Skolfederation Trust Framework
The document “Tillitsramverk för Skolfederation” forms the foundation for the trust and security requirements agreed between the Skolfederation Member Organisations regarding digital identities, user attributes, and the protection of privacy.
tillitsramverk-for-skolfederation.pdf
Assurance Statement Release in Skolfederation (DRAFT)
The document below is a DRAFT version of a specification introducing a new set of controlled URI values for expressing authentication context and level of identity assurance. It also defines implementation requirements and metadata signalling mechanisms for both Identity Providers and Relying Parties, enabling interoperability and policy-driven access control in federated environments.
Assurance-Statement-Release-in-Skolfederation.pdf
This specification proposes that the current assurance levels (listed below) will be withdrawn and replaced by the URI values and associated requirements described herein.
The Swedish Internet Foundation welcomes feedback and comments on the specification. Please send your input to: info@skolfederation.se.
...
Assurance levels
| Info |
|---|
The assurance levels applied within Skolfederation are under evaluation. |
An identity provider SHOULD support the release of identity assurance of subjects using the identifiers of the respective identity assurance profiles.
eduPersonAssurance attribute MUST be used.
Prior to the release of the SAML WebSSO Technology Profile 1.0.0, the transfer of an subject's level of assurance (LOA) was accomplished through the use of the authncontextclassref. However, if the eduPersonAssurance attribute is present in a subject's attribute statement, it supersedes the authncontextclassref. It is planned that in the future, the use of LOA in the authncontextclassref attribute will be phased out.
...
for Skolfederation
Currently, the trust levels "BasicBas" and "2FA" are applied within the School FederationSkolfederation.
Bas - approved member of
...
Skolfederation
Bas does not entail any other requirements than those that come with membership in the school federationSkolfederation. Bas is implied if no assurance level is signalled.
Identifier: http://id.skolfederation.se/loa/bas
2FA – Two-factor authentication
The protection class for e-identities and issuance of identity certificates whose level of protection corresponds to the Swedish Data Authority for Privacy Protection Authority's requirements for strong authentication when an IT system is accessible via the Internet, and the system contains sensitive information. Skolfederation does not review compliance with the requirement; this is the responsibility of the school principalorganiser.
identifierIdentifier: http://id.skolfederation.se/loa/2fa
AL1
To be announced.
AL2
To be announced.
AL3
To be announced.
Deprecated:
This section is no longer applicable and is only kept for historical reasons.
Currently, the assurance levels "Bas" and "2FA" are applied within Skolfederation. If no assurance level is sent in the AuthenticationContext element of the SAML Assertion, Bas level is implied.
The assurance levels' schemas below are listed in IANA's list of LoA profiles. No audit of member organization compliance regarding the assurance levels is currently performed by Skolfederation. This responsability lies with the school principal.
...
Default. Implied if no assurance level is signaled.
...
...
Multifactor authentication that corresponds to Integritetsskyddsmyndigheten's strong authentication requirement for accessing sensitive personal information over the Internet.
...
Bas – godkänd medlem i Skolfederation Bas medför inga andra krav än de som följer med medlemskapet i skolfederation.
2FA – tvåfaktorsautentisering Den skyddsklass för E-legitimationer och utställande av Identitetsintyg vars grad av skydd motsvarar datainspektionens krav på stark autentisering, då IT-system är tillgängligt via Internet, och systemet innehåller integritetskänsliga uppgifter. Ingen granskning av kravets efterlevnad görs av Skolfederation, utan detta åvilar Skolhuvudmannen.
LoA 2 – krav på bekräftad användare och en viss tillit till identiteten LoA2 innebär att det finns rimlig möjlighet att fastställa vem som innehar och använder en elektronisk identitet. Vem som ursprungligen tar emot identiteten fastställs genom att identiteten styrks vid utlämnade av identitetsinformation eller att identitetsinformationen skickas till en postadress – till exempel folkbokföringsadressen eller arbetsplatsens adress – där det är sannolikhet att den person som identitetsinformationen tillhör även är den person som ta del av den informationen. För LoA 2 godtas inloggning med lösenord. Ett skydd skall finnas mot avlyssning av lösenordet, lösenordsattacker och återuppspelningsattacker.
LoA3 – kontrollerad användare och en hög tillit till identiteten LoA3 innebär att det finns god möjlighet att fastställa vem som innehar och använder en elektronisk identitet. Detta säkerställs via kontroll av giltig identitetshandling vid utlämnade av identitetsinformation. Med giltig identitetshandling menas nationellt identitetskort, pass, körkort, SIS-godkänt identitetskort och e-legitimation.
LoA4 – verifierad användare och en mycket hög tillit till identiteten LoA4 innebär att det finns mycket god möjlighet att fastställa vem som innehar och använder en elektronisk identitet.
Managing assurance levels
The document "Hantering av tillitsnivåer" describes how assurance levels are requested and signaled signalled between Identity Providers and Service Providers.
...