Vägledning

Den här fördjupade vägledningen är tänkt som ett stöd inför och under arbetet med att ansluta en användarorganisation till Skolfederation. Tänk dock på att varje organisation har sina egna unika förutsättningar.

Innan ni tar det första steget är det bra att utse en tydlig ägare med mandat att driva frågan. Det vanliga är att frågan om anslutning till Skolfederation ägs av systemägare eller systemägargrupper för användarorganisationens skolsystem respektive tjänsteleverantörens abonnemangssystem.

Verktyg från Skolverket

Skolverkets satsning Lärportalen ska bland andra ge rektorer och huvudmän ökade kunskaper och kompetenser om digitaliseringens möjligheter att stödja skolutveckling, effektivisera administrationen och utveckla och stärka elevernas lärandemiljö.

Här presenteras en modell för beskrivning och kartläggning av den pedagogiska verksamhetens digitala miljö; Lärportalens modul Leda digitalisering. Del 5: Digitala ekosystem behandlar inloggning och förklarar varför man bör sträva efter plattformsoberoende och att använda standarder samt inloggning med Skolfederation (sida 5).

Verktyg från SKL

Som användarorganisation (eller skolhuvudman) i offentlig verksamhet finns SKLs (Sveriges Kommuner och Landsting) verktyg LIKA, för utvärdering och utveckling av skolans digitalisering. LIKA-verktyget mynnar ut i en handlingsplan. Läs mer om verktyg från SKL

 

Bli medlem

Det enda som behövs är en godkänd ansökan om medlemskap samt att ett medlemsavtal tecknas mellan er och federationsoperatören. I detta arbete behöver ni involvera juridiskt ansvarig hos er. Som medlem kommer ni att få rådgivning och stöd från oss genom hela processen.

Här hittar du mer information om medlemskapet.

 

Den tekniska infrastrukturen

Börja med att se över er tekniska infrastruktur. Har ni tekniskt stöd på plats för att ansluta till Skolfederation eller behöver ni upphandla och införa en ny teknisk lösning? (Skolfederations tekniska lösning är baserad på standarden SAML 2.0 som möjliggör för single sign-on mot webbtjänster.) Många företag erbjuder anslutning till Skolfederation som standardlösning. En lista över företag som erbjuder detta presenteras under fliken Integratörer och konsulter.

 

Identitets- och attributhantering

Ett viktigt syfte med Skolfederation är att minimera exponeringen av personuppgifter. En grundförutsättning för en lyckad anslutning till Skolfederation är därför att ni har ordning och reda i källkatalogen för identiteterna. Katalogen kan vara ett Microsoft AD, eDirectory, OpenLDAP eller motsvarande.

Katalogen måste underhållas för att konton och attribut ska vara aktuella. I större organisationer är det nästan en förutsättning att konton och attribut skapas och underhålls med automatik med det elevadministrativa systemet som källa.

Utöver själva identiteten på en elev eller lärare behöver SAML-biljetten ofta innehålla ytterligare standardiserade attribut. Det kan vara klass, skola, ID, kod från SCB, ålder eller liknande som styr behörigheter eller tjänster i den digitala resursen. SIS/TK 450 arbetar för att ta fram en standard med ett antal gemensamma attribut för Sveriges skolor.

Observera att det inte finns några krav på att samtliga attribut måste finnas och kunna levereras kopplade till ert medlemskap i Skolfederation. Vilka attribut som krävs i vilket fall avgörs istället i överenskommelser mellan er och respektive tjänsteleverantör.

Ni behöver sedan etablera den tekniska kopplingen mellan elevregistret och katalogtjänsten. Detta arbete involverar typiskt IT-driftsavdelning, IT-säkerhetsansvarig, Systemförvaltare för katalogtjänst och Systemförvaltare av elevadministrativt system.

 

Följande frågor är bra att ha med i sin handlingsplan för identiteter/attribut:

  • Vilka attribut behöver ni?
  • Vilka attribut kräver de leverantörer ni vill använda er av?
  • Hur säkerställer ni att den källdata ni använder för attributen hålls uppdaterad?
  • Vem har ansvar för att uppdatera och hur ofta?
  • Vilka rutiner ska ni ha för avveckling av konton?
  • Hur ofta och på vilken grund ska gamla konton rensas ut? Behövs en karenstid? Ska någon form av arkivering och historik vidmakthållas?
  • Hur ska elever med skyddad identitet hanteras? Hur får de tillgång till digitala lärresurser utan att finnas i katalogen?
  • Hur ska elever med tillfälligt personnummer hanteras? Klarar lösningen att personnumret byts?
  • Gå igenom attributlistan och säkerställ att alla attribut finns och kan levereras.
  • Analysera om någon information (t.ex. datum för lösenordsbyte, genererad e-postadress eller genererat användarID) behöver skrivas tillbaka till elevregistret från AD.

Autentisering och IdP

Skolfederation har inledningsvis inte några detaljerade krav på autentisering, utan tonvikten ligger vid att en elev kan kopplas till en unik identitet och att det finns en tillförlitlig källa för de attribut som kan anses tillräcklig för att möta de upphovsrättsliga kraven för digitala lärresurser.

Målsättningen är att alla medlemmar i Skolfederation ska kunna lita på de elektroniska intyg som ställs ut av huvudmännen, innehållande uppgifter om en användares identitet och attribut.

Det är respektive användarorganisations ansvar att se till att de identiteter och attribut som ligger till grund för de elektroniska intygen är korrekta. Om användarorganisationen brister i sin hantering av identiteter och/eller kataloguppgifter och detta leder till obehörig åtkomst till tjänster anslutna till skolfederation är detta något som användarorganisationen ansvarar för. Om bristerna är allvarliga och påverkar trovärdigheten till Skolfederation kan en medlem spärras från fortsatt medverkan. Spärren varar fram tills trovärdigheten för deras identiteter och attribut är återställd.

Arbete har påbörjats i Skolfederation för att möta krav på starkare autentisering, till exempel vid hantering av känsliga personuppgifter. Det är därför lämpligt att redan från början ha med i planen att etablera förmåga till starkare autentisering som exempelvis tvåfaktorsautentisering.

För att ansluta sig till Skolfederation behöver ni ha förmågan att utfärda intyg enligt SAMLv2 (Security Assertion Markup Language). Ni behöver en Identity Provider (IdP) kopplad till er autentiseringstjänst. Antingen driftar ni denna i egen regi med exempelvis Shibboleth, Simple SAML PHP, MobilityGuard, Nexus PortWise, NordicEdge CS eller Ubisecure. Eller så kan ni köpa den som en tjänst, till exempel från Svensk e-identitet eller någon av leverantörerna inom ramen för kammarkollegiets avtal för Infratjänster.

Skolfederation har som mål att använda följande SAMLv2-profiler (vilka bör inkluderas vid kravställning mot IT-avdelning eller leverantör av IdP-tjänst):

  • Implementationsprofilen eGov22 (beskriver vilka SAML-förmågor som erfordras).
  • Deploymentprofilen saml2int3 (beskriver hur SAML-förmågorna ska användas).

Abonnemangsavtal med tjänsteleverantörer

Tillgången till digitala läromedel styrs av abonnemangsavtal mellan beställare och leverantör. Det finns många varianter och ni bör undersöka de olika alternativen men främst fundera över den pedagogiska intentionen för det är användandet av digitala läromedel som ska styra utformningen. Den federativa anslutningen betyder inte att det är samma modell för leverans av allt digitalt innehåll.

Här listas tjänster och produkter som är anpassade för Skolfederation.

 

Enkelt ansluta Googles och Microsofts tjänster till Skolfederation

Något som många befintliga och blivande medlemmar frågar är hur man ansluter Microsofts och Googles tjänster som medlem i Skolfederation, eftersom dessa två stora tjänsteleverantörer inte är medlemmar. Det går utmärkt att ansluta Office 365 och Google Apps med samma identitetsintyg som används för att ansluta till Skolfederation. För användaren innebär det att samma inloggning som används för Skolfederation även ger tillgång till Office 365 och Google Apps.

Bakom kulisserna används samma mjukvara (IdP) för att utfärda identitetsintyg som för Skolfederation. Intyget i elektronisk form innehåller uppgifter om användares elektroniska identitet och/eller attribut i enlighet med Skolfederations tekniska krav. Användning av samma IdP som för Skolfederation ger motsvarande integration för Microsofts och Googles tjänster.

För att ansluta behöver metadata utbytas mellan den egna IdP:n och domänen i Office 365/Google Apps. Det är i stort sett samma tillvägagångssätt som för att ansluta till Skolfederation, med skillnaden att kopplingen görs enskilt mot Office 365 respektive Google Apps. När man ansluter till Google Apps eller Office 365 administrerar man sin egen applikation, vilket innebär att man även måste konfigurera den för att ansluta till Skolfederation.

Beroende på hur den egna lösningen för identitetsintyg (IdP) ser ut ser kan integrationen för Office 365 och Google Apps variera. Det finns mer tekniskt detaljerad information från både Microsoft och Google:

Microsoft https://msdn.microsoft.com/en-us/library/azure/dn641269.aspx
Google https://developers.google.com/google-apps/sso/saml_reference_implementation?csw=1