SWAMID/eduID (Hans Nordlöf)

SWAMID – Vad händer just nu?
 Arbetar för att förbereda federationens
medlemmar inför nya ladok
 I mitten av november skall SWAMID AL2
fastställas
 Arbete med olika lösningar för MFA
 Ta fram tjänster som kan underlätta
federationsdeltagande (we2saml-proxies)
SWAMID AL-nivåer
 AL1: Kontot innehas av en person
 Används när information är kopplat till ett konto
(t.ex. egengenererad information) – tänk e-post
 AL2: Kontot innehas av en identifierad person
 Används när information är kopplad till en
person (t.ex. studieuppgifter i Ladok) – tänk
personnummer
 Lärosätet ansvarar för personuppgifter på AL2!
Valter Nordh
SUNET-veckan
3
SWAMID
 Nya Ladok bygger på att användarna
som loggar in är bekräftade
användare (enligt SWAMID AL2)
 SWAMID / eduID erbjuder 2-faktor för
de lärosäten som har behov
Valter Nordh
SUNET-veckan
4
SWAMID
 AL2-profilen är ute på remiss och
kommer att beslutas i november
 Är medvetet ett litet steg upp från AL1
 Tydligare krav på identifiering av
användare och teknisk infrastruktur
 Vissa förändringar i AL1
 AL2 är en formell beskrivning av vad
vi gör idag!
Valter Nordh
SUNET-veckan
5
Användningsområden
Normala krav på säker
användning av kontot
Höga krav på säker på
säker användning av
kontot
Låga krav på
information om
individen
Höga krav på
information om
individen
SWAMID AL1 + lösenord
SWAMID AL2 + lösenord
SWAMID AL2 + MFA
eduID – vad händer?





Nytt gränsnitt
Delvis ny arkitektur
MFA
UHR_Ladok_eduID?
Proofing – min myndighetspost/swamid AL2
Ny design - eduID
eduID - arkitekturförändring
eduID 2FA API
 Ger ett lättanvänt interface för
tvåfaktorsautenticering (JOSE)
 OATH TOTP HMAC-SHA-1 (sex eller åtta siffrors
koder)
 Tidsbaserat, koder giltiga 30+30 sekunder
 Anonyma ”användare” skapas hos eduID
 eduID svarar JA eller NEJ baserat på uppgiven
kod
Registrera 2FA för ny
användare
SP vill ha starkare autenticering
via
en IdP i federationen
SP vill ha starkare
autenticering,
använder eduID direkt
OBS: I detta fall har 2FA-användaren skapats via SP (LADOK),
inte via det egna lärosätet.
För att förhindra phishing och andra säkerhetsproblem kan inte
organisation A autentisiera med tokens från organisation B.
U2F – liten ordlista
 FIDO Alliance (Fast Identity Online) bildades av bl.a.
PayPal, Nok Nok Labs, Validity Sensors. Samtidigt
arbetade Google, Yubico och NXP fram en
andrafaktorsdongel. Resulterade i FIDOs 2 protokoll:
 Ett protokoll kallas UAF (Universal Authentication
Framework) och handlar om singelfaktor utan lösenord
(exempelvis fingeravtryck)
 U2F (Universal 2nd Faktor) är ett öppet protokoll för
skapande av en andra faktor, som komplement till
användarnamn/lösenord
Varför eduID OATH API
 Eftersom
- Kryptering är svårt/läskigt
- Behov på serversidan att kunna förvara
hemligheter säkert
- Kommande/befintliga system kommer att vilja
ha MFA (nya LADOK ex.vis)
- eduID kommer att själv kunna generera OTP
tokens för att kunna genomföra 2FA om SP
begär det (och för eduID:s supportfunktion)
U2F – generering om eduIDs
API används
 SP genererar en “challenge” (utmaning) och skickar till
användaren (lägger till AppID)
 Javascript för över utmaningen till U2F “token”
 “Token” skapar en ny privat nyckel, skickar klientdata
och registreringsdata
 SP skickar klientdata, registreringsdata, utmaning och
appID till eduID
 eduID API lägger till bl.a. eduID user, nyckelID
 eduID sparar den publika nyckeln
 SP sparar eduID user och nyckelID
U2F autentisering
 SP autentiserar användare med användarnamn och
lösenord och får tillbaka U2F nyckelID och eduID
username
 SP skapar en utmaning
 SP skickar utmaningen och nyckelID till U2F-klienten
 SP skickar svar plus eduID username till eduID API
 eduID API kollar signaturen med hjälp av publika
nyckeln, använder eduID username, kollar räknaren och
svarar med sant eller falskt
För och emot att eduID skulle
ha ett API för U2F
 För:
– Vi kan ge support
– Extern verifiering – ökar säkerheten
 Emot:
– SP måste göra javaskripten ändå
– SP måste hålla register ändå
 Säkerhet:
- Varken SP eller eduID behöver lagra några
hemligheter!
Antagning-Ladok-eduID
 Varje person som finns i något av de tre
systemen skall kunna kopplas ihop med
motsvarande person i de andra
 Elektroniska identiteter behöver bara
underhållas i ett system och konsumeras av de
andra