Tähän asti Hakassa kaikki käyttäjät ovat tunnistetut korkeakoulujen toimesta viranomaisen myöntämän asiakirjan avulla tai vastaavasti käyttäjätunnuksia myönnettäessä.
Vuoden 2022 alussa Haka luottamusverkoston ensitunnistuskäytöntö muuttuu REFEDS Assurence Framework (RAF) [1] määrityksen mukaiseksi, jolloin kotiorganisaatiot voivat toteuttaa ensitunnistuksen varmuuden kolmiasteisesti nousevassa vaatimusjärjestyksessä. Uutuutena nykyiseen on sallia myös alemman tason ensitunnistus, esimerkiksi perustuen sähköpostiin.
Muutoksen avulla korkeakoulut ja palveluntarjoajat voivat joustavammin tarjota palveluitaan esimerkiksi ulkomaalaisille opiskelijoille ja tutkijoille. Uusien käyttäjäryhmien lisääntyminen voi aiheuttaa Hakaan kytketyille palveluille tarpeen tarkistaa omia käytäntöjään ja toimintatapojaan, jotta heikommin tunnistetut käyttäjät voidaan palveluissa tarvittaessa erotella muista käyttäjistä.
Haka luottamusverkoston liittymissopimuksessa velvoitetaan palveluntarjoajat valvomaan palvelun oikeutettua käyttöä. Jos palvelu edellyttää tiettyä ensitunnistuksen varmuutta, palvelun tulisi alkaa pyytää RAF määrityksen mukaisesti eduPersonAssurance attribuuttia ja alkaa tarkistaa attribuutin arvot käyttöoikeuden varmistamiseksi. Palvelun pyytämät attribuutit asetetaan resurssirekisterissä [2].
Ennen vuoden 2022 alkua kotiorganisaatiot luovuttavat eduPersonAssurance attribuutin arvoja nykyisen luottamusverkoston toimintakäytännön [3] mukaisesti. Tällä tavoin palvelut voivat tarvittaessa jo ennen varsinaista käytäntömuutosta mukautua muutokseen.
Kaikkien Hakaan liitettyjen palveluiden tulee arvioida muutoksen vaikutus omassa palvelussaan. Mikäli heikommin tunnistetuista käyttäjistä ei ole palvelulle vaikutusta, tilanne jatkuu muuttumattona. Mikäli tarvetta muutoksille on, tulee palvelussa tehdä tarvittaat pääsynvalvontasäännöt uusien attribuuttien perusteella.
Lisätietoja uudistuksesta voi tiedustella osoitteesta haka at csc.fi . Muutoksesta tiedotetaan uudelleen vuoden edetessä.
------
Currently all users in Haka are identified by higher education institutions by means of a document issued by the authority or equivalent when issuing user IDs.
At the beginning of 2022, the identity proofing policy of the Haka identity federation will change to match the REFEDS Assurence Framework (RAF) [1] definition, allowing home organizations to implement identity proofing assurance in three levels of increasing requirements. Particularly, the change allows a lower level identity proofing, for example based on email.
The change will allow universities and service providers to offer their services more flexibly, for example to foreign students and researchers. The increase in new user groups may necessitate the service providers to review their own policies and practices, in order to distinguish the less identity proofed users from other users in the services, if necessary.
The Haka service agreement obliges service providers to monitor the legitimate use of the service. If the service requires a certain level of identity proofing, the service should start requesting the eduPersonAssurance attribute as defined by the RAF specification and begin checking the attribute values to enforce the service access policy, if any. The attributes requested by the service are set in the resource registry [2].
Before the beginning of 2022, home organizations will release the values of the eduPersonAssurance attribute according to the current identity federation policy [3]. In this way, the services can adapt to the change before the actual policy update, if needed.
All services providers must assess the impact of the change on their services. If the lower identity proofing level has no effect on the service, the situation will remain unchanged. If there is a need for changes, the service must enforce the necessary access control based on the new attribute values.
For additional information, please contact haka at csc.fi. Further announcements will be sent later.
[ 1 ] https://wiki.refeds.org/display/ASS/REFEDS+Assurance+Framework+ver+1.0
[ 2 ] https://rr.funet.fi/rr