Versions Compared

Old Version 48

changes.mady.by.user Henric Norlander

Saved on

compared with

New Version 49

changes.mady.by.user Henric Norlander

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: Reverted from v. 47

...

KomponentBeskrivningIAM-förmågaBeskrivning
Tillitsankare

Ett Tillitsankare är en komponent som utgör den yttersta källan till tillit i en federationsinfrastruktur och publicerar signerad metadata som omfattar godkända underordnade entiteter, som tex Anslutningspunkter och Tillitsmärkesutfärdare.
Det möjliggör validering av tillitskedjor genom kryptografisk signaturvalidering.
Parter vars metadata ingår i en tillitskedja som kan valideras upp till samma Tillitsankare anses ingå i samma federation och omfattas av den tillit som Tillitsankaret representerar.

Betrodd metadatapubliceringBetrodd metadata är information om parter som är kontrollerad och publicerad av en betrodd aktör i federationen.
Anslutningspunkt

En Anslutningspunkt är en mellanliggande komponent i federationsinfrastrukturen som publicerar signerad metadata för underordnade entiteter som tex Legitimeringstjänster, Auktorisationstjänster, E-tjänster och API:er
Den möjliggör en delegerad och skalbar struktur för förmedling av tillitsinformation genom att fungera som ett tekniskt och organisatoriskt gränssnitt för anslutning av nya federationsparter till ett eller flera Tillitankare.

Tillitsmärkesutfärdare

En Tillitsmärkesutfärdare är en komponent i federationsinfrastrukturen som utfärdar tillitsmärken till entiteter som uppfyller definierade krav kopplade till specifika IAM-förmågor.
Tillitsmärkesutfärdaren publicerar signerad metadata som innehåller dessa tillitsmärken och agerar som betrodd part inom ramen för den federativa tillitsmodellen.

Uppslag och verifieringstjänst

En Uppslag- och verifieringstjänst är en komponent i federationsinfrastrukturen som används för att slå upp, hämta och verifiera metadata för andra entiteter inom en federation.
Tjänsten möjliggör tillitsvalidering genom att rekonstruera tillitskedjor, kontrollera signaturer och säkerställa att metadata uppfyller definierade policykrav.
Parter vars metadata kan verifieras via en Uppslag- och verifieringstjänst till ett gemensamt Tillitsankare anses omfattas av samma tillit och därmed ingå i federationen

Metadatavalidering

Metadatavalidering innebär att kan hämta, tolka och kryptografiskt verifiera signerad metadata för andra entiteter inom en federation.

Legitimeringstjänst

En Legitimeringstjänst är en komponent i federationsinfrastrukturen som ansvarar för att autentisera en användare.
Tjänsten utfärdar digitalt signerade intyg som kan innehålla behörighetsgrundande information, såsom användarens identifierare eller autentiseringsnivå.

IntygsutfärdandeDigitalt signerade påståenden om en användare, såsom vilken nivå av autentisering som skett, vilka behörighetsgrundande attribut som gäller, eller vilka rättigheter användaren tilldelats.
Auktorisationstjänst

En Auktorisationstjänst är en komponent som beslutar om och utfärdar information om användares åtkomsträttigheter till digitala resurser, baserat på tillgänglig identitets- och attributinformation.
Den skapar intyg som beskriver vilka resurser en användare har rätt att använda, och på vilka villkor.

Attributkälla

En Attributkälla är en komponent som tillhandahåller information om användare, exempelvis roller, organisatorisk tillhörighet eller andra behörighetsgrundande attribut.
Den fungerar som en betrodd källa till information som används av andra komponenter, som legitimerings- och auktorisationstjänster.

Attributhantering

Attributhantering är förmågan att säkert förvalta, kvalitetssäkra och tillgängliggöra användarattribut som används för identitets- och åtkomstbeslut.
Förmågan omfattar både teknisk leverans och ansvar för att informationen är korrekt, relevant och aktuell.

Åtkomstkontroll

Åtkomstkontroll är förmågan att fatta och tillämpa beslut om en användares rätt att få tillgång till en viss digital resurs, baserat på tillgänglig identitets- och behörighetsinformation.
Förmågan innebär att kontrollera om ett åtkomstintyg eller en begäran uppfyller de krav som ställs för att åtkomst ska beviljas, och att därefter tillåta eller neka åtkomst.


Resurs Server (API)

Status
titleTODO
En Resursserver är en komponent som tillhandahåller skyddade digitala resurser, och som kontrollerar åtkomst baserat på presenterade intyg eller behörigheter.
Den realiserar åtkomstkontroll genom att verifiera att den som begär åtkomst uppfyller de krav som gäller för aktuell information eller funktion.

E-tjänst

En E-tjänst är en webbaserad applikation som erbjuder digital funktionalitet till användare, ofta via en webbläsare.
Den fungerar som användarens direkta kontaktpunkt mot digitala tjänster och ansvarar bland annat för att  inhämta identitets- och behörighetsinformation.

Status
titleTODO

Klient

Status
titleTODO

Klient

En Klient är en fristående applikation eller serverprogramvara som agerar å användarens vägnar, ibland även utan direkt användarinteraktion.
Exempelvis i automatiserade system, mobilappar eller verksamhetssystem som kommunicerar med API:er för att hämta information eller utföra åtgärder.

ÅtkomstbegäranHär, en begäran om identitet- eller åtkomstintyg, innehållande avsett syfte med intyget, samt underlag för begärans behandling och för intygets utformning.

...

KomponentTillitsmärken
LegitimeringstjänstEna Utfärdare, Ena LoT-1, Ena LoT-2, Ena LoT-3, Ena LoT-4
Auktorisationstjänst

Ena Utfärdare, Ena LoT-1, Ena LoT-2, Ena LoT-3, Ena LoT-4

AttributkällaEna Källa, Ena LoT-1, Ena LoT-2, Ena LoT-3, Ena LoT-4
Resursserver (API)Ena Hantering
E-tjänstEna Hantering
KlientEna Hantering
Info
titleNotera!
  1. Vi föreslår inte tillitsmärken för metadatapublicering och -validering. Detta då dessa förmågor är grundläggande i tillitsinfrastrukturen och det inte är vettigt att säkerställa dem genom specifik tillitsmärkning.
  2. LoT-nivå kan inte mappas rakt av mot Svensk e-legitimations LoA-nivåer, men en viss LoT-nivå kan ställa krav på att legitimering av användare skett på ett visst sätt.

Utvikning kring tillitsnivåer

...

Tillitsskapande krav kan vara av olika karaktär. Inom Enas tillisarbete har vi identifierat fyra huvudkategorier av tillitsskapande krav:

  1. Organisatoriska krav
  2. Administrativa krav
  3. Fysiska krav
  4. Tekniska krav

Vi har genomfört en analys och sammanställning av tillitskrav ställda inom federationerna Sweden Connect, Sambi, Skolfederation, SITHS och HSA. Kraven överlappar till stor del och vi har föresatt oss att skapa en nettolista av krav i Enas terminologi och anpassade för kontexten identitets- och behörighetshantering för samverkan via digitala tjänster inom Ena.

Målen med denna påbörjade men ännu inte färdiga övning är flera:

  1. Verksamheter som redan genomgått tillitsgranskning för någon av de genomgångna tillitsramverken ska automatiskt kunna vara kvalificerade för att bli tilldelade nödvändiga tillitsmärken och kunna etablera samverkan via digitala tjänster i Ena.
  2. Digitala tjänster som erbjuds inom någon av de genomgångna federationerna ska kunna erbjuda samma tjänst inom Ena till parter som är anslutna till Enas federationsinfrastruktur.
  3. Existerande federationer ska på sikt kunna luta sig emot Enas tillitsmärken för existerande tillgång till digitala tjänster och därmed minska samhällets totala kostnad för återkommande tillitsgranskningar.
Info
titlepreliminär tidplan

Vi siktar på att kunna presentera en första version av Enas kravkatalog under Q3 2025.

...

För att påvisa efterlevnad av de krav som omfattas av ett tillitsmärke krävs det periodiskt återkommande mekanismer för efterlevnadskontroll. Vi har identifierat nedanstående mekanismer som används idag i olika sammanhang:

  1. Lagstadgad efterlevnad - granskning av många myndigheters efterlevnad av lagstadgade krav genomförs dels av myndigheten intern och av utpekad kontrollmyndighet.
  2. Självdeklarerad efterlevnad baserad på intern revision - parter granskar sin egen efterlevnad genom internrevision och redovisar granskningsresultatet till Ena i en självdeklaration.
  3. Självdeklarerad efterlevnad baserad på extern revision - parter låter genomföra en externt kontrakterad revision och redovisar granskningsresultatet till Ena i en självdeklaration.
  4. Granskning - en av ena godkänd part granskar efterlevnad

Vilken granskning som genomförs beror dels av vilken part det är som granskas, dels av vilket tillitsmärke granskningen gäller. Exakt utformning av regelverk för efterlevnadskontroll kvarstår att utforma. 

...