Page tree
Skip to end of metadata
Go to start of metadata

Ladok använder SWAMID, Swedish Academic Identity, för inloggning i systemet. SWAMID är en identitetsfederation som omfattar de flesta lärosäten, forskningsinstitut och andra myndigheter som är relaterade till svensk forsknings- och utbildningssektor. SWAMID drivs av SUNET. Inom SWAMID finns två typer av aktörer:

  • Identitetsutfärdare, de som tillhandahåller inloggningstjänster, främst alla lärosäten tillsammans med eduID (https://eduid.se/)
  • Tjänsteleverantörer, de som tillhandahåller tjänster som användarna hos identitetsutfärdarna kan logga in i, exempelvis Ladok

Användandet av federationen för inloggning i Ladok innebär att Ladok inte innehåller några inloggningsuppgifter (ex. lösenord). Vid inloggning i Ladok så väljer användaren ett lärosäte från en lista, varvid användaren skickas vidare till lärosätets inloggninstjänst där användaren sedan loggar in (enligt de krav som lärosätet ställt upp för inloggning). Därefter skickas användaren tillbaka till Ladok tillsammans med krypterade uppgifter om inloggningen.

Lärosätena äger själva sitt data i Ladok och därmed är det upp till respektive lärosäte att besluta vilka krav som ska ställas på inloggning i Ladok. Det som Ladokkonsortiet styr är att det är SWAMID som ska användas, med de krav som ställs på identitetsutfärdarna i SWAMID.

De verktyg som finns att tillgå inom detta område är SWAMID:s tillitsprofiler. Användare kan identifieras på tre nivåer:

  • SWAMID Identity Assurance Level 1 (SWAMID AL1) - Obekräftad användare, enda kravet är egentligen att lärosätet vet att det är en person, det finns inget krav att lärosätet vet vilken identitet personen har. Användarinformation så som namn och e-post kan vara självuppgiven av användaren.
  • SWAMID Identity Assurance Level 2 (SWAMID AL2) - Bekräftad användare, lärosätet har bekräftat identiteten på användaren (exempelvis via kontroll av identitetshandlingar eller postutskick till folkbokföringsadress). Lärosätet ansvarar för att namn, e-post, personnummer och andra personuppgifter är korrekta. Dock så finns fortfarande inte krav på högre inloggningssäkerhet än lösenord (inget krav på tvåfaktors-/multifaktorsautentisering).
  • SWAMID Person-Proofed Multi-Factor Profile (SWAMID AL2-MFA-HI, även ibland omnämnd som SWAMID AL3) - Verifierad användare, högre krav på identifiering av användare än i SWAMID AL2 (exempelvis via legitimationskontroll eller rekommenderat brev med utlämning mot legitimationskontroll). Här tillkommer också krav på tvåfaktors-/multifaktorsautentisering (ex. USB-nyckel eller Freja eID Plus), detta säkerställer att det inte räcker med att få tag på en användares lösenord för att kunna utge sig för att vara denne.

Mer om detta finns att läsa i SWAMID Federation Policy på SWAMID:s hemsida: https://www.sunet.se/swamid/

Ladokkonsortiets rekommendation är att lärosätet:

  • Ser till att lyfta upp alla sina användare som använder Ladok till SWAMID AL2-nivå
  • Konfigurerar Ladok så att SWAMID AL2 krävs för inloggning för personal mot det egna lärosätet
  • Ser till att lärosätet implementerar och blir godkänt för SWAMID AL2-MFA-HI
  • Konfigurerar Ladok så att SWAMID AL2-MFA-HI krävs för alla extra känsliga aktiviteter i Ladok (ex. attestering av resultat, utfärdande av examen)

SWAMID AL2 är rekommenderad miniminivå för inloggning för personal, för att säkerställa att rätt person loggar in i Ladok. Där det finns behov av ytterligare säkerhet vid användningen av Ladok rekommenderas SWAMID AL2-MFA-HI, som dock medför en ökad komplexitet för användare samt en högre kostnad för lärosätet än SWAMID AL2.

Ladokkonsortiet har en pågående dialog med IT- och SA-chefer vid lärosätena, för att ovanstående ska gälla som grundnivå för alla lärosäten i Ladok.

Förutom det som gäller för personal, så är också rekommendationen att även kräva SWAMID AL2 för inloggning i Ladok för studenter (Studentgränssnittet). Till att börja med för studenter med svenskt personnummer (som är lättare att identifiera än internationella studenter), men så småningom även för studenter utan svenskt personnummer.

  • No labels