Om Identity Provider (IdP)

Vad är en IdP?

För att elever och lärare ska kunna nå provplattformen för digitala nationella prov (DNP) eller andra digitala lärresurser i Skolfederation behöver eleven eller läraren logga in via en identifieringstjänst, eller IdP (Identity Provider). Skolans IdP genomför den faktiska autentiseringen av användaren med hjälp av den eller de autentiseringsmetoder som IdP:n tillhandahåller. När användaren är autentiserad i skolans IdP skapar IdP:n ett identitetsintyg som innehåller uppgifter om den autentiserade användaren.

Detta intyg innehåller ofta information om vem användaren är, och vilken roll, behörighet, och andra typer av attribut relevanta för användarens åtkomst till exempelvis DNP eller andra digitala lärresurser. Dessa attribut hämtas automatiskt av IdP:n då IdP:n är kopplad till skolans användarkatalog.

Detta intyg skickas sedan till den tjänst som användaren vill logga in till, exempelvis DNP. Baserat på uppgifterna i intyget, och kontroll av intygets äkthet, kan sedan tjänsten logga in användaren i tjänsten.

Läs mer på Skolverkets webbplats.

Varför behöver jag skaffa en IdP för att kunna genomföra ett digitalt nationellt prov?

Skolan behöver en IdP då Skolverket ställer kravet att inloggning till DNP ska ske federativt. Det innebär att varje skola ansvarar för sin egen inloggning av användarna, i den mån att de behöver ha en IdP som uppfyller vissa standarder.

En IdP kan driftas i egen regi, vara molnbaserad eller så köper skolan den som tjänst. Kolla här för att se vilka som kan hjälpa er att hitta en IdP-lösning som passar er.

Vad behöver jag tänka på innan jag skaffar en IdP?

Det är viktigt att de tekniska kraven som ställs på IdP uppfylls tillräckligt bra, för att undvika problem i framtiden. Vid upphandling och kravställning bör skolan ange saml2int v0.2.1 (https://saml2int.org/profile/current/) som ett krav.

Det är också viktigt att IdP:n, som har till uppgift att autentisera användare och kunna ge tjänster som DNP kännedom om vilken användare som har loggat in, kan integrera med skolans användarkatalog/-databas samt att IdP:n har stöd för de autentiseringsmetoder som skolan önskar använda.

Läs mer om Google G Suite eller Microsoft Azure AD / ADFS.

Vem kan hjälpa mig att integrera en IdP?

Se här för en lista över integratörer som kan hjälpa er att komma igång.

Vad är Scope och varför är det viktigt?

Scope är en säkerhetsmekanism i Skolfederation som används för att undvika sammanblandning av identiteter mellan skolhuvudmän, i de fallen där attribut med säkerhetsdomäner används för att knyta en identitet eller en egenskap till en viss skolhuvudman. Säkerhetsdomäner knyts till IdP genom att ange skolans säkerhetsdomän(er) i IdP-metadata.

Exempel: DNP kräver attributet ePPN (eduPersonPrincipalName) vid inloggning.

Formatet för ePPN ser ut enligt följande: användar-id@säkerhetsdomän

För att Skolverket ska kunna se att användaren tillhör rätt skolhuvudman vid inloggningstillfället behöver skolhuvudmannen ha angett säkerhetsdomänen i sin IdP-metadata och laddat upp det till federationen.

Detta för att inte användaren kalle@skolhuvudman1.se ska kunna råka logga in som kalle@skolhuvudman2.se, samt för att inte Skolhuvudman1 ska kunna falskt ge ut intyg som säger att Kalle är från Skolhuvudman2 och därmed otillbörligt komma åt uppgifter från annan skolhuvudman.