Versions Compared

Old Version 24

changes.mady.by.user Jakob Fransson

Saved on

compared with

New Version 25

changes.mady.by.user Jakob Fransson

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Fråga - Aktörer, roller och avtal

En kommun med behov av behov av integration med E-hälsomyndigheten realiserar denna integration med en tjänst från CGI.

...

  1. Vilka avtal behöver tecknas mellan vilka parter?
    1. GDPR PuB-avtal
      1. Kommun → CGI
      2. Kommun ↔ EHM
    2. SIB federationsavtal
      1. Kommun – via Inera → Digg (verksamhetssystemet som klient)
      2. CGI – via Internetstiftelsen → Digg (integrationstjänsten som klient)
      3. EHM – som överenskommelse mellan myndigheter då dessa har samma huvudman → Digg (åtkomstintygstjänst och API)
    3. EHM tjänsteavtal?
      1. Kommun → EHM

Vilka leverabler bifogas till vilka avtal?

draw.io Diagram
borderfalse
diagramNameNamnlöst diagram-1770825332411
simpleViewerfalse
width
linksauto
tbstyleinline
lboxtrue
diagramWidth481
height224
revision5

Villkor i federationsavtalet kan vara utformade som (lekmannaversion):

Aktörskvalificering

...

Tillitsramverk

Tillitsramverket reglerar summan av tillitsskapande villkor som ska uppfyllas. Villkoren "aktiveras" av en medlems engagemang inom federationen, d.v.s. när en teknisk komponent av en viss typ ansluts regleras villkoren med automatik för komponenten, verksamheten som ansvarar för och handhar komponenten, samt den juridiskt ansvariga organisationen.

...

Samordnad identitet och behörighet förbehåller sig rätten att ensidigt revidera krav årligen. Detta görs för att kunna bibehålla en stabil tilllitsskapande grund över tid i en föränderlig värld avseende informationssäkerhets- och cybersäkerhetsläge.

Tekniskt ramverk

De tekniska komponenter du som medlem ansluter till federationen Samordnad identitet och behörighet ska vara följsam gentemot Samordnad identitets tekniska ramverk för de integrationer 

Incidenthantering

...

...

Föreslagen artefakt-arkitektur (lager + ansvar)

Tänk “lager” från mest övergripande (policy) till mest specifikt (tekniska profiler):

...

----------------------------------


1. Syfte

Denna anslutningspolicy fastställer villkor och krav för att en organisation ska kunna anslutas som Federationsmedlem i SIB via en Anslutningsoperatör. Policyn ska:

  • säkerställa att Federationsmedlemmar uppfyller federationsgemensamma krav,

  • reglera ansvar och skyldigheter mellan Anslutningsoperatör och Federationsmedlem,

  • beskriva principer för anslutning, uppföljning, avstängning och återkallelse på medlemsnivå.

2. Omfattning och avgränsning

2.1. Policyn omfattar:

  • medlemskriterier och åtaganden,

  • ansvar för metadata, nycklar, incident och förändring,

  • principer för registrering, publicering och avpublicering,

  • principer för avstängning/återkallelse på medlemsnivå.

...

  • detaljerade protokollparametrar och fält (Tekniskt ramverk),

  • detaljerade registreringssteg och valideringsregler (Registreringspolicy),

  • ackreditering av Anslutningsoperatör (se separat policy).

4. Definitioner

  • Federationsmedlem: organisation som ansluter via Anslutningsoperatör och publicerar/driver entiteter/komponenter i federationskontext.

  • Anslutningsoperatör: organisation som ansluter och hanterar Federationsmedlemmar och deras livscykel.

  • Federationsoperatör: organisation som styr federationen på övergripande nivå.

5. Tillitsstruktur för Federationsmedlem

5.1. Federationsmedlem ansluts under Anslutningsoperatörens tillitskedja.

...

  • Avstängning eller återkallelse av Federationsmedlem påverkar normalt endast Federationsmedlemmen och dess entiteter.

6. Kriterier för medlemskap

För att godkännas som Federationsmedlem ska organisationen:

  1. kunna ingå avtal med Anslutningsoperatör,

  2. ha utsedda kontaktfunktioner för teknik, säkerhet och verksamhet,

  3. kunna uppfylla tillämpliga krav i Tekniska anslutningsregler,

  4. implementera relevanta krav i Tekniskt ramverk för den entitetstyp som ansluts,

  5. genomgå registrering och validering enligt Registreringspolicy.

7. Åtaganden för Federationsmedlem

Federationsmedlemmen ska:

  • säkerställa att publicerad information och metadata är korrekt, aktuell och spårbar,

  • skydda kryptonycklar och tillämpa nyckelrotation samt hantera kompromettering,

  • följa krav på loggning och spårbarhet enligt Tekniska anslutningsregler,

  • använda rätt miljöer och inte använda produktionsdata i testmiljö,

  • följa incident- och ändringsrutiner och informera Anslutningsoperatör vid händelser som kan påverka tillit eller interoperabilitet,

  • medverka i omprövning och uppföljning när detta krävs.

8. Avtal och villkor mellan Anslutningsoperatör och Federationsmedlem

8.1. Federationsmedlemmen ska ha ett undertecknat anslutningsavtal med Anslutningsoperatör innan produktionsanslutning.

...

  • ansvarsfördelning, kontaktvägar och rapporteringskrav,

  • villkor för publicering, uppdatering och avpublicering,

  • villkor för avstängning/återkallelse och rättelsefrister,

  • incidenthantering och samverkan,

  • uppföljning och möjlighet till kontroll.

9. Anslutnings- och registreringsprocess (principnivå)

9.1. Anslutningsoperatören prövar ansökan baserat på:

...

  • avtal är tecknat,

  • registrering/validering är genomförd,

  • entiteter/komponenter är publicerade enligt Registreringspolicy.

10. Uppföljning, omprövning och rättelse

10.1. Anslutningsoperatören får:

...

  • åtgärda avvikelser inom överenskommen tid,

  • vid behov tillfälligt begränsa funktion eller avpublicera för att minska risk.

11. Avstängning och återkallelse av Federationsmedlem

11.1. Anslutningsoperatören kan besluta om avstängning eller återkallelse om:

...

  • genomföra teknisk avpublicering/ogiltigförklaring enligt Registreringspolicy,

  • dokumentera beslut och kommunicera till Federationsmedlemmen,

  • informera Federationsoperatören vid väsentliga händelser enligt överenskommen rutin.

12. Bilagor och hänvisningar

  • Tekniska anslutningsregler – SIB Federation

  • Registreringspolicy – OpenID Federation/OIDC

  • Tekniskt ramverk – standarder och profiler

  • Eventuella checklistor och evidensmallar (publiceras separat)