Versions Compared

Old Version 66

changes.mady.by.user Niklas Dahlbäck

Saved on

compared with

New Version 67

changes.mady.by.user Niklas Dahlbäck

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

AnvändningsfallBeskrivningPOC AcceptanskriterierIngående komponenter (ansvarig aktör)Lösningsmönster & SpecifikationerKommentar
FI010 – Metadatapublicering TillitsankartjänstEn Tillitsankartjänst (Trust Anchor) publicerar och signerar sitt metadata.

Verksamhetskriterier

1. Anslutningstjänst registrerad som entitet

2. Policy

  2a. Tillitsmärke konfigurerat

  2b. Strict/loose policy 

      •  regler för entity_typ
      •  regler för algoritmer

Teknikkriterier

1. Tillitsankartjänst publicerar Entity Configuration enligt specifikation

2. Tillitsankartjänst publicerar Entity Statement enligt specifikation

3. Tillitsankartjänst Subordinate listing enligt specifikation

4. Policyhantering enligt specifikation

    •  Behöver detaljeras
  • Tillitsankartjänst (Trust Anchor)
    • Digg
    • Internetstiftelsen

OpenID Federation Specification

Kommande: Ena Infrastructure OIDF Profile


Grund för teknisk tillit i federationen.
FI020 –Metadatapublicering AnslutningstjänstValidera att Anslutningstjänst publicerar och signerar sitt metadata

Verksamhetskriterier

1. Tjänst (Federationmedlem) registrerad som entitet

Teknikkriterier

1. Anslutningstjänst publicerar Entity Configuration enligt specifikation

    •  Authority_hint enligt specifikation

2. Anslutningstjänst publicerar Entity Statement enligt specifikation

    •  Om underordnad tjänst

3. Anslutningstjänst Subordinate listing enligt specifikation

  • Anslutningstjänst (Intermediate Entity)
    • Digg
    • Internetstiftelsen

OpenID Federation Specification

Möjliggör skalbarhet och delegerad tillit.

FI030 – Metadatavalidering

Kontrollera att trust chain kan byggas korrekt (top-down), signaturer verifieras och metadata returneras komplett.

Verksamhetskriterier

1. Uppslags- och verifieringstjänst (Resolver)  har konfigurerat betrodda Tillitsankartjänster

2. Ett Resolve-anrop kan göras för vald Tillitsankartjänst och valda Tillitsmärken

Teknikkriterier

Implementerar Resolve-entity enligt
1. OpenID Federation Specification

    •  Validerar digitala signaturer och certifikatkedjor enligt specifikationen

2. Tillämpning av definierad federation-policy vid verifiering

    •  Endast verifierad metadata returneras till förlitande parter
  • Uppslags- och verifieringstjänst (Resolver)
    • Digg
    • Internetstiftelsen

OpenID Federation Specification

Avlastar digitala tjänster från komplex verifieringslogik.
FI040 – TillitsmärkeshanteringSäkerställa att tillitsmärken är signerade, giltiga och verifierbara enligt policy.

Verksamhetskriterier

1. Tillitsmärke utfärdat till:

    •  Klient
    •  Auktorisationstjänst(er)
    •  API

Teknikkriterier

2. Tillitsmärkestjänst implementerad enligt OpenID Federation Specifikationen

    •  

      Publicerar signerade tillitsmärken

    •  

      Följer federation-policy för tillitsmärkets typ, innehåll och giltighet

  • Uppslags- och verifieringstjänst (Resolver)
    • Digg
    • Internetstiftelsen

OpenID Federation Specification

Möjliggör automatiserad kontroll av regelefterlevnad.
FI050 - MetadatapubliceringValidera att anslutna komponenter publicerar och signerar sitt metadata

Verksamhetskriterier

1. Komponent (för Federationmedlem) registrerad som entitet

Teknikkriterier

2. Komponent publicerar Entity Configuration enligt specifikation

    •  Authority_hint enligt specifikation
    •  Trust_marks enligt specifikation
  • Klient
    • Appva
  • Auktorisationstjänster(er)
    • Digg
    • Internetstiftelsen
  • Resource Server (API)

OpenID Federation Specification



Testfall 1 - Resolva entiteter - omfattar FI030 men fungerar enbart om FI010, FI020 och FI050 är gjort

Förutsättningar

  • EHM AS-B finns inte i metadata eller ta ned servern
  • Registrera Resolver med Tillitsankartjänst "Sweden Trust",
  • Registrera Anslutningstjänst Internetstiftelsen hos Tillitsankartjänst ST

...

Teststeg

StegBeskrivningFörväntat resultatUtfallStatus
1Resolva Entitet EHM AS-B

...

Entitet kan

...

inte resolvas

2Registrera Entitet EHM AS-B för till Anslutningstjänst hos Internetstiftelsen (AT-IIS)

...

AT-IIS ger ut Subordinate Statement om EHM AS-B

...





TA-ST ger ut Subordinate Statement om AT-ISS



3Resolva Entitet EHM AS-B

...

Entitet kan inte resolvas


Testfall - Resolva tillitsmärke - omfattar FI040

Förutsättningar

  • Pilotmärket är definierat i TMI hos IIS
  • EHM AS-B finns i metadata men har inte tillitsmärket "Pilotmärke"

...

Teststeg

StegBeskrivningFörväntat resultatUtfallStatus
1Resolva Entitet EHM AS-B

...

Pilotmärket saknas i entity statement

2

Registrera Pilotmärke för EHM AS-B i TMI hos

...

Internetstiftelsen




3Resolva Entitet EHM AS-B

...

Pilotmärket finns i entity statement


Digital samverkan

DS-serien (DS001–DS004) demonstrerar den praktiska digitala samverkan över organisationsgränser, där federationsinfrastrukturen används i faktiska åtkomstflöden. Användningsfallen visar hur en användare loggar in i ett system och etablerar en session, hur lokala auktorisationstjänster tillämpar policies och återanvänder inloggningar via SSO, hur åtkomstbegäran kan riktas mot en annan organisation och besvaras med intyg, samt hur metadata för legitimering och auktorisation hanteras och verifieras via federationsinfrastrukturen. Tillsammans visar dessa flöden hur federativ tillit omsätts i säker åtkomst och informationsutbyte mellan organisationer

...

  • EHM AS-B, Appva MCSS, Appva AS-A finns registrerade i metadatat
  • Appva AS-A har Pilotmärket i TMI hos IIS

Test

Del DS010

Teststeg

StegBeskrivningFörväntat resultat / verifieringUtfallStatus
DS010

1Användare loggar in i MCSS
  1. DS010-1 Okulärbesiktning av inloggningsflöde. Titta i MSCC-loggar? Titta i IDP-logg?
  2. DS010-2 Kolla MCSS eller IDP-logg

...



DS020

1Användaren utför något som initiera hämtning av information från NLL

...

  1. Okulärt


2MCSS startar code flow mot AS-A

...

  1. DS020-1 Kan vi verifiera detta? 
  2. DS020-3 & 3a: kolla MCSS & AS-A loggar request/response


3MCSS intygsväxlar mot AS-A
  1. DS020-4 & 4a kolla MCSS-loggar & AS-A-loggar req/resp
  2. DS020-2 & DS020-5 kolla token (user jwt)

...



DS030

1MSCC anropar AS-B
  1. DS030-2 & 2a och DS030-1 kolla MCSS-loggar och AS-B-loggar req/res.
  2. DS030-3 & 3b kolla AS-B-loggar


2Negativa testfall av AS-B

...

avseende expiry,

...

granttype, client assertion type,

...

client_id etc testas inte här - ehm kvalitetsäkring av AS-B

...




DS040

1

AS-B verifierar MCSS som klient

  1. DS040-2: anrop accepterat, kolla loggar AS-B
  2. DS040-3: kolla loggar + kolla metadata
  3. DS040-3: ta bort metadata-entitet för MCSS
  4. DS040-3: fel nyckel i entitet för MCSS
  5. DS040-3: fel entitetstyp (ej client) för MCSS


2

AS-B verifierar AS-A

  1. DS040-4: kollar logger + kolla metadata
  2. DS040-4: ta bort metadata-entitet för AS-A
  3. DS040-4: fel nyckel i entitet för AS-A
  4. DS040-4: fel entitetstyp (ej authorization_server) för AS-A


3

AS-B verifierar tillitsmärke

  1. DS040-5 kollar logger + kolla metadata
  2. DS040-5 ta bort tillitsmärke
  3. DS040-5 byt tillitsmärke (ej längre det "pilotmärke" vi förväntar oss)


4

AS-B access token

DS040-6 & 6a & DS040-1 claims finns i

...

accesstoken

...



DS050

1

MCSS för API-anrop mot NLL

  1. DS050-1 lyckat anrop med positivt svar