Versions Compared

Old Version 44

changes.mady.by.user Anders Malmros

Saved on

compared with

New Version 45

changes.mady.by.user Anders Malmros

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Info

TODOs (förslag):

  •  Skapa fokusgrupp för utformning av federationsavtal (kompetenser: avtalsjuridik, arkitektur, federation, tillit) - dessa kan komma att tecknas av tusentals parter och bör utformas för denna skala.
    •  Parter som ska kunna teckna avtal, eller ingå överenskommelse om, är statliga myndighet, övriga statliga aktörer, SKR, regioner, regionala bolag, regionförbund, kommuner, kommunala bolag, kommunförbund, kommunalförbund, samt privata aktörer med eller utan offentlig finansiering.
    •  Villkor om anslutande parts följsamhet mot fundamentala krav i kravkatalog (tillitsramverk) samt krav för anslutning av tekniska komponenter kan föranleda ompaketering och revision av leverabler inom tillitshanteringsområdet. Exempel på detta är reglering av efterlevnadskontroll.
  •  Publicera krav online under exempelvis https://ena-infrastructure.se/kravkatalog/
  •  Etablera verksamhet och process för livscykelhantering av krav
  •  Skapa fokusgrupp för utformning av operatörsavtal (kompetenser: avtalsjuridik, arkitektur) - dessa bör uppskattningsvis tecknas med ett tiotal parter och kan utformas för denna skala. Operatörer kan kanske etableras av samtliga typer av organisationer, men de kommersiella möjligheterna bör vara begränsade i syfte att stärka grunden för tillit.
  •  Skapa fokusgrupp för utformning av federationsoperatörsavtal (kompetenser: avtalsjuridik, arkitektur) - dessa bör tecknas endast av ett fåtal parter, där dessa parter bör ha en central position och funktion inom federationsområdet. I dagsläget ser vi endast behov av ett federationsområde, "Svensk offentlig förvaltning".
  •  Publicera attributsdefinitioner under exempelvis https://ena-infrastructure.se/attribut/ 
  •  Etablera verksamhet och process för förvaltning av attributsdefinitioner

...

Avtalsreglering av Samordnad identitet och behörighet

...

Nedan visas en översikt över strukturen av avtal som möjliggör Samordnad identitet och behörighets federationsinfrastruktur. Bilden visar också hur avtal om samverkan med faktiskt informationsutbyte relaterar till federationsinfrastrukturen.

...

draw.io Diagram
borderfalse
diagramNameNamnlöst diagram-1765519794738
simpleViewerfalse
width
linksauto
tbstyleinline
lboxtrue
diagramWidth1331
height941
revision31

Federationsoperatörsavtal

Reglerar villkor för aktörer som vill etablera sig som federationsoperatör inom Samordnad identitet och behörighet.

Operatörsavtal

Reglerar villkor för de aktörer som vill etablera sig som anslutningsoperatör under ett visst tillitsankare.

De informationssäkerhets- och cybersäkerhetskrav som tas fram här bör registreras i den kravkatalog som upprättas och förvaltas inom Samordnad identitet och behörighet.

Federationsavtal

Reglerar villkor för de parter som vill erbjuda, alternativt ansluta till, digitala tjänster som anslutits till federationsinfrastrukturen.

...

Info

Specifikt skall villkor för intygsutfärdande, attributhantering, åtkomstbegäran, åtkomstkontroll och tillitsnivå 1, enligt Kravkatalog och Ena tillitsmärken inkluderas eller refereras till i avtalet.

Dessa generella krav kan behöva representeras som ett tillitsmärke om man vill separera anslutande parts registrering av metadata från anslutningsoperatörens verifiering av denna metadata. Ett tillitsmärke kan då tilldelas efter verifiering. 

Samverkansavtal

Avtal eller överenskommelse för reglering av den faktiska samverkan ligger utanför Samordnad identitet och behörighet och ingås antingen direkt mellan parter eller via en samverkansområdesoperatör. Dessa avtal kan styra informatik, API-specifikationer, åtkomstpolicyer, processer, kommersiella villkor, personuppgiftsbiträdesrelationer, eventuella kompletterande informationssäkerhetskrav, m.m.

...

  1. Nationella profileringar av OIDC och OAuth.
  2. Nationella definitioner för behörighetsgrundande attribut.
  3. Nationellt etablerade attributprofiler 
  4. API-utformning i enighet med Diggs API-profil om det inte finns andra existerande API:er för aktuellt samverkansområde.
  5. Nationella vägledningar kring hur standarder och mönster ska tillämpas.
  6. Nationellt hamoniserade krav i kravkatalogen för krav på organisationer och verksamheter informationssäkerhetarbete.

...

Regeringens styrning av Samordnad identitet och behörighet

För att Samordnad identitet och behörighet ska leverera sin potentiella nyttoeffekt till samhället totalt och en effektiviserad digitalisering behöver den nationella infrastrukturen nyttjas framförallt av offentliga aktörer för framförallt sin externa samverkan. För en effektiv styrning bör regeringen:

  1. Instruera
    2. RegeringenBÖR instruera
  2. till någon myndighet att leda etableringen
    3. av ett system för
  3. , förvaltning och nationell samordning av Samordnad identitet och behörighet.
    4. BÖR instruera
  4. Instruera svenska myndigheter (speciellt de som har någon samverkan med kommuner eller regioner) att ansluta sina tjänster för organisationsöverskridande samverkan till Samordnad identitet och behörighet. 
    1. Informationsutlämningstjänster
    2. Myndighetsrapportering 
    3. Digitala förfaranden (t.ex. Nationell läkemedelslista)

...

...

Arkitekturell modell

Den arkitekturella modellen är uppdelad i tre delar:

  1. Samordnad identitet och behörighets tillitshantering
  2. Samordnad identitet och

...

  1. Ledningsaktören 
    1. SKA ansvara för att upprätta och förvalta en central katalog med informationssäkerhetskrav
    2. SKA ansvara för att upprätta och förvalta en central katalog med definitioner av åtkomststyrande attribut
    3. SKA ansvara för att upprätta och förvalta nationella profileringar, anvisningar och vägledningar för identietets- och åtkomsthantering.
    4. SKA agera egenskapintygsägare för egenskapsintyg för nationellt harmoniserad kravefterlevnad (några få varianter per typ) hos tekniska komponenter som ansluts till federationsinfrastrukturen.
    5. SKA ansvara för anslutning av nya federationsoperatörer inom Samordnad identitet och behörighet
  2. Egenskapsintygsägare
    1. SKA ansvara för förvaltning av en uppsättning krav som en teknisk komponent och den verksamhet och organisation som ansvarar för komponenten behöver uppfylla
    2. SKA i största möjliga mån återanvända krav från den centrala kravkatalogen 
    3. KAN realisera sin hantering av sina egenskapsintyg via Egenskapsintygsombud
  3. Egenskapsintygsombud
    1. SKA ta emot ansökningar om att komponenter ska tilldelas egenskapsintyg
    2. SKA validera efterlevnad för komponenten enligt intygets regelverket för efterlevnadskontroll
    3. SKA erbjuda stämpling av egenskapsintyg vid beställning från egenskapintygsägare eller egenskapsintygsombud.
  4. Federationsoperatörer
    1. SKA etablera en tillitsankartjänst
    2. SKA erbjuda en uppslags- och verifieringstjänst
    3. SKA ansvara för efterlevnadskontrollen av intermediates under sitt tillitsankare.  Not: Detta BEHÖVER INTE realiseras med specifika egenskapsintyg då intermediates antas bli relativt få.
    4. SKA erbjuda nyetablering av anslutningsoperatör - detta omfattar avtal, tekniskt ramverk, tillitsramverk, processer, mm (not: jmfr system för etablering a e-legitimationsutfärdare)
  5. Anslutningsoperatörer 
    1. SKA ansvara för upprättande av federationsavtal med anslutna parter 
    2. SKA erbjuda en uppslags- och verifieringstjänst
    3. SKA stämpla tekniska komponenters validerade metadata
    4. KAN erbjuda tjänst för publicering av anslutna tekniska komponenters metadata
  6. Ansluten part
    1. SKA efterleva villkor i federationsavtalet för Samordnad identitet och behörighet
    2. SKA efterleva de krav som ställts via de egenskapsintyg partens tekniska komponenter tilldelats och redovisa efterlevnaden enligt respektive intygs regelverk för efterlevnadskontroll
    3. KAN skapa egna egenskapsintyg som representerar att man uppfyller ytterligare specifika informationssäkerhets- och dataskyddskrav

Roller och ansvar inom respektive samverkansområde som nyttjar Samordnad identitet och behörighet

  1. Samverkansoperatör
    1. SKA ansvara för avtal för samverkan mellan parter inom ett samverkansområde.
    2. SKA ansvara för upprättande och förvaltning av interoperabilitetsspecifikationer för den samverkan som sker inom samverkansområdet.
    3. SKA ansvara för upprättande och förvaltning av de överenskommelser som ingåtts av samverkande parter inom samverkansområdet.
    4. KAN välja Samordnad identitet och behörighet som grund för hantering av identiteter och åtkomstbeslut inom samverkansområdet.
    5. KAN välja att nyttja en, flera, eller alla förmågor som erbjuds via Samordnad identitet och behörighet för att realisera samverkan inom det egna området.
  2. Anslutande part
    1. KAN agera samverkansoperatör
    2. SKA teckna avtal eller ingå överenskommelse med samverkansoperatörer samverkansområden där man önskar delta 
    3. SKA teckna avtal eller ingå överenskommelse med anslutningsoperatör i Samordnad identitet och behörighet 
    4. SKA realisera eller upphandla de komponenter eller tjänster som behövs för att realisera identitets- och behörighetshantering för samverkan
    5. KAN etablera en verksamhet som egenskapsintygsägare om man inom samverkansområdet har specifika informationssäkerhetskrav för samverkansområdet
  3. Komponentansvarig
    1. SKA via en anslutningsoperatör ansluta de tekniska komponenter som ska användas av anslutande parter inom samverkan via Samordnad identitet och behörighet 
  4. Egenskapsmärkesägare
    1. SKA ansvara för förvaltning av en uppsättning krav specifika för samverkansområdet som en teknisk komponent och den verksamhet och organisation som ansvarar för komponenten behöver uppfylla 
    2. SKA i största möjliga mån återanvända krav från den centrala kravkatalogen och verka för att eventuella nya krav förrs in i kravkatalogen

Arkitekturell modell

Den arkitekturella modellen är uppdelad i tre delar:

  1. Samordnad identitet och behörighets tillitshantering
  2. Samordnad identitet och behörighets federationsinfrastruktur
  3. Digital samverkans anslutning till federationsinfrastrukturen och utökad tillitshantering, eventuellt kopplat till Samordnad identitet och behörighets kravkatalog.

...

  1. behörighets federationsinfrastruktur
  2. Digital samverkans anslutning till federationsinfrastrukturen och utökad tillitshantering, eventuellt kopplat till Samordnad identitet och behörighets kravkatalog.


draw.io Diagram
borderfalse
diagramNameNamnlöst diagram-1765369750330
simpleViewerfalse
width
linksauto
tbstyleinline
lboxtrue
diagramWidth2600
height1116
revision36

Roller och ansvar inom Samordnad identitet och behörighet

  1. Ledningsaktören 
    1. SKA ansvara för att upprätta och förvalta en central katalog med informationssäkerhetskrav
    2. SKA ansvara för att upprätta och förvalta en central katalog med definitioner av åtkomststyrande attribut
    3. SKA ansvara för att upprätta och förvalta nationella profileringar, anvisningar och vägledningar för identietets- och åtkomsthantering.
    4. SKA agera egenskapintygsägare för egenskapsintyg för nationellt harmoniserad kravefterlevnad (några få varianter per typ) hos tekniska komponenter som ansluts till federationsinfrastrukturen.
    5. SKA ansvara för anslutning av nya federationsoperatörer inom Samordnad identitet och behörighet
  2. Egenskapsintygsägare
    1. SKA ansvara för förvaltning av en uppsättning krav som en teknisk komponent och den verksamhet och organisation som ansvarar för komponenten behöver uppfylla
    2. SKA i största möjliga mån återanvända krav från den centrala kravkatalogen 
    3. KAN realisera sin hantering av sina egenskapsintyg via Egenskapsintygsombud
  3. Egenskapsintygsombud
    1. SKA ta emot ansökningar om att komponenter ska tilldelas egenskapsintyg
    2. SKA validera efterlevnad för komponenten enligt intygets regelverket för efterlevnadskontroll
    3. SKA erbjuda stämpling av egenskapsintyg vid beställning från egenskapintygsägare eller egenskapsintygsombud.
  4. Federationsoperatörer
    1. SKA etablera en tillitsankartjänst
    2. SKA erbjuda en uppslags- och verifieringstjänst
    3. SKA ansvara för efterlevnadskontrollen av intermediates under sitt tillitsankare.  Not: Detta BEHÖVER INTE realiseras med specifika egenskapsintyg då intermediates antas bli relativt få.
    4. SKA erbjuda nyetablering av anslutningsoperatör - detta omfattar avtal, tekniskt ramverk, tillitsramverk, processer, mm (not: jmfr system för etablering a e-legitimationsutfärdare)
  5. Anslutningsoperatörer 
    1. SKA ansvara för upprättande av federationsavtal med anslutna parter 
    2. SKA erbjuda en uppslags- och verifieringstjänst
    3. SKA stämpla tekniska komponenters validerade metadata
    4. KAN erbjuda tjänst för publicering av anslutna tekniska komponenters metadata
  6. Ansluten part
    1. SKA efterleva villkor i federationsavtalet för Samordnad identitet och behörighet
    2. SKA efterleva de krav som ställts via de egenskapsintyg partens tekniska komponenter tilldelats och redovisa efterlevnaden enligt respektive intygs regelverk för efterlevnadskontroll
    3. KAN skapa egna egenskapsintyg som representerar att man uppfyller ytterligare specifika informationssäkerhets- och dataskyddskrav

Roller och ansvar inom samverkansområde som nyttjar Samordnad identitet och behörighet

  1. Samverkansoperatör
    1. SKA ansvara för avtal för samverkan mellan parter inom ett samverkansområde.
    2. SKA ansvara för upprättande och förvaltning av interoperabilitetsspecifikationer för den samverkan som sker inom samverkansområdet.
    3. SKA ansvara för upprättande och förvaltning av de överenskommelser som ingåtts av samverkande parter inom samverkansområdet.
    4. KAN välja Samordnad identitet och behörighet som grund för hantering av identiteter och åtkomstbeslut inom samverkansområdet.
    5. KAN välja att nyttja en, flera, eller alla förmågor som erbjuds via Samordnad identitet och behörighet för att realisera samverkan inom det egna området.
  2. Anslutande part
    1. KAN agera samverkansoperatör
    2. SKA teckna avtal eller ingå överenskommelse med samverkansoperatörer samverkansområden där man önskar delta 
    3. SKA teckna avtal eller ingå överenskommelse med anslutningsoperatör i Samordnad identitet och behörighet 
    4. SKA realisera eller upphandla de komponenter eller tjänster som behövs för att realisera identitets- och behörighetshantering för samverkan
    5. KAN etablera en verksamhet som egenskapsintygsägare om man inom samverkansområdet har specifika informationssäkerhetskrav för samverkansområdet
  3. Komponentansvarig
    1. SKA via en anslutningsoperatör ansluta de tekniska komponenter som ska användas av anslutande parter inom samverkan via Samordnad identitet och behörighet 
  4. Egenskapsmärkesägare
    1. SKA ansvara för förvaltning av en uppsättning krav specifika för samverkansområdet som en teknisk komponent och den verksamhet och organisation som ansvarar för komponenten behöver uppfylla 
    2. SKA i största möjliga mån återanvända krav från den centrala kravkatalogen och verka för att eventuella nya krav förrs in i kravkatalogen

...

Tillitshantering

Federationsinfrastruktur

Digital samverkan

...

Exemplifierad etablering av samverkan med stöd av Samordnad identitet och behörighet

...