Skolfederation Trust Framework
The document “Tillitsramverk för Skolfederation” forms the foundation for the trust and security requirements agreed between the Skolfederation Member Organisations regarding digital identities, user attributes, and the protection of privacy.
tillitsramverk-for-skolfederation.pdf
Assurance Statement Release in Skolfederation (DRAFT)
The document below is a DRAFT version of a specification introducing a new set of controlled URI values for expressing authentication context and level of identity assurance. It also defines implementation requirements and metadata signalling mechanisms for both Identity Providers and Relying Parties, enabling interoperability and policy-driven access control in federated environments.
Assurance-Statement-Release-in-Skolfederation.pdf
This specification proposes that the current assurance levels (listed below) will be withdrawn and replaced by the URI values and associated requirements described herein.
The Swedish Internet Foundation welcomes feedback and comments on the specification. Please send your input to: info@skolfederation.se.
...
Assurance levels for Skolfederation
Currently, the trust levels "Bas" and "2FA" are applied within Skolfederation.
Bas - approved member of Skolfederation
Bas does not entail any other requirements than those that come with membership in Skolfederation. Bas is implied if no assurance level is signalled.
| Info |
|---|
The assurance levels applied within Skolfederation are under evaluation. |
Currently, the assurance levels "Bas" and "2FA" are applied within Skolfederation. If no assurance level is sent in the AuthenticationContext element of the SAML Assertion, Bas level is implied.
The assurance levels' schemas below are listed in IANA's list of LoA profiles. No audit of member organization compliance regarding the assurance levels is performed by Skolfederation. This responsability lies with the school principal.
...
Default. Implied if no assurance level is signaled.
Bas does not imply any additional requirements than the requirements posed by the federation membership.
...
Identifier:
http://id.skolfederation.se/loa/
...
Multifactor authentication that corresponds to Integritetsskyddsmyndigheten's strong authentication requirement for accessing sensitive personal information over the Internet.
...
bas
2FA – Two-factor authentication
The protection class for e-identities and issuance of identity certificates whose level of protection corresponds to the Swedish Authority for Privacy Protection's requirements for strong authentication when an IT system is accessible via the Internet, and the system contains sensitive information. Skolfederation does not review compliance with the requirement; this is the responsibility of the school organiser.
...
Identifier:
http://id.skolfederation.se/loa/
...
Bas – godkänd medlem i Skolfederation Bas medför inga andra krav än de som följer med medlemskapet i skolfederation.
2FA – tvåfaktorsautentisering Den skyddsklass för E-legitimationer och utställande av Identitetsintyg vars grad av skydd motsvarar datainspektionens krav på stark autentisering, då IT-system är tillgängligt via Internet, och systemet innehåller integritetskänsliga uppgifter. Ingen granskning av kravets efterlevnad görs av Skolfederation, utan detta åvilar Skolhuvudmannen.
LoA 2 – krav på bekräftad användare och en viss tillit till identiteten LoA2 innebär att det finns rimlig möjlighet att fastställa vem som innehar och använder en elektronisk identitet. Vem som ursprungligen tar emot identiteten fastställs genom att identiteten styrks vid utlämnade av identitetsinformation eller att identitetsinformationen skickas till en postadress – till exempel folkbokföringsadressen eller arbetsplatsens adress – där det är sannolikhet att den person som identitetsinformationen tillhör även är den person som ta del av den informationen. För LoA 2 godtas inloggning med lösenord. Ett skydd skall finnas mot avlyssning av lösenordet, lösenordsattacker och återuppspelningsattacker.
LoA3 – kontrollerad användare och en hög tillit till identiteten LoA3 innebär att det finns god möjlighet att fastställa vem som innehar och använder en elektronisk identitet. Detta säkerställs via kontroll av giltig identitetshandling vid utlämnade av identitetsinformation. Med giltig identitetshandling menas nationellt identitetskort, pass, körkort, SIS-godkänt identitetskort och e-legitimation.
LoA4 – verifierad användare och en mycket hög tillit till identiteten LoA4 innebär att det finns mycket god möjlighet att fastställa vem som innehar och använder en elektronisk identitet.2fa
Managing assurance levels
The document "Hantering av tillitsnivåer" describes how assurance levels are requested and signaled signalled between Identity Providers and Service Providers.
...