Versions Compared

Old Version 4

changes.mady.by.user Anders Malmros

Saved on

compared with

New Version 5

changes.mady.by.user Anders Malmros

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

K/R


1


2


3


4


44444
33334
22234
11234

'

 Exempel 2: Det högsta värdet av konfidentialiteten eller riktigheten styr värderingen.

...

...ta med de olika parterna som samverkar kring tilliten (adm-katalog, katalog, avsändare/intygare, ev förmedlande parter i en kedja etc.)

...


Level of trust (LoT)

...

Modell - Anders förslag

Image Added

Ref: ena-authorization/tillitsmodell/arkitekturell_modell.md at tillitmodell · diggsweden/ena-authorization

Varje specifikt tillitsmärke har följande egenskaper:

  1. det gäller en specifik komponenttyp
  2. det ger en viss nivå av tillit (Level of Trust)
  3. det omfattar ett visst urval av krav från den gemensamma kravkatalogen
  4. det har ett regelverk för hur uppfyllande av tillitsmärkets krav ska kontrolleras

Grafiskt kan detta presenteras på två olika sätt:

Image Added

Ref: https://samarbeta.digg.se/index.php/f/161796

Den övre bilden detaljerar att det finns totalt 4 x 4 = 16 tillitsmärken, medan den undre bilden döljer det faktum att det finns 16 märken och endast beskriver modellen konceptuellt. Detta för att förtydliga att en specifik samverkan ställer krav på tillitsnivå och att detta då gäller alla inblandade komponenter.


Vad innebär det att en komponent är innehavare av ett tillitsmärke på en viss tillitsnivå?

Level of Trust
LoT
Vad innebär det?När ska man kräva det?
LoT0Inga krav alls. Avsaknad av tillitsmärke.
Medlem i Ena
 
LoT1Inga större krav på att identitet och åtkomststyrande attribut är korrekta
LoT2

LoT3



LoT4Jobbiga krav: 27001, Nycklar i HSM, beväpnade vakter, osv slightly smiling face 










Hur kan tillitsmärken nyttjas till fler saker?

Tillit är subjektiv och uppstår ofta lokalt mellan parter som har en befintlig relation. Vad vi gör inom Ena är att försöka skapa en modell och ett ramverk som gör att tillit kan uppstå till parter man inte har en relation med sedan tidigare. Man behöver dock inte begränsa användandet av tillitsmärken utan man kan tillåta skapandet av lokala tillitsmärken för att markera lokal tillit.

  1. Tillitsmärken som representerar externt reglerad avtalsrelation. Man skulle till exempel kunna tänka sig skapa tillitsmärken för Nationella läkemedelslistan:
    1. NLL Klient - komponent godkänd att koppla upp sig mot NLL API i syfte att visa information för invånare.
    2. NLL Vårdgivare - komponent godkänd för att koppla upp sig mot NLL API i syfte att skapa recept, samt visa information för vårdmedarbetare.
    3. ...
  2. Tillitsmärken som representerar lokal tillit inom ett visst samverkanskontext där åtkomst inte bestäms regelstyrt baserat på klientegenskaper utan explicit till specifika klienter.
  3. ...