For aftagere af UNI-Login web-services gælder:
Det skal være tydeligt for brugeren, at UNI-Loginw benyttes.
Fra UNI-Login kan leverandøren hente de data og anvende dem til det formål, der - i en databehandleraftale - er indgået aftale med kommunen eller institutionen om og i det omfang, der er et relevant behov for.
Styrelsen for It og Læring kan kræve ændringer i anvendelsen eller lukke for adgang, hvis applikationen trækker unødigt meget på webservicen, eller hvis brugen strider mod god skik og brug. Dette gælder også hvis en webservice ikke benyttes gennem længere tid.
Udbyderen er forpligtet til løbende at holde Styrelsen for It og Læring orienteret om hvilke tjenester, der gives adgang til.
Oplysninger om brugerne skal behandles fortroligt, og det skal sikres, at de oplysninger, der hentes, kun kan anvendes af den enkelte person eller af ansatte ved den givne institution inden for det tidsrum, hvor den enkelte er knyttet til institutionen.
Applikationen/tjenesten bør endvidere have en P3P-politik, så det er klart for brugerne, hvad de overførte data anvendes til.
For anvendelser af UNI-Login autentificeringstjenester gælder:
I Web-sammenhæng skal UNI-Login Web Single Sign On altid anvendes, d.v.s. SAML eller UNI-Login autentifikation (SSOproxy).
For andre løsninger baseret på AppAuth eller UNI-Sync gælder, at det skal være tydeligt for brugeren, at det er UNI-Login, der anvendes.
UNI-Login autentificeringstjenester må ikke anvendes indirekte i forbindelse med andre autentifikationstjenester.
UNI-Login autentificeringstjenester må kun anvendes end-to-end. Transaktioner må ikke aggregeres af mellemliggende instanser.
Uden for kontekst af UNI-Sync er det ikke tilladt på nogen måde at opfange, gemme eller cache brugerens password, hverken som klartekst eller som hashværdi.
For udstilling af UNI-Login-adgangskoder i eksterne systemer gælder:
Systemtildelte (initielle) adgangskoder:
Det er tilladt at udstille den enkelte brugeres systemtildelte adgangskode til brugeren selv
Det er tilladt at udstille elevers systemtildelte adgangskoder til medarbejdere på institutionen
Det er tilladt at tilbyde værktøjer, hvor medarbejdere kan nulstille elevers adgangskode til den systemtildelte eller tildele elever en ny systemtildelt adgangskode.
Det er tilladt at tilbyde værktøjer, hvor den enkelte bruger modtager den systemtildelte adgangskode udskrevet, via e-mail eller sms.
Selvvalgte adgangskoder:
Det ikke på nogen måde tilladt at cache brugerens selvvalgte adgangskode eller opbevare den i klar tekst.
Det er aldrig tilladt at vise den selvvalgte kode i klar tekst til nogen: hverken til den enkelte bruger, til medarbejdere eller andre brugere – fx en systemadministrator.
Det er ikke tilladt at tilbyde værktøjer, hvor den enkelte bruger modtager den selvvalgte adgangskode udskrevet, via e-mail eller sms.