Versions Compared

Old Version 69

changes.mady.by.user Henric Norlander

Saved on

compared with

New Version 70

changes.mady.by.user Henric Norlander

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Tillitshantering utgör ett ramverk för hur man säkerställer att komponenter inom federationen uppfyller säkerhets- och kvalitetskrav avseende teknik, organisation och styrning. Det är det gemensamma språket som möjliggör återanvändning och etablering av tillit mellan olika verksamhetsområden eller domäner. Tillitshantering utgör grunden för att kunna etablera samverkan och besvarar frågan: ”Varför kan vi lita på komponenterna och aktörerna i infrastrukturen?”.

Nyckelbegrepp:

  • IAM-förmåga: Det är dessa förmågor som hanterar och skapar tillitsfull information. Realiseras av tekniska komponenter som tillhandahåller funktioner för identitet och behörighet, exempelvis autentisering, attributhantering och åtkomstkontroll. 

  • Tillitsfull information: Strukturerad information som förmedlas inom federationen såsom tex metadata, intyg.

  • Tillitsmärken: Tilldelas komponenter som uppfyller säkerhetskrav på exempelvis autentisering, attributhantering och åtkomstkontroll. Märkena indikerar att de tillitsskapande kraven är uppfyllda.

    • Omfattar fyra kategorier av tillitsskapande krav:

      • Tekniska

      • Organisatoriska

      • Administrativa

      • Fysiska

  • Tillitsnivåer: definieras enligt känslighetsklassificering och bygger på MSB:s modell för konfidentialitet och riktighet

  • Efterlevnadskontroll: Genom mekanismer som självdeklaration eller extern granskning säkerställs att säkerhetskrav fortsatt uppfylls

...

Samverkan bygger på att aktörer ansluter sina komponenter (såsom e-tjänster, API:er, legitimeringstjänster eller auktorisationstjänster) till infrastrukturen, och därefter genomför informationsutbyte inom ramen för federationens regelverk. Varje åtkomstförfrågan vilar på etablerad tillit, verifierbar metadata, och säker hantering av digitala intyg.

2.3.1

...

Tillit till andra tjänster

Image Added

Följande begrepp är centrala för att förstå hur digital samverkan fungerar inom federationsinfrastrukturen:

  • Federationsmedlemmar
    Aktörer som som ansluter till federationsinfrastrukturen – exempelvis legitimeringstjänster, auktorisationstjänster, e-tjänster eller resursservrar – kallas federationsmedlemmar. Dessa registreras via en anslutningsoperatör och får sin metadata signerad och verifierbar enligt federationens regelverk.

  • Åtkomstbegäran
    En begäran om att få tillgång till viss digital information eller funktionalitet. Den initieras av en part (t.ex. en klient eller e-tjänst) och inkluderar information om syftet med åtkomsten och vilket underlag som krävs (t.ex. identitet, behörighet, kontextuella attribut).

  • Intyg och attribut
    Den efterfrågade informationen levereras i form av digitala intyg (t.ex. ID-token, access token, claims) från intygstjänster eller attributkällor. Dessa intyg är digitalt signerade och innehåller verifierbara påståenden om användaren eller systemet.

  • Tillitsmärken
    För att säkerställa tillförlitligheten i informationsutbytet måste alla ingående komponenter (t.ex. intygstjänster, attributkällor, klienter) vara tilldelade tillitsmärken som anger vilken Level of Trust (LoT) de uppfyllertillitsnivå de lever upp till. Dessa märken bygger på informationssäkerhetskrav kopplade till konfidentialitet och riktighet.

  • Verifiering via federationens tekniska infrastruktur
    Metadata och intyg verifieras genom federationens tekniska funktioner – exempelvis Resolver-tjänster som slår upp och validerar signerad metadata. Det säkerställer att varje komponent är godkänd och aktuell.

  • Åtkomstbeslut och informationsutbyte
    Efter genomförd verifiering kan den förlitande parten fatta ett åtkomstbeslut. Om beslutet är positivt utbyts information mellan parterna enligt det regelverk som gäller för den aktuella federationen.

2.3.2

...

Digital samverkan med stöd av federationsinfrastrukturen

Status
titleTODO
Infoga förenklad bild av flöde, 2 parter som utbyter information, samt validerar metadata (tillitsinformation)

Image Added

Nedan beskrivs det typiska flödet som sker när två parter samverkar via federationsinfrastrukturen:

...

Initiering av åtkomstbegäran
En klient eller e-tjänst initierar en åtkomstbegäran till en resurs, och specificerar vilken typ av information som behövs (t.ex. autentiseringsnivå, attribut, behörigheter).

  • Verifiering genom federationens tekniska infrastruktur
    Metadata verifieras tex genom uppslag i Resolver-tjänst och validering av tillitskedjor. Det inkluderar kontroll av signaturer, certifikat och tillitsmärken.

  • Åtkomstbegäran
    En begäran om att få tillgång till viss digital information eller funktionalitet. Den initieras av en part

...

  • (t.ex. en

...

  • klient eller

...

  • e-tjänst) och inkluderar information om syftet med åtkomsten och vilket underlag som krävs (t.ex. identitet, behörighet, kontextuella attribut).

  • Intyg
    Den efterfrågade informationen levereras i form av digitala intyg

...

  • (t.ex.

...

  • ID-token, access token, claims) från intygstjänster eller attributkällor. Dessa intyg är digitalt signerade och innehåller verifierbara påståenden om användaren eller systemet.

  • Åtkomstbeslut och informationsutbyte
    När samtliga krav är verifierade kan e-tjänsten fatta ett åtkomstbeslut. Om åtkomst beviljas kan utbytet av information ske säkert och i enlighet med federationens regelverk.

Hur Digtal samverkan är uppbyggd beskrivs här: Digital samverkan

...