata+certifikat 3Metadata+certifikat 4Metadata+certifikat 5Metadata+certifikat 6
/…/
Signera och publicera
Tjänsteleverantör
E-tjänst
Tjänsteleverantör
E-tjänst
Tjänsteleverantör
E-tjänst
![Page 53: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/53.jpg)
Aggregerat metadataSkolfederation
![Page 54: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/54.jpg)
Tekniska miljöer i Skolfederation
Produktion (endast för medlemmar)
• Metadataregister
• Central anvisningstjänst
• Endast för medlemmar
Trial (öppen för ”alla”)
• Metadataregister
• Central anvisningstjänst
• Trial IdP
• Trial SP
![Page 55: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/55.jpg)
Trial IdP Trial SP
*Trial IdP/SP är inte uppdaterade enligt senaste attributprofilen
![Page 56: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/56.jpg)
Anvisningstjänst -exempel
![Page 57: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/57.jpg)
Anvisningstjänst -exempel
![Page 58: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/58.jpg)
Anvisningstjänst - exempel
![Page 59: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/59.jpg)
![Page 60: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/60.jpg)
Övningsuppgift [SFK65]
• Vilken är den mest centrala komponenten i det vi kallar federationens gemensamma infrastruktur?
• Ge några exempel på vad som kan standardiseras inom en federation
![Page 61: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/61.jpg)
SAML 2.0Security Assertion Markup Language
![Page 62: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/62.jpg)
Kort om SAML
• Öppen standard från OASIS
• XML-baserat ramverk för att kommunicerainformation för autentisering, behörighet ochattribut för användare
• 2002 - SAML 1.0
• 2003 – SAML 1.1
• 2005 – SAML 2.0
![Page 63: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/63.jpg)
Profiles
Bindings
Protocols
SAML 2.0
Assertions
Information om användaren• Authentication statements (hur användaren har autentiserats)• Attribute statements (användarens attribut)• Authorization decision statements (information för att avgöra användarens rättigheter)
Paketering och hantering av SAML-element• Assertion Query and Request Protocol• Authentication Request Protocol• Artifact Resolution Protocol
• Name Identifier Management Protocol• Single Logout Protocol• Name Identifier Mapping Protocol
Mappar SAML-protokoll till andra protokoll• SAML SOAP Binding (based on SOAP 1.1)• Reverse SOAP (PAOS) Binding• HTTP Redirect (GET) Binding
• HTTP POST Binding• HTTP Artifact Binding• SAML URI Binding
• Beskriver hur ovanstående kombineras för• SSO Profiles• Artifact Resolution Profile• Assertion Query/Request Profile
en specifik tillämpning• Name Identifier Mapping Profile• SAML Attribute Profiles
![Page 64: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/64.jpg)
Övningsuppgift - korv
2
1
3
Homer äter korven
Den grillade korven förbereds för att ätas
Homer grillar en korv
![Page 65: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/65.jpg)
Övningsuppgift [SFK70]
www.service.se
E-postlösenord
Välkommen!Logga in med:
Välj din intygsutfärdare
Borås
Gävle
Krokom
idp.krokom.se
Användarnamn
Lösenord
Logga in
www.service.se
Välkommen Nisse!
IdP:n har ställt ut ett intyg och dirigerar Nisse tillbaka till SP:nsom skickade begäran.
”service.se” har identifierat vilken IdP Nisse använder och dirigerar honom vidare med en AuthnRequest (begäran om intyg).
Nisse vill till tjänsten ”service.se”. Tjänsten finns inte i portalen på Nisses företag.
Nisse vill logga in via en federation. Eftersom han gick direkt till tjänstens webbsida så känner den inte till vilken IdP Nisse använder, utan diririgerar honom till en anvisningstjänst.
”service.se” har många olika typer av användare och erbjuder därför flera olika alternativ för inloggning.
Nisse har just kommit till jobbet och har ännu inte loggat in i någonstans. Innan han gör något annat vill han klara av ett ärende i tjänsten ”service.se”. Tjänsten finns inte i portalen på Nisses företag. I vilken ordning händer nedanstående?
![Page 66: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/66.jpg)
Kom ihåg det här
www.e-service.se
[redirect]
DB
Användarnamn
Lösenord
IdP
Intyg
12
3
Intyg
SP
Inloggning här! Intyg med användarinformation via omdirigering av webbläsare
![Page 67: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/67.jpg)
Skolfederations attributprofilKurs
![Page 68: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/68.jpg)
Information i intyget (förenklat)
• Name ID• Ex. transient / persistent ID (pseudonym)
• Iuerfn#y873yniuw%eyr847
• Användarens attribut• Namn: Kalle Karlsson• E-post: [email protected]• Organisation: Ronneby kommun• Roll: Lärare
• Livslängd• Giltig till och med 2015-08-27/13:54
![Page 69: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/69.jpg)
Attributprofilen
• Har tagits fram och vidareutvecklas kontinuerligt inom arbetsgrupp 4 i SIS projekt TK 450
• Förvaltas av Skolfederation
• Publicerad på www.skolfederation.se
http://www.sis.se/informationsteknik-kontorsutrustning/it-tillämpningar/sis-tk-450
![Page 70: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/70.jpg)
Syfte med detta dokument
Detta dokument förtecknar en federationsgemensam vokabulär bestående av attribut för att beskriva uppgifter om vad som inom skolfederationen kallas en Användare. Dokumentet är framtaget av SIS/TK 450 IT standarder för lärande, arbetsgrupp 4.
Dokumentet är tänkt att användas på följande sätt:
• För att lista de attribut som kan ingå i en teknisk överenskommelse mellan användarorganisation och tjänsteleverantör.
• För att hålla en tydlig definition av attributens innebörd.
• För att anvisa hur information ska kodas.
![Page 71: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/71.jpg)
Krav
1. När en viss uppgift om en Användare behöver kunna presenteras för en e-tjänst och det i detta dokument finns ett attribut för denna uppgift ska det attributet användas. Andra representationer för samma uppgift ska med andra ord inte användas.
2. Representationen av attribut ska följa deploymentprofilen http://saml2int.org. Det innebär bland annat att NameFormat ska vara urn:oasis:names:tc:SAML:2.0:attrname-format:uri, t.ex. ska urn:oid:0.9.2342.19200300.100.1.3 användas som namn för attributet e-post (alltså inte mail ).
3. I en överenskommelse mellan användarorganisationen och tjänsteleverantören ska avgöras vilka attribut som presenteras för tjänsteleverantören. Personuppgiftsbiträdesavtal samt ytterligare kravställning ska också ingå i överenskommelsen. Ytterst är det användarorganisationen som har ansvaret för vilka uppgifter som tillgängliggörs och till vem. Läs mer på http://www.datainspektionen.se/lagar-och-regler/personuppgiftslagen/skolor/checklista-for-hantering-av-personuppgifter/.
![Page 72: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/72.jpg)
Rekommendationer
1. En minimalistisk princip ska gälla så att inte fler attribut än nödvändigt presenteras för en tjänst.
2. Det finns inget krav på att samtliga attribut behöver finnas och kunna levereras för att en användarorganisation ska få vara med i federationen.
3. Ett av skolfederations syften är att inte exponera personuppgifter mer än nödvändigt. Olika attribut har olika potential att exponera personuppgifter. Vissa utgör normalt ingen risk för integriteten och kan därför ingå i alla intyg medan andra kan innehålla uppgifter som är av känsligare art.Attribut bör därför inte användas utan en noggrann prövning av säkerhet och personuppgiftshantering. Vid prövningen ska en samlad bedömning göras av det som tillgängliggörs.
![Page 73: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/73.jpg)
Vokabulär
Attributen i denna vokabulär ska kunna användas för att ange uppgifter om en Användare, definierad som den fysiska person som har tilldelats en identitet i Skolfederation.
För varje attribut nedan anger rubriken en benämning som bör användas i löpande text för att beteckna den uppgift som attributet representerar. Därefter följer namnet och representationen av attributet, en förklarande text och eventuellt ett exempel.
![Page 74: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/74.jpg)
NameID
Enligt den deploymentprofil som Skolfederation använder (http://saml2int.org) så ska en IdP alltid ha förmågan att sätta ett transient-id som NameID och eventuellt, som ett alternativ därtill, istället använda ett persistent-id. Andra format avrådes. Transient-id är ett engångs-Id för användaren, som gäller *bara* för en specifik inloggning. Persistent-id är ett icke spårbart, men över tid persistent, ID för användaren i relation till just en viss IdP och en viss SP. Se deploymentprofilen för detaljer.
Det är bra att förstå att en SP inte nödvändigtvis måste förlita sig på NameID som unik identifierare för en användare. Ett vanligt undantag att SP:n hellre använder ett attribut som en spårbar identifierare, såsom eduPersonPrincipalName (eppn) som är gemensam för flera tjänster. Det är personuppgiftsombudets ansvar att bedöma om det är rimligt att tjänsten har behov av spårbara identifierare.
![Page 75: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/75.jpg)
Attributprofilen
![Page 76: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/76.jpg)
https://www.skolfederation.se/tjanster-produkter/
Leverantör:
Diverse läromedel på webben AB
Obligatoriska attribut:
sisSchoolGrade
eduPersonPrincipalName
givenName
sn
norEduOrgUnitUniqueIdentifier
eduPersonScopedAffiliation
norEduPersonBirthDate
Valfria attribut:
o
ou
displayName
schacGender
![Page 77: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/77.jpg)
Tillit och säkerhetKurs
![Page 78: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/78.jpg)
Vad ska vi uppnå?
Skolfederation ska underlätta svensk utbildningssektors användning av digitala tjänster och
läromedel!
Lösningen ska vara enkel att använda, säker, kostnadseffektiv, lättadministrerad, utvecklingsbar
samtidigt som den värnar om den personliga integriteten.
![Page 79: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/79.jpg)
Vems ansvar?
• Användarorganisationen är ansvarig för hanteringen av personuppgifter
• Skolfederation ändrar inte det
• Skolfederation kan dock underlätta för en användarorganisation
![Page 80: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/80.jpg)
Hur underlätta?
1. Undvika sända personuppgifter i onödan • Använd pseudonymer och var restriktiv med attribut
• Standardisera attributprofiler för olika typer av tjänster
2. En gemensam personuppgiftsbiträdesavtalsmall
3. Standardiserad signalering för inloggningen
4. Säkerhetsföreskrifter för användarorganisationer och tjänsteleverantörer anslutna till Skolfederation
5. …
![Page 81: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/81.jpg)
Pseudonymer
Tjänsteleverantör
Användare
Pseudonymer bör användas som identifieringsbegrepp • Permanenta pseudonymer - olika för varje E-tjänst. • Icke-permanenta pseudonymer - en ny pseudonym vid
varje nytt tillfälle och för varje E-tjänst.
Användarorganisation
IntygPseudonym+ Attribut
![Page 82: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/82.jpg)
Personuppgifts-biträdesavtal
• Mallen framtaget för att underlätta personuppgiftshanteringen genom att ha en gemensam mall
• Helt frivillig, för de som önskar att använda den
![Page 83: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/83.jpg)
Tillitsnivå - Level of Assurance, LoAett koncept i federationer
• LoA 1 Ingen eller liten tillit till identitetenTyp Facebook, Google, Hotmail
• LoA 2 Begränsad tillit till identitetenAD-identitet, företagsinternt, domänspecifikt
• LoA 3 Hög tillit till identitetenSvensk e-legitimation, BankID, SITHS, Pass, körkort
• LoA 4 Mycket hög tillit till identiteten?
![Page 84: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/84.jpg)
E-legitimationsnämnden (ELN) och Svensk e-legitimation
eID-leverantör
• Möjlighet att leverera identitetsintyg till anslutna offentliga myndigheter
• För närvarande tillitsnivå 3
• Ska vara godkänd som utfärdare av Svensk e-legitimation eller ha avtal med en godkänd
Utfärdare av Svensk e-legitimation
Utfärdare av Svensk e-legitimation
• Krav på Utfärdare av Svensk e-legitimation att över tid uppfyller kraven i ELNs tillitsramverk
• Man kan vara utfärdare av Svensk e-legitimation utan att var med i ELNs federtion.
![Page 85: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/85.jpg)
E-legitimationsnämndens Tillitsramverk
• Krav på • Organisation och styrning• Fysisk, administrativ och personalorienterad säkerhet• Teknisk säkerhet• Ansökan, identifiering och registrering• Tillgänglighet• Revision
• Kräver bl a ett informationssäkerhetsarbete enligt LIS ISO/IEC 27001 eller liknande
• Genomför riskanalys - Vad behövs göras?• Implementera ett regelverk för informationssäkerhetsarbetet - Så här ska vi
göra det!• Genomför en internrevision - Gör vi det vi ska?
![Page 86: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/86.jpg)
Datainspektionens krav
• Har inget uttryckligt krav på en viss LoA nivå!
• ”Om skolans IT-system är tillgängligt via internet, och systemet innehåller integritetskänsliga uppgifter, krävs det särskild god IT-säkerhet. Det innebär att skolan måste försäkra sig om att det verkligen är rätt personer som får åtkomst till uppgifterna och att överföringen sker på ett säkert sätt. Skolan måste använda sig av stark autentisering (exempelvis engångslösenord eller e-legitimation) och uppgifterna måste förses med krypteringsskydd vid överföringen.”
Från DI:s webbplats
![Page 87: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/87.jpg)
Tillitsnivåer för Skolfederation
För närvarande:
• Bas – godkänd medlem i SkolfederationBas medför inga andra krav än de som följer med medlemskapet i Skolfederation.
• 2FA – tvåfaktorsautentiseringDen skyddsklass för E-legitimationer och utställande av Identitetsintyg vars grad av skydd motsvarar datainspektionens krav på stark autentisering, då IT-system är tillgängligt via Internet, och systemet innehåller integritetskänsliga uppgifter. Ingen granskning av kravets efterlevnad görs av Skolfederation, utan detta åligger Skolhuvudmannen.
![Page 88: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/88.jpg)
LoA avser inte kvalitén attribututan endast på eID!
![Page 89: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/89.jpg)
Skolfederations tillitsramverk
• Endast ett ”bör-krav”
• Det är fortsatt användar-organisationens och tjänste-leverantörens ansvar
![Page 90: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/90.jpg)
Fortsatt arbete för ömsesidig tillit…
• Tjänsteleverantör ska kunna ha tillit till att både Identiteter och Attribut i utfärdade intyg är korrekta
• Användarorganisation ska kunna ha tillit till att Tjänsteleverantör hanterar känsliga uppgifter och tillhandahåller Tjänsten korrekt
• Sambi går före i detta arbete!
![Page 91: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/91.jpg)
Medlemskap och kom-igång
Kurs
![Page 92: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/92.jpg)
Skolfederations driftsprocesser
Attributförvaltning
Medlemshantering
Metadatahantering
Drift av infrastrukturen
Attributförvaltning
Tilliten till identiteter och attribut
Information
![Page 93: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/93.jpg)
Tjänsteleverantör
Användare
Användarorganisation
IntygPseudonym+ Attribut
Utökat medlemskapsbegrepp
• Skolhuvudman
• Utbildningsanordnare enligt studiestödsförordningen
![Page 94: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/94.jpg)
142
100
42
0
10
20
30
40
50
60
70
80
90
100
110
120
130
140
150
Totalt Skolhuvudman Tjänsteleverantör
Medlemsutveckling2013 2014 2015
![Page 95: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/95.jpg)
142 medlemmar
100 Skolhuvudmän
• Kommunala 72 – karta
• Friskolor 24
• Förbund 3
• Myndighet 1
![Page 96: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/96.jpg)
42 tjänsteleverantörer
![Page 98: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/98.jpg)
Priser
![Page 99: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/99.jpg)
eduroam
• Avtal
• Individuella priser för varje medlem, baserat på invånarantal, elevantal och personal
![Page 100: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/100.jpg)
Medlemsavtal
• Anslutningsavtal (Användarorganisation resp. Tjänsteleverantör)
• Bilaga 1 - Tekniska krav
• Bilaga 2 – Säkerhetsföreskrifter (Användarorganisation resp. Tjänsteleverantör)
• Bilaga 3 – UTGÅR, ersatt av attributprofil
• Bilaga 4 - Avgifter
• Bilaga 5 – Ordlista, definitioner
• Kontaktuppgifter (blankett)
• https://www.skolfederation.se/bli-medlem/avtal/
![Page 101: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/101.jpg)
Kontaktuppgifter
• Huvudkontakt – övergripande, publiceras på Skolfederations webbplats
• Teknisk kontakt – den person som blir motringd vid uppladdning av nytt metadata!
• Incidentansvarig – kan vara en funktions-brevlåda/-tel, ska alltid bevakas
• PUL-kontakt
• Fakturakontakt
![Page 102: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/102.jpg)
Metadatahantering
1. Validering
2. Sänd via formulär
3. Checksumma
4. Kundtjänst motringerteknisk kontakt
5. Publicering
![Page 103: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/103.jpg)
Medlemmarna är federationen
Alla kan bidra genom att:– vara medlem
– delta i arbetsgrupper
– lyfta eller driva viktiga frågor
– dela med sig av erfarenheter till andra
![Page 104: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/104.jpg)
Medlemmars önskemål
![Page 105: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/105.jpg)
Medlemmars önskemål
![Page 106: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/106.jpg)
Medlemmars önskemål
Personuppgiftsbiträdesavtal• Mall framtagen för att
underlätta för de som önskar använda
![Page 107: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/107.jpg)
Federationsoperatören som koordinator
Helsingborg, 23 april 2015
Skolfederationsdagen, 16 sept 2015
Boden, 27 oktober 2015
Endagskurs
![Page 108: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/108.jpg)
Resurser
• Webbplatsen är basen
• Nyheter och intervjuer
• Guider och broschyrer
• Nyhetsbrev• generella
• tekniska
• Referensgrupp
![Page 109: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/109.jpg)
Resurser forts.
• Inspelningar från egna event publiceras
• Medlemslista
• Tjänster och deras attribut listas
• Integratörer och konsulter presenteras
![Page 110: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/110.jpg)
Exempel: Sundvalls kommun
• Målbild
• Infrastruktur
• Attributskrav och attributskällor
• Teknisk lösning
Rapport om sitt införande av Skolfederation
![Page 111: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/111.jpg)
Case Helsingborgs stad
• Erfarenheter från projekt Skolportal inklusive Skolfederation• Rekommendationer
• Framgångsfaktorer
• Tänk på
• Undvik
![Page 112: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/112.jpg)
Case Helsingborgs stad
• Projektmall• Helsingborgs stads
projektplan som grund
• Vägledning och inspiration
• Referensinformation
![Page 113: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/113.jpg)
Kontakt
• www.skolfederation.se
![Page 114: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/114.jpg)
eduroamKurs
![Page 115: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/115.jpg)
eduroam
• eduroam erbjuds som tilläggstjänst till Skolfederation
• För att bli medlem i eduroam krävs att man är medlem som användarorganisation i Skolfederation
Delad WiFi för utbildningssektorn
![Page 116: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/116.jpg)
![Page 117: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/117.jpg)
![Page 118: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/118.jpg)
![Page 119: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/119.jpg)
![Page 120: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/120.jpg)
![Page 121: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/121.jpg)
eduroam - teknik
![Page 122: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/122.jpg)
Skolfederation Sunet
Sverige Övriga världen
eduroam - översikt
Universitet, högskolor
Kommuner, friskolor mm
WiFi
WiFi
WiFi
![Page 124: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/124.jpg)
Framtid och utvecklingKurs
![Page 125: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/125.jpg)
Men först…
![Page 126: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/126.jpg)
Övningsuppgift [SFK129:a]
I övningsuppgift [SFK70] såg vi ett inloggningsflöde där användaren behövde agera aktivt i själva inloggningen. Vilka var dessa val?
Skriv upp den i den ordning de kom:
![Page 127: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/127.jpg)
Övningsuppgift [SFK129:b]
Skulle något eller några av dessa moment kunna undvikas, och i så fall hur?
![Page 128: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/128.jpg)
Inloggning för nativeappar
Förenklad inloggning för tjänster som enbart levereras som nativeapp
• Det går att skapa inloggning för nativeappar redan idag, men lösningen innebär onödig komplexitet för tjänster som saknar webbplatform
![Page 129: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/129.jpg)
OpenID Connect
• OpenID Connect är en intressant framtida standard för inloggning med nativeappar
• http://openid.net/connect/
![Page 130: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/130.jpg)
Skapa Uppdatera Radera
Livscykelhantering av användarkonton
• Förpopulering av tjänstens konton
• Uppdatering av användaruppgifter (utan inloggning)
• Borttagning av konton
![Page 131: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/131.jpg)
SCIM
• SCIM (System for Cross-domain IdentityManagement) är det alternativ som har mest fokus i nuläget
• http://www.simplecloud.info/
![Page 132: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/132.jpg)
Portalstrategi
• Vad är en portal?
• Vad är syftet med en portal?
• Vem är bäst lämpad att utveckla och driva portalen?
![Page 133: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/133.jpg)
Andra federationer
Flera andra nationella e-legitimationer och federationer (framförallt inom utbildningssektorn)
![Page 134: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/134.jpg)
Varför alla dessa federationer?
• Skolfederation
• eduroam
• Sambi
• Swamid
• Svensk e-legitimation
• Med flera…
![Page 135: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/135.jpg)
Nivåer av standardisering
Skola Vård och omsorg
Applikation
Infrastruktur
Sektor
![Page 136: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/136.jpg)
Standarder hjälper utvecklingen framåt
• Avsaknad av standard bromsar hindrar spridning och skapar inlåsning
• Trösklar och hinder i teknik och regelverk hämmar utveckling av tjänster och affärsmodeller
• Standardisering på rätt nivå bidrar till utvecklingen av hela sektorn
![Page 137: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/137.jpg)
Lokala federationer InterfederationerFederationer
SAML 2.0Saml2InteGov2Återanvändning av bef standarder och format
Federationer i praktiken
Skolfederation
Sambi
Swamid
Federation xyz
Svensk e-legitimation
Office 365
GAFE
Tjänst xyz
eduGain
Europa USA
Och fler…Australien
Huvudman eller
e-tjänst
![Page 138: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/138.jpg)
Filter
Filter
Interfederation
Federation A Federation B
Federation C Federation D
Interfederation
IdP SP
IdP SP IdP SP
IdP SP
IdP SP
IdP SP IdP SP
IdP SP
Metadata
Metadata
Metadata
![Page 139: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/139.jpg)
eduGAIN
![Page 140: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/140.jpg)
Arbetsformer – alla kan bidra
• Bli medlem
• Lämna förslag eller belys problem
• Engagera dig i SIS/TK 450
• Driv eller delta i arbetsgrupp i Skolfederation
• Medverka i pilot
• Dela med dig av erfarenheter och praktiska lösningar
• Referensfall
• Erfarenhetsutbyte
• Delta i referensgrupp
• Med mera…
![Page 141: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/141.jpg)
SummeringKurs
![Page 142: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/142.jpg)
Skolfederation
Samverkan
Teknisk standard Gemensam
infrastruktur
Attribut Säkerhet…
![Page 143: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/143.jpg)
Mål för Skolfederation
Användarorganisation• Valfrihet, att välja sin
egen lösning• Enklare
tjänsteintegration• Enhetlig administration
av användare
Användare• SSO, En inloggning till alla tjänster• Minskad administration av lösenord för lärare• Stärkt skydd av integritet
Tjänsteleverantör• Slippa administration
av användare• Enklare integration av
Skolhuvudmän
Utbildningssektorn• Ökad säkerhet• Stimulera utveckling
![Page 144: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/144.jpg)
Tekniken
www.e-service.se
[redirect]
DB
Användarnamn
Lösenord
IdP
Intyg
12
3
Intyg
SP
Inloggning här! Intyg med användarinformation via omdirigering av webbläsare
![Page 145: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/145.jpg)
Lokala federationer InterfederationerFederationer
SAML 2.0Saml2InteGov2Återanvändning av bef standarder och format
Federationer i praktiken
Skolfederation
Sambi
Swamid
Federation xyz
Svensk e-legitimation
Office 365
GAFE
Tjänst xyz
eduGain
Europa USA
Och fler…Australien
Huvudman eller
e-tjänst
![Page 146: 20151013 Skolfederation kurs · 2 3 Intyg SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=* IIS Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?](https://reader036.vdocuments.net/reader036/viewer/2022071211/60223eb68abad1065e3b6848/html5/thumbnails/146.jpg)
Federationen är medlemmarna
• Var med och påverka och bidra till federationens utveckling
• Samverka med andra medlemmar
• Vänd er gärna till federationsoperatören med frågor och förslag