...
| draw.io Diagram | ||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Tillitsankartjänst
Tillitsankartjänsten (motsvarar Trust Anchor i OpenID Federation-specifikationen), fungerar som den yttersta källan till tillit. Den publicerar metadata, signerade så kallade Entity statements, för de Anslutningstjänster och Tillitsmärkestjänster som den erkänner. Dessa uttalanden utgör roten i varje tillitskedja och verifieras kryptografiskt. Endast aktörer som kan härledas till en gemensam Tillitsankartjänst anses ingå i samma federativa kontext.
...
Anslutningstjänsten (motsvarar Intermetidate Entity i OpenID Federation-specifikationen) fungerar som ett tekniskt nav som aggregerar, hanterar och publicerar metadata, signerade Entity statements, om underordnade entiteter – t.ex. e-tjänster, API:er, legitimeringstjänster eller attributkällor. Den kan även tillföra policies , vilket gör det möjligt att tillämpa lokala villkor utan att bryta den federativa strukturen.
Tillitsmärkestjänst
En Tillitsmärkestjänst (motsvarar Trust Mark Issuer i OpenID Federation-specifikationen) fungerar som en oberoende aktör som utfärdar tillitsmärken – signerade och strukturerade bevis på att en viss komponent uppfyller angivna tillitsskapande krav kopplade till en viss IAM-förmåga som en komponent realiserar, såsom autentisering eller attributhantering.
Tillitsmärket (benämns Trust Mark i OpenID Federation) är ett fristående JWT-signat som bifogas i entitetens metadata. Det kan valideras separat från övriga delar av tillitskedjan, vilket möjliggör att mottagande parter – till exempel e-tjänster eller verifieringstjänster – kan fatta policybaserade beslut om tillit och åtkomst utifrån om rätt tillitsmärke finns och är giltigt.
Uppslags- och verifieringstjänst
För att åstadkomma teknisk verifiering vid användning används en Uppslags- och verifieringstjänst (motsvarar Resolver i OpenID Federation) som dynamiskt bygger tillitskedjor genom att följa Authority hints och kontrollera signaturer, certifikat och policyvillkor. Detta möjliggör realtidsvalidering av entiteter, utan att dessa måste vara kända i förväg.
Digitala tjänster
Digitala tjänster (motsvarar Leaf Entities i OpenID Federation) som legitimeringstjänster, auktorisationstjänster, e-tjänster och API:er publicerar egna Entity statements med metadata om endpoints, nycklar och policyer. De refererar till anslutningstjänster via Authority hints, och anslutas till federationsinfrastrukturen genom en Anslutningstjänst. När sådana tjänster ska utbyta information med andra aktörer inom federationen behöver de hämta och validera tillitsinformation. Genom att konsumera signerad metadata och digitala intyg från andra federationskomponenter – som legitimeringstjänster, auktorisationstjänster eller attributkällor – kan dessa tjänster säkerställa att motparten är korrekt identifierad och behörig.
Tillit till utbytta uppgifter baseras på federationsinfrastrukturens förmåga att tekniskt validera tillitskedjor och säkerställa att alla parter uppfyller angivna säkerhetskrav.
Typiska digitala tjänster:
Legitimeringstjänster – autentiserar användare och utfärdar identitetsintyg.
Auktorisationstjänster – fattar beslut om och utfärdar åtkomstintyg.
E-tjänster – webbtjänster som initierar åtkomstförfrågningar.
Resursservrar (API:er) – exponerar skyddade resurser och kontrollerar åtkomst.
Attributkällor – tillhandahåller behörighetsgrundande attribut.
Tillitskedjor – dynamisk och verifierbar metadata
...
| draw.io Diagram | ||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Detta möjliggörs genom att varje komponent publicerar en egen Entity Configuration – signerat metadata om sig själv – som innehåller information om vilka överordnade aktörer (via så kallade authority hints) som intygar komponenten i olika federativa sammanhang. Det innebär att en komponent kan delta i flera flera federativa kontext parallellt, genom att hänvisa till olika Anslutningstjänster eller Tillitsankartjänster beroende på vilken kontext den verkar i.
...
| draw.io Diagram | ||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Till skillnad från traditionella mer statiska SAML-baserade federationer – där metadata ofta hanteras centralt och uppdateras manuellt – bygger OpenID Federation på dynamisk, decentraliserad och signerad metadata som valideras i realtid genom tillitskedjor. Detta innebär att federationstillhörighet inte behöver hanteras som fasta konfigurationsposter, utan uttrycks och verifieras genom digitalt intygade relationer.
...