Versions Compared

Old Version 35

changes.mady.by.user Martin Solberg

Saved on

compared with

New Version 36

changes.mady.by.user Martin Solberg

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Relevanta specifikationer som används:

Kort-namnBeskrivning
authn-authz-patterns"Mönster för autentisering och auktorisation"
Övergripande beskrivning av mönster för autentisering och auktorisation. Konceptuell,  ej normativ.
inter-domain-calls"API-anrop över organisationsgränser"
Övergripande beskrivning av mönster för anrop över organisationsgränser. Konceptuell, ej normativ.
ena-oauth2-authn-bp

"Ena OAuth 2.0 User Authentication Best Practises"

Best practises för integration av befintlig inloggningslösning med OAuth 2.0. Konceptuell, ej normativ. 

ena-oauth2-profile"Ena OAuth 2.0 Interoperability Profile"
Ena Basprofil för användning av OAuth 2.0 i Ena-sammanhang. Grundläggande specifikation för all tillämpning av OAuth där den förekommer. Normativ. 
ena-oauth2-chaining

"Ena OAuth 2.0 Token Exchange Profile for Chaining Identity and Authorization"

Enaprofil för token exchange och auktorisation över organisationsgränser.

oidf-spec

"OpenID Federation 1.0 - draft 43"

poc-attributspec

"POC attributspecifikation vård/hälsa"

En specifikation som beskriver claims för att bära behörighetsgrundande information för användning i POC/Pilot. 

OBS - Behöver tas fram!


AnvndningsfallBeskrivningPOC Acceptanskriterier
Batch-lösningen är ett pilotval; i full drift används realtidsupplösning via Resolver.


Ingående komponenter (ansvarig aktör)Lösningsmönster & SpecifikationerKommentar
DS010 – Inloggning i systemEn användare loggar in i System A via en legitimeringstjänst (SAML IdP). Resultatet är en aktiv inloggningssession i System A

Kriterier verksamhet

  •  Användare är inloggad i systemet

Kriterier specifikation

  •  Kandidat: Inloggning av användare sker enligt / mha Sambi

Kriterier specifikation

  •  Kandidat: De delar i inloggningslösning som använder OAuth följer ena-oauth2-profile.
  • Legitimeringstjänst (IdP – Org A)
  • System A (System A– Org A)

SAML 2.0, Single Sign-On

ena-oauth2-profile

ena-oauth2-authn-bp

Grundförutsättning för federativ åtkomst.
DS020 – Lokal auktorisationKlient interagerar med en lokal auktorisationstjänst för att fastställa användarens behörigheter. SSO återanvänder sessionen mot IdP för andra system.

Verifiera att lokal auktorisation fungerar och att SSO-sessionen kan återanvändas.

Kriterier specifikationverksamhet

  •  AS i domän Domän A ("AS-A") har etablerat egen en säkerställd uppfattning om användaren. MCSS
  •  MCSS har ett underlag i form av en signerad JWT med rätt innehåll som underlag för åtkomstbegäran mot org B

Kriterier specifikation

  •   MCSS initierar Auth grant w. code enligt ena-oauth2-authn-bp, kap 2.2 eller 2.3.
  •  MSCC utför token exchange mot AS-A enligt ena-oauth2-chaining, kap 3.3
  •  Claims i JWT för auth grant följer specifikation poc-attributspec
  •  MSCC som klient följer oauth-oauth2-profile i relevanta delar
  •  AS domän A följer oauth-oauth2-profile i relevanta delar
  • Auktorisationstjänst (Org A) Legitimeringstjänst (IdP – Org A) System A

OIDC/OAuth2 (Access Token, ID Token), SAML SSO

ena-oauth2-profile

ena-oauth2-chaining

Möjliggör lokal policytillämpning och SSO-flöde.
DS030 – Åtkomstbegäran till annan organisationSystem A begär åtkomstintyg från Organisation B:s auktorisationstjänst för att få åtkomst till resurs i B:s miljö.

Kontrollera att Organisation B:s auktorisationstjänst kan utfärda och returnera giltigt intyg som System A kan validera.

Kriterier verksamhet

  •  AS-B kan ta emot och tolka anrop om auth grant

Kriterier specifikation

  •  MCSS utför authorization grant mot AS i domän B ("AS-B") enligt ena-oauth2-chaining, kap 3.4
  •  MSCC som klient följer oauth-oauth2-profile i relevanta delar
  •  AS domän B följer oauth-oauth2-profile i relevanta delar
  • Auktorisationstjänst (Org B) Resursserver (Org B) System A (Org A)

OIDC/OAuth2 Token Exchange, JWT Grants

Ena OAuth 2.0 Interoperability Profileena-oauth2-profile

ena-oauth2-chaining

poc-attributspec

Möjliggör system-till-system-samverkan över organisationsgränser.
DS040 – Metadatahantering via federationsinfrastrukturMetadata för IdP, RP och auktorisationstjänster hanteras via OIDF-federationskomponenter.

Säkerställa att metadata kan hämtas, verifieras och cache:as via Resolver, och att trust chain kan valideras till Tillitsankaren.

Verksamhetskriterier

  •  AS-B kan verifiera klient (MCSS) mot metadata genom client_assertion
  •  AS-B kan verifiera AS-B mot metadata genom "user assertion"
  •  AS-B kan verifiera att entitet AS-B i metadata även har "Pilotsmärke"
  •  AS-B kan tolka claims för behörighetsgrundande attribut 
  •  AS-B kan utfärda accesstoken 

Kriterier specifikation

  •  AS domän B som klient följer oauth-oauth2-profile i relevanta delar
  •  Resolver följer oauth-oauth2-profile i relevanta delar
  • Se tabell ovan 

oidf-spec OpenID Federation 1.0, Entity Statements, Trust Chains, Trust Marks

ena-oauth2-profile
DS050 - API-anrop Cross Domain

Verksamhetskriterier

  •  MCSS kan göra API-anrop mot NLL med accesstoken
  •  NLL kan verifiera accesstoken
  •  NLL kan utvärdera behörighetsroll
  •  MCSS får svar på API-fråga från NLL

Kriterier specifikation

  •  MSCC som klient följer oauth-oauth2-profile i relevanta delar
  •  NLL som Resursserver/API följer oauth-oauth2-profile i relevanta delar

ena-oauth2-profile

...