...
Tillsammans visar dessa användningsfall hela kedjan: från att etablera federativ tillit via FI-serien till att praktiskt realisera digital samverkan mellan två organisationer via DS-serien.
...
Användningsfall
Översikt OIDF-struktur
| draw.io Diagram | ||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Federationsinfrastruktur
FI-serien (FI010–FI040) beskriver hur federationsinfrastrukturens centrala komponenter tillsammans etablerar den tekniska tilliten i en federation. I dessa användningsfall visas hur en Tillitsankartjänst publicerar och signerar metadata, hur en Anslutningstjänst kan agera mellanled och applicera lokala policies, hur en Uppslags- och verifieringstjänst bygger och validerar hela tillitskedjan, samt hur en Tillitsmärkestjänst utfärdar och verifierar tillitsmärken som styrker efterlevnad av tillitsskapande krav. Tillsammans utgör de grunden för att federationens parter ska kunna lita på varandra och möjliggör att den digitala samverkan i DS-serien kan realiseras på ett säkert och verifierbart sätt.
...
| Användningsfall | Beskrivning | POC Acceptanskriterier | Ingående komponenter (ansvarig aktör) | Lösningsmönster & Specifikationer | Kommentar |
|---|---|---|---|---|---|
| FI010 – Metadatapublicering Tillitsankartjänst | En Tillitsankartjänst (Trust Anchor) publicerar och signerar sitt metadata. | Verksamhetskriterier 1. Anslutningstjänst registrerad som entitet 2. Policy 2a. Tillitsmärke konfigurerat 2b. Strict/loose policy
Teknikkriterier 1. Tillitsankartjänst publicerar Entity Configuration enligt specifikation 2. Tillitsankartjänst publicerar Entity Statement enligt specifikation 3. Tillitsankartjänst Subordinate listing enligt specifikation 4. Policyhantering enligt specifikation
|
| OpenID Federation Specification Kommande: Ena Infrastructure OIDF Profile | Grund för teknisk tillit i federationen. |
| FI020 –Metadatapublicering Anslutningstjänst | Validera att Anslutningstjänst publicerar och signerar sitt metadata | Verksamhetskriterier 1. Tjänst (Federationmedlem) registrerad som entitet Teknikkriterier 1. Anslutningstjänst publicerar Entity Configuration enligt specifikation
2. Anslutningstjänst publicerar Entity Statement enligt specifikation
3. Anslutningstjänst Subordinate listing enligt specifikation |
| Möjliggör skalbarhet och delegerad tillit. | |
FI030 – Metadatavalidering | Kontrollera att trust chain kan byggas korrekt (top-down), signaturer verifieras och metadata returneras komplett. | Verksamhetskriterier 1. UppslagsUppslags- och verifieringstjänst (Resolver) registrerad som entitet har konfigurerat betrodda Tillitsankartjänster 2. Ett Resolve-anrop kan göras för vald Tillitsankartjänst och valda Tillitsmärken Teknikkriterier Implementerar Resolve-entity enligt
2. Tillämpning av definierad federation-policy vid verifiering
|
| Avlastar digitala tjänster från komplex verifieringslogik. | |
| FI040 – Tillitsmärkeshantering | Säkerställa att tillitsmärken är signerade, giltiga och verifierbara enligt policy. | Verksamhetskriterier 1. Tillitsmärke utfärdat till:
Teknikkriterier 2. Tillitsmärkestjänst implementerad enligt OpenID Federation Specifikationen
|
| Möjliggör automatiserad kontroll av regelefterlevnad. | |
| FI050 - Metadatapublicering | Validera att anslutna komponenter publicerar och signerar sitt metadata | Verksamhetskriterier 1. Komponent (för Federationmedlem) registrerad som entitet Teknikkriterier 2. Komponent publicerar Entity Configuration enligt specifikation
|
|
Testfall - Resolva entiteter - omfattar FI030 men fungerar enbart om FI010, FI020 och FI050 är gjort
Förutsättningar
- EHM AS-B finns inte i metadata eller ta ned servern
- Registrera Resolver med Tillitsankartjänst "Sweden Trust",
- Registrera Anslutningstjänst Internetstiftelsen hos Tillitsankartjänst ST
Test
- Resolva Entitet EHM AS-B
- Förväntat resultat: kan ej resolvas
- Registrera Entitet EHM AS-B för till Anslutningstjänst IIS
- Verifiera att AT-IIS ger ut Subordinate Statement om EHM AS-B
- Verifiera att TA-ST ger ut Subordinate Statement om AT-ISS
- Resolva Entitet EHM AS-B
- Förväntat resultat: kan resolvas
Testfall - Resolva tillitsmärke - omfattar FI040
Förutsättningar
- Pilotmärket är definierat i TMI hos IIS
- EHM AS-B finns i metadata men har inte tillitsmärket "Pilotmärke"
Test
- Resolva Entitet EHM AS-B
- Förväntat resultat: Pilotmärket saknas i entity statement
- Registrera Pilotmärke för EHM AS-B i TMI hos IIS
- Resolva Entitet EHM AS-B
- Förväntat resultat: Pilotmärket finns i entity statement
Digital samverkan
DS-serien (DS001–DS004) demonstrerar den praktiska digitala samverkan över organisationsgränser, där federationsinfrastrukturen används i faktiska åtkomstflöden. Användningsfallen visar hur en användare loggar in i ett system och etablerar en session, hur lokala auktorisationstjänster tillämpar policies och återanvänder inloggningar via SSO, hur åtkomstbegäran kan riktas mot en annan organisation och besvaras med intyg, samt hur metadata för legitimering och auktorisation hanteras och verifieras via federationsinfrastrukturen. Tillsammans visar dessa flöden hur federativ tillit omsätts i säker åtkomst och informationsutbyte mellan organisationer
...
Testfall 1: Användare loggar in i MCSS och hämtar NLL-data.
Förutsättningar
- EHM AS-B, Appva MCSS, Appva AS-A finns registrerade i metadatat
- Appva AS-A har Pilotmärket i TMI hos IIS
Test
Del DS010
- Användare loggar in i MCSS
- DS010-1 Okulärbesiktning av inloggningsflöde. Titta i MSCC-loggar? Titta i IDP-logg?
- DS010-2 Kolla MCSS eller IDP-logg
...