Versions Compared

Old Version 76

changes.mady.by.user Henric Norlander

Saved on

compared with

New Version 77

changes.mady.by.user Henric Norlander

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Federationsinfrastrukturen enligt OpenID Federation-specifikationen bygger på distribuerad publicering och verifiering av signerad metadata. Varje aktör i federationen representeras av en eller flera entiteter som exponerar ett entity statement– en signerad publicerar metadata, så kallade Entity statements – signerade JSON Web Token (JWT) som innehåller information om entiteten, dess metadata, policies och nycklar. Den tekniska tilliten i infrastrukturen etableras genom att dessa uttalanden kan kedjas ihop i en verifierbar tillitskedja upp till en gemensam Tillitsankartjänst.

Tillitsankartjänst

Tillitsankartjänsten (motsvarar Trust Anchor

...

Tillitsankartjänsten i OpenID Federation-specifikationen),  fungerar som den yttersta källan till tillit. Den publicerar metadata, signerade entity signerade så kallade Entity statements,  för för de Anslutningstjänster och Tillitsmärkestjänster som den erkänner. Dessa uttalanden utgör roten i varje tillitskedja och verifieras kryptografiskt. Endast aktörer som kan härledas till en gemensam tillitsankare Tillitsankartjänst anses ingå i samma federation.

Anslutningstjänst

...

Anslutningstjänsten (motsvarar Intermetidate Entity i OpenID Federation-specifikationen) Anslutningstjänsten fungerar som ett tekniskt nav som aggregerar, hanterar och publicerar metadata, signerade entity signerade Entity statements, om underordnade entiteter – t.ex. e-tjänster, API:er, legitimeringstjänster eller attributkällor. Den kan även tillföra policies , vilket gör det möjligt att tillämpa lokala villkor utan att bryta den federativa strukturen.

Federationsmedlemmar (Leaf Entities)

Digitala tjänster

Digitala tjänster Federationsmedlemmar som legitimeringstjänster, auktorisationstjänster eller e-tjänster publicerar sina egna entity configurations (motsvarar Leaf Entity i OpenID Federation-specifikationen) publicerar sina egna Entity statements som tillhandahåller teknisk metadata om endpoints, nycklar och tillämpade policyer. Dessa är signerade och refererar till anslutningstjänster genom authority genom Authority hints.

Tillitsmärkestjänst (Trust Mark Issuer)

...

För att åstadkomma teknisk verifiering vid användning används en Uppslags- och verifieringstjänst som dynamiskt bygger tillitskedjor genom att följa authority följa Authority hints och  och kontrollera signaturer, certifikat och policyvillkor. Detta möjliggör realtidsvalidering av entiteter, utan att dessa måste vara kända i förväg.

Tillitskedjor – dynamisk och verifierbar metadata

En central mekanism i federationsinfrastrukturen är tillitskedjan – en verifierbar, kryptografiskt signerad sekvens av

...

metadata, Entity statements, som knyter samman en tjänstekomponent (t.ex. en e-tjänst) med federationens Tillitsankartjänst. Kedjan visar vem som intygar vem, på vilket sätt, och med vilka tillitsvillkor.

Tillitskedjan byggs dynamiskt vid behov – exempelvis när en e-tjänst begär ett åtkomstintyg eller konsumerar metadata. Varje led i kedjan är ett signerat uttalande där:

  • Tjänstekomponenten (t.ex. e-tjänst eller API) signerar och publicerar ett uttalande om sig själv – detta kallas

...

  • Entity Configurations. Den innehåller metadata om entiteten, tillämpade policyer, samt en eller

...

  • flera Authority hints som pekar ut vilken överordnad aktör (t.ex. en Anslutningstjänst) som är ansvarig för att intyga komponenten i federationen

  • Anslutningstjänsten signerar publicerar utöver

...

  • ett Entity Configuration om sig själv ett även ett så kallat

...

  • Entity statements om den underordnade komponenten –– som innehåller tillitsmärke, policys och eventuell ytterligare metadata.

  • Tillitsankartjänsten signerar och publicerar ett

...

  • Entity statement om anslutningstjänsten och fungerar som rot för tillitskedjan.

Det är alltså två typer av

...

Entity statements

...

 som används i infrastrukturen:

...

  • Entity configuration:

...

  • metadata om sig själv, som varje komponent publicerar på

...

  • en fördefinierad URL.

  • Entity statements: metadata

...

  • från en överordnad part (t.ex. Anslutningstjänst) om en annan entitet.

En Uppslags- och verifieringstjänst eller annan komponent i federationen kan rekonstruera denna tillitskedja genom att

...

följa Authority hints

...

 i metadata, hämta uttalanden, validera signaturer och kontrollera att tillitsmärken och policies uppfyller aktuella krav.

Om kedjan kan spåras till en gemensam Tillitsankare, och alla ingående entiteter kan verifieras och uppfyller ställda krav på tilitsmärken, kan parterna tekniskt verifiera att kommunikationen sker med rätt motpart – enligt en entydig, gemensam tolkning av roller, säkerhetsnivå och tillitsinformation.

Möjligheten att bygga upp tillitskedjor dynamiskt ersätter behovet av manuella relationer, bilaterala avtal och statisk konfiguration mellan parter. Istället för att varje organisation i förväg måste känna till och konfigurera alla andra aktörer de vill samverka med, gör federationens arkitektur det möjligt att automatiskt och i realtid avgöra om en motpart är betrodd. Detta skapar en flexibel och skalbar struktur där nya aktörer kan anslutas utan att hela infrastrukturen behöver uppdateras – och där tilliten etableras och verifieras tekniskt, enligt gemensamma regler och tillitsmärken. Det är denna mekanism som möjliggör bred och säker digital samverkan över organisationsgränser och verksamhetsområden.

Stöd för flera federationer

Genom att en entitet kan ha flera authority Authority hints och  och signaturer kan den samtidigt tillhöra flera federationer. Detta möjliggör interoperabilitet över verksamhetsområden – till exempel kan en legitimeringstjänst vara en del av både en vård- och en utbildningsfederation, utan att metadata eller säkerhetsstruktur dupliceras.

...

Denna arkitektur realiseras i svensk kontext genom:

  • Tillitsankartjänst: tillhandahålls av en eller flera federationsoperatörer och etablerar denfederativa kontexten – det vill säga vilka regler, policyer och tillitsmärken som gäller inom federationen.

  • Anslutningstjänst: drivs av anslutningsoperatörer, t.ex. sektorsmyndigheter eller samordnande aktörer.

  • Tillitsmärkestjänst: administreras av godkända tillitsoperatörer som utfärdar tillitsmärken baserade på Ena tillitsskapande krav.

  • Uppslags- och verifieringstjänst: används av e-tjänster och API:er för att dynamiskt kontrollera metadata och tillitskedjor.

...