Page History

...

Anvndningsfall

Beskrivning

POC Acceptanskriterier

Batch-lösningen är ett pilotval; i full drift används realtidsupplösning via Resolver.

Ingående komponenter (ansvarig aktör)

Lösningsmönster & Specifikationer

Kommentar

DS010 – Inloggning i system

En användare loggar in i System A via en legitimeringstjänst (SAML IdP). Resultatet är en aktiv inloggningssession i System A

Kriterier verksamhet

Användare är inloggad i systemet

Kriterier specifikation

Kandidat: Inloggning av användare sker enligt / mha Sambi
Kandidat: De delar i inloggningslösning som använder OAuth följer ena-oauth2-profile.

Legitimeringstjänst (IdP – Org A)
System A (System A– Org A)

SAML 2.0, Single Sign-On

ena-oauth2-profile

ena-oauth2-authn-bp

Grundförutsättning för federativ åtkomst.

DS020 – Lokal auktorisation

Klient interagerar med en lokal auktorisationstjänst för att fastställa användarens behörigheter. SSO återanvänder sessionen mot IdP för andra system.

Verifiera att lokal auktorisation fungerar och att SSO-sessionen kan återanvändas.

Kriterier verksamhet

AS i Domän A ("AS-A") har en säkerställd uppfattning om användaren
MCSS har ett underlag i form av en signerad JWT med rätt innehåll som underlag för åtkomstbegäran mot org B

Kriterier specifikation

MCSS initierar Auth grant w. code enligt ena-oauth2-authn-bp, kap 2.2 eller 2.3.
MSCC utför token exchange mot AS-A enligt ena-oauth2-chaining, kap 3.3
Claims i JWT för auth grant följer specifikation poc-attributspec
MSCC som klient följer oauth-oauth2-profile i relevanta delar
AS domän A följer oauth-oauth2-profile i relevanta delar

Auktorisationstjänst (Org A) Legitimeringstjänst (IdP – Org A) System A

OIDC/OAuth2 (Access Token, ID Token), SAML SSO

ena-oauth2-profile

ena-oauth2-chaining

Möjliggör lokal policytillämpning och SSO-flöde.

DS030 – Åtkomstbegäran till annan organisation

System A begär åtkomstintyg från Organisation B:s auktorisationstjänst för att få åtkomst till resurs i B:s miljö.

Kontrollera att Organisation B:s auktorisationstjänst kan utfärda och returnera giltigt intyg som System A kan validera.

Kriterier verksamhet

AS-B kan ta emot och tolka anrop om auth grant

Kriterier specifikation

MCSS utför authorization grant mot AS i domän B ("AS-B") enligt ena-oauth2-chaining, kap 3.4
MSCC som klient följer oauth-oauth2-profile i relevanta delar
AS domän B följer oauth-oauth2-profile i relevanta delar

Auktorisationstjänst (Org B) Resursserver (Org B) System A (Org A)

OIDC/OAuth2 Token Exchange, JWT Grants

ena-oauth2-profile

ena-oauth2-chaining

poc-attributspec

Möjliggör system-till-system-samverkan över organisationsgränser.

DS040 – Metadatahantering via federationsinfrastruktur

Metadata för IdP, RP och auktorisationstjänster hanteras via OIDF-federationskomponenter.

Säkerställa att metadata kan hämtas, verifieras och cache:as via Resolver, och att trust chain kan valideras till Tillitsankaren.

Verksamhetskriterier

AS-B kan verifiera klient (MCSS) mot metadata genom client_assertion
AS-B kan verifiera AS-B mot metadata genom "user assertion"
AS-B kan verifiera att entitet AS-B i metadata även har "Pilotsmärke"
AS-B kan tolka claims för behörighetsgrundande attribut
AS-B kan utfärda accesstoken

Kriterier specifikation

AS domän B som klient följer oauth-oauth2-profile i relevanta delar
Resolver följer oauth-oauth2-profile i relevanta delar

Se tabell ovan

oidf-spec OpenID Federation 1.0, Entity Statements, Trust Chains, Trust Marks

ena-oauth2-profile

DS050 - API-anrop Cross Domain

Verksamhetskriterier

MCSS kan göra API-anrop mot NLL med accesstoken
NLL kan verifiera accesstoken
NLL kan utvärdera behörighetsroll
MCSS får svar på API-fråga från NLL

Kriterier specifikation

MSCC som klient följer oauth-oauth2-profile i relevanta delar
NLL som Resursserver/API följer oauth-oauth2-profile i relevanta delar

ena-oauth2-profile

...

Page tree

Versions Compared

Old Version 36

New Version 37

Key