Versions Compared

Old Version 45

changes.mady.by.user Henric Norlander

Saved on

compared with

New Version 46

changes.mady.by.user Henric Norlander

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

AnvändningsfallBeskrivningPOC AcceptanskriterierIngående komponenter (ansvarig aktör)Lösningsmönster & SpecifikationerKommentar
FI010 – Metadatapublicering TillitsankartjänstEn Tillitsankartjänst (Trust Anchor) publicerar och signerar sitt federation metadata statement.

Kriterier verksamhet

  •  Anslutningstjänst registrerad som entitet
  •  Tillitsmärkestjänst registrerad som entitet
    •  Tillitsmä

Kriterier specifikationer

  •  Tillitsankartjänst publicerar Entity Configuration enligt specifikation
  •  Tillitsankartjänst publicerar Entity Statement enligt specifikation
  •  Tillitsankartjänst Subordinate listing enligt specifikation
  •  Policyhantering
  • Tillitsankartjänst (Trust Anchor)
    • Digg
    • Internetstiftelsen

OpenID Federation Specification

Ena Infrastructure OIDF Profile


Grund för teknisk tillit i federationen.
FI020 –Metadatapublicering AnslutningstjänstValidera att Anslutningstjänst korrekt kan hämta metadata från Tillitsankartjänst, applicera policy och vidareförmedla metadata.

Kriterier verksamhet

  •  Tjänst (Federationmedlem) registrerad som entitet

Kriterier specifikationer

  •  Anslutningstjänst publicerar Entity Configuration enligt specifikation
    •  Authority_hint enligt specifikation
  •  Anslutningstjänst publicerar Entity Statement enligt specifikation
  • Anslutningstjänst (Intermediate Entity)
    • Digg
    • Internetstiftelsen

OpenID Federation Specification

Möjliggör skalbarhet och delegerad tillit.

FI030 – Metadatavalidering

Kontrollera att trust chain kan byggas korrekt (top-down/bottom-up), signaturer verifieras och metadata returneras komplett.

Kriterier verksamhet

  •  ...Uppslags- och verifieringstjänst (Resolver) registrerad som entitet

Kriterier specifikationer

  •  Uppslag och validering att tillitskedja enligt specifikationenImplementerar Resolve-entity enligt OpenID Federation Specification
  •  Validerar digitala signaturer och certifikatkedjor enligt specifikationen
  •  Tillämpning av definierad federation-policy vid verifiering
  •  Applicering av policy enligt specifikationen'
  •  Endast giltiga Trust Marks förmedlasverifierad metadata returneras till förlitande parter
  • Uppslags- och verifieringstjänst (Resolver)
    •  Digg
    • Internetstiftelsen

OpenID Federation Specification

Avlastar digitala tjänster från komplex verifieringslogik.
FI040 – TillitsmärkeshanteringSäkerställa att tillitsmärken är signerade, giltiga och verifierbara enligt policy.

Kriterier verksamhet

  •  ...Tillitsmärkestjänst registrerad som entitet

Kriterier specifikationer

  •  ...

    Implementerar Trust Mark Issuer enligt OpenID Federation Specification

  •  

    Publicerar signerade tillitsmärken via definierad endpoint 

  •  

    Hanterar tillitsmärkens livscykel (utfärdande, förnyelse, återkallande) enligt specifikation

  •  

    Säkerställer att tillitsmärken refererar till entitetens giltiga metadata och policy

  •  

    Följer federation-policy för tillitsmärkets typ, innehåll och giltighet

  • Uppslags- och verifieringstjänst (Resolver)
    •  Digg
    • Internetstiftelsen

OpenID Federation Specification

Avlastar digitala tjänster från komplex verifieringslogik.

...

Kort-namnBeskrivning
authn-authz-patterns"Mönster för autentisering och auktorisation"
Övergripande beskrivning av mönster för autentisering och auktorisation. Konceptuell,  ej normativ.
inter-domain-calls"API-anrop över organisationsgränser"
Övergripande beskrivning av mönster för anrop över organisationsgränser. Konceptuell, ej normativ.
ena-oauth2-authn-bp

"Ena OAuth 2.0 User Authentication Best Practises"

Best practises för integration av befintlig inloggningslösning med OAuth 2.0. Konceptuell, ej normativ. 

ena-oauth2-profile"Ena OAuth 2.0 Interoperability Profile"
Ena Basprofil för användning av OAuth 2.0 i Ena-sammanhang. Grundläggande specifikation för all tillämpning av OAuth där den förekommer. Normativ. 
ena-oauth2-chaining

"Ena OAuth 2.0 Token Exchange Profile for Chaining Identity and Authorization"

Enaprofil för token exchange och auktorisation över organisationsgränser.

oidf-spec

"OpenID Federation 1.0 - draft 43"

poc-attributspec

"POC attributspecifikation vård/hälsa"

En specifikation som beskriver claims för att bära behörighetsgrundande information för användning i POC/Pilot. 

OBS - Behöver tas fram!


AnvndningsfallAnvändningsfallBeskrivningPOC Acceptanskriterier
Batch-lösningen är ett pilotval; i full drift används realtidsupplösning via Resolver.


Ingående komponenter (ansvarig aktör)Lösningsmönster & SpecifikationerKommentar
DS010 – Inloggning i systemEn användare loggar in i System A via en legitimeringstjänst (SAML IdP). Resultatet är en aktiv inloggningssession i System A

Kriterier verksamhet

  •  Användare är inloggad i systemet

Kriterier specifikation

  •  Kandidat: Inloggning av användare sker enligt / mha Sambi
  •  Kandidat: De delar i inloggningslösning som använder OAuth följer ena-oauth2-profile.
  • Legitimeringstjänst (IdP – Org A)
  • System A (System A– Org A)

SAML 2.0, Single Sign-On

ena-oauth2-profile

ena-oauth2-authn-bp

Grundförutsättning för federativ åtkomst.
DS020 – Lokal auktorisationKlient interagerar med en lokal auktorisationstjänst för att fastställa användarens behörigheter. SSO återanvänder sessionen mot IdP för andra system.

Verifiera att lokal auktorisation fungerar och att SSO-sessionen kan återanvändas.

Kriterier verksamhet

  •  AS i Domän A ("AS-A") har en säkerställd uppfattning om användaren
  •  MCSS har ett underlag i form av en signerad JWT med rätt innehåll som underlag för åtkomstbegäran mot org B

Kriterier specifikation

  •   MCSS initierar Auth grant w. code enligt ena-oauth2-authn-bp, kap 2.2 eller 2.3.
  •  MSCC utför token exchange mot AS-A enligt ena-oauth2-chaining, kap 3.3
  •  Claims i JWT för auth grant följer specifikation poc-attributspec
  •  MSCC som klient följer oauth-oauth2-profile i relevanta delar
  •  AS domän A följer oauth-oauth2-profile i relevanta delar
  • Auktorisationstjänst (Org A) Legitimeringstjänst (IdP – Org A) System A

OIDC/OAuth2 (Access Token, ID Token), SAML SSO

ena-oauth2-profile

ena-oauth2-chaining

Möjliggör lokal policytillämpning och SSO-flöde.
DS030 – Åtkomstbegäran till annan organisationSystem A begär åtkomstintyg från Organisation B:s auktorisationstjänst för att få åtkomst till resurs i B:s miljö.

Kontrollera att Organisation B:s auktorisationstjänst kan utfärda och returnera giltigt intyg som System A kan validera.

Kriterier verksamhet

  •  AS-B kan ta emot och tolka anrop om auth grant

Kriterier specifikation

  •  MCSS utför authorization grant mot AS i domän B ("AS-B") enligt ena-oauth2-chaining, kap 3.4
  •  MSCC som klient följer oauth-oauth2-profile i relevanta delar
  •  AS domän B följer oauth-oauth2-profile i relevanta delar
  • Auktorisationstjänst (Org B) Resursserver (Org B) System A (Org A)

OIDC/OAuth2 Token Exchange, JWT Grants

ena-oauth2-profile

ena-oauth2-chaining

poc-attributspec

Möjliggör system-till-system-samverkan över organisationsgränser.
DS040 – Metadatahantering via federationsinfrastrukturMetadata för IdP, RP och auktorisationstjänster hanteras via OIDF-federationskomponenter.

Säkerställa att metadata kan hämtas, verifieras och cache:as via Resolver, och att trust chain kan valideras till Tillitsankaren.

Verksamhetskriterier

  •  AS-B kan verifiera klient (MCSS) mot metadata genom client_assertion
  •  AS-B kan verifiera AS-B mot metadata genom "user assertion"
  •  AS-B kan verifiera att entitet AS-B i metadata även har "Pilotsmärke"
  •  AS-B kan tolka claims för behörighetsgrundande attribut 
  •  AS-B kan utfärda accesstoken 

Kriterier specifikation

  •  AS domän B som klient följer oauth-oauth2-profile i relevanta delar
  •  Resolver följer oauth-oauth2-profile i relevanta delar
  • Se tabell ovan 

oidf-spec OpenID Federation 1.0, Entity Statements, Trust Chains, Trust Marks

ena-oauth2-profile
DS050 - API-anrop Cross Domain

Verksamhetskriterier

  •  MCSS kan göra API-anrop mot NLL med accesstoken
  •  NLL kan verifiera accesstoken
  •  NLL kan utvärdera behörighetsroll
  •  MCSS får svar på API-fråga från NLL

Kriterier specifikation

  •  MSCC som klient följer oauth-oauth2-profile i relevanta delar
  •  NLL som Resursserver/API följer oauth-oauth2-profile i relevanta delar

ena-oauth2-profile

...