Versions Compared

Old Version 19

changes.mady.by.user Anders Malmros

Saved on

compared with

New Version 20

changes.mady.by.user Anders Malmros

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

draw.io Diagram
borderfalse
diagramNameNamnlöst diagram-1765369750330
simpleViewerfalse
width
linksauto
tbstyleinline
lboxtrue
diagramWidth2533
height1069
revision9

Antaganden

  •  Egenskapsintyg för IAM-förmågor skapas per teknisk komponent, inte per samverkande part som nyttjar den tekniska komponenten.

Bakgrund: Exemplifierad etablering av samverkan med stöd av Samordnad identitet och behörighet

...

  1. Värmdö vill ansluta sitt biståndssystem till försäkringskassan för myndighetsrapportering
  2. Försäkringskassan rekommenderar anslutning via Samordnad identitet och behörighet, men de erbjuder fortfarande även en lösning med uppladdning via en e-tjänst med Bank-ID-inloggning och manuell provisionering av användarkonton.
    1. Då värmdö redan är anslutna till Samordnad identitet och behörighet känns detta mest naturligt för dem. Dessutom slipper de hantering av externt provisionerade konton, vilket tar mycket tid och resurser i anspråk.
  3. Försäkringskassans interoperabilitetsspecifikation för myndighetsrapportering deklarerar att man använder systemidentifiering som grund för åtkomst
  4. Värmdö kontaktar sin anslutningsoperatör Inera för att ansluta sitt bistådssystem som klient
  5. Åtkosmtintygstjänsten de har stödjer redan Client Credentials flow enligt den nationella OAuth-profilen vilket är det Försäkringskassan pekar på
  6. Inera koordinerar följande aktiviteter för Värmdö
    1. Skapar ansökan om egenskapsintyg "Åtkomstbegäran" för biståndssystemet
  7. Inera genomför efterlevnadskontroll avseende den nya klienten. Man behöver endas endast försäkra sig om att även biståndsenheten följer LISet. Inga specifika krav ställs på de system som ska genomföra myndighetsrapportering.
  8. Värmdö blir efter en snabb granskning godkänd och Inera utfärdar egenskapsintyget.
  9. Värmdö inhämtar, validerar och publicerar metadata för biståndssystemet
  10. Värmdö kontaktar Försäkringskassan om att få myndighetsrapportera via Samordnad identitet och behörighet
  11. Försäkringskassan verifierar snabbt online att Värmdös biståndssystem och åtkomstintygstjänst är anslutna till Samordnad identitet och behörighet, samt att åtkomstintygstjänsten har egenskapsintyget "Åtkomstbegäran".
  12. Myndighetsrapportering kräver inget avtal utan är varje kommuns skyldighet
  13. Försäkringskassan registrerar Värmdös biståndssystem som klient i sin åtkomstintygstjänst.

...

  1. Regeringen
    1. BÖR instruera till någon myndighet att leda etableringen av ett system för Samordnad identitet och behörighet
    2. BÖR instruera svenska myndigheter (speciellt de som har någon samverkan med kommuner eller regioner) att ansluta sina tjänster för organisationsöverskridande samverkan till Samordnad identitet och behörighet. 
      1. Informationsutlämningstjänster
      2. Myndighetsrapportering 
      3. Digitala förfaranden (t.ex. Nationell läkemedelslista)
  2. Ledningsaktören 
    1. SKA ansvara för att upprätta och förvalta en central katalog med informationssäkerhetskrav
    2. SKA ansvara för att upprätta och förvalta en central katalog med definitioner av åtkomststyrande attribut
    3. SKA ansvara för att upprätta och förvalta nationella profileringar, anvisningar och vägledningar för identietets- och åtkomsthantering.
    4. SKA agera egenskapintygsägare för nivåindelade egenskapsintyg som tjänsteproducenter kan kräva för åtkomst till sina tjänsteregenskapsintyg för nationellt harmoniserad kravefterlevnad (några få varianter per typ) hos tekniska komponenter som ansluts till federationsinfrastrukturen.
    5. SKA ansvara för anslutning av nya federationsoperatörer inom Samordnad identitet och behörighet
  3. Egenskapsintygsägare
    1. SKA ansvara för förvaltning av en uppsättning krav som en teknisk komponent och den verksamhet och organisation som ansvarar för komponenten behöver uppfylla
    2. SKA i största möjliga mån återanvända krav från den centrala kravkatalogen 
    3. KAN realisera sin hantering av sina egenskapsintyg via Egenskapsintygsombud
  4. Egenskapsintygsombud
    1. SKA ta emot ansökningar om att komponenter ska tilldelas egenskapsintyg
    2. SKA validera efterlevnad för komponenten enligt intygets regelverket för efterlevnadskontroll
  5. Egenskapsintygsutfärdare
    1. SKA erbjuda stämpling av egenskapsintyg vid beställning från egenskapintygsägare eller egenskapsintygsombud.
  6. Federationsoperatörer
    1. SKA etablera en tillitsankartjänst
    2. SKA erbjuda en uppslags- och verifieringstjänst
    3. SKA ansvara för efterlevnadskontrollen av intermediates under sitt tillitsankare.  Not: Detta BEHÖVER INTE realiseras med specifika egenskapsintyg då intermediates antas bli relativt få.
    4. SKA erbjuda nyetablering av anslutningsoperatör - detta omfattar avtal, tekniskt ramverk, tillitsramverk, processer, mm (not: jmfr system för etablering a e-legitimationsutfärdare)
  7. Intermediates
    1. SKA ansvara för avtalsskrivning med anslutna parter 
      1. ETT huvudavtal med var ansluten part
      2. ETT tilläggsavtal/bilaga per teknisk komponent
    2. SKA erbjuda en uppslags- och verifieringstjänst
    3. SKA stämpla tekniska komponenters validerade metadata
    4. KAN erbjuda tjänst för publicering av anslutna tekniska komponenters metadata
  8. Ansluten part
    1. SKA efterleva villkor i huvudavtal/överenskommelse för Samordnad identitet och behörighet
    2. SKA efterleva villkor i tilläggsavtal för Samordnad identitet och behörighet
    3. SKA efterleva de krav som ställts via de egenskapsintyg partens tekniska komponenter tilldelats och redovisa efterlevnaden enligt respektive intygs regelverk för efterlevnadskontroll
    4. KAN skapa egna egenskapsintyg som representerar att man har tecknat komersiellt avtal, PUB-avtal, och/eller uppfyller ytterligare specifika informationssäkerhets- och dataskyddskrav

...

Avtal mellan Federationsoperatör och Anslutningsoperatör

TBC

Avtal mellan Federationsoperatör och Anslutande part via

...

Anslutningsoperatör 

Här redovisar jag en tanke på konceptuell nivå kring hur reglering av egenskapsintyg kan ske via avtalet.

...

  1. Varje anslutande part skriver endast ett avtal för att ansluta till Samordnad identitet och behörighet. 
  2. Avtalet reglerar i förväg kraven på de tekniska komponenter som den anslutande parten ansluter till federationsinfrastrukturen. 
      Notera: det
      1. Exempel:Innan man kan ansöka om ett egenskapsintyg "intygsutfärdande" ansvarar man för att komponenten uppfyller informationssäkerhetskraven som beskrivs i "Bilaga 1 - Krav för egenskapintyg intygsutfärdande"
      2. Det behöver finnas utrymme för att livscykelhantera bilagornas innehåll - avtalet bör reglera att bilagor kan uppdateras årligen, hur uppdateringar kommer remissas och fastställas, samt hur många månader respektive part har på sig att efterleva ändrade krav.
      3. Innan man kan ansöka om ett egenskapsintyg "Ena intygsutfärdande" ansvarar man för att komponenten uppfyller informationssäkerhetskraven som beskrivs i "Bilaga 1 - Krav för Ena intygsutfärdande"
      4. Innan man kan ansöka om ett egenskapsintyg "Ena attributhantering" ansvarar man för att komponenten uppfyller informationssäkerhetskraven som beskrivs i "Bilaga 2 - Krav för Ena attributhantering"
      5. Innan man kan ansöka om ett egenskapsintyg "Ena åtkomstkontroll" ansvarar man för att komponenten uppfyller informationssäkerhetskraven som beskrivs i "Bilaga 3 - Krav för Ena åtkomstkontroll"
      6. Innan man kan ansöka om ett egenskapsintyg "Ena åtkomstbegäran" ansvarar man för att komponenten uppfyller informationssäkerhetskraven som beskrivs i "Bilaga 4 - Krav för Ena åtkomstbegäran"
      7. Innan man kan ansöka om ett egenskapsintyg "Ena nivå 1" ansvarar man för att komponenten uppfyller informationssäkerhetskraven som beskrivs i "Bilaga 5 - Krav för Ena nivå 1"
      8. Innan man kan ansöka om ett egenskapsintyg "Ena nivå 2" ansvarar man för att komponenten uppfyller informationssäkerhetskraven som beskrivs i "Bilaga 6 - Krav för Ena nivå 2"
      9. Innan man kan ansöka om ett egenskapsintyg "Ena nivå 3" ansvarar man för att komponenten uppfyller informationssäkerhetskraven som beskrivs i "Bilaga 7 - Krav för Ena nivå 3"
      10. Innan man kan ansöka om ett egenskapsintyg "Ena nivå 4" ansvarar man för att komponenten uppfyller informationssäkerhetskraven som beskrivs i "Bilaga 8 - Krav för Ena nivå 4"
      11. Varje a
    1. Innan Innan tilldelning av egenskapsintyg ska efterlevnad av informationssäkerhetskrav påvisas för egenskapsintygsombud enligt krav i "Bilaga 9 - Ramverk för efterlevnadskontroll"
    2. För de egenskapsintyg som tilldelats var parts tekniska komponenter skall efterlevnad påvisas över tid enligt respektive egenskapsintygs regelverk för detta (se respektive egenskapsintygsbilaga enligt ovan)
    3. Eventuellt bör vi möjliggöra utställande av egenskapsintyg med märkning (extra claim) för att egenskapen är självdeklarerad och inte intygad av tredje part!?


    Tankar om fundamentala avtalsvillkor


    Utformning och användning av egenskapsintyg

    Ramverk för efterlevnadskontroll

    Finansieringsmodeller

    Prismodell för anslutningsoperatörer

    Prismodell för egenskapsintygsombud