Page History

...

Federationsinfrastrukturen är utformad för att stödja ett distribuerat och sektorsövergripande ekosystem. En viktig egenskap i detta är att en och samma entitet – komponent– exempelvis en legitimeringstjänst eller auktorisationstjänst – kan delta i flera federativa kontext samtidigt utan att duplicera sin metadata eller upprätthålla separata instanser. Att delta i flera federativa kontext innebär att vara ansluten till flera tillitsankartjänster, där varje kontext kan ha en annan uppsättning av regler, tillitsnivåer och policykrav.

...

Exempelvis kan en legitimeringstjänst samtidigt ingå i både ett vårdkontext och ett utbildningskontext, och därmed möta skilda krav på policyer, tillitsnivåer och informationshantering – utan att behöva duplicera sin tekniska lösning eller metadatahantering. 

På motsvarande sätt kan en anslutningstjänst användas för att ansluta flera tjänster från en organisation till olika federativa kontext. En kommunal anslutningsoperatör kan till exempel representera både skolplattformar och socialtjänstens e-tjänster, där varje tjänst blir synlig i det federativa kontext där den hör hemma – utbildningskontext respektive välfärdskontext – men utan att behöva skapa separata tekniska instanser för varje del.

Till skillnad från traditionella mer statiska SAML-baserade federationer – där metadata ofta hanteras centralt och uppdateras manuellt – bygger OpenID Federation på dynamisk, decentraliserad och signerad metadata som valideras i realtid genom tillitskedjor. Detta innebär att federationstillhörighet inte behöver hanteras som fasta konfigurationsposter, utan uttrycks och verifieras genom digitalt intygade relationer.

...

Enas anpassning och funktionell realisering

Denna arkitektur realiseras i Ena – Sveriges digitala infrastruktur – genom att specifika roller och komponenter tillhandahålls av godkända operatörer, med ansvar för att upprätthålla och förmedla tillit inom en eller flera federativa kontext. Arkitekturen gör det möjligt för olika verksamheter att organisera sig gemensamt kring identitets- och behörighetshantering – utan att begränsa sig till specifika tekniska lösningar, verktyg eller leverantörer, så länge interoperabilitet och gemensamma specifikationer upprätthålls.

Tillitsankartjänst tillhandahålls av en eller flera federationsoperatörer och etablerar det federativa kontextet – det vill säga vilka regler, policyer och tillitsmärken som gäller för informationsutbyte inom ramen för detta kontext.

Anslutningstjänst drivs av anslutningsoperatörer, såsom sektorsmyndigheter, samordnande offentliga aktörer eller branschorganisationer. Den fungerar som ett tekniskt gränssnitt för anslutning av tjänster och komponenter till det federativa kontextet.

Tillitsmärkestjänst administreras av tillitsoperatörer som, i enlighet med Enas modell, utfärdar tillitsmärken baserade på tillitsskapande krav kopplade till olika IAM-förmågor.

Uppslags- och verifieringstjänst används av e-tjänster, API:er eller andra klientkomponenter för att i realtid kontrollera metadata, tillitsmärken och tillitskedjor.

För att möjliggöra bred anslutning och säkerställa att aktörer från olika verksamhetsområden kan delta i flera federativa kontext parallellt, krävs att både offentliga och privata aktörer etablerar och driver federationsinfrastrukturkomponenter. Det kan till exempel innebära att sektorsmyndigheter tillhandahåller egna anslutningstjänster, att kommersiella aktörer erbjuder verifieringstjänster som följer gemensamma regler, och att tillitsmärken utfärdas inom flera parallella federativa kontext.

Genom en sådan mångfald av operatörer kan anslutande aktörer – såsom kommuner, regioner, statliga myndigheter, privata tjänsteleverantörer eller ideella organisationer – delta i flera federativa kontext samtidigt. Detta skapar förutsättningar för valfrihet, sektorsövergripande samverkan och återanvändning av gemensamma digitala komponenter.

Praktiska anpassningar för införande

...