...
| draw.io Diagram | ||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Federationsinfrastruktur
FI-serien (FI010–FI040) beskriver hur federationsinfrastrukturens centrala komponenter tillsammans etablerar den tekniska tilliten i en federation. I dessa användningsfall visas hur en Tillitsankartjänst publicerar och signerar metadata, hur en Anslutningstjänst kan agera mellanled och applicera lokala policies, hur en Uppslags- och verifieringstjänst bygger och validerar hela tillitskedjan, samt hur en Tillitsmärkestjänst utfärdar och verifierar tillitsmärken som styrker efterlevnad av tillitsskapande krav. Tillsammans utgör de grunden för att federationens parter ska kunna lita på varandra och möjliggör att den digitala samverkan i DS-serien kan realiseras på ett säkert och verifierbart sätt.
...
- Ett konkret förslag till struktur för en "initial" federationsträdOIDF-struktur! Dvs det realisaras realiseras i gemensamt sammankopplade sandbox-miljöer
- Verifiera användningsfallen
Användningsfall
| Användningsfall | Beskrivning | POC Acceptanskriterier | Ingående komponenter (ansvarig aktör) | Lösningsmönster & Specifikationer | Kommentar |
|---|---|---|---|---|---|
| FI010 – Metadatapublicering Tillitsankartjänst | En Tillitsankartjänst (Trust Anchor) publicerar och signerar |
| metadata (om sig själv och underordnade) | Verksamhetskriterier 1. Anslutningstjänst registrerad som entitet 2. Policy 2a. Tillitsmärke konfigurerat 2b. Strict/loose policy
Teknikkriterier 1. Tillitsankartjänst publicerar Entity Configuration enligt specifikation 2. Tillitsankartjänst publicerar Entity Statement enligt specifikation 3. Tillitsankartjänst Subordinate listing enligt specifikation 4. Policyhantering enligt specifikation
|
| OpenID Federation Specification Kommande: Ena Infrastructure OIDF Profile | Grund för teknisk tillit i federationen. |
| FI020 –Metadatapublicering Anslutningstjänst | Validera att Anslutningstjänst (Intermediate Entity) publicerar och signerar |
| metadata (om sig själv och underordnade) | Verksamhetskriterier 1. Tjänst (Federationmedlem) registrerad som entitet Teknikkriterier 1. Anslutningstjänst publicerar Entity Configuration enligt specifikation
2. Anslutningstjänst publicerar Entity Statement enligt specifikation
3. Anslutningstjänst Subordinate listing enligt specifikation |
| Möjliggör skalbarhet och delegerad tillit. | ||
FI030 – Metadatavalidering | Kontrollera att trust chain kan byggas korrekt (top-down), signaturer verifieras och metadata returneras komplett. | Verksamhetskriterier 1. Uppslags- och verifieringstjänst (Resolver) har konfigurerat betrodda Tillitsankartjänster 2. Ett Resolve-anrop kan göras för vald Tillitsankartjänst och valda Tillitsmärken Teknikkriterier Implementerar Resolve-entity enligt
2. Tillämpning av definierad federation-policy vid verifiering
|
| Avlastar digitala tjänster från komplex verifieringslogik. | |
| FI040 – Tillitsmärkeshantering | Säkerställa att tillitsmärken är signerade, giltiga och verifierbara enligt policy. | Verksamhetskriterier 1. Tillitsmärke utfärdat till:
Teknikkriterier 2. Tillitsmärkestjänst implementerad enligt OpenID Federation Specifikationen
|
| Möjliggör automatiserad kontroll av regelefterlevnad. | |
| FI050 - Metadatapublicering | Validera att anslutna komponenter publicerar och signerar sitt metadata | Verksamhetskriterier 1. Komponent (för Federationmedlem) registrerad som entitet Teknikkriterier 2. Komponent publicerar Entity Configuration enligt specifikation
|
|
Testfall
Testfall 1 - Resolva entiteter Uppslag & verifiering av entitet - omfattar FI030 men fungerar enbart om FI010, FI020 och FI050 är gjort
...
- EHM AS-B finns inte i metadata (eller ta ned servern)
- Registrera Uppslags- och verifieringstjänst (Resolver) med Tillitsankartjänst (Trust Anchor) "Sweden Trust",
- Registrera Anslutningstjänst Internetstiftelsen hos Tillitsankartjänst ST
...
| Steg | Beskrivning | Förväntat resultat | Utfall | Status |
|---|---|---|---|---|
| 1 | Resolva Uppslag av Entitet EHM AS-B | Entitet kan inte resolvasverifieras | ||
| 2 | Registrera Entitet EHM AS-B för till Anslutningstjänst hos Internetstiftelsen (AT-IIS) | AT-IIS ger ut Subordinate Statement om EHM AS-B | ||
TA-ST ger ut Subordinate Statement om AT-ISS | ||||
| 3 | Resolva Uppslag av Entitet EHM AS-B | Entitet kan inte resolvasverifieras |
Testfall 2 - Resolva Uppslag & verifiering av entitet med tillitsmärke - omfattar FI040
...
| Steg | Beskrivning | Förväntat resultat | Utfall | Status |
|---|---|---|---|---|
| 1 | Resolva Uppslag av Entitet EHM AS-B | Pilotmärket saknas i entity statementuppslags-svaret | ||
| 2 | Registrera Pilotmärke för EHM AS-B i TMI hos Internetstiftelsen | |||
| 3 | Resolva Uppslag av Entitet EHM AS-B | Pilotmärket finns i entity statementuppslags-svaret |
Digital samverkan
DS-serien (DS001–DS004) demonstrerar den praktiska digitala samverkan över organisationsgränser, där federationsinfrastrukturen används i faktiska åtkomstflöden. Användningsfallen visar hur en användare loggar in i ett system och etablerar en session, hur lokala auktorisationstjänster tillämpar policies och återanvänder inloggningar via SSO, hur åtkomstbegäran kan riktas mot en annan organisation och besvaras med intyg, samt hur metadata för legitimering och auktorisation hanteras och verifieras via federationsinfrastrukturen. Tillsammans visar dessa flöden hur federativ tillit omsätts i säker åtkomst och informationsutbyte mellan organisationer
...