Elektroniska identiteter i AKKA vid Uppsala universitet

Detta PM beskriver de olika typer av elektroniska identiteter som finns i Uppsala universitets katalogsystem AKKA. PMet är framtaget med tre syften; Dels för att kortfattat beskriva AKKAs identitetstyper. Dels för att definiera förtroendenivå enligt NIST Electronic Authentication Guideline Version 1.0.2 och OMB E-Authentication Guidance for Federal Agencies för identitetstyperna. Och dels för att definiera om en viss identitetstyp får delta i Swedish Academic Identity Federation, nedan kallat SWAMID.

I detta PM är det bara säkerställandet att en viss identitet tillhör en viss person och identitetens livscykel som bedöms mot SWAMIDs Definition av förtroendenivåer gällande identitetsutgivande.

 

SWAMIDs relation till förtroendenivåer

För att en identitet ska få delta i identitetsfederationen SWAMID krävs att det inte finns något som hindrar att identiteten kan uppfylla LoA2.

 

AKKAs relation till förtroendenivåer

Här följer en beskrivning av alla identitetstyper i AKKA inkl. förtroendenivåklassificering och definition av eventuellt deltagande i SWAMID. De två senare sammanfattas först i tabellen nedan och sedan kommer en längre beskrivning.

IdentitetstypFörtroendenivåSWAMID
PersonalidentitetLoA2-4Ja
StuderandeidentitetLoA2-4Ja
FunktionsidentitetLoA1Nej
StudentorganisationsidentitetLoA1Nej
Extern identitetLoA1Nej
GästidentitetLoA2Nej
Tillfällig identitetLoA1Nej

I samband med överlämnandet av den elektroniska identiteten övergår ansvaret för att endast avsedd person/personer använder den elektroniska identiteten till innehavaren av den elektroniska identiteten. Personen/personerna bär sedan ansvaret för att rapportera in förlust av den elektroniska identiteten och andra händelser som kan medföra att suveränitet över den elektroniska identiteten inte längre kan garanteras.

 

Personalidentitet

Personal vid Uppsala universitet har möjlighet att ha en elektronisk identitet under den period som de är anställda vid Uppsala universitet. Till personal räknas även personer som av prefekt/motsv. anses vara verksam vid institutionen/motsvarande utan att inneha en formell anställning, s.k. övrigt verksam person, se "Begreppet verksam i universitetskatalogen AKKA".

När den katalogansvarige vid institutionen/motsvarande lägger in en anställning på en person i universitetskatalogen har de även möjlighet att aktivera den elektroniska identiteten för den anställde. Uppgifter om den elektroniska identiteten skickas i slutet kuvert adresserat till den anställdes adress vid institutionen eller hämtas mot uppvisande av giltig identitetshandling på IT stöd. Med avseende på detta uppfylls LoA2 enligt definitionen i inledningen.

Förtroendenivå LoA4 kan uppfyllas om identitetsinformation såsom lösenord endast lämnas ut i samband med uppvisande av giltig identitetshandling. Detta kan genomföras på flera sätt, t.ex. lämna ut informationen mot uppvisande av giltig identitetshandling på särskilda utlämningsställen eller skicka informationen med hjälp av rekommenderad post. Vidare är det möjligt att registrera att giltig svensk legitimationshandling eller pass för utländska medborgare har kontrollerats av särskilda handläggare.

Den elektroniska identiteten avslutas automatiskt när den sista anställningen tas bort på personen ur universitetskatalogen.

 

Studerandeidentitet

Studerande vid Uppsala universitet har möjlighet att ha en elektronisk identitet så länge som de är aktivt studerande vid universitetet. Med aktivt studerande menas för grundutbildningsstuderande att den studerande är registrerad på kurs eller har resultatregistrering på en kurs innevarande termin och för en forskarstuderande att denne har en aktivitetsgrad större än 0 % innevarande eller föregående termin.

Den studerande söker elektronisk identitet antingen via en elektronisk blankett, där personnummer och pinkod som är utskickad med post till aktuell adress i Uppdok/ Ladok används för identifiering, eller via en pappersblankett.

Uppgifter om den elektroniska identiteten kan lämnas ut enligt eget val efter ansökan och kontroll av att den studerande är aktivt studerande innevarande termin på tre olika sätt:

  • hämtas elektroniskt på särskild webbsida där identifiering sker med personnummer och samma pinkod som användes vid den elektroniska ansökan (kan bara användas i kombination med elektronisk ansökan), 
  • skickas i slutet kuvert till aktuell adress i Uppdok/Ladok eller
  • hämtas mot uppvisande av legitimation på särskilda utlämningsställen.

Förtroendenivå LoA4 kan uppfyllas om identitetsinformation såsom lösenord endast lämnas ut i samband med uppvisande av giltig identitetshandling på samma sätt som för identitetstypen personal. I övriga fall uppfylls LoA2.

Terminsvis kontrolleras att den studerande fortfarande är aktivt studerande, om inte stängs kontot automatiskt av 15 februari om senaste registrering var föregående vårtermin och 15 september om senaste registrering var föregående hösttermin. Undantagsvis kan en studerande behålla sin identitet även om denne inte f.n. studerar vid Uppsala universitet, t.ex. vid utbytesstudier utomlands eller innehar ett arvoderat förtroendeuppdrag i kår, nation eller annan studentorganisation.

 

Funktionsidentitet

Institutioner/motsvarande vid universitetet har ofta behov av e-postadresser där innehavaren av en viss e-postadress växlar men behovet av kontinuitet är stort med avseende på tillgång till gamla e-postkonversationer eller där flera personer delar på en och samma e-postadress och behöver kunna ta del av e-postkonversationerna.

Funktionsidentiteter används även för utrustning som behöver kunna autentisera mot någon tjänst, såsom nätinloggning, eller kunna skicka och ta emot e-post, t.ex. kopiatorer.

Förtroendenivå LoA2 kan inte uppnås då det inte är säkert att det är en enskild person som innehar identiteten. Med avseende på detta kan dessa identiteter inte användas inom SWAMID.

De elektroniska identiteterna avslutas först när institutionen/motsvarande meddelar att de inte längre vill använda dem eller då ansvariga för hanteringen av elektroniska identiteter genomför en revision av funktionsidentiteter och inte får information om att identiteten ska fortsätta att vara aktiv.

 

Studentorganisationsidentitet

Godkända studentorganisationer vid Uppsala universitet kan få elektroniska identiteter efter att ordförande/förste kurator/motsvarande har skickat in en skriftlig begäran om att etablera en eller flera elektroniska identiteter. Brev med uppgifter om den elektroniska identiteten skickas till av organisationen angiven adress. Med godkänd studentorganisation vid Uppsala universitet menas en studentorganisation som blivit godkänd av chefen för studerandebyrån. Villkor för godkännandet innebär i korthet att studentorganisationen har verksamhet avsedd för studerande vid universitetet.

Förtroendenivå LoA2 kan inte uppnås då det inte är säkert att det är en enskild person som innehar identiteten. Med avseende på detta kan dessa identiteter inte användas inom SWAMID.

De elektroniska identiteterna avslutas först när studentorganisationen meddelar att de inte längre vill använda dem eller då ansvariga för hanteringen av elektroniska identiteter genomför en revision av identiteter för studentorganisationer och inte får kontakt med organisationen.

 

Extern identitet

Vid vissa tillfällen behöver personer som inte är verksamma vid universitetet enligt ovan en elektronisk identitet för att komma åt olika för identiteten identifierade IT-tjänster. Dessa elektroniska identiteter skapas och delas ut i särskild ordning.

Förtroendenivå LoA2 kan inte uppnås då det inte är säkert att det är en enskild person som innehar identiteten. Med avseende på detta kan dessa identiteter inte användas inom SWAMID.

Den elektroniska identiteten avslutas antingen då den verksamhet vid universitetet som begärt den elektroniska identiteten meddelar att den ska upphöra eller då ansvariga för elektroniska identiteter genomför en revision och inte får information om att identiteten ska fortsätta att vara aktiv.

 

Gästidentitet

Det främsta sättet för besökanden från andra lärosäten att få tillgång till det trådlösa nätet vid Uppsala universitet är via eduroam . Eduroam kan dock bara användas av de besökare vars hemmaorganisationer deltar i samarbetet eduroam. Med avseende på detta kan övriga besökare vid behov bli tilldelade en gästidentitet för nätanvändning vid besöket av universitetet.

All personal är generellt delegerad rätten att utfärda max fem samtidiga gästidentiteter där dessa kan vara giltiga i max sju dygn. Den generella rättigheten att utfärda gästidentiteter kan inskränkas efter beslut av prefekt/motsv. Särskilt definierade personer har rätt att utfärda ett obegränsat antal gästidentiteter med en giltighet på max 30 dagar avsett för konferenser och längre besök vid en institution/motsv.

Giltig identitetshandling ska kontrolleras vid utlämnade av identiteten vilket medför LoA2 men med avseende på att den som innehar identiteten inte är knuten till Uppsala universitet kan identiteten inte användas i SWAMID.

Den elektroniska identiteten avslutas antingen vid den tidpunkt som definierats när identiteten skapades eller tidigare om behov finns.

 

Tillfällig identitet

Personer som tillfälligt besöker universitetet och behöver använda IT-tjänster vid universitetet, undantaget nätaccess, kan få en tillfällig identitet. I samband med konferenser eller större möten kan det hända att flera personer delar på den tillfälliga identiteten. Tillfälliga identiteter delas ut i särskild ordning av definierade anställda vid universitetet.

Förtroendenivå LoA2 kan inte uppnås då det inte är säkert att det är en enskild person som innehar identiteten. Med avseende på att dessa identiteter inte behöver tillhöra personer knutna till Uppsala universitet eller att det inte är säkert att en enskild person innehar identiteten kan identiteten inte användas i SWAMID.

Den elektroniska identiteten avslutas antingen vid den tidpunkt som har begärts av den verksamhet vid universitetet som ansökt om den eller då ansvariga för elektroniska identiteter genomför en revision och inte får information om att identiteten ska fortsätta att vara aktiv.