...
Övergripande federationsinfrastruktur
Federativ kontext skapas genom att etablera tillitsankare som definierar de tekniska regler som gäller för underliggande entiteter. Tillitsankaret fastställer även vilka tillitsmärken som är giltiga inom det federativa kontextet.
...
Teknisk uppbyggnad av federationer enligt OpenID Federation
Federationsinfrastrukturen enligt OpenID Federation-specifikationen bygger på distribuerad publicering och verifiering av signerad metadata. Varje aktör i federationen representeras av en eller flera entiteter som exponerar en entity statement –en signerad JSON Web Token (JWT) som innehåller information om entiteten, dess metadata, policies och nycklar. Den tekniska tilliten i infrastrukturen etableras genom att dessa uttalanden kan kedjas ihop i en verifierbar tillitskedja upp till en gemensam Tillitsankartjänst.
Tillitsankartjänst (Trust Anchor)
Tillitsankartjänsten fungerar som den yttersta källan till tillit. Den publicerar signerade entity statements för de Anslutningstjänster och Tillitsmärkestjänster som den erkänner. Dessa uttalanden utgör roten i varje tillitskedja och verifieras kryptografiskt. Endast aktörer som kan härledas till en gemensam tillitsankare anses ingå i samma federation.
Anslutningstjänst (Intermediate Entity)
Anslutningstjänsten fungerar som ett tekniskt nav som aggregerar, omformar och publicerar metadata om underordnade entiteter – t.ex. e-tjänster, API:er, legitimeringstjänster eller attributkällor. Den tillför också egna policies och signerade uttalanden, vilket gör det möjligt att tillämpa lokala villkor utan att bryta den federativa strukturen.
Federationsmedlemmar (Leaf Entities)
Federationsmedlemmar som legitimeringstjänster, auktorisationstjänster eller e-tjänster publicerar sina egna entity statements och tillhandahåller teknisk metadata om endpoints, nycklar och tillämpade policyer. Dessa är signerade och refererar till anslutningstjänstens uttalande.
Tillitsmärkestjänst (Trust Mark Issuer)
En tillitsmärkestjänst agerar som en oberoende utfärdare av tillitsmärken – strukturerade och signerade bevis på att en viss entitet uppfyller tillitskapande krav kopplade till en IAM-förmåga (t.ex. autentisering, attributhantering). Märket bifogas i entitetens metadata, som ett JWT-claim enligt OpenID Federation-standarden. Det kan valideras oberoende av metadataflödet, vilket möjliggör policybaserade åtkomstbeslutTillitshantering-v118-2….
Uppslags- och verifieringstjänst (Resolver)
För att åstadkomma teknisk verifiering vid användning används en Uppslags- och verifieringstjänst som dynamiskt bygger tillitskedjor genom att följa authority hints och kontrollera signaturer, certifikat och policyvillkor. Detta möjliggör realtidsvalidering av entiteter, utan att dessa måste vara kända i förväg.
Tillitskedjor – dynamisk och verifierbar metadata
En central mekanism i federationsinfrastrukturen är tillitskedjan – en verifierbar, kryptografiskt signerad sekvens av metadatauttalanden (entity statements) som knyter samman en tjänstekomponent (t.ex. en e-tjänst) med federationens Tillitsankartjänst. Kedjan visar vem som intygar vem, på vilket sätt, och med vilka tillitsvillkor.
Tillitskedjan byggs dynamiskt vid behov – exempelvis när en e-tjänst begär ett åtkomstintyg eller konsumerar metadata. Varje led i kedjan är ett signerat uttalande där:
Tjänstekomponenten (t.ex. e-tjänst eller API) signerar och publicerar sin egen metadata,
Anslutningstjänsten intygar komponenten och förmedlar sin egen policy,
Tillitsankartjänsten signerar anslutningstjänsten och fungerar som rot för validering.
En verifieringstjänst eller annan mottagande part rekonstruerar denna kedja genom att följa authority hints i metadata, hämta uttalanden, validera signaturer och kontrollera att tillitsmärken och policies uppfyller de krav som ställs.
Om kedjan kan spåras till en gemensam tillitsankare, och alla ingående entiteter är giltiga och uppfyller krav på tillitsmärken, så kan aktörerna känna tillit till att kommunikationen sker med rätt part, enligt överenskommen säkerhetsnivå och med stöd av verifierbar tillitsinformation.
Möjligheten att bygga upp tillitskedjor dynamiskt ersätter behovet av manuella relationer, bilaterala avtal och statisk konfiguration mellan parter. Istället för att varje organisation i förväg måste känna till och konfigurera alla andra aktörer de vill samverka med, gör federationens arkitektur det möjligt att automatiskt och i realtid avgöra om en motpart är betrodd. Detta skapar en flexibel och skalbar struktur där nya aktörer kan anslutas utan att hela infrastrukturen behöver uppdateras – och där tilliten etableras och verifieras tekniskt, enligt gemensamma regler och tillitsmärken. Det är denna mekanism som möjliggör bred och säker digital samverkan över organisationsgränser och verksamhetsområden.
Federativa kontext
Metadata
Roller och ansvar
Federationsoperatör
...