Versions Compared

Old Version 31

changes.mady.by.user Henric Norlander

Saved on

compared with

New Version 32

changes.mady.by.user Jakob Fransson

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Detta väcker frågan om hur många Tillitsankartjänster som behövs och varför en modell med flera Tillitsankartjänster skulle kunna vara en fördel i en nationell federationsinfrastruktur.


 Arkitekturella drivkrafter bakom val av modell 

Här ska vi beskriva drivkrafterna bakom valet av modell

Nedan hämtat från Kap 1.1.1 Ena IAM - sammanhållen identitet- och behörighetshantering

  1. Ökad kostnadseffektivitet
    Kostnadseffektivitet genom användning av etablerade standarder samt återanvändning av tidigare gjorda investeringar. Infrastrukturen och dess komponenter bygger i stor utsträckning på väl etablerade standarder, som OAuth2, vilket möjliggör användande av standardprodukter. Infrastrukturen är även anpassad för att kunna knytas till befintliga lösningar för exempelvis autentisering av användare, för att minimera behov av förändring då befintliga it-lösningar ansluta till infrastrukturen. Att kunna minska dagens manuella administration av medarbetare i digitala tjänster hos andra huvudmän och istället på ett tillitsfullt och standardiserat sätt kunna dela behörighetsgrundande information som underlag för åtkomst har stor potential ökad säkerhet och minskade administrativa kostnader.

  2. Behov av gränsöverskridande samverkan
    Digital samverkan sker alltmer mellan olika sektorer, domäner och aktörer. En gemensam teknisk grund minskar behovet av kostsamma specialanpassningar för dessa situationer samt möjliggör att tillit och interoperabilitet kan skalas över gränser.

  3. Minskad integrationsbörda
    Genom att etablera en gemensam federationsinfrastruktur kan nya tillämpningar återanvända befintliga mekanismer för autentisering, åtkomsthantering och etablering av tillit – istället för att varje organisation eller samverkansinitiativ behöver utveckla egna lösningar.

  4. Främjande av innovation och decentralisering
    Genom att tillhandahålla en stabil och bred teknisk plattform kan olika verksamheter – offentliga såväl som privata – bygga egna tjänster och lösningar som samtidigt är fullt kompatibla med federationens ramverk.

  5. Stöd för behovsdriven förändring över tid
    Arkitekturen möjliggör att olika delar (tillitshantering, teknisk federation, tillämpningar) kan vidareutvecklas i olika takt utan att skapa ömsesidiga beroenden som hämmar förändring.

  6. Stöd för utveckling i ett heterogent landskap
    Arkitekturen är utformad för att fungera i en miljö där olika organisationer befinner sig på olika nivåer av mognad, har olika tekniska förutsättningar och arbetar med varierande processer och system. Tjänster och digitala förmågor utvecklas i den takt och omfattning som organisationers resurser och prioriteringar tillåter. Detta främjar både flexibilitet och långsiktig samverkan, utan att de mest avancerade aktörerna behöver bromsa sin utveckling eller de mindre erfarna riskerar att hamna utanför.


Varför flera Tillitsankartjänster aka olika federationskontext? 

Att organisera en nationell federationsinfrastruktur kring flera Tillitsankartjänster (Trust Anchor enligt OIDF specifikationen) skapar flexibilitet och möjlighet till anpassning för de olika behov som finns i samverkan.

...

ModellHTANTADTA med TBEIIMAR
LänkHTANTADTAIIMAR
Skiss

Kort beskrivningCentraliserad modell med en nationell Trust Anchor som rot. All policy styrs uppifrån och ned via Intermediates. Enkel och enhetlig validering men begränsad flexibilitet.Varje federation har en egen Trust Anchor som pekar på den nationella Trust Anchorn. Balans mellan lokal autonomi och nationell styrning, med möjlighet till både lokal och central validering.Decentraliserad modell där varje federation driver en oberoende Trust Anchor. En Trusted Bridging Entity (TBE) distribuerar nycklar utanför OIDF-specen. Ger hög autonomi men kräver separat governance och samordning.Flera oberoende Trust Anchors kan dela Intermediates, vilket möjliggör interoperabilitet utan nyckeldistribution mellan Trust Anchors. Mycket flexibel men med ökad komplexitet och risk för fragmenterad policy.

Inom Ena

Beskrivning: En nationell Tillitsankartjänst som är rot. Befintliga federationer är Anslutningstjänster.
Pros:

  • Centraliserad styrning → enhetlig policy och tydlig ansvarsfördelning.

  • Tillitskedjor blir enkla, deterministiska och alltid förankrade i samma Tillitsankartjänst → enkel validering.

  • Kompatibel med standard OpenID Federation.

Cons:

  • All onboarding och tillitsmärkeshantering måste gå via den nationella Tillitsankartjänsten → ökad administration.

  • Begränsad flexibilitet för federationer att (Fed A, Fed B) att göra egna anpassningar.

  • Risk för flaskhalsar och tung styrning

Beskrivning: Varje federation har en egen Tillitsankartjänst, men dessa pekar uppåt mot en nationell Tillitsankartjänst.
Pros:

  • Varje federation har egen kontroll över sin Tillitsankartjänst och sina nycklar.

  • Möjliggör anpassning till lokala/regionala krav samtidigt som nationella regler följs.

  • Stödjer integration av självständiga federationer.

  • Cross-federation validering blir enklare (alla slutar i samma nationella TA).

Cons:

  • VId Vid validering måste entiteter kunna hantera flera Tillitsankartjänster

    • Lokal

    • Nationell.

  • Risk för olika valideringsresultat beroende på om man startar i lokal eller nationell Tillitsankartjänst.

  • Kräver tydlig samordning så att policys inte krockar

Beskrivning: Varje federation har en helt fristående Tillitsankartjänst. Nycklar publiceras via en extern Trusted Bridging Entity (TBE). Ingen hierarki.
Pros:

  • Full autonomi för varje federation.

  • Möjlighet till selektiv interoperabilitet utan gemensam rot.

  • Flexibel, olika federationer kan utvecklas självständigt.

Cons:

  • TBE ligger utanför OpenID Federation-specifikationen → kräver separat styrning och standardisering.

  • Risk för fragmentering om inte stark governance upprättas.

  • Ingen automatisk tillitskedja → validerare måste hantera flera nyckeluppsättningar parallellt.

  • Större administrativ börda vid onboarding och nyckelhantering

Beskrivning: Flera oberoende Tillitsankartjänster länkas ihop genom gemensamma Anslutningstjänster (shared Intermediates).
Pros:

  • Möjliggör interoperabilitet för underordnade utan att Tillitsankartjänster behöver underordna sig varandra.

  • Flexibel anslutning – samma Anslutningstjänst kan knytas till flera Tillitsankartjänster.

  • Stödjer gradvis integration mellan federationer.

  • Entiteter kan delta i flera federationer via samma Anslutningstjänst.

Cons:

  • Komplexitet ökar när fler Tillitsankartjänster ansluts.

  • Intermediates måste hantera flera överordnade.

  • Tillitsmärkeshantering blir splittrad – olika utfall beroende på vilken Tillitsankartjänst man validerar mot.

  • Risk för policyfragmentering mellan kedjor

  • Entiteter och Uppslags-/verifieringstjänster måste kunna hantera flera tillitskedjor, vilket ökar krav på implementation och kan ge olika valideringsresultat beroende på vald kedja

OIDF Policyhantering

  • All policy definieras i den nationella Tillitsankartjänsten och slår igenom top-down.

  • Policys blir enhetliga och entydiga, vilket gör validering enkelt och konsekvent.

  • Begränsad möjlighet för underordnade federationer (Anslutningstjänster) att lägga till egna krav – det riskerar att krocka med den centrala styrningen

  • Policy kan definieras både i den nationella Tillitsankartjänsten och i lokala federationers Tillitsankartjänster.

  • Om validering görs mot en lokal TA → lokala regler gäller. Om validering görs via den nationella TA → både nationella och lokala regler slår igenom.

  • Risk för inkonsekvent policytillämpning policy tillämpning beroende på vilken väg en verifiering går.

  • Ingen gemensam policykedja i federationens metadata.

  • Varje Tillitsankartjänst definierar sin egen policy helt självständigt.

  • För att möjliggöra interoperabilitet måste TBE (Trusted Bridging Entity) eller motsvarande governance-funktion definiera gemensamma minimikrav för att få vara med.

  • All faktisk policytillämpning blir lokalt scope:ad till respektive TA.

  • Varje Tillitsankartjänst behåller sin egen policy och publicerar den separat.

  • Anslutningstjänster som är delade måste hantera och förena policyer från flera olika Tillitsankartjänster.

  • Vid validering måste en kedja väljas → policyn som tillämpas beror på vilken Tillitsankartjänst som är slutpunkt.

  • Risk för divergens: samma Intermediate kan ge olika valideringsresultat beroende på vilken kedja som följs.

Ena Governance

  • Behövs främst för att underlätta tillämpning och förståelse av den centrala policyn – t.ex. stödmaterial, vägledningar och gemensamma processer för anslutning.
  • Ena:s roll blir alltså att stötta införande och praktisk användning, snarare än att kompensera för tekniska brister i styrningen
  • Ena behöver ge vägledning, profileringar och exempel på hur lokala federationer ska komplettera den nationella policyn.
  • Även processer för konflikthantering behövs, eftersom OIDF-policy mekanismer inte räcker för att undvika interoperabilitet mellan NTA och LTA
  • Ena måste etablera governance, gemensamma minimikrav, och koordinering av nyckelpublicering och policy.
  • Här blir mjuk styrning den enda möjligheten att skapa interoperabilitet.
  • Ena måste stötta genom att samordna hur Intermediates ska publicera metadata och tillitsmärken på ett enhetligt sätt över flera TA:er.
  • Även vägledning för hur validering ska göras när flera Tillitsankartjänster är möjliga för validering av tillit.

Konsekvenser för

Ledningaktör

  • Säkerställa att aktörer förstår och kan tillämpa policyn i praktiken, genom vägledningar, stöd i onboarding och gemensamma processer.
  • Ge ramar för hur lokala federationers policy ska komplettera den nationella. Ta fram profileringar, processer och konflikthantering som jämkar nivåerna.

  • Samordna hur Intermediates ska hantera och publicera policy från flera Tillitsankartjänster.
  • Säkerställa gemensam hantering av tillitsmärken och ge riktlinjer för multipla valideringskedjor.

Konsekvenser för Federationsoperatör nationell federationsoperatör

  • Säkerställa att anslutna
    • aktörer
  • Anslutningoperatörer förstår och följer nationell policy, hantera onboarding och incidentprocesser, samt vara stödjande i praktisk drift.


N/A

Konsekvenser för

Federationsoperatör


  • Översätta nationell policy till lokal policy,
  • stödja Stödja medlemmar i att följa nationell och lokal policy, och rapportera konflikter uppåt till Ledningsaktören.


  • Delta och Koordinera mellan olika Federationsoperatörer för att säkerställa konsekvent publicering av nationella Tillitsoperatörer
  • Ge vägledning om valideringsskillnader och stödja Anslutningoperatörer i att hantera motstridiga krav.

Konsekvenser för

Anslutningsoperatör





Konsekvenser för federationsmedlemmar






...