standard - skolfederation...ett system för alla eller möjlighet för alla att välja de...
TRANSCRIPT
STANDARD
Hur många standarder har du
använt idag?
PROBLEM
E-tjänst
DB
Skola
Användarnamn
Lösenord
Elev
Problem 1
Användare (elev/pedagog)• En inloggning per tjänst• Ett lösenord per tjänst• IntegritetSkola• Administration av användare• Kontroll av behörighetE-tjänst• Administration av användare• Lösenordssupport• Säkerhet
Problem 1
• Dålig användarupplevelse
• Bristfällig säkerhet
• Onödiga administrativa kostnader
https://www.youtube.com/watch?v=-pD_RYIrOas
E-tjänstSkola
Användarnamn
Lösenord
Elev
Hur gjorde Christian?
E-tjänstSkola
Användarnamn
Lösenord
Elev
Hur gjorde Christian?
IdP SP
Intyg
Logga in
Fint!Men…
Tjänsteleverantöre-tjänst
Tjänsteleverantöre-tjänst
Tjänsteleverantöre-tjänst
Användar-organisation
DB
Problem 2
X ?
?
?
Användar-organisation C
Tjänsteleverantöre-tjänst
Användar-organisation B
Användar-organisation A
Problem 2
Följ min standard!
Följ min standard!
Följ min standard!
Följ min standard!
Användar-Organisation C
Tjänsteleverantöre-tjänst
Tjänsteleverantöre-tjänst
Tjänsteleverantöre-tjänst
Användar-Organisation B
Användar-Organisation A
Problem 2
LÖSNINGEN?
”Standardsystem”eller
Standard för system?
Ett system för allaeller
Möjlighet för alla att välja de system/komponenter som passar bäst
”One system to rule them
all”Proprietär Skolfederation
”Standardsystem”
Integration mot ett centralt system/plattform (portal
eller liknande)
Systemet utgör ett nav mellan alla skolor och alla
tjänster
Lösningen ger ofta mervärden i form av funktioner som kan vara användbara vid nyttjandet av de tjänster som förmedlas
Men hur blir det om olika skolor vill använda olika standardsystem?
Eller om en skola vill byta system?
FEDERATION
Gemensam standard och infrastruktur
All kommunikation går direkt mellan skola och tjänst
Portaler och plattformar kan fortfarande användas, men följer samma standard
Skolor och e-tjänster förhåller sig till standarden och väljer de lösningar som är bäst lämpade för respektive verksamhet
Federationen levererar ingen portal, ingen inloggningslösning. Inga användare finns
registrerade.
En närmare titt på problem 2
Nyckel
Metadata
Nyckel
Metadata”Out of Band”
Förutsätter att parterna enats om:• Teknik/standard• Tillämpning• Information• Format• Tillit/säkerhet• Rutiner• …
? ?
Användar-Organisation C
Tjänsteleverantöre-tjänst
Tjänsteleverantöre-tjänst
Tjänsteleverantöre-tjänst
Användar-Organisation B
Användar-Organisation A
I en sektor med hundratals aktörer…
Federationens infrastruktur
Aggregerad och publicerad metadata
Metadata+certifikat 1Metadata+certifikat 2Metadata+certifikat 3Metadata+certifikat 4Metadata+certifikat 5Metadata+certifikat 6
/…/
• Metadata• Nyckel
• Metadata• Nyckel
• Metadata• Nyckel
• Metadata• Nyckel
• Metadata• Nyckel
• Metadata• Nyckel
Aggregerat metadata
Federationsoperatör
Signera och publicera
Standard Infrastruktur
Federation
och
ANVÄNDARE• SSO, en inloggning till alla tjänster• Minskad administration av lösenord för lärare• Stärkt skydd av integritet
TJÄNSTELEVERANTÖR• Slippa administration av användare• Enklare integration av skolhuvudmän
ANVÄNDARORGANISATION• Valfrihet att välja sin egen lösning• Enklare tjänsteintegration• Enhetlig administration av användare
UTBILDNINGSSEKTORN• Ökad säkerhet• Stimulera utveckling
Totalt 236 medlemmar
Varav• 163 användarorganisationer• 73 är tjänsteleverantörer
Av användarorganistationerna är• 132 kommunala skolhuvudmän (kartan)• 25 friskolor• 4 förbund• 1 myndighet• 1 stiftelse
Medlemmar
https://www.skolfederation.se/medlemmar/
Det var vad och varför
Men…
Varför just den här standarden?
Och varför Internetstiftelsen?
Skolfederation– från standard till praktisk tillämpning
Exempel på effekter av standarder eduGAIN
• Interfederation• Standardisering• Harmonisering• Kravställning• Utveckling• Med mera..
Fler federationer att förhålla sig till
• Svensk e-legitimation• Swamid• Skolfederation• Sambi• eIDAS• eduroam• eduGAIN
Berörda aktörer behöver ansluta till Sambiinnan november 2019.
Visionen – en IAM-arkitektur för kommunen
E-leg Lösenord
Lokala tjänster Federation A
Federation B
Fristående molntjänst
Inte
rfede
ratio
n
IdP
Internetstiftelsen
Stadgar (utdrag)
”Stiftelsens ändamål är att främja en god stabilitet i infrastrukturen för internet i Sverige samt främja forskning, utbildning och undervisning inom data- och telekommunikation, särskilt med inriktning på internet. Stiftelsen skall härvid prioritera områden som ökar effektiviteten i infrastrukturen för elektronisk datakommunikation.
Stiftelsen skall bland annat sprida information om forsknings- och utvecklingsarbete, initiera och genomföra forsknings- och utvecklingsprojekt samt genomföra kvalificerade utredningar. Stiftelsen skall särskilt främja utvecklingen av hanteringen av domännamn under toppdomänen ”.se” och andra nationella domäner avseende Sverige.” Stadgarna antogs 1997.
https://www.iis.se/om/organisation/urkund-och-stadgar/
Utvecklingen fortsätter
• Egil• Utvecklingsprojekt för effektivare beställning av digitala läromedel
• Elevlegitimation• Tillitsramverk – pilot - kommunikation
• G Suite och Office 365• Skolverket – Digitala nationella prov
• Åtkomst genom interfederation
Egil
E-tjänstSkola
Varför Egil?SAML – Just in Time Provisioning• Ingen för- eller avprovisionering
Proprietära API:er• Kostnadsdrivande, skalar inte
Bulkdata• Fördröjning, ofta engångskörningar
Manuell hantering• Resurskrävande, långsamt, felhantering
CRUDCreate – Read – Update - Delete
• Subset av standarden SS 12000• Fokus på effektivare beställning av digitala läromedel• Schema för SCIM – System for Cross-domain Identity Management
• Tillägg av säkerhetsfunktioner• Autentisering (federativ)• Transportskydd• Auktorisation
Egil
Egil - status
• Proof of Concept genomförd med skolhuvudmän och tjänsteleverantörer, samordnat av Skolfederation
• Utvecklingsprojekt genom Sambruk i samverkan med Skolfederation
http://www.sambruk.se/varauppdrag/egilelevergrupperidigitalalaromedel.4.4ebd0ee51648b40c222202.html
https://www.skolfederation.se/egil/
Elevlegitimation
Elevlegitimation – ”den andra faktorn”
Inloggning med enbart användarnamn och lösenord har mycket låg säkerhet
Ett sätt att stärka säkerheten är att tillföra en andra faktor.
Jag vet något
Jag har något
Multifaktorinloggning (exempelvis tvåfaktorautenticering med Facebook, Google eller liknande) stärker skyddet för mig som användare, men ger inte nödvändigtvis en starkare tillit till identiteten för en förlitande part
Elevlegitimation – multifaktor och tillit
Vi kan ha tillit till någon utan att ha fullständig information om denna
Inte bara en tro på människors goda avsikter, utan en välgrundad tro att vissa principer är uppfyllda
Elevlegitimation - tillit
Tillit till individer eller organisationer som vi inte har detaljerad kännedom om, skapas vanligen genom gemensamma regelverk och en tredje part som kan gå i god för efterlevnad av regelverket
Elevlegitimation - tillit
Att skapa en öppen modell för elevers inloggning genom att:• Ta fram en första version av tillitsramverk och översiktsbild• Starta lokala, praktiskt inriktade piloter mellan
• Skolhuvudman• eID-utfärdare/elevkonton• Tjänster att logga in i
• Kommunicera tips, kontaktpersoner, information om vad som är på gång och erfarenheter
Inriktning- för initiativet Elevlegitimation
Öppen modell för Elevlegitimation
E-tjänstersSP:n
Skolfederationeller
annan federation
Tillräckligt säkra eID:n
Elevens skolhuvudman”användarorg.”
Intygs-utfärdare
Attribut-register
ID-koppling
Tillräckligt säkra eID:nTillräckligt säkra
eID:nTillräckligt säkra eID o motsv.
Andra externa tjänster som elever
loggar in i
Digitala läromedel
Digitala nationella prov
Skolors hantering av elever• Goda möjligheter att tillräckligt säkert grundidentifiera elever• Vissa delar ut digitala elevkonton idag• Stor variation
eID-utfärdare• Godkända eID-utfärdare börjar finnas, elever en bra startmålgrupp för dem• Kopplat till skolors elevkonton finns ibland möjlighet till betrodda faktorer (eng:
credentials)
Flera viktiga delar redan på plats 1(2)
Granskningsprocesser och tillitsregler• Svenska eID:n med stark autentisering har möjlighet att granskas av DIGG (nivå 2-4)• Utländska eID:n godkända på tillitsnivå ”väsentlig enligt eIDAS” innebär stark
autentisering• Naturligt att lägga till tillitsramverk och granskning för Skolfederation och andra
federationer inom skolsektorn och det finns tillitsregler att kopiera
Teknisk metod i federationer och attribut i identitetsintyg• SAML 2.0 beprövad federationsstandard, Open ID Connect en möjlig framtid• Skolfederation och SWAMID finns redan, modellen öppen för fler federationer• Standardisering av attribut inom skolsektorn finns på plats (SS12000)
Flera viktiga delar redan på plats 2(2)
Organiseras i följande delar:• Tillitsramverk och översiktsbild• Piloter – skolhuvudmän, eID-utfärdare och e-tjänster som hittar samarbeten• Kommunikation
Tre delar- i initiativet Elevlegitimation
Tidplan - för initiativet Elevlegitimation
• Tillitsramverk 2019-02-28 (första utkast oktober 2018, öppen hantering)
• Piloter
• Kommunikation 2019-05-31 (start oktober 2018)
I slutet av våren 2019 har modellen förhoppningsvis klarnat och ett naturligt breddinförande blir möjligt.
Det kan ändå ta tid innan alla är med och innan alla nödvändiga eID-lösningar finns.
Modell för elektronisk identifiering och auktorisation inom skolsektorn
Digital tjänst t.ex. digitalt
nationellt provvia Fidus
Sweden Connect
Skolansgrund-
identifiering
En- eller tvåfaktors-
autentisering
E-legitimering med utländskt eID enligt eIDAS
t.ex. tyskt eID
Användaren loggar in i sin skola, skolan går i god
för sina användare gentemot den
digitala tjänsten (t.h.)
SvenskaeIDAS-noden
E-legitimering med skolkonto
Intygs-utfärdare
Behörighets-info
Koppling till eID
E-legitimering med svenskt eIDkvalitetsmärkt Svensk e-legitimationt.ex. Freja eID+ eller (snart) Efos
E-legitimering med BankID, Telia eller SITHS
Skolfederations tillitsregler,
metadata och tekniska krav
IntygA
Intyg Skol-
federation
IntygD
IntygB
Systemintegratör IntygC
Tillitsnivåer Tillits-nivåer: Nivå 4
godkändSvenske-leg
Nivå 3godkändSvenske-leg
Nivå 2godkändSvenske-leg
HögutländskaeIDAS
Väsentlig utländskaeIDAS
Låg utländska eIDAS
”Nivå 3” själv-deklarerad,allmänt betrodd
”Stark autentisering” själv-deklarerad
”Bas” själv-deklarerad
Krav på stark
autentisering
Ja Ja Ja Ja Ja Nej Ja Ja Nej
Exempel AB
Svenska
Pass (intyg
på nivå 3)
Freja eID+
Efos snart
Tyska
Estniska
Italienska
BankID
Telia
SITHS
Tvåfaktors med
skolkonto
Användar-
namn och
lösen från
skolkonto
Intyg A - Sweden Connect Intyg B - Sweden ConnectIntyg C -
helst S.C.Intyg D - internt
Intyg Skolfederation
Organisationer har idag ett flertal krav att efterleva som kräver god kontroll över användares identiteter och attribut
Det är sannolikt att kraven kommer att öka med tiden
Elevlegitimation – mina användare
Man bör noga överväga var man lagrar användarinformation ur flera perspektiv, inte minst när men måste efterleva krav på en viss tillitsnivå
Det gäller exempelvis kontroll över rutiner och möjlighet till integrationer mot godkända elegitimationer
Elevlegitimation – mina användare
G Suiteoch
Office 365
G Suite / Office 365 - principiell översikt
IdP
SP
SP
SP
API
Integrerade tjänster
Lösenord2-faktor
API
Tjänster i produkten
SSO mot tjänster
Användar-organisation
• Hur modulära och utbytbara är de enskilda komponenterna?
• Hur väl spelar de med etablerade standarder?
Kontroll över funktion och information
Kontroll över funktion och information
• Tillämpa standarder där de finns och är etablerade• Kravställ på anpassning till etablerade standarder där det
saknas• Använd proxylösningar för att kompensera för bristfälliga
tillämpningar av standarder, i syfte att skapa ett lösare beroende till tjänsten
• Undvik att bygga ett beroende till tjänsten som försvårar en framtida migration onödigt mycket
• Säkerställ djup kompetens om produkten
Kontroll över funktion och information
Exempel• Byt ut produktens IdP mot egen IdP eller IdP
som tjänst (Christian)• Använd produktens IdP/API och nyttja en
proxy för att kompensera för bristfällig tillämpning av standard (Skolfederation och Egil)
Vad gör Skolfederation i frågan?
• Dialog och kravställning mot stora aktörer i samverkan med andra federationer och intressenter
• Samverkan med integratörer för att skapa paketerade lösningar för anpassningar
DNP
Digitala nationella provSkolverket
”Fidus”
Allmän information om pågående projekt
Källa: https://www.skolfederation.se/wordpress/wp-content/uploads/2018/03/Skolverket-presentation-om-Digitala-nationella-prov.pdfFrån Skolverkets presentation på Svenskt Federationsforum 2018-03-15
Skola Skola Skola Skola SkolaSkolaUniversitet
Skolverket
Swamid SkolfederationFederation X
IdP IdP IdP IdP
IdPIntern
Fidus
Sweden Connect
IdPExtern
SP
https://www.skolverket.se/temasidor/digitalisering/digitala-nationella-prov/forsoksverksamhet-med-digitala-nationella-prov
Avslutningsvis
Federationen är medlemmarna
• Var med och påverka och bidra till federationens utveckling
• Samverka med andra medlemmar• Vänd er gärna till federationsoperatören med frågor och
förslag
Kalmar3 oktober 2018
Robert Rhudin [email protected]@skolfederation.sewww.skolfederation.se