Versions Compared

Old Version 71

changes.mady.by.user Henric Norlander

Saved on

compared with

New Version 72

changes.mady.by.user Henric Norlander

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Åtkomstkontroll är förmågan att fatta och tillämpa beslut om en användares rätt att få tillgång till en viss digital resurs, baserat på tillgänglig identitets- och behörighetsinformation.
Förmågan innebär att kontrollera om ett åtkomstintyg eller en begäran uppfyller de krav som ställs för att åtkomst ska beviljas, och att därefter tillåta eller neka åtkomst.
KomponentBeskrivningIAM-förmågaBeskrivning
Tillitsankare

Ett Tillitsankare är en komponent som utgör den yttersta källan till tillit i en federationsinfrastruktur och publicerar signerad metadata som omfattar godkända underordnade entiteter, som tex Anslutningspunkter och Tillitsmärkesutfärdare.
Det möjliggör validering av tillitskedjor genom kryptografisk signaturvalidering.
Parter vars metadata ingår i en tillitskedja som kan valideras upp till samma Tillitsankare anses ingå i samma federation och omfattas av den tillit som Tillitsankaret representerar.

Metadatapublicering

Metadatapublicering är en IAM-förmåga som innebär att en komponent på ett kontrollerat, säkert och tillförlitligt sätt publicerar signerad metadata om sig själv – och i vissa fall även om andra entiteter – inom ramen för en federation. Publiceringen sker för att möjliggöra teknisk tillit, interoperabilitet och korrekt tolkning av entitetens roll och kapacitet i federationen.

Den metadata som publiceras kan inkludera:

  • Komponentens unika identifierare (entityID)

  • Kryptografiska nycklar för signering och kryptering

  • Endpoints för t.ex. tokenutbyte, autentisering, attributleverans

  • Kontaktuppgifter för teknisk och administrativ hantering

  • Policyinformation och tillitskrav (t.ex. LoT-nivåer, accepterade identitetsintyg)

  • Information om eventuella underordnade entiteter (t.ex. vid hierarkisk federation)

Funktionen är central för att federationens övriga parter ska kunna validera, lita på och kommunicera med komponenten på ett säkert sätt. I vissa fall sker metadatapubliceringen via en federationens gemensamma tjänst (t.ex. via ett tillitsankare), i andra fall genom egen publicering och signering

Anslutningspunkt

En Anslutningspunkt är en mellanliggande komponent i federationsinfrastrukturen som publicerar signerad metadata för underordnade entiteter som tex Legitimeringstjänster, Auktorisationstjänster, E-tjänster och API:er
Den möjliggör en delegerad och skalbar struktur för förmedling av tillitsinformation genom att fungera som ett tekniskt och organisatoriskt gränssnitt för anslutning av nya federationsparter till ett eller flera Tillitankare.

Tillitsmärkesutfärdare

En Tillitsmärkesutfärdare är en komponent i federationsinfrastrukturen som utfärdar tillitsmärken till entiteter som uppfyller definierade krav kopplade till specifika IAM-förmågor.
Tillitsmärkesutfärdaren publicerar signerad metadata som innehåller dessa tillitsmärken och agerar som betrodd part inom ramen för den federativa tillitsmodellen.

Uppslag och verifieringstjänst

En Uppslag- och verifieringstjänst är en komponent i federationsinfrastrukturen som används för att slå upp, hämta och verifiera metadata för andra entiteter inom en federation.
Tjänsten möjliggör tillitsvalidering genom att rekonstruera tillitskedjor, kontrollera signaturer och säkerställa att metadata uppfyller definierade policykrav.
Parter vars metadata kan verifieras via en Uppslag- och verifieringstjänst till ett gemensamt Tillitsankare anses omfattas av samma tillit och därmed ingå i federationen

Metadatavalidering

Metadatavalidering är en IAM-förmåga som innebär att en komponent kan hämta, tolka och kryptografiskt verifiera signerad metadata från andra entiteter inom en federation. Denna förmåga är avgörande för att säkerställa att tilliten mellan parter i federationen är tekniskt grundad och uppdaterad.

Funktionen omfattar flera moment:

  • Inhämtning av metadata från specificerade källor

  • Kontroll av signaturer och certifikat för att säkerställa att metadata är äkta och oförändrad.

  • Tolkning av metadataformat och extraktion av relevant information

  • Uppdatering av lokal cache enligt angivna regler för livslängd och uppdateringsintervall.

Metadatavalidering skapar teknisk tillit genom att identifiera och autentisera entiteter innan någon interaktion sker, och används som grund för vidare beslut inom t.ex. intygsförfrågningar och åtkomstkontrol

Legitimeringstjänst

En Legitimeringstjänst är en komponent i federationsinfrastrukturen som ansvarar för att autentisera en användare
Tjänsten utfärdar digitalt signerade intyg som kan innehålla behörighetsgrundande information, såsom användarens identifierare eller autentiseringsnivå.

Intygsutfärdande

Intygsutfärdande är en IAM-förmåga som innebär att en komponent på ett tillförlitligt och säkert sätt kan skapa och leverera digitalt signerade intyg. Dessa intyg innehåller påståenden om en användare eller klient, exempelvis vilken nivå av autentisering som har genomförts, vilka attribut som är giltiga och aktuella, eller vilka åtkomsträttigheter användaren är tilldelad.

Funktionen utgör en kärna i federativ åtkomsthantering, där beslut om åtkomst ofta baseras på dessa intyg. Förmågan inkluderar inte enbart den tekniska akten att signera data, utan även processer för att säkerställa:

  • att innehållet i intyget bygger på tillförlitlig information,

  • att syftet med intyget är tydligt definierat,

  • att leveransen sker på ett säkert sätt till rätt mottagare.

Auktorisationstjänst

En Auktorisationstjänst är en komponent som beslutar om och utfärdar information om användares åtkomsträttigheter till digitala resurser, baserat på tillgänglig identitets- och attributinformation.
Den skapar intyg som beskriver vilka resurser en användare har rätt att använda, och på vilka villkor.

Attributkälla

En Attributkälla är en komponent som tillhandahåller information om användare, exempelvis roller, organisatorisk tillhörighet eller andra behörighetsgrundande attribut.
Den fungerar som en betrodd källa till information som används av andra komponenter, som legitimerings- och auktorisationstjänster.

Attributhantering

Attributhantering är

förmågan

en IAM-förmåga som innebär att en organisation har kapacitet att säkert förvalta, kvalitetssäkra och tillgängliggöra användarattribut som används

för identitets- och åtkomstbeslut.

som underlag för identitetsverifiering, åtkomstbeslut eller intygsutfärdande. Förmågan omfattar både

teknisk leverans och ansvar

den tekniska leveransen och det verksamhetsmässiga ansvaret för att

informationen är korrekt, relevant och aktuell.
Åtkomstkontroll 

attributinformationen är:

  • Korrekt – baserad på tillförlitliga källor och uppdaterad i rätt tid.

  • Relevant – anpassad efter den aktuella användningen och inte mer omfattande än nödvändigt.

  • Aktuell – uppdaterad i takt med att användarens status, roll eller rättigheter förändras.

Attributhantering omfattar hela attributets livscykel: från skapande och uppdatering, via lagring och styrning, till selektiv utlämning i rätt sammanhang. Förmågan bygger ofta på samverkan mellan tekniska system (t.ex. katalogtjänster, IAM-lösningar, HR-system) och organisatoriska rutiner (t.ex. kontroll av rolltilldelning och uppdrag)

Åtkomstkontroll 

Åtkomstkontroll är en IAM-förmåga som innebär att en komponent kan fatta och tillämpa beslut om en användares eller klients rätt att få tillgång till en specifik digital resurs, baserat på tillgänglig identitets- och behörighetsinformation. Förmågan utgör ett centralt skydd mot obehörig åtkomst och realiserar själva åtkomstbeslutet i en federerad kontext.

Funktionen innebär att komponenten:

  • Mottar ett åtkomstintyg eller en åtkomstbegäran

  • Verifierar att det inkomna intyget är giltigt, korrekt signerat och inte förfalskat.

  • Utvärderar innehållet mot definierade behörighetsregler och policyer (t.ex. rollbaserade eller attributbaserade regler).

  • Tillämpas i realtid för att avgöra om begärd åtkomst ska beviljas eller nekas.

  • Dokumenterar eller loggar åtkomstbeslutet enligt gällande krav.

Förmågan kan implementeras både centralt (t.ex. i en auktorisationstjänst) eller lokalt (t.ex. i en resursserver eller applikation), beroende på arkitektur och säkerhetsmodell.

Status
titleTODO
sammanfoga med cellen ovan (tabellformatet blir helt fel när jag testar)

Resurs Server (API)

En Resursserver är en komponent som tillhandahåller åtkomst till skyddade digitala resurser, och som kontrollerar åtkomst baserat på presenterade intyg eller behörigheter.

E-tjänst

En E-tjänst är en webbaserad applikation som erbjuder funktionalitet till användare, ofta via en webbläsare.
Den fungerar som användarens direkta kontaktpunkt mot digitala tjänster och ansvarar för att initiera åtkomstförfrågningar och inhämta identitets- och behörighetsinformation.

Klient

En Klient är en fristående applikation eller serverprogramvara som agerar å användarens vägnar, ibland även utan direkt användarinteraktion.
Den används exempelvis i automatiserade system, mobilappar eller verksamhetssystem som kommunicerar med API:er för att hämta information eller utföra åtgärder.

Åtkomstbegäran

Status
titleTODO
sammanfoga med cellen ovan (tabellformatet blir helt fel när jag testar)

Resurs Server (API)En Resursserver

Åtkomstbegäran är en

komponent som tillhandahåller åtkomst till skyddade digitala resurser, och som kontrollerar åtkomst baserat på presenterade intyg eller behörigheter.
E-tjänst

En E-tjänst är en webbaserad applikation som erbjuder funktionalitet till användare, ofta via en webbläsare.
Den fungerar som användarens direkta kontaktpunkt mot digitala tjänster och ansvarar för att initiera åtkomstförfrågningar och inhämta identitets- och behörighetsinformation.

IAM-förmåga som innebär att en komponent kan initiera en begäran om ett identitetsintyg eller ett åtkomstintyg, i syfte att möjliggöra fortsatt åtkomst till en digital resurs eller tjänst. Förmågan omfattar att formulera och skicka en strukturerad begäran som innehåller tydlig information om:

  • Syftet med begäran (exempelvis åtkomst till en specifik resurs, eller initiering av en autentisering)

  • Vilken typ av intyg som efterfrågas (t.ex. ID-token, attributintyg, access token)

  • Vilket underlag som behövs för intygsutfärdaren att behandla begäran (t.ex. redirect URI, scope, claims, klientidentitet)

Förmågan är viktig i federerade miljöer eftersom den formaliserar och initierar flöden som bygger på tillit och verifierbarhet. En korrekt utformad åtkomstbegäran möjliggör tillförlitlig intygsutfärdning, och är därmed en nyckelkomponent i säker och interoperabel åtkomsthantering

Klient

En Klient är en fristående applikation eller serverprogramvara som agerar å användarens vägnar, ibland även utan direkt användarinteraktion.
Den används exempelvis i automatiserade system, mobilappar eller verksamhetssystem som kommunicerar med API:er för att hämta information eller utföra åtgärder.

Åtkomstbegäran

Status
titleTODO
sammanfoga med cellen ovan (tabellformatet blir helt fel när jag testar)

Här, en begäran om identitet- eller åtkomstintyg, innehållande avsett syfte med intyget, samt underlag för begärans behandling och för intygets utformning.

Tillitsmärken

Att en teknisk komponent tilldelas ett tillitsmärke innebär att komponenten (och den organisation och verksamhet som ansvarar för komponenten) uppfyller de krav som krävs för att på ett tillitsfullt sätt kunna utföra eller erbjuda IAM-förmågor. För viss samverkan via digitala tjänster kan det finnas informationssäkerhetskrav som föranleder mer omfattande tillitskrav och detta tänker vi oss ska representeras av nivåindelad tillitsmärkning.

...