Versions Compared

Old Version 16

changes.mady.by.user Jakob Fransson

Saved on

compared with

New Version 17

changes.mady.by.user Henric Norlander

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

  1. Tekniska anslutningsregler per federationskontext (teknikneutral federationsnivå)

    • Normerar: vad som gäller, vilka gemensamma tekniska krav som gäller i federationskontexten, men uttryckt teknikneutralt (t.ex. “stark autentisering”, “spårbarhet”, “nyckelhantering”, “metadata-kvalitet”).

    • Innehåller inte: exakta SAML/OIDC-fält eller profilparametrar.

    • Operatörer
      • Vilka villkor ska gälla för de tekniska komponenter som de tillhandhåller
    • Federationmedlemmar
      • Vilka villkor ska gälla för de tekniska komponenter som de tillhandhåller

  2. Registreringspolicy vid anslutning av teknisk komponent

    • Normerar: processen för hur en operatör registrerar en aktörs tekniska komponent (IdP, OP, SP, RP, API-gateway, attributkälla etc.), vilken evidens som krävs, test/validering, driftsättning, ändringshantering.

    • Innehåller: teknikberoende krav och flöden (eftersom registreringen skiljer sig mellan SAML och OIDC).

    • Organisationsidentifierare
    • Fastställande av företrädare 
    • Registrering av grundläggande metadata
    • Eventuell utfärdande av egenskapsintyg?
    • Operatörer
      • Verifiering av teknisk interoperabilitet
    • Federationmedlemmar
      • Krav på teknisk interoperabilitet
      • Hantering av avvikelser och uppföljning av åtgärdsplaner
  3. Policy för tilldelning av egenskapsintyg/egenskapsintygsutfärdartjänst

  4. Tekniskt ramverk (teknikspecifik normnivå: standarder + profiler)

    • Normerar: exakta standarder, profiler, options, “MUST/SHOULD/MAY”, interoperabilitet, samt referens till testprofiler.

    • Beroende: både teknik och federationskontext

...

  1. Tekniskt ramverk konkretiserar – det får inte motsäga högre nivå.

  2. Registreringspolicy får inte skapa nya materiella krav som saknar stöd i regler eller ramverk.

  3. Tekniska anslutningsregler får inte smyga in avtalskrav.

  4. Anslutningspolicy får inte smyga in tekniska implementationer.

6. Praktiska exempel

ExempelVar hör det hemma?Varför?
“Aktören ska ha incidenthanteringsförmåga”AnslutningspolicyOrganisationskrav
“Incidenter ska rapporteras inom 24h”Tekniska anslutningsreglerFederationskrav på samverkan
“Byte av signeringscertifikat kräver ny registrering”RegistreringspolicyProcessregel
“SAML Assertions MUST be signed with RSA-3072”Tekniskt ramverkProtokollkrav

7. Mental modell: Fyra olika målgrupper

Detta är ofta den tydligaste distinktionen:

DokumentPrimär målgrupp
AnslutningspolicyJuridik, ledning, styrning
Tekniska anslutningsreglerSäkerhetsarkitekter, federationsansvariga
RegistreringspolicyOnboarding-/driftansvariga
Tekniskt ramverkUtvecklare och produktleverantörer

Om fel målgrupp måste läsa dokumentet för att förstå det – då är något felplacerat.

...