Versions Compared

Old Version 35

changes.mady.by.user Jakob Fransson

Saved on

compared with

New Version 36

changes.mady.by.user Henric Norlander

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Info
titleMer information

Mer information, inklusive detaljerade exempel och jämförelser, finns i projektets GitHub-repo: https://github.com/s-hal/oidf-architecture/blob/main/oidf-trust-models.md


ModellHTANTADTA med TBEIIMAR
LänkHTANTADTAIIMAR
Skiss

Image Modified

Image Modified

Image Modified

Image Modified

Kort beskrivningCentraliserad modell med en nationell Trust Anchor som rot. All policy styrs uppifrån och ned via Intermediates. Enkel och enhetlig validering men begränsad flexibilitet.Varje federation har en egen Trust Anchor som pekar på den nationella Trust Anchorn. Balans mellan lokal autonomi och nationell styrning, med möjlighet till både lokal och central validering.Decentraliserad modell där varje federation driver en oberoende Trust Anchor. En Trusted Bridging Entity (TBE) distribuerar nycklar utanför OIDF-specen. Ger hög autonomi men kräver separat governance och samordning.Flera oberoende Trust Anchors kan dela Intermediates, vilket möjliggör interoperabilitet utan nyckeldistribution mellan Trust Anchors. Mycket flexibel men med ökad komplexitet och risk för fragmenterad policy.

Inom Ena

Beskrivning: En nationell Tillitsankartjänst som är rot. Befintliga federationer är Anslutningstjänster.
Pros:

  • Centraliserad styrning → enhetlig policy och tydlig ansvarsfördelning.

  • Tillitskedjor blir enkla, deterministiska och alltid förankrade i samma Tillitsankartjänst → enkel validering.

  • Kompatibel med standard OpenID Federation.

    • Cons:

    • All onboarding och tillitsmärkeshantering måste gå via den nationella Tillitsankartjänsten → ökad administration.

    • Begränsad flexibilitet för federationer (Fed A, Fed B) att göra egna anpassningar.

    • Risk för flaskhalsar och tung styrning

    Beskrivning: Varje federation har en egen

    Tillitsankartjänst

    Trust Anchor, men dessa pekar uppåt mot en nationell

    Tillitsankartjänst

    Trust Anchor.
    Pros:

    • Varje federation har egen kontroll över sin Tillitsankartjänst och sina nycklar.

    • Möjliggör anpassning till lokala/regionala krav samtidigt som nationella regler följs.

    • Stödjer integration av självständiga federationer.

    • Cross-federation validering blir enklare (alla slutar i samma nationella TA).

    Cons:

    • Vid validering måste entiteter kunna hantera flera Tillitsankartjänster

      • Lokal

      • Nationell

    • Risk för olika valideringsresultat beroende på om man startar i lokal eller nationell Tillitsankartjänst.

    • Kräver tydlig samordning så att policys inte krockar

    Beskrivning: Varje federation har en helt fristående

    Tillitsankartjänst

    Trust Anchor. Nycklar publiceras via en extern Trusted Bridging Entity (TBE). Ingen hierarki.
    Pros:

    • Full autonomi för varje federation.

    • Möjlighet till selektiv interoperabilitet utan gemensam rot.

    • Flexibel, olika federationer kan utvecklas självständigt.

    Cons:

    • TBE ligger utanför OpenID Federation-specifikationen → kräver separat styrning och standardisering.

    • Risk för fragmentering om inte stark governance upprättas.

    • Ingen automatisk tillitskedja → validerare måste hantera flera nyckeluppsättningar parallellt.

    • Större administrativ börda vid onboarding och nyckelhantering

    Beskrivning: Flera oberoende

    Tillitsankartjänster

    Trust Anchor länkas ihop genom gemensamma

    Anslutningstjänster (

    shared Intermediates).
    Pros:

    • Möjliggör interoperabilitet för underordnade utan att

    Tillitsankartjänster

    • Trust Anchors behöver underordna sig varandra.

    • Flexibel anslutning – samma Anslutningstjänst kan knytas till flera Tillitsankartjänster.

    • Stödjer gradvis integration mellan federationer.

    • Entiteter kan delta i flera federationer via samma

    Anslutningstjänst

    • Intermediate.

    Cons:

    • Komplexitet ökar när fler

    Tillitsankartjänster

    • Trust Anchors ansluts.

    • Intermediates måste hantera flera överordnade.

  • Tillitsmärkeshantering blir splittrad – olika utfall beroende på vilken Tillitsankartjänst man validerar mot.

    • Risk för policyfragmentering mellan
    kedjor
    • Trust Anchors
    • Entiteter och Uppslags-/verifieringstjänster måste kunna hantera flera
    tillitskedjor
    • Trust Anchors, vilket ökar krav på implementation
    och kan ge olika valideringsresultat beroende på vald kedja
    • ,

    OIDF Policyhantering

    OIDF Policyhantering

    • All policy definieras i den nationella

    Tillitsankartjänsten

    • Trust Anchor och slår igenom top-down.

    • Policys blir enhetliga och entydiga, vilket gör validering enkelt och konsekvent.

    • Begränsad möjlighet för underordnade federationer

    (Anslutningstjänster)

    • att lägga till egna krav – det riskerar att krocka med den centrala styrningen

    • Policy kan definieras både i den nationella

    Tillitsankartjänsten

    • Trust Anchor och i lokala federationers Tillitsankartjänster.

    • Om validering görs mot en lokal TA → lokala regler gäller. Om validering görs via den nationella TA → både nationella och lokala regler slår igenom.

    • Risk för inkonsekvent policy tillämpning beroende på vilken väg en verifiering går.

    • Ingen gemensam policykedja i federationens metadata.

    • Varje Tillitsankartjänst definierar sin egen policy helt självständigt.

    • För att möjliggöra interoperabilitet måste TBE (Trusted Bridging Entity) eller motsvarande governance-funktion definiera gemensamma minimikrav för att få vara med.

    • All faktisk policytillämpning blir lokalt scope:ad till respektive TA.

    • Varje

    Tillitsankartjänst

    • Trust Anchor behåller sin egen policy och publicerar den separat.

    Anslutningstjänster

    • Indermediates som är delade måste hantera och förena policyer från flera olika

    Tillitsankartjänster

    • Trust Anchors.

    • Vid validering måste en

    kedja

    • Trust Anchor väljas → policyn som tillämpas beror på vilken

    Tillitsankartjänst

    • Trust Anchor som är slutpunkt.

    • Risk för divergens: samma Intermediate kan ge olika valideringsresultat beroende på vilken kedja som följs.

    Ena

    ModellHTANTADTA med TBEIIMAR

    Ena

    Governance

    • Behövs främst för att underlätta tillämpning och förståelse av den centrala policyn – t.ex. stödmaterial, vägledningar och gemensamma processer för anslutning.
    • Ena:s roll blir alltså att stötta införande och praktisk användning, snarare än att kompensera för tekniska brister i styrningen
    • Ena behöver ge vägledning, profileringar och exempel på hur lokala federationer ska komplettera den nationella policyn.
    • Även processer för konflikthantering behövs, eftersom OIDF-policy mekanismer inte räcker för att undvika interoperabilitet mellan NTA och LTA
    • Ena måste etablera governance, gemensamma minimikrav, och koordinering av nyckelpublicering och policy.
    • Här blir mjuk styrning den enda möjligheten att skapa interoperabilitet.
    • Ena måste stötta genom att samordna hur Intermediates ska publicera metadata och tillitsmärken på ett enhetligt sätt över flera TA:er.
    • Även vägledning för hur validering ska göras när flera Tillitsankartjänster är möjliga för validering av tillit.

    Konsekvenser för

    Ledningaktör

    • Säkerställa att aktörer förstår och kan tillämpa policyn i praktiken, genom vägledningar, stöd i onboarding och gemensamma processer.
    • Ge ramar för hur lokala federationers policy ska komplettera den nationella. Ta fram profileringar, processer och konflikthantering som jämkar nivåerna.

    • Samordna hur Intermediates ska hantera och publicera policy från flera Tillitsankartjänster.
    • Säkerställa gemensam hantering av tillitsmärken och ge riktlinjer för multipla valideringskedjor.

    Konsekvenser för nationell federationsoperatör

    • Säkerställa att anslutna Anslutningoperatörer förstår och följer nationell policy, hantera onboarding och incidentprocesser, samt vara stödjande i praktisk drift.


    		N/A

    Konsekvenser för

    Federationsoperatör


    • Översätta nationell policy till lokal policy,
    • Stödja medlemmar i att följa nationell och lokal policy, och rapportera konflikter uppåt till Ledningsaktören.


    • Delta och Koordinera mellan olika Federationsoperatörer för att säkerställa konsekvent publicering av nationella Tillitsoperatörer
    • Ge vägledning om valideringsskillnader och stödja Anslutningoperatörer i att hantera motstridiga krav.

    Konsekvenser för

    Anslutningsoperatör





    Konsekvenser för federationsmedlemmar






     Sammanställning plus och minus (Inera)

    Följande lista ÄR ETT FÖRSTA UTKAST PÅ EN SAMMANSTÄLLNING av plus och minus för de olika modellerna. Den är baserad på tolkningar OCH BRISTANDE FÖRSTÅELSE av de olika modellerna. Dessutom finns det stor risk att slutsatserna i listan påverkas av vägval inom respektive modell. Dock tror vi att informationen om modellerna behöver kokas ner till slutsatser på denna nivå och att det är enklare med denna typ av plus/minus lista än pros/cons i tabellen ovan.

    ...

    ATT-GÖRA 3: kvalitetsgranska slutsatserna!!!

    ...



    		HTA

    ...

    NTADTA m. TBEIIMAR
    Plus

    Plus: Enkelt, fint och tydligt.

    • Enklast att genomföra tekniskt, både att bygga upp och att nyttja då valideringen är enklare än alternativen.
    • Att spåra eventuella incidenter blir också enklare i denna modell.
    • Enklare att förklara.
    • Att lista alla tillitsmärkesutdelare på ett ställe gör det enklare att hitta dem. 
    • Det kommer att bli lättare att hålla ihop policies.

    Minus: Brist på flexibilitet kan leda till att infrastrukturen inte svarar upp mot behoven efter en tid.

    Minus: Centralstyrningen ger mindre utrymme för egna varianter, vilket kommer att uppfattas som negativt.

    Minus: Mer arbete för ledningsaktören.

    Minus: Problematiskt att centralisera hantering av samverkanskontext. Risk för att mindre samverkanskontext får hanteras utan tillitsmärken. Kan bli ohållbart.

    Minus: Om man vill representera avtal eller medlemskap i ett specifikt samverkanskontext så behöver ansvarig samordnare för varje samverkanskontext använda en trust mark issuer som är reggad/godkänd av trust anchor.

    Modell NTA

    Lokala tillitsmärken stöds, dvs federad hantering, medan samverkan mellan federativa kontext endast kan basera sig på nationellt godkända märken.

    Digg kan lägga ut federationstillitsankare på sektorsmyndigheter utan att det försvårar interoperabilitet över sektorsgränser.

    Lyckas vi skapa bra gemensamma tillitsmärken bör inte behovet av specifika tillitsmärken i respektive sub-tillitsankare bli lika stort.

    Minus: mer komplex validering än HTA.

    Minus: större risk för fragmentering än HTA.

    Plus: Fortfarande förhållandevis enkel modell men med ökad flexibilitet jämfört med HTA.

    • Den stora fördelen med denna modell är en högre graden av flexibilitet. 
    • Kan snabbare och enklare möta områdets eventuella specifika behov.

    Plus: I vissa användningsfall kan tilliten lösas i den lokala federationen utan inblandning på central nivå:

    • Underlättar incidenthanteringen
    • Ökar robustheten

    Plus: Ökad robusthet då enskilt federativt kontext kan fungera autonomt.

    Plus: Löser problemet med samverkan mellan aktörer i olika verksamhetsområde. [Exempel: Migrationsverket, AF, FK, SKV, CSN, Transportstyrelsen, A-kassorna och Pensionsmyndigheten kan använda de gemensamma nationella tillitsmärkena för GIF och ha interoperabilitet över flera verksamhetsområden].

    Plus: Jämnare fördelning av arbetsbördan för att underhålla federationen, fler organisationer kan bidra.

    ...

    Plus: Om vi väljer att kapsla in befintliga federationer som sub-tillitsankare i NTA får vi en tydligare modell för hur vi kan ta tillvara på tidigare investeringar i federationer.

    • [Skolfederation, Sambi och andra befintliga federationer kan vid behov bli en federation i nya infrastrukturen utan större förändringar. Internt behöver man inte förändra så mycket och EFI gör att anslutna parter får identitets och behörighetshantering med andra verksamhetsområden. Inera skulle (om vi kommer fram till att det är en bra ide) kunna skapa ett tillitsankare för Inera och tillitsmärke för HSA-bas samt HSA-extra (andra gruppen är de som uppfyller fem bör-kraven i HSA Tillitsramverk 5.0 som krävs av EHM). Får enklare övergång till framtida gemensamma tillitsmärken. EHM skulle initialt kunna acceptera både tillitsmärke Sambi och HSA-extra men kan på sikt gå över till ett (eller flera) gemensamma tillitsmärken.]

    Modell DTA med TBE

    Påminner om flera stuprörsfederationer som kopplas ihop med interfederationer.

    Plus: Stor flexibilitet.

    Plus: Ökad robusthet då enskilt federativt kontext kan fungera autonomt.

    ...

    Lokala tillitsmärken stöds, dvs federad hantering, medan samverkan mellan federativa kontext endast kan basera sig på nationellt godkända märken.

    Digg kan lägga ut federationstillitsankare på sektorsmyndigheter utan att det försvårar interoperabilitet över sektorsgränser.

    Lyckas vi skapa bra gemensamma tillitsmärken bör inte behovet av specifika tillitsmärken i respektive sub-tillitsankare bli lika stort.

    • Fortfarande förhållandevis enkel modell men med ökad flexibilitet jämfört med HTA.
      • Den stora fördelen med denna modell är en högre graden av flexibilitet. 
      • Kan snabbare och enklare möta områdets eventuella specifika behov.
    •  I vissa användningsfall kan tilliten lösas i den lokala federationen utan inblandning på central nivå:
      • Underlättar incidenthanteringen
      • Ökar robustheten
    •  Ökad robusthet då enskilt federativt kontext kan fungera autonomt.
    •  Löser problemet med samverkan mellan aktörer i olika verksamhetsområde. [Exempel: Migrationsverket, AF, FK, SKV, CSN, Transportstyrelsen, A-kassorna och Pensionsmyndigheten kan använda de gemensamma nationella tillitsmärkena för GIF och ha interoperabilitet över flera verksamhetsområden].
    • Jämnare fördelning av arbetsbördan för att underhålla federationen, fler organisationer kan bidra.
      • Digg torde få minst administration i denna modell.
    •  Om vi väljer att kapsla in befintliga federationer som sub-tillitsankare i NTA får vi en tydligare modell för hur vi kan ta tillvara på tidigare investeringar i federationer.
      • [Skolfederation, Sambi och andra befintliga federationer kan vid behov bli en federation i nya infrastrukturen utan större förändringar. Internt behöver man inte förändra så mycket och EFI gör att anslutna parter får identitets och behörighetshantering med andra verksamhetsområden. Inera skulle (om vi kommer fram till att det är en bra ide) kunna skapa ett tillitsankare för Inera och tillitsmärke för HSA-bas samt HSA-extra (andra gruppen är de som uppfyller fem bör-kraven i HSA Tillitsramverk 5.0 som krävs av EHM). Får enklare övergång till framtida gemensamma tillitsmärken. EHM skulle initialt kunna acceptera både tillitsmärke Sambi och HSA-extra men kan på sikt gå över till ett (eller flera) gemensamma tillitsmärken.]
    • Stor flexibilitet
    • Ökad robusthet då enskilt federativt kontext kan fungera autonomt.
    • Förmodligen mest flexibel(?) - men eftersom vi inte fullt ut klarar bedöma vad modellen innebär så vet vi inte.

    Minus

    • Brist på flexibilitet kan leda till att infrastrukturen inte svarar upp mot behoven efter en tid.
    • Centralstyrningen ger mindre utrymme för egna varianter, vilket kommer att uppfattas som negativt.
    • Mer arbete för ledningsaktören.
    • Problematiskt att centralisera hantering av samverkanskontext. Risk för att mindre samverkanskontexter får hanteras utan tillitsmärken. Kan bli ohållbart.
    • Om man vill representera avtal eller medlemskap i ett specifikt samverkanskontext behöver ansvarig samordnare för varje samverkanskontext använda en trust mark issuer som är registrerad/godkänd av tillitsankare
    • Mer komplex validering än HTA.
    • Risk för fragmentering om nationella och lokala policies inte koordineras.
    • Valideringsutfall kan skilja sig mellan lokal och nationell TA
    • Högre krav på samordning för att undvika konflikter.
    • Minimal harmonisering mellan federativa kontext – interfederation.

    ...

    • Riskerar cementera fast fragmentering och motverka harmonisering. Skulle i så fall inte öka samhällets framtida digitaliseringstakt.
      • Så stor risk att alternativet kan utgå

    ...

    Modell IIMAR

    Tillitsmärken delas inte mellan olika federativa kontext utan måste registreras i de tillitsankare det ska användas

    ...

      • .

    ...

    • Upplevs som krånglig. Torde bli svår att förklara.

    ...

    • Kanske mindre risk för fragmentering än DTA men tror fortfarande att skillnader mellan olika kontext riskerar cementeras fast, och att målet om harmonisering missas.

    Ena modeller

    Hur mappar vald modell(er) mot våra principer

    ...