Versions Compared

Old Version 74

changes.mady.by.user Henric Norlander

Saved on

compared with

New Version 75

changes.mady.by.user Henric Norlander

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Övergripande federationsinfrastruktur

Teknisk uppbyggnad av federationer enligt OpenID Federation

Federationsinfrastrukturen enligt OpenID Federation-specifikationen bygger på distribuerad publicering och verifiering av signerad metadata. Varje aktör i federationen representeras av en eller flera entiteter som exponerar en entity statement –en signerad JSON Web Token (JWT) som innehåller information om entiteten, dess metadata, policies och nycklar. Den tekniska tilliten i infrastrukturen etableras genom att dessa uttalanden kan kedjas ihop i en verifierbar tillitskedja upp till en gemensam Tillitsankartjänst.

Tillitsankartjänst (Trust Anchor)

Tillitsankartjänsten fungerar som den yttersta källan till tillit. Den publicerar signerade entity statements för de Anslutningstjänster och Tillitsmärkestjänster som den erkänner. Dessa uttalanden utgör roten i varje tillitskedja och verifieras kryptografiskt. Endast aktörer som kan härledas till en gemensam tillitsankare anses ingå i samma federation.

Anslutningstjänst (Intermediate Entity)

Anslutningstjänsten fungerar som ett tekniskt nav som aggregerar, omformar och publicerar metadata om underordnade entiteter – t.ex. e-tjänster, API:er, legitimeringstjänster eller attributkällor. Den tillför också egna policies och signerade uttalanden, vilket gör det möjligt att tillämpa lokala villkor utan att bryta den federativa strukturen.

Federationsmedlemmar (Leaf Entities)

Federationsmedlemmar som legitimeringstjänster, auktorisationstjänster eller e-tjänster publicerar sina egna entity statements och tillhandahåller teknisk metadata om endpoints, nycklar och tillämpade policyer. Dessa är signerade och refererar till anslutningstjänstens uttalande.

Tillitsmärkestjänst (Trust Mark Issuer)

En tillitsmärkestjänst agerar som en oberoende utfärdare av tillitsmärken – strukturerade och signerade bevis på att en viss entitet uppfyller tillitskapande krav kopplade till en IAM-förmåga (t.ex. autentisering, attributhantering). Märket bifogas i entitetens metadata, som ett JWT-claim enligt OpenID Federation-standarden. Det kan valideras oberoende av metadataflödet, vilket möjliggör policybaserade åtkomstbeslutTillitshantering-v118-2….

Uppslags- och verifieringstjänst (Resolver)

För att åstadkomma teknisk verifiering vid användning används en Uppslags- och verifieringstjänst som dynamiskt bygger tillitskedjor genom att följa authority hints och kontrollera signaturer, certifikat och policyvillkor. Detta möjliggör realtidsvalidering av entiteter, utan att dessa måste vara kända i förväg.

Tillitskedjor – dynamisk och verifierbar metadata

En central mekanism i federationsinfrastrukturen är tillitskedjan – en verifierbar, kryptografiskt signerad sekvens av metadatauttalanden (entity statements) som knyter samman en tjänstekomponent (t.ex. en e-tjänst) med federationens Tillitsankartjänst. Kedjan visar vem som intygar vem, på vilket sätt, och med vilka tillitsvillkor.

Tillitskedjan byggs dynamiskt vid behov – exempelvis när en e-tjänst begär ett åtkomstintyg eller konsumerar metadata. Varje led i kedjan är ett signerat uttalande där:

  • Tjänstekomponenten (t.ex. e-tjänst eller API) signerar och publicerar sin egen metadata,

  • Anslutningstjänsten intygar komponenten och förmedlar sin egen policy,

  • Tillitsankartjänsten signerar anslutningstjänsten och fungerar som rot för validering.

En verifieringstjänst eller annan mottagande part rekonstruerar denna kedja genom att följa authority hints i metadata, hämta uttalanden, validera signaturer och kontrollera att tillitsmärken och policies uppfyller de krav som ställs.

Om kedjan kan spåras till en gemensam tillitsankare, och alla ingående entiteter är giltiga och uppfyller krav på tillitsmärken, så kan aktörerna känna tillit till att kommunikationen sker med rätt part, enligt överenskommen säkerhetsnivå och med stöd av verifierbar tillitsinformation.

Möjligheten att bygga upp tillitskedjor dynamiskt ersätter behovet av manuella relationer, bilaterala avtal och statisk konfiguration mellan parter. Istället för att varje organisation i förväg måste känna till och konfigurera alla andra aktörer de vill samverka med, gör federationens arkitektur det möjligt att automatiskt och i realtid avgöra om en motpart är betrodd. Detta skapar en flexibel och skalbar struktur där nya aktörer kan anslutas utan att hela infrastrukturen behöver uppdateras – och där tilliten etableras och verifieras tekniskt, enligt gemensamma regler och tillitsmärken. Det är denna mekanism som möjliggör bred och säker digital samverkan över organisationsgränser och verksamhetsområden.

Stöd för flera federationer

Genom att en entitet kan ha flera authority hints och signaturer kan den samtidigt tillhöra flera federationer. Detta möjliggör interoperabilitet över verksamhetsområden – till exempel kan en legitimeringstjänst vara en del av både en vård- och en utbildningsfederation, utan att metadata eller säkerhetsstruktur dupliceras.

Svensk anpassning och funktionell realisering

Denna arkitektur realiseras i svensk kontext genom:

  • Tillitsankartjänst: tillhandahålls av en eller flera federationsoperatörer och etablerar federationens gränser.

  • Anslutningstjänst: drivs av anslutningsoperatörer, t.ex. sektorsmyndigheter eller samordnande aktörer.

  • Tillitsmärkestjänst: administreras av godkända tillitsoperatörer som utfärdar tillitsmärken baserade på Ena tillitsskapande krav.

  • Uppslags- och verifieringstjänst: används av e-tjänster och API:er för att dynamiskt kontrollera metadata och tillitskedjor.

Federativa kontext

Metadata

Roller och ansvar

Federationsoperatör

...