For aftagere af Unilogin web-services gælder:
Det skal være tydeligt for brugeren, at Unilogin benyttes.
Fra Unilogin kan leverandøren hente de data og anvende dem til det formål, der - i en databehandleraftale - er indgået aftale med kommunen eller institutionen om og i det omfang, der er et relevant behov for.
Styrelsen for It og Læring kan kræve ændringer i anvendelsen eller lukke for adgang, hvis applikationen trækker unødigt meget på webservicen, eller hvis brugen strider mod god skik og brug. Dette gælder også hvis en webservice ikke benyttes gennem længere tid.
Udbyderen er forpligtet til løbende at holde Styrelsen for It og Læring orienteret om hvilke tjenester, der gives adgang til.
Oplysninger om brugerne skal behandles fortroligt, og det skal sikres, at de oplysninger, der hentes, kun kan anvendes af den enkelte person eller af ansatte ved den givne institution inden for det tidsrum, hvor den enkelte er knyttet til institutionen.
Applikationen/tjenesten bør endvidere have en P3P-politik, så det er klart for brugerne, hvad de overførte data anvendes til.
For anvendelser af Unilogin autentificeringstjenester gælder:
I Web-sammenhæng skal Unilogin Web Single Sign On altid anvendes, d.v.s. SAML eller Unilogin autentifikation (SSOproxy).
For andre løsninger baseret på f.eks. AppAuth gælder, at det skal være tydeligt for brugeren, at det er Unilogin, der anvendes.
Unilogin autentificeringstjenester må ikke anvendes indirekte i forbindelse med andre autentifikationstjenester.
Unilogin autentificeringstjenester må kun anvendes end-to-end. Transaktioner må ikke aggregeres af mellemliggende instanser.
For udstilling af Unilogin-adgangskoder i eksterne systemer gælder:
Systemtildelte (initielle) adgangskoder:
Det er tilladt at udstille den enkelte brugeres systemtildelte adgangskode til brugeren selv
Det er tilladt at udstille elevers systemtildelte adgangskoder til medarbejdere på institutionen
Det er tilladt at tilbyde værktøjer, hvor medarbejdere kan nulstille elevers adgangskode til den systemtildelte eller tildele elever en ny systemtildelt adgangskode.
Det er tilladt at tilbyde værktøjer, hvor den enkelte bruger modtager den systemtildelte adgangskode udskrevet, via e-mail eller sms.
Selvvalgte adgangskoder:
Det ikke på nogen måde tilladt at cache brugerens selvvalgte adgangskode eller opbevare den i klar tekst.
Det er aldrig tilladt at vise den selvvalgte kode i klar tekst til nogen: hverken til den enkelte bruger, til medarbejdere eller andre brugere – fx en systemadministrator.
Det er ikke tilladt at tilbyde værktøjer, hvor den enkelte bruger modtager den selvvalgte adgangskode udskrevet, via e-mail eller sms.