Versions Compared

Old Version 6

changes.mady.by.user Jakob Fransson

Saved on

compared with

New Version 7

changes.mady.by.user Jakob Fransson

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

attribut-/informationskälla??,

andra övriga om jag missat nån federationsprotokollentiteter enligt gällande tekniska profiler.profil(er).

Trust Mark Issuer

Trust Mark Issuerär en federationsentitet som utfärdar Trust Marks, dvs signerade intyg om xyz

Federationsmiljöer

Beskriver krav kopplade till olika miljöer såsom test, QA och produktion. Reglerar hur komponenter får flyttas mellan miljöer och vilka krav som gäller per miljö.

Registreringsbara tekniska komponenter

Specificerar vilka typer av komponenter som får registreras, exempelvis IdP, SP, attributtjänster

...

osv. Ska vara tydligt att varje instans är en separat registreringsenhet.

Process för verifiering och registrering av metadata

Villkor för organisatorisk koppling, behörigföreträdare mm koppling/referat till anslutningspolicy

Metadataregler

Teknisk metadata - organisationnr, orgnamn, entity_id, nycklar mm
Reglerar struktur, innehåll och validering av metadata. Anger obligatoriska element såsom organisationsinformation, endpoints, certifikat

...

osv.

Egenskapsintyg

Ett egenskapsintyg är ett digitalt, signerat intyg som uttrycker vissa egenskaper hos en aktör eller dess tekniska komponenter på ett standardiserat och maskinläsbart sätt, så att det kan verifieras och användas automatiserat.

Det används för att styrka förutsättningar eller statusar som är relevanta för samverkan, till exempel att ett visst avtal är tecknat? eller andra organisatoriska/tekniska villkor är uppfyllda?

Det ska inte användas för att uttrycka juridisk behörighet eller beslutsmandat? (sånt hör hemma i särskilda behörighetsintyg/behörighetshandlingar).


Tillitsidentifierare och entitetskategorier


Fastställer hur tillitsnivåer och entitetskategorier ska deklareras i metadata. Reglerar kopplingen mellan godkänd tillitsnivå och tillåtna identifierare.

Tekniska krav på komponenter

Anger krav på protokollstöd, säkerhetskonfiguration, signering och kryptering. Reglerar användning av specificerade profiler och tekniska standarder.

Attribut- och identitetsregler

Definierar vilka attributuppsättningar som får levereras och under vilka förutsättningar. Reglerar särskilda fall såsom organisationsidentiteter och samordningsnummer.

Test och verifiering


Beskriver processen för teknisk granskning och verifiering innan produktionssättning. Anger krav på testfall, interoperabilitet och säkerhetskontroller.

Förändringshantering

Reglerar hur ändringar i metadata, certifikat, endpoints eller funktionalitet ska hanteras. Anger krav på notifiering och eventuell "omgranskning".

Löpande uppföljning och kontroller

Fastställer mekanismer för kontinuerlig validering av metadata och teknisk efterlevnad i syfte att möjliggör revision, stickprov(er) och incidentbaserad kontroll(er).

Avregistrering och återkallelse

Reglerar hur komponenter avregistreras frivilligt eller genom beslut. Anger hur metadata tas bort och hur tillit återkallas vid allvarliga avvikelser.

Versionshantering och uppdatering

Beskriver hur nya versioner av tekniska krav införs och tidsramar för anpassning. Fastställer hur policyn själv uppdateras och träder i kraft.






Krav
anslutningsoperatör ska endast utfärda Subordinate Statement efter genomförd verifiering enligt avsnittet “Verifiering och granskning”.
anslutningsoperatör ska dokumentera vilka kontroller som utförts och vilket beslutsdatum som gäller för utfärdandet.
anslutningsoperatör ska inkludera policy-identifierare så att andra parter kan förstå vilket regelverk som gällde vid intag

...

Krav
Federationsmedlem ska kunna initiera akut ändringsärende (t.ex. nyckelkompromettering) via någon form av ingång och ange åtgärdsplan.
Anslutningsoperatören ska ha dokumenterad rutin för hur incidentkontakt används för att kunna avregistrera/stoppa komponent vid behov



Draft av dokumentsdisposition

Registreringspolicy (RP) – Rubriknivå med scope

  • 1. Inledning
    Beskriver syftet med registreringspolicyn och dess roll i federationsstyrningen. Klargör att policyn reglerar hur tekniska komponenter får registreras och publiceras i federationen.
  • 2. Omfattning och tillämpning
    Anger vilka aktörer och komponenter som omfattas av policyn. Definierar när policyn gäller – vid nyregistrering, uppdatering och avregistrering.
  • 3. Roller och ansvar
    Fastställer ansvarsfördelningen mellan federationsoperatör, anslutningsoperatörer och federationsmedlemmar. Klargör vem som ansvarar för korrekt metadata, teknisk konfiguration och löpande efterlevnad.
  • Avtal?
    • Koppling till anslutnignspolicy/avtal?
  • 4. Federationsmiljöer
    Beskriver krav kopplade till olika miljöer såsom test, QA och produktion. Reglerar hur komponenter får flyttas mellan miljöer och vilka krav som gäller per miljö.
  • 5. Registreringsbara tekniska komponenter
    Specificerar vilka typer av komponenter som får registreras, exempelvis IdP, SP, attributtjänster och underskriftstjänster. Klargör att varje instans är en separat registreringsenhet.
  • 6. Process för verifiering och registrering av metadata
    • Villkor för organisatorisk koppling, behörigföreträdare 
    • Metadataregler
    • Teknisk metadata - organisationnr, orgnamn, entity_id, nycklar mm
      Reglerar struktur, innehåll och validering av metadata. Anger obligatoriska element såsom organisationsinformation, endpoints, certifikat och UI-information.
    • Egenskapsintyg
      7. Tillitsidentifierare och entitetskategorier
      Fastställer hur tillitsnivåer och entitetskategorier ska deklareras i metadata. Reglerar kopplingen mellan godkänd tillitsnivå och tillåtna identifierare.
  • 8. Tekniska krav på komponenter
    Anger krav på protokollstöd, säkerhetskonfiguration, signering och kryptering. Reglerar användning av specificerade profiler och tekniska standarder.
  • 9. Attribut- och identitetsregler
    Definierar vilka attributuppsättningar som får levereras och under vilka förutsättningar. Reglerar särskilda fall såsom organisationsidentiteter och samordningsnummer.
  • 10. Test och verifiering
    Beskriver processen för teknisk granskning och verifiering innan produktionssättning. Anger krav på testfall, interoperabilitet och säkerhetskontroller.
  • 11. Förändringshantering
    Reglerar hur ändringar i metadata, certifikat, endpoints eller funktionalitet ska hanteras. Anger krav på notifiering och eventuell omgranskning.
  • 12. Löpande uppföljning och kontroller
    Fastställer mekanismer för kontinuerlig validering av metadata och teknisk efterlevnad. Möjliggör revision, stickprov och incidentbaserad kontroll.
  • 13. Avregistrering och återkallelse
    Reglerar hur komponenter avregistreras frivilligt eller genom beslut. Anger hur metadata tas bort och hur tillit återkallas vid allvarliga avvikelser.
  • 14. Versionshantering och uppdatering
    Beskriver hur nya versioner av tekniska krav införs och tidsramar för anpassning. Fastställer hur policyn själv uppdateras och träder i kraft.

...