...
- Ett konkret förslag till struktur för en "initial" federationsträd! Dvs det realisaras i gemensamt sammankopplade sandbox-miljöer
- Verifiera användningsfallen
Översikt
| Användningsfall | Beskrivning | POC-kriterier | Ingående komponenter (ansvarig aktör) | Lösningsmönster & Specifikationer | Kommentar |
|---|---|---|---|---|---|
| FI010 – Metadatapublicering Tillitsankare | En Tillitsankartjänst (Trust Anchor) publicerar och signerar sitt federation metadata statement. | Säkerställa att metadata kan publiceras, distribueras och signaturen verifieras av andra parter. |
| OpenID Federation 1.0, Entity Statements (Entity Configuration, Trust Chain) | Grund för teknisk tillit i federationen. |
| FI020 –Metadatapublicering Anslutningstjänst | En Anslutningstjänst (Intermediate Entity) agerar länk mellan Tillitsankartjänst och underordnade entiteter (OP, RP, API:er). Den kan även applicera lokala policies. | Validera att Anslutningstjänst korrekt kan hämta metadata från Tillitsankartjänst, applicera policy och vidareförmedla metadata. |
| OpenID Federation 1.0, Policy claims, Authority Hints | Möjliggör skalbarhet och delegerad tillit. |
FI030 – Metadatavalidering | En Uppslags- och verifieringstjänst (Resolver) kan hämta och verifiera metadata för en entitet genom att bygga en trust chain från Tillitsankartjänsten. | Kontrollera att trust chain kan byggas korrekt (top-down/bottom-up), signaturer verifieras och metadata returneras komplett. |
| OpenID Federation 1.0, Authority Hints, Trust Chain Resolution | Avlastar digitala tjänster från komplex verifieringslogik. |
| FI040 – Tillitsmärkeshantering | En Tillitsmärkestjänst (Trust Mark Issuer) utfärdar tillitsmärken som styrker att en entitet uppfyller definierade tillitsskapande krav. | Säkerställa att tillitsmärken är signerade, giltiga och verifierbara enligt policy. |
| OpenID Federation 1.0, Trust Marks (JWT), Policykrav | Bygger policybaserad tillit inom federationen. |
Digital samverkan
DS-serien (DS001–DS004) demonstrerar den praktiska digitala samverkan över organisationsgränser, där federationsinfrastrukturen används i faktiska åtkomstflöden. Användningsfallen visar hur en användare loggar in i ett system och etablerar en session, hur lokala auktorisationstjänster tillämpar policies och återanvänder inloggningar via SSO, hur åtkomstbegäran kan riktas mot en annan organisation och besvaras med intyg, samt hur metadata för legitimering och auktorisation hanteras och verifieras via federationsinfrastrukturen. Tillsammans visar dessa flöden hur federativ tillit omsätts i säker åtkomst och informationsutbyte mellan organisationer
- Cross-domain
| Anvndningsfall | Beskrivning | POC-kriterier
| Ingående komponenter (ansvarig aktör) | Lösningsmönster & Specifikationer | Kommentar | |
|---|---|---|---|---|---|---|
| DS010 – Inloggning i system | En användare loggar in i System A via en legitimeringstjänst (SAML IdP). Resultatet är en aktiv inloggningssession i System A | Säkerställa att SAML-inloggning fungerar och att sessionen etableras. |
| SAML 2.0, Single Sign-On | Grundförutsättning för federativ åtkomst. | |
| DS020 – Lokal auktorisation | Klient interagerar med en lokal auktorisationstjänst för att fastställa användarens behörigheter. SSO återanvänder sessionen mot IdP för andra system. | Verifiera att lokal auktorisation fungerar och att SSO-sessionen kan återanvändas. |
| OIDC/OAuth2 (Access Token, ID Token), SAML SSO Ena OAuth 2.0 Interoperability Profile Ena OAuth 2.0 Token Exchange Profile for Chaining Identity and Authorization | Möjliggör lokal policytillämpning och SSO-flöde. | |
| DS030 – Åtkomstbegäran till annan organisation | System A begär åtkomstintyg från Organisation B:s auktorisationstjänst för att få åtkomst till resurs i B:s miljö. | Kontrollera att Organisation B:s auktorisationstjänst kan utfärda och returnera giltigt intyg som System A kan validera. |
| OIDC/OAuth2 Token Exchange, JWT Grants Ena OAuth 2.0 Interoperability Profile Ena OAuth 2.0 Token Exchange Profile for Chaining Identity and Authorization | Möjliggör system-till-system-samverkan över organisationsgränser. | |
| DS040 – Metadatahantering via federationsinfrastruktur | Metadata för IdP, RP och auktorisationstjänster hanteras via OIDF-federationskomponenter. | Säkerställa att metadata kan hämtas, verifieras och cache:as via Resolver, och att trust chain kan valideras till Tillitsankaren. |
| OpenID Federation 1.0, Entity Statements, Trust Chains, Trust Marks | ||
| DS050 - API-anrop Cross Domain | Ena OAuth 2.0 Interoperability Profile |