Transcript - Confluence - Stockholms universitet

1 (4)
2010-07-12
Version 1.2
Identitetshantering vid Stockholms universitet
Detta dokument syftar till att beskriva identitetshantering vid Stockholms universitet.
Definition av förtroendenivåer (LoA)
Nedan följer den definition av förtroendenivåer, hämtade från
http://www.swamid.se/pub/jsp/polopoly.jsp?d=2981&a=56553 som kommer användas i detta
dokument.
LoA1 - obekräftad användare
LoA1 innebär att det finns liten eller ingen möjlighet att fastställa vem som innehar och
använder en elektronisk identitet. Exempel på elektroniska identiteter av typen LoA1 är
Windows Live-konto och Google-konto.
LoA2 - bekräftad användare
LoA2 innebär att det finns rimlig möjlighet att fastställa vem som innehar och använder en
elektronisk identitet. Vem som ursprungligen tar emot kontouppgifterna fastställs genom att
personens identitet styrks vid utlämnade av uppgifterna eller att uppgifterna skickas till en
postadress - till exempel folkbokföringsadressen eller arbetsplatsens adress - där det är
sannolikhet att den person som kontot tillhör även är den person som ska ta del av
informationen.
LoA3 - kontrollerad användare
LoA3 innebär att det finns god möjlighet att fastställa vem som innehar och använder en
elektronisk identitet. Detta säkerställs via kontroll av giltig identitetshandling vid utlämnade av
identitetsinformation. Med giltig identitetshandling menas nationellt identitetskort, pass,
körkort, SIS-godkänt identitetskort och e-legitimation.
LoA4 - verifierad användare
LoA4 innebär att det finns mycket god möjlighet att fastställa vem som innehar och använder
en elektronisk identitet. Med avseende på att detta PM är begränsat till identitetsutgivande är
det ingen skillnad mellan LoA3 och LoA4 förutom att e-legitimation inte får användas.
Stockholms universitet
Besöksadress: Frescati Hagväg 10
Telefon: 08-16 19 99
Telefax: 08-16 39 69
E-post: [email protected]
2 (4)
Universitetets kontohantering
Kontohantering vid Stockholms universitet implementeras genom den centrala katalogen
Sukat. Varje fysisk individ har endast ett konto i katalogen och de olika kontotyperna nedan
signaleras genom attributet eduPersonAffiliation. Det betyder att ett konto både kan vara av
typ anställd och student samtidigt.
Universitetets identitetstyper
Kontotyp
eduPersonAffiliation LoA
Swamid
Personal
employee
LoA2 Ja
Student
student
LoA2 Ja
Alumn
alumni
LoA2 Ja
Extern
member
LoA2 Ja
Övriga
other
LoA2 Ja
Temporär
N/A
LoA1 Nej
Gäst
N/A
LoA1 Nej
Personal
Alla anställda vid universitetet har rätt att få en användaridentitet i universitetets katalog. Som
anställd räknas alla som har en formell anställning vid universitetet. En anställd får tillgång till
lösenordet till sin identitet antingen genom att besöka en av de centrala punkterna för
lösenordsutlämning där de får visa legitimation eller genom att begära ett nytt lösenord ifrån
den centrala helpdesken varpå lösenordet skickas i ett förseglat kuvert via universitetets
internpost. Detta innebär att minst LoA2 uppnås. När en anställning upphör tas affilieringen
employee bort ifrån användarens identitet i Sukat.
Student
Alla aktiva studenter vid universitetet har möjlighet att få ett användarkonto. Som aktiv student
räknas en student som är registrerad på någon kurs innevarande termin eller nästkommande
termin. En student får tillgång till sin identitet antingen genom att besöka en av de centrala
punkterna för lösenordsutlämning där de får visa legitimation eller genom att aktivera sitt
konto via en webbapplikation där de får autentisera sig med en LoA2 identitet ifrån NyA. Detta
innebär att minst LoA2 uppnås. När en person inte längre uppfyller kraven för att räknas som
student övergår identiteten till kontotyp alumn.
Stockholms universitet
Besöksadress: Frescati Hagväg 10
Telefon: 08-16 19 99
Telefax: 08-16 39 69
E-post: [email protected]
3 (4)
Alumn
Som alumn räknas tidigare studenter som inte har aktiv registrering. När en student åter
registrerar sig på en kurs kommer kontot åter bli markerat som student. Eftersom alla konton
av typen student uppnår LoA2 gör också alla alumner det. Om en alumn åter blir aktiv student
tas kontotypen alumn bort från identiteten och kontotypen student läggs till.
Extern
Andra personer kan få identiteter vid Stockholms universitet och räknas då som externa. För
att en individ skall få en extern identitet krävs någon form av samröre med universitetet.
Exempel på sådant samröre är gästforskare, samarbetspartners och leverantörer. En extern
användare får tillgång till sin identitet genom att besöka någon av de centrala punkterna för
lösenordsutlämning där de får visa legitimation. Detta innebär att minst LoA2 uppnås. När
relationen som motiverat kontotyp extern upphör tas också kontotypen extern bort från
identiteten.
Övriga
När innehavaren av ett användarkonto inte längre uppfyller kriterierna för någon av
kontotyperna ovan övergår användaridentiteten till kontotyp övrig. Eftersom denna typ inte
uppnås direkt och alla kontotyperna ovan uppnår LoA2 gör även konton av typ övriga det.
Undantag
I de fall identiteter utfärdas utan att uppnå ovan angiven LoA-nivå kommer dessa identiteter
inte exporteras till Swamid.
Avveckling av identiteter
En användaridentitet i Sukat avvecklas normalt inte utan byter kontotyp. När en identitet inte längre
uppfyller kraven för en viss kontotyp tas den typen bort ur Sukat. Exempelvis om en identitet har både
kontotypen personal och student och anställningen avslutas kommer identiteten därefter bara ha
kontotypen student. Om identiteten efter borttagandet inte längre har någon kontotyp övergår
identiteten till kontotyp övrig.
En användaridentitet kan avvecklas på direkt uppmaning från identitetsinnehavaren eller efter beslut
från studentadministration, personaladministration eller annan behörig instans. Användaridentiteten
avvecklas då helt i Sukat och i alla övriga system som hämtar information från Sukat.
Stockholms universitet
Besöksadress: Frescati Hagväg 10
Telefon: 08-16 19 99
Telefax: 08-16 39 69
E-post: [email protected]
4 (4)
Andra identiteter
Här listar vi andra typer av identiteter som förekommer inom Stockholms universitet. Dessa
finns inte i Sukat utan lagras i andra system. Dessa identiteter ingår inte i de som Stockholms
universitet exporterar till Swamid.
Temporär identitet
Temporära identiteter används inom Stockholms universitet för att ge tillgång till vissa
resurser vid universitetet under en begränsad tid. Dessa används till exempel för att ge
konferensdeltagare tillgång till universitetets trådlösa nätverk. De temporära identiteterna
utfärdas som längst i två veckor. Dessa identiteter tillhandahålls som skraplotter och
återkallas automatiskt när deras giltighetstid gått ut. Eftersom innehavarens identitet inte
verifieras uppnås bara LoA1 och identiteten kan därför inte användas i Swamid.
Gäst
Alla personer med en epostadress på Internet har möjlighet att ansöka om en gästidentitet på
Stockholms universitet. En sådan identitet är enbart kopplad till epostadressen och används
endast internt inom Stockholms universitet. Eftersom denna identitet enbart är kopplad till en
epostadress kan endast LoA1 uppnås och denna identitet exporteras därför inte till Swamid.
Stockholms universitet
Besöksadress: Frescati Hagväg 10
Telefon: 08-16 19 99
Telefax: 08-16 39 69
E-post: [email protected]