Samordnad identitet och behörighet

Inledning

Samordnad identitet och behörighet är ett byggblock i Ena - Sveriges digitala infrastruktur. Byggblocket mål är att med införandet av en nationellt gemensam identitets- och behörighetsfederation möjliggöra enklare etablering och förvaltning av digital samverkan över organisationsgränser. Denna typ av samverkan finns redan etablerad, men ofta är det sektorspecifika lösningar som endast möjliggör samverkan mellan aktörer inom en sektor. När någon aktör har verksamheter med behov av samverkan inom många olika sektorer behöver man ansluta till många olika federationer. Flera aktörer erbjuder inte sina digitala tjänster via någon federation utan kräver separata anslutningar, vilket driver stora kostnader. Med en samordnad identitets- och behörighetshantering som bygger på en anslutning till federationen och digitala tjänster som linjerar med nationella standarder för interoperabilitet kan tids- och kostnadseffektiviteten för samhällets digitalisering öka avsevärt.

...

Konceptuell modell 

Samordnad identitet i sig stödjer etablering av digital samverkan genom en federationsinfrastruktur som möjliggör säker förmedling av identiteter, behörighetshandlingar och behörighetsbeslut. Dessutom tas det fram nationellt fastställda profileringar av standarder och mönster för deras användning.

...

Realisering av nytta

För att Samordnad identitet och behörighet ska leverera sin potentiella nyttoeffekt till samhället totalt och en effektiviserad digitalisering behöver den nationella infrastrukturen nyttjas framförallt av offentliga aktörer för sin externa samverkan. Då aktörer inom den offentliga Sverige redan har "fungerande" integrationslösningar utformade enligt egen färg och smak behöver aktörers förflyttningar beslutas om på strategisk nivå och antagligen finansieras gemensamt av staten. Nyttjandet av en nationell infrastruktur kommer inte ge snabb avkastning för enskilda aktörer utan bör ses som ett verktyg för att på längre sikt effektivisera digitalisering och Sveriges konkurrenskraft på samhällsnivå.

...

1. Instruera till någon myndighet att långsiktigt etablera och förvalta Samordnad identitet och behörighet, samt ge dem och andra myndigheter i uppdrag att delta i samordning av infrastrukturens fortsatta utveckling.
2. Instruera myndigheter (speciellt de som har någon samverkan med kommuner eller regioner) att ansluta sina tjänster för organisationsöverskridande samverkan till Samordnad identitet och behörighet. 
   1. Digitala tjänster för informationsdelning (t.ex. för EHDS)
   2. Digitala tjänster för myndighetsrapportering 
   3. Digitala tjänster för samverkan (t.ex. Nationell läkemedelslista)

Avtalsreglering 

Nedan visas en översikt över strukturen av avtal som möjliggör Samordnad identitet och behörighets federationsinfrastruktur. Bilden visar också hur avtal om samverkan med faktiskt informationsutbyte relaterar till federationsinfrastrukturen.

...

Federationsoperatörsavtal

Reglerar villkor för aktörer som vill etablera sig som federationsoperatör inom Samordnad identitet och behörighet.

Operatörsavtal

Reglerar villkor för de aktörer som vill etablera sig som anslutningsoperatör under ett visst tillitsankare.

De informationssäkerhets- och cybersäkerhetskrav som tas fram här bör registreras i den kravkatalog som upprättas och förvaltas inom Samordnad identitet och behörighet.

Federationsavtal

Reglerar villkor för de parter som vill erbjuda, alternativt ansluta till, digitala tjänster som anslutits till federationsinfrastrukturen.

...

Samverkansavtal

Avtal eller överenskommelse för reglering av den faktiska samverkan ligger utanför Samordnad identitet och behörighet och ingås antingen direkt mellan parter eller via en samverkansansvarig. Dessa avtal kan styra informatik, API-specifikationer, åtkomstpolicyer, processer, kommersiella villkor, personuppgiftsbiträdesrelationer, eventuella kompletterande informationssäkerhetskrav, m.m.

...

1. Nationella profileringar av OIDC och OAuth.
2. Nationella definitioner för behörighetsgrundande attribut.
3. Nationell publicering av attribut specifika för vissa verksamhetsområden
4. Nationellt etablerade attributprofiler
5. Nationell publicering av attributprofiler specifika för vissa verksamhetsområden
6. API-utformning i enighet med Diggs API-profil om det inte finns andra existerande API:er för aktuell samverkan (ex FHIR för e-hälsodata).
7. Nationella vägledningar kring hur standarder och mönster ska tillämpas.
8. Nationellt hamoniserade krav i kravkatalogen för krav på organisationers och verksamheters förmågor, framförallt gällande informationssäkerhet.

...

Arkitekturell modell

Den arkitekturella modellen är uppdelad i tre delar:

1. Tillitshantering bekriver de tillitsskapande krav som ställs på tekniska komponenter som ska delta i samverkan, de aktörer som hanterar kraven och uppföljning av dem, samt hur dessa krav representeras digitalt.
2. Federationsinfrastruktur beskriver den infrastruktur som möjliggör säker hantering och delning av metadata om tekniska komponenter och tillhörande komponentansvarig organisation.
3. Digital samverkan beskriver samverkande parters användning av och följsamhet till Samordnad identitet och behörighet.

Modell exemplifierad genom NLL

Nedan ser du först en exemplifiering för Ineras anslutning av sin IdP och tjänsten Pascal respektive EHMS anslutning av sin AS och deras NLL-API. 

...

Modell utan exemplifiering

Roller och ansvar inom Samordnad identitet och behörighet

1. Ledningsaktören 
   1. SKA ansvara för att upprätta och förvalta en central katalog med informationssäkerhetskrav
   2. SKA ansvara för att upprätta och förvalta en central katalog med definitioner av åtkomststyrande attribut
   3. SKA ansvara för att upprätta och förvalta nationella profileringar, anvisningar och vägledningar för identietets- och åtkomsthantering.
   4. SKA ansvara för anslutning av nya federationsoperatörer inom Samordnad identitet och behörighet
   5. BÖR agera egenskapintygsägare för egenskapsintyg för nationellt harmoniserad kravefterlevnad (några få varianter per typ) hos tekniska komponenter som ansluts till federationsinfrastrukturen.
2. Egenskapsintygsägare
   1. SKA ansvara för förvaltning av en uppsättning krav som en teknisk komponent och den verksamhet och organisation som ansvarar för komponenten behöver uppfylla
   2. SKA i största möjliga mån återanvända krav från den centrala kravkatalogen 
   3. KAN realisera sin hantering av sina egenskapsintyg via Egenskapsintygsombud
   4. KAN erbjuda stämpling av egenskapsintyg
3. Egenskapsintygsombud
   1. SKA ta emot ansökningar om att komponenter ska tilldelas egenskapsintyg
   2. SKA validera efterlevnad för komponenten enligt intygets regelverket för efterlevnadskontroll
   3. KAN erbjuda stämpling av egenskapsintyg vid beställning från egenskapintygsägare eller egenskapsintygsombud.
4. Federationsoperatörer
   1. SKA etablera en tillitsankartjänst
   2. SKA erbjuda en uppslags- och verifieringstjänst
   3. SKA ansvara för efterlevnadskontrollen av intermediates under sitt tillitsankare.  Not: Detta BEHÖVER INTE realiseras med specifika egenskapsintyg då intermediates antas bli relativt få.
   4. SKA erbjuda nyetablering av anslutningsoperatör - detta omfattar avtal, tekniskt ramverk, tillitsramverk, processer, mm (not: jmfr system för etablering a e-legitimationsutfärdare)
5. Anslutningsoperatörer 
   1. SKA ansvara för upprättande av federationsavtal med anslutna parter 
   2. SKA erbjuda en uppslags- och verifieringstjänst
   3. SKA stämpla tekniska komponenters validerade metadata
   4. KAN erbjuda tjänst för publicering av anslutna tekniska komponenters metadata
6. Ansluten part
   1. SKA efterleva villkor i federationsavtalet för Samordnad identitet och behörighet
   2. SKA efterleva de krav som ställts via de egenskapsintyg partens anslutna tekniska komponenter tilldelats

Roller och ansvar inom Digital samverkan

Nyttjande av Samordnad identitet och behörighet är valfritt. Forutsättningen för nedanstående KAN/BÖR/SKA-krav är att man beslutat sig för att nyttja Samordnad identitet och behörighet.

1. Samverkande part
   1. KAN ansvara för avtal och överenskommelser för specifik samverkan
   2. KAN ansvara för upprättande och förvaltning av interoperabilitetsspecifikationer för den samverkan som sker.
   3. KAN välja att nyttja en eller flera förmågor som erbjuds via Samordnad identitet och behörighet för att realisera samverkan.
   4. KAN etablera en verksamhet som egenskapsintygsägare om man för samverkan har specifika krav på samverkande parter och/eller tekniska komponenter.
   5. SKA realisera eller upphandla de komponenter ska anslutas till Samordnad identitet och behörighet
2. Anslutande part
   
   1. SKA ansluta tekniska komponenter till Samordnad identitet och behörighet
3. Egenskapsmärkesägare
   1. SKA ansvara för förvaltning av krav som behöver uppfyllas för den specifika samverkan
   2. BÖR i största möjliga mån återanvända krav från den centrala kravkatalogen
   3. BÖR verka för att eventuella nya krav förs in i den centrala kravkatalogen

Resonemang kring tillit

Tillit mellan aktörer skapas i regel genom att deras förehavanden regleras av förordningar, lagar, föreskrifter, avtal och överenskommelser och en tilltro till en aktörs följsamhet till dessa. Brister i aktörers efterlevnad kan medföra konsekvenser i form av förelägganden, viten, och i vissa fall verksamhetsförbud. I juridisk mening är efterlevnad var parts eget ansvar och behöver inte kontrolleras av någon extern part. 

...