...
| Användningsfall | Beskrivning | POC Acceptanskriterier | Ingående komponenter (ansvarig aktör) | Lösningsmönster & Specifikationer | Kommentar |
|---|---|---|---|---|---|
| FI010 – Metadatapublicering Tillitsankartjänst | En Tillitsankartjänst (Trust Anchor) publicerar och signerar sitt federation metadata statement. | Kriterier verksamhetVerksamhetskriterier
Kriterier specifikationerTeknikkriterier
|
| OpenID Federation Specification Kommande: Ena Infrastructure OIDF Profile | Grund för teknisk tillit i federationen. |
| FI020 –Metadatapublicering Anslutningstjänst | Validera att Anslutningstjänst korrekt kan hämta metadata från Tillitsankartjänst, applicera policy och vidareförmedla metadata.publicerar och signerar sitt metadata | VerksamhetskriterierKriterier verksamhet
Kriterier specifikationerTeknikkriterier
|
| Möjliggör skalbarhet och delegerad tillit. | |
FI030 – Metadatavalidering | Kontrollera att trust chain kan byggas korrekt (top-down/bottom-up), signaturer verifieras och metadata returneras komplett. | Kriterier verksamhetVerksamhetskriterier
TeknikkriterierKriterier specifikationer
|
| Avlastar digitala tjänster från komplex verifieringslogik. | |
| FI040 – Tillitsmärkeshantering | Säkerställa att tillitsmärken är signerade, giltiga och verifierbara enligt policy. | Verksamhetskriterier
Teknikkriterier Kriterier verksamhet
Kriterier specifikationer
|
| Möjliggör automatiserad kontroll av regelefterlevnad. |
...
| Användningsfall | Beskrivning | POC Acceptanskriterier
| Ingående komponenter (ansvarig aktör) | Lösningsmönster & Specifikationer | Kommentar | |
|---|---|---|---|---|---|---|
| DS010 – Inloggning i system | En användare loggar in i System A via en legitimeringstjänst (SAML IdP). Resultatet är en aktiv inloggningssession i System A | Verksamhetskriterier Användare1. Användare är inloggad i systemet 2. Inloggning av användare sker enligt / mha Sambi och Sambis tekniska ramverk Teknikkriterier Övrigt 3. Kandidat: De delar i inloggningslösning som använder OAuth följer ena-oauth2-profile. |
| SAML 2.0, Single Sign-On | Grundförutsättning för federativ åtkomst. | |
| DS020 – Lokal auktorisation | Klient interagerar med en lokal auktorisationstjänst för att fastställa användarens behörigheter. SSO återanvänder sessionen mot IdP för andra system. | Verifiera att lokal auktorisation fungerar och att SSO-sessionen kan återanvändas. Verksamhetskriterier AS1. AS i Domän A ("AS-A") har en säkerställd uppfattning om användaren 2. MCSS har ett underlag i form av en signerad JWT med rätt innehåll som underlag för åtkomstbegäran mot org B Teknikkriterier MCSS3. MCSS initierar Auth grant w. code enligt ena-oauth2-authn-bp, kap 2.2 eller 2.3. 4. MSCC utför token exchange mot AS-A enligt ena-oauth2-chaining, kap 3.3 4a. basprofil enligt xx 5. Claims i JWT för auth grant följer specifikation poc-attributspec , enligt ...
|
| OIDC/OAuth2 (Access Token, ID Token), SAML SSO ena-oauth2-profileena-oauth2-chaining | Möjliggör lokal policytillämpning och SSO-flöde. | |
| DS030 – Åtkomstbegäran till annan organisation | System A begär åtkomstintyg från Organisation B:s auktorisationstjänst för att få åtkomst till resurs i B:s miljö. | Kontrollera att Organisation B:s auktorisationstjänst kan utfärda och returnera giltigt intyg som System A kan validera. Verksamhetskriterier AS1. AS-B kan ta emot och tolka anrop om auth grant Teknikkriterier 2. MCSS utför authorization grant mot AS i domän B ("AS-B") enligt ena-oauth2-chaining, kap 3.4 2a. profil xx
3. AS domän BB följer chaining xx 3b. oauth-oauth2-profile i relevanta delar xx |
| OIDC/OAuth2 Token Exchange, JWT Grants ena-oauth2-chaining poc-attributspec | Möjliggör system-till-system-samverkan över organisationsgränser. | |
| DS040 – Metadatahantering via federationsinfrastruktur | Metadata för IdP, RP och auktorisationstjänster hanteras via OIDF-federationskomponenter. | Säkerställa att metadata kan hämtas, verifieras och cache:as via Resolver, och att trust chain kan valideras till Tillitsankaren. Verksamhetskriterier MCSS1. MCSS har access token att använda Teknikkriterier 2. AS domän A som klient till AS-B följerföljer oauth-oauth2-profile i relevanta delar 2a. profil xx 3. AS-B kan verifiera klient (MCSS) mot metadata genom client_assertion 3a. chaining xx 3b. basprofil xx 3c. oidf-spec entity type client xx 4. AS-B kan verifiera AS-A mot metadata genom "user assertion" 4a. chaining xx 4b. profil xx 4c. oidf entity typ as xx 5. AS-B kan verifiera att entitet AS-A i metadata även har "Pilotsmärke" 5a. oidf TM xx 6. AS-B kan tolka claims för behörighetsgrundande attribut 6a. "handbok" |
| oidf-spec OpenID Federation 1.0, Entity Statements, Trust Chains, Trust Marks ena-oauth2-profile | ||
| DS050 - API-anrop Cross Domain | Verksamhetskriterier MCSS1. MCSS kan göra lyckat API-anrop mot NLL Teknikkriterier 2. MSCC som klient följer oauth-oauth2-profile i relevanta delar 2a. profil xx 3. NLL som Resursserver/ APIAPI följer oauth-oauth2-profile i relevanta delar 3a. profil xx 4. NLL kan verifiera accesstoken 4a. chaining xx 4b. profil xx 5. NLL kan utvärdera behörighetsroll 5a. "handbok" | ena-oauth2-profile |
Testfall
Del DS010 - Använda loggar in i MCSS och hämtar NLL-data. Flöde:
- Användare loggar in i MCSS
- okulärt
Okulärbesiktning av inloggningsflöde. Titta i MSCC-loggar? Titta i IDP-logg?
Del DS020 -
- Användaren utför något som initiera hämtning av information från NLL
- okulärt
- MCSS startar code flow mot AS-A.
- kolla AS-A loggar, anrop och token
- MCSS intygsväxlar mot AS-A
- kolla MCSS-loggar, kolla AS-A-loggar och kolla token (user jwt)
Del DS030 -