Page History

Kriterier verksamhetVerksamhetskriterier

•  Användare är inloggad i systemet

Kriterier specifikation

•  Kandidat: Inloggning av användare sker enligt / mha Sambi och Sambis tekniska ramverk

Teknikkriterier

Övrigt

•  Kandidat: De delar i inloggningslösning som använder OAuth följer ena-oauth2-profile.

• Legitimeringstjänst (IdP – Org A)
• System A (System A– Org A)

SAML 2.0, Single Sign-On

ena-oauth2-profile

ena-oauth2-authn-bp

Verifiera att lokal auktorisation fungerar och att SSO-sessionen kan återanvändas.

Kriterier verksamhetVerksamhetskriterier

•  AS i Domän A ("AS-A") har en säkerställd uppfattning om användaren
•  MCSS har ett underlag i form av en signerad JWT med rätt innehåll som underlag för åtkomstbegäran mot org B

Kriterier specifikationTeknikkriterier

•   MCSS initierar Auth grant w. code enligt ena-oauth2-authn-bp, kap 2.2 eller 2.3.
  •  basprofil enligt xx
•  MSCC utför token exchange mot AS-A enligt ena-oauth2-chaining, kap 3.3
  •  basprofil enligt xx
•  Claims i JWT för auth grant följer specifikation poc-attributspec
  •  enligt ...
•  MSCC som klient följer oauth-oauth2-profile i relevanta delar
•  AS domän A följer oauth-oauth2-profile i relevanta delar

• Auktorisationstjänst (Org A) Legitimeringstjänst (IdP – Org A) System A

OIDC/OAuth2 (Access Token, ID Token), SAML SSO

ena-oauth2-chaining

Kontrollera att Organisation B:s auktorisationstjänst kan utfärda och returnera giltigt intyg som System A kan validera.

Kriterier verksamhetVerksamhetskriterier

•  AS-B kan ta emot och tolka anrop om auth grant

Kriterier specifikationTeknikkriterier

•  MCSS utför authorization grant mot AS i domän B ("AS-B") enligt ena-oauth2-chaining, kap 3.4
  •  profil xx
•  MSCC som klient följer oauth-oauth2-profile i relevanta delar
•  AS domän B följer chaining xx
  •  oauth-oauth2-profile i relevanta delar xx

• Auktorisationstjänst (Org B) Resursserver (Org B) System A (Org A)

OIDC/OAuth2 Token Exchange, JWT Grants

ena-oauth2-profile

ena-oauth2-chaining

poc-attributspec

Säkerställa att metadata kan hämtas, verifieras och cache:as via Resolver, och att trust chain kan valideras till Tillitsankaren.

Verksamhetskriterier

•  MCSS har access token att använda

Teknikkriterier

•  AS domän A som klient till AS-B följer oauth-oauth2-profile i relevanta delar
  •  profil xx
•  AS-B kan verifiera klient (MCSS) mot metadata genom client_assertion
  •  chaining xx
  •  basprofil xx
  •  oidf-spec entity type client xx
•  AS-B kan verifiera AS-B A mot metadata genom "user assertion"
  •  chaining xx
  •  profil xx
  •  oidf entity typ as xx
•  AS-B kan verifiera att entitet AS-B A i metadata även har "Pilotsmärke"
  •  oidf TM xx
•  AS-B kan tolka claims för behörighetsgrundande attribut 
•  AS-B kan utfärda accesstoken 

Kriterier specifikation

•  AS domän B som klient följer oauth-oauth2-profile i relevanta delar
•  Resolver följer oauth-oauth2-profile i relevanta delar

• attribut
  •  "handbok"

• Se tabell ovan 

oidf-spec OpenID Federation 1.0, Entity Statements, Trust Chains, Trust Marks

Verksamhetskriterier

•  MCSS kan göra lyckat API-anrop mot NLL med accesstoken
•  NLL kan verifiera accesstoken
•  NLL kan utvärdera behörighetsroll
•  MCSS får svar på API-fråga från NLL
• NLL 

TeknikkriterierKriterier specifikation

•  MSCC som klient följer oauth-oauth2-profile i relevanta delar
  •  profil xx
•  NLL som Resursserver/API följer oauth-oauth2-profile i relevanta delar
  •  profil xx
•  NLL kan verifiera accesstoken
  •  chaining xx
  •  profil xx
•  NLL kan utvärdera behörighetsroll
  •  "handbok"