Till innehåll på sidan

Avveckling av login.kth.se och CAS protokollet

Information om avvecklingen av login.kth.se och CAS protokollet

Bakgrund

Februari 2006 infördes en central login tjänst; login.kth.se, på KTH baserad på CAS protokollet. Denna tjänst har använts av interna och externa applikationer för autentisering av KTH användare.

Då KTH inte investerat i vidareutveckling av den befintliga CAS tjänsten (login.kth.se) så har in den nuvarande lösningen stöd för modernare protokoll som SAML 2.0 eller OpenID Connect något som efterfrågas av utvecklare, externa tjänster och applikationer som används på KTH.

Vi har idag ingen möjlighet att vidareutveckla den befintliga tjänsten för att stödja de nya protokoll som efterfrågas då moderna versioner av CAS inte längre stöder funktionalitet som vi använder i den befintliga lösningen och vi skulle behöva åter implementera den funktionaliteten.

Ett av de problem som vi har med dagens lösning är att det har varit svårt att övertyga externa leverantörer att använda sig av CAS för inloggning då det kräver stora anpassningar av deras applikationer.

Vad vill vi uppnå med bytet

  • Stödja moderna standardprotokoll som OpenID Connect och SAML 2.0 för de applikationer och tjänster vi köper in till KTH.
  • Avveckla CAS protokollet för inloggning på KTH.
  • Få bättre kontroll på vilken information som skickas ut till applikationer genom att implementera informationsklassifiering på attributnivå som utfärdas till applikationer.
  • Införa krav på registrering av applikationer som använder sig av login tjänsten för att bättre uppfylla lagkrav (t.ex bättre GDPR efterlevnad).
  • Införa MFA/2FA för anställda för robustare kontosäkerhet och minimera kontokapningar.

Vad kommer ersätta login.kth.se

Befintliga CAS-baserad lösning kommer att bytas ut med den också redan befintliga lösningen som används idag för login.ug.kth.se.
Vi har använt denna lösning i produktion parallellt med login.kth.se de senaste åren för att ge tillgång till externa tjänster som Adobe Cloud, Slack och Microsoft 365.  

Vad kommer ersätta CAS protokollet

Vi kommer att ersätta CAS-protokollet med SAML 2.0 och OpenID Connect.

Ni kan läsa mer om SAML 2.0 på följande sida, https://en.wikipedia.org/wiki/SAML_2.0.
Ni kan läsa mer om OpenID Connect på följande sida, https://openid.net/connect/.

När avvecklas login.kth.se?

Avvecklingen av login.kth.se kommer att ske den 1 juni 2021.

Vilka krav ställs på tjänster/applikationer som skall kunna användas sig av logintjänsterna? 

För externa tjänster följande punkter uppfyllas:

  • Det skall finnas giltiga avtal mellan KTH och leverantören
  • En risk- och sårbarhets analys skall ha gjorts
  • Granskade GDPR DPA (Data Processor Agreement) avtal mellan KTH och leverantören.


För interna tjänster så måste tjänsten uppfylla kraven enligt policy för egenadministrerade datorsystem .

Vad behöver jag göra för förändring i min tjänst/applikation ?

För att kunna använda sig av KTH:s logintjänst som måste man göra följande två saker

  1. Registrera sin applikation för godkännande via registreringsformuläret
    (registreringsformuläret kommer att göras tillgänglig den 19 januari)
  2. Efter godkännande, migrera sin applikation från att använda CAS-protokollet till att använda sig av antingen SAML 2.0 protokollet eller OpenID Connect.
Innehållsansvarig:it-support@kth.se
Tillhör: KTH Intranät
Senast ändrad: 2021-01-15