An identity provider SHOULD support the release of identity assurance of subjects using the identifiers of the respective identity assurance profiles.

eduPersonAssurance attribute MUST be used.

Prior to the release of the SAML WebSSO Technology Profile 1.0.0, the transfer of an subject's level of assurance (LOA) was accomplished through the use of the authncontextclassref. However, if the eduPersonAssurance attribute is present in a subject's attribute statement, it supersedes the authncontextclassref. It is planned that in the future, the use of LOA in the authncontextclassref attribute will be phased out.

Assurance Levels for Skolfederation

Currently, the trust levels "Bas" and "2FA" are applied within the School Federation. 

Bas - approved member of the School Federation

Bas does not entail any other requirements than those that come with membership in the school federation.

Identifier: http://id.skolfederation.se/loa/bas

2FA – Two-factor authentication

The protection class for e-identities and issuance of identity certificates whose level of protection corresponds to the Swedish Data Protection Authority's requirements for strong authentication when an IT system is accessible via the Internet, and the system contains sensitive information. Skolfederation does not review compliance with the requirement; this is the responsibility of the school principal.

Identifier: http://id.skolfederation.se/loa/2fa

AL1

To be announced.

AL2

To be announced.

AL3

To be announced.

Deprecated:

This section is no longer applicable and is only kept for historical reasons.

Currently, the assurance levels "Bas" and "2FA" are applied within Skolfederation. If no assurance level is sent in the AuthenticationContext element of the SAML Assertion, Bas level is implied.

The assurance levels' schemas below are listed in IANA's list of LoA profiles. No audit of member organization compliance regarding the assurance levels is currently performed by Skolfederation. This responsability lies with the school principal.

Bas – godkänd medlem i Skolfederation Bas medför inga andra krav än de som följer med medlemskapet i skolfederation.

2FA – tvåfaktorsautentisering Den skyddsklass för E-legitimationer och utställande av Identitetsintyg vars grad av skydd motsvarar datainspektionens krav på stark autentisering, då IT-system är tillgängligt via Internet, och systemet innehåller integritetskänsliga uppgifter. Ingen granskning av kravets efterlevnad görs av Skolfederation, utan detta åvilar Skolhuvudmannen.

LoA 2 – krav på bekräftad användare och en viss tillit till identiteten LoA2 innebär att det finns rimlig möjlighet att fastställa vem som innehar och använder en elektronisk identitet. Vem som ursprungligen tar emot identiteten fastställs genom att identiteten styrks vid utlämnade av identitetsinformation eller att identitetsinformationen skickas till en postadress – till exempel folkbokföringsadressen eller arbetsplatsens adress – där det är sannolikhet att den person som identitetsinformationen tillhör även är den person som ta del av den informationen. För LoA 2 godtas inloggning med lösenord. Ett skydd skall finnas mot avlyssning av lösenordet, lösenordsattacker och återuppspelningsattacker.

LoA3 – kontrollerad användare och en hög tillit till identiteten LoA3 innebär att det finns god möjlighet att fastställa vem som innehar och använder en elektronisk identitet. Detta säkerställs via kontroll av giltig identitetshandling vid utlämnade av identitetsinformation. Med giltig identitetshandling menas nationellt identitetskort, pass, körkort, SIS-godkänt identitetskort och e-legitimation.

LoA4 – verifierad användare och en mycket hög tillit till identiteten LoA4 innebär att det finns mycket god möjlighet att fastställa vem som innehar och använder en elektronisk identitet.

Managing assurance levels

The document "Hantering av tillitsnivåer" describes how assurance levels are requested and signaled between Identity Providers and Service Providers. 

Hantering-av-tillitsnivåer-version-1_2.pdf