Versions Compared

Old Version 77

changes.mady.by.user Henric Norlander

Saved on

compared with

New Version 78

changes.mady.by.user Henric Norlander

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Tillitsankartjänsten (motsvarar Trust Anchor i OpenID Federation-specifikationen),  fungerar som den yttersta källan till tillit. Den publicerar metadata, signerade så kallade Entity statements, för de Anslutningstjänster och Tillitsmärkestjänster som den erkänner. Dessa uttalanden utgör roten i varje tillitskedja och verifieras kryptografiskt. Endast aktörer som kan härledas till en gemensam Tillitsankartjänst anses ingå i samma federation.

...

Tillitsmärkestjänst (Trust Mark Issuer)

En

...

Tillitsmärkestjänst (motsvarar Trust Mark Issuer i OpenID Federation-specifikationen) fungerar som en oberoende

...

aktör som utfärdar tillitsmärken – signerade och strukturerade

...

bevis på att en viss

...

komponent uppfyller

...

angivna tillitsskapande krav kopplade till en viss IAM-förmåga

...

, såsom autentisering eller attributhantering.

Tillitsmärket (benämns Trust Mark i OpenID Federation) är ett fristående JWT-signat som bifogas i entitetens metadata

...

. Det kan valideras

...

separat från övriga delar av tillitskedjan, vilket möjliggör

...

att mottagande parter – till exempel e-tjänster eller verifieringstjänster – kan fatta policybaserade beslut om tillit och åtkomst utifrån om rätt tillitsmärke finns och är giltigt.

Uppslags- och verifieringstjänst (Resolver)

...

Stöd för flera federationer

...

Federationsinfrastrukturen är utformad för att stödja ett distribuerat och sektorsövergripande ekosystem. En viktig egenskap i detta är att en

...

och samma entitet – exempelvis en legitimeringstjänst eller auktorisationstjänst – kan tillhöra flera federationer samtidigt utan att duplicera sin metadata eller upprätthålla separata instanser.

Detta möjliggörs genom att varje komponent publicerar en egen Entity Configuration – signerat metadata om sig själv – som innehåller information om vilka överordnade aktörer (via så kallade authority hints) som intygar komponenten i olika federativa sammanhang. Det innebär att en komponent kan delta i flera federationer parallellt, genom att hänvisa till olika Anslutningstjänster eller Tillitsankartjänster beroende på vilken kontext den verkar i.

Exempelvis kan en legitimeringstjänst samtidigt ingå i både ett vårdkontext och ett utbildningskontext, och därmed möta skilda krav på policyer, tillitsnivåer och informationshantering – utan att behöva duplicera sin tekniska lösning eller metadatahantering.

Till skillnad från traditionella, statiska SAML-baserade federationer – där metadata ofta hanteras centralt och uppdateras manuellt – bygger OpenID Federation på dynamisk, decentraliserad och signerad metadata som valideras i realtid genom tillitskedjor. Detta innebär att federationstillhörighet inte behöver hanteras som fasta konfigurationsposter, utan uttrycks och verifieras genom digitalt intygade relationer.

Stödet för flera federativa kontext är därmed en viktig förutsättning för återanvändning, flexibilitet och sektorsövergripande samverkan i en gemensam federationsinfrastruktur.

...

Svensk anpassning och funktionell realisering

Denna arkitektur realiseras i

...

Ena - Sveriges digitala infrastruktur genom att specifika roller och komponenter tillhandahålls av godkända operatörer, med ansvar för att upprätthålla och förmedla tillit inom en eller flera federativa kontext. Strukturen möjliggör verksamhetsgemensam organisering utan att kompromissa med interoperabilitet eller teknikneutralitet.

  • Tillitsankartjänst tillhandahålls av en eller flera federationsoperatörer och etablerar den federativa kontexten – det vill säga vilka regler, policyer och tillitsmärken som gäller inom

...

  • federationens ram.

  • Anslutningstjänst

...

  • drivs av anslutningsoperatörer, t.ex. sektorsmyndigheter

...

  • , samordnande offentliga aktörer eller branschorganisationer, och fungerar som tekniskt och organisatoriskt gränssnitt för anslutning av tjänster och komponenter.

  • Tillitsmärkestjänst

...

  • administreras av

...

  • tillitsoperatörer som utfärdar tillitsmärken

...

  • enligt Enas modell för tillitsskapande krav kopplade till IAM-förmågor.

  • Uppslags- och verifieringstjänst

...

  • används av e-tjänster

...

  • , API:er eller andra klientkomponenter för att

...

  • i realtid kontrollera metadata, tillitsmärken och tillitskedjor.

...

För att möjliggöra bred anslutning och säkerställa att aktörer från olika verksamhetsområden kan delta i flera federativa kontext parallellt, krävs att flera offentliga och privata aktörer etablerar och driverfederationsinfrastrukturkomponenter. Detta inkluderar till exempel att sektorsmyndigheter etablerar egna anslutningstjänster, att kommersiella aktörer erbjuder verifieringstjänster som följer gemensamma regler, och att tillitsmärken kan utfärdas inom flera parallella federativa kontext.

Genom en sådan mångfald av operatörer kan anslutande aktörer – som kommuner, regioner, statliga myndigheter, privata tjänsteleverantörer eller ideella organisationer – delta i flera federativa kontexter samtidigt. Detta ger förutsättningar för valfrihet, sektorsövergripande samverkan och återanvändning av gemensamma digitala komponenter.

Roller och ansvar

Federationsoperatör

...