...
| Table of Contents |
|---|
Inledning
Uppdrag
Arbetsgruppen har i uppdrag att skapa en gemensam och hållbar grund för hantering av behörighetsattribut i federativa och sektorsgemensamma sammanhang.
Syftet är att bidra till en enhetlig, interoperabel och långsiktigt förvaltbar modell som kan användas av kommuner, regioner och nationella aktörer.
Uppdraget omfattar att:
...
Not: Arbetet ska resultera i en sammanhållen struktur som möjliggör både praktisk tillämpning och långsiktig utveckling. Arbetet ska kunna verifieras. Exempel på verifiering är Nationell Läkemedelslistan och elektronisk underskrift.
Principer för uppdragets leverabler
...
Rekommendera selektiv användning
Attributsdefinitionskatalogen beskriver möjliga attribut. Vid varje enskilt användningstillfälle ska endast de attribut som är relevanta för ändamålet användas - val av attributprofil och styrning av vilka attribut som fylls i.
Avgränsningar
...
Användningsfall
Nedan listas ett antal användningsfall som vi använder som utgångspunkt i arbetet med behörighetsattribut. Syftet är att belysa olika organisatoriska och federativa situationer där identitet, hemvist, utfärdare och företrädd organisation kan skilja sig åt.
Exemplen är hämtade från kommunal verksamhet men kan kompletteras med mönster från andra verksamheter.
Direkt anställning och extern e-tjänst
Agneta har en e-tjänstelegitimation som är utfärdad av Lunds kommun, där hon är anställd.
I sin roll som lärare i Lunds kommun vill hon logga in och använda en e-tjänst från Skolverket.
Gemensam IT-organisation som utfärdare
Görans e-tjänstelegitimation är utfärdad av SML-IT, som är gemensam IT-organisation för flera kommuner.
Göran är anställd som bygglovshandläggare i Lysekils kommun och vill logga in i en e-tjänst från Lantmäteriet.
Flera organisatoriska dimensioner (utfärdare, hemvist och uppdrag)
Lars har en e-tjänstelegitimation utfärdad av Höglandets IT-förbund.
Han är anställd på Aneby kommuns miljökontor som livsmedelsinspektör.
För närvarande utför han ett uppdrag åt Jönköpings kommun och har inom ramen för detta genomfört en inspektion. Han ska nu logga in i Livsmedelsverkets e-tjänst.
Denna uppsättning användningsfall hjälper oss att pröva hur behörighetsattribut behöver beskriva:
- Utfärdande organisation
- Hemorganisation/anställning
- Företrädd organisation i aktuellt uppdrag
- Roll och mandat i den specifika situationen
...
| title | Organisatorisk dimension |
|---|
Ett viktigt attribut som kan hänföra sig till den organisatoriska dimensionen är orgAffiliation. En person kan ibland agera inom ramen för sin organisatoriska tillhörighet, ibland handlar det om uppdrag. Ett sätt att skilja på detta är att e-tjänsten kan specificera specifika attribut som till exempel userOrgAffiliation när det handlar om organisation och orgAffiliation när det handlar om uppdrag.
| Info | ||
|---|---|---|
| ||
Om en e-tjänst vill nyttja en e-legitimation utan att använda kataloguppslag är det nödvändigt att från e-tjänstens perspektiv kunna peka ut attribut som hänför sig till e-legitimationen. I det fallet kan det vara så att intygsutfördaren inte har tillgång till katalogen eller att det helt enkelt är en onödig omväg. I utgivning av en e-legitimation kan det vara tvunget att säkerställa att identiten härrör från e-legitimationen, inte från katalogen, attributkällan. |
Förvaltningsstruktur
För att säkerställa långsiktig hållbarhet, interoperabilitet och tydligt ansvar behöver attributsdefinitioner och attributprofiler förvaltas i en definierad struktur med tydliga roller och mandat.
Förvaltningsmodellen bygger på två styrnivåer:
...
- Tar in behov av nya och förtydligade attributsdefinitioner från aktörer inom en sektor
- Förvaltar domänspecifika attribut i den nationella katalogen med attributsdefinitioner
- Lyfter behov gällande gemensamma attribut till nationell koordinator
För att kunna etablera samverkan via en digital tjänst krävs att den tjänsteproducerande parten kan genomföra ett automatiserat behörighetskontroll. Underlag för sådan kontroll ges i regel i form av utfästelser från tredje part baserat på e-legitimering eller annan inloggningsmekanism. För systemaktörer används ofta certifikat som påstår att innehavaren av certifikatet har en viss identitet. Utfästelserna (eller påståendena) om identiteter och behörighetsgrundande information för anropande system och eventuell bakomliggande fysisk användare taggas som olika attribut, paketeras enligt en attributprofil, och förses med en digital stämpel av den part som står som garant för påståendets riktighet.
| draw.io Diagram | ||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Fokus för detta dokument är att beskriva hur arbetet med att definiera attribut och attributprofiler bör drivas framgent för att främja nationell och internationell interoperabilitet och för att underlätta för samhällets digitalisering avseende behörighetskontroller.
Uppdrag
Arbetsgruppen har i uppdrag att skapa en gemensam och hållbar grund för hantering av behörighetsattribut i federativa och sektorsgemensamma sammanhang.
Syftet är att bidra till en enhetlig, interoperabel och långsiktigt förvaltbar modell som kan användas av kommuner, regioner och nationella aktörer.
Uppdraget omfattar att:
- Behörighetsattribut
Ta fram en struktur för hur behörighetattribut namnges och beskrivs - Attributprofiler
- Förvaltningsstruktur
Definiera hur behörighetsattribut och attributprofiler kan förvaltas över tid, inklusive roller, ansvar, styrande principer och beslutsprocesser. Förvaltningsmodellen ska tydliggöra ägarskap, förändringshantering och samordning mellan berörda aktörer. - Ta fram behörighetsattribut och attributprofiler för exemplifierade domäner
Identifiera och definiera ett första urval av behörighetsattribut inom några utvalda domäner. Dessa ska fungera som konkreta exempel och kunna användas för att pröva struktur, semantik och tillämpning.
Not: Arbetet ska resultera i en sammanhållen struktur som möjliggör både praktisk tillämpning och långsiktig utveckling. Arbetet ska kunna verifieras. Exempel på verifiering är Nationell Läkemedelslistan och elektronisk underskrift.
| draw.io Diagram | ||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Principer för uppdragets leverabler
- Respektera gjorda investeringar i dagens attributanvändning
- De behörighetsattribut som används inom olika sektorer idag kommer inte sluta användas bara för att en statlig myndighet hittar på en bättre variant. Förbättringar kommer ske över tid.
- Attributsdefinitioner behöver kunna markeras som "deprecated" (en avrådan från användning) och kopplas till rekommenderat alternativ
- De komponenter som tar behörighetsbeslut utifrån tillförda behörighetsattribut bör ha vetskap om alternativa attributsdefinitioner
- Favorisera brett förankrade attributsdefinitioner framför att skapa nya
- Behörighetsattribut ska i första hand utgå från etablerade och registrerade standarder (exempelvis IANA, OID eller motsvarande internationella register).
Nya attribut ska endast definieras när befintliga standarder inte täcker behovet.
Rekommendera selektiv användning
Attributsdefinitionskatalogen beskriver möjliga behörighetsattribut. Vid varje enskilt användningstillfälle ska endast de behörighetsattribut som är relevanta för ändamålet användas.
Avgränsningar
- Exakt hur behörighetsattribut uppstår i e-legitimationer eller attributkällor beskrivs inte här. Tilliten till attributen löser vi i federationen. Se Referenser för exempel på behörighetsmodeller.
- Tekniska mekanismer för informationsförsörjning av, och hantering av, behörighetsattribut beskrivs inte av detta dokument.
Exemplifierande användningsfall
Nedan listas ett antal användningsfall som vi använder som utgångspunkt i arbetet med behörighetsattribut. Syftet är att belysa olika organisatoriska och federativa situationer där identitet, hemvist, utfärdare och företrädd organisation kan skilja sig åt.
Exemplen är hämtade från kommunal verksamhet men kan kompletteras med mönster från andra verksamheter.
Direkt anställning och extern e-tjänst
Agneta har en e-tjänstelegitimation som är utfärdad av Lunds kommun, där hon är anställd.
I sin roll som lärare i Lunds kommun vill hon logga in och använda en e-tjänst från Skolverket.
Gemensam IT-organisation som utfärdare
Görans e-tjänstelegitimation är utfärdad av SML-IT, som är gemensam IT-organisation för flera kommuner.
Göran är anställd som bygglovshandläggare i Lysekils kommun och vill logga in i en e-tjänst från Lantmäteriet.
Flera organisatoriska dimensioner (utfärdare, hemvist och uppdrag)
Lars har en e-tjänstelegitimation utfärdad av Höglandets IT-förbund.
Han är anställd på Aneby kommuns miljökontor som livsmedelsinspektör.
För närvarande utför han ett uppdrag åt Jönköpings kommun och har inom ramen för detta genomfört en inspektion. Han ska nu logga in i Livsmedelsverkets e-tjänst.
Denna uppsättning användningsfall hjälper oss att pröva hur behörighetsattribut behöver beskriva:
- Utfärdande organisation
- Hemorganisation/anställning
- Företrädd organisation i aktuellt uppdrag
- Roll och mandat i den specifika situationen
| Info | ||
|---|---|---|
| ||
Ett viktigt attribut som kan hänföra sig till den organisatoriska dimensionen är orgAffiliation. En person kan ibland agera inom ramen för sin organisatoriska tillhörighet, ibland handlar det om uppdrag. Ett sätt att skilja på detta är att e-tjänsten kan specificera specifika attribut som till exempel userOrgAffiliation när det handlar om organisation och orgAffiliation när det handlar om uppdrag. |
| Info | ||
|---|---|---|
| ||
Om en e-tjänst vill nyttja en e-legitimation utan att använda kataloguppslag är det nödvändigt att från e-tjänstens perspektiv kunna peka ut attribut som hänför sig till e-legitimationen. I det fallet kan det vara så att intygsutfördaren inte har tillgång till katalogen eller att det helt enkelt är en onödig omväg. I utgivning av en e-legitimation kan det vara tvunget att säkerställa att identiten härrör från e-legitimationen, inte från katalogen, attributkällan. |
Behörighetsattribut
Namnsättning (identifiering) av attribut
Vid identifiering av attribut eller andra semantiska objekt i en interoperabel infrastruktur används i regel formaten Object Identifier (OID) och HTTP-URI.
| Info | ||
|---|---|---|
| ||
Inom en federation och/eller vid federationsspecifik attributidentifiering |
Notera att vissa attribut alltid föds från en nationellt gemensam källa (tex Skatteverkets Navet, Socialstyrelsens HOSP-register). Attributdefinitionerna för dessa attribut hanteras också via en domänkoordinator, även om parten ansvarig för källan har mycket att säga till om.
Exempel på domäner
| Domän | Koordineringsansvarig i Sverige |
|---|---|
| Health | E-hälsomyndigheten |
| Skola | SIS |
| Forskning och högre utbildningar | SUNET |
| Transport | Transportstyrelsen |
Exempel på förvaltningsstruktur - Transportsektorn
- Ledningsaktören (Digg) utser Transportstyrelsen till domänkoordinator för Transport-domänen.
- Transportstyrelsen är domänkoordinator
- Transportstyrelsen ansvarar även för attributkällor för vissa domänunika attribut - tex fordonsägare i Fordionsregistret.
- Trafikverket ansvarar för andra centrala attributkällor inom Transport-domänen och koordinerar tillhörande attributsdefinitioner med Transportstyrelsen - tex registreringsinformation om enskild väg.
Modell för attributs definition och användning
...
Namnsättning (identifiering) av attribut
| Info |
|---|
Inom en federation och/eller vid federationsspecifik attributidentifiering gäller följande regler och rekommendationer för attributnamn:
|
...
| Expand | ||
|---|---|---|
| ||
Object Identifier (OID) |
...
En OID |
Object Identifier (OID)
...
som URN (t ex urn:oid:2.5.4.42) är en globalt unik och hierarkiskt strukturerad identifierare bestående av en numerisk sträng enligt ITU-T X.660 / ISO/IEC 9834. En OID:
OID definierar den semantiska identiteten oberoende av teknisk representation eller kontext. OID ägs och förvaltas i ett OID-träd. Är stabil över tid och används för:
OID svarar på frågan om vad något är:
HTTP-URIEn HTTP-URI är en kontextuell identifierare som används inom en specifik modell, profil eller implementation för att referera till ett objekt som definieras av en OID. En HTTP-URI:
En HTTP-URI är inte i sig en global semantisk identifierare. En HTTP-URI förvaltas inom ramen för en specifik specifikation, federation eller implementation. HTTP-URI svarar på frågan om hur begreppet fungerar här och nu:
Relationen mellan OID och HTTP-URIFöljande princip gäller: En HTTP-URI refererar till ett objekt vars semantiska identitet definieras av en OID. En HTTP-URI utgör en kontextuell identifierare som används inom en viss modell eller implementation. Den pekar på en OID, vilken utgör den globala och långsiktigt stabila identifieraren för objektet. OID:en är i sin tur knuten till den formella semantiska definition som entydigt beskriver objektets betydelse. Relationen kan beskrivas som en semantisk identifieringskedja:
Den semantiska definitionen är således knuten till OID, inte till HTTP-URI. OID definierar objektets identitet. HTTP-URI är ett kontextuellt alias. |
...
InteroperabilitetsanalysOID utgör den globala semantiska identifieraren, men saknar i sig den kontextuella precisering som krävs för interoperabilitet inom en federation. Samma OID kan användas i flera federationer men ges olika kontextuell innebörd beroende på:
Ett exempel OID 2.5.4.10 identifierar begreppet organizationName på en generell semantisk nivå. Dock gäller:
Det är således inte OID:en i sig som definierar attributets interoperabla betydelse inom federationen, utan den federationsspecifika HTTP-URI och dess profildefinition. OID säger:
HTTP-URI i federationen säger:
|
Attributkategorier
Detta avsnitt syftar till att redogöra för attributtyper i federativa infrastrukturer för användning mellan organisationer eller över landsgränser. Målet är att etablera en modell som skapar semantisk tydlighet och utgör en tillförlitlig grund för beslut.
Alla attribut är inte av samma slag. Attribut kan exempelvis:
- Avse individen som sådan,
- Uttrycka en teknisk representation av individen,
- Definiera en relation kopplad till individen
- Ange ett mandat som individen har tilldeltas
- Definiera en rättighet inom vilken individen får agera, eller
- Beskriva en händelse om autentisering och intygsutgvining.
Dessa är ontologiskt olika. Attribut ska därför kategoriseras efter vad de representerar och efter deras semantiska natur.
Attribut som påverkar åtkomstbeslut får inte blandas med beskrivande eller "dekorativa" attribut.
Attributkategorier
...
Identitetsattribut
...
Representation - lokal
Attribut som beskriver hur hemorganisationen representerar individen.
| Info | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||
Attribut BÖR typas enligt följande:
|
|
| Expand |
|---|
Attributmodell
I federativa miljöer används attribut för att:
- identifiera och tekniskt representera individer och systemaktörer,
- beskriva organisatorisk tillhörighet,
- förmedla mandat och rättigheter, samt
- dokumentera förutsättningarna för autentisering och intygsutgivning.
Trots detta behandlas attribut ofta som en enhetlig mängd egenskaper. I praktiken representerar de dock fundamentalt skilda semantiska kategorier. När dessa kategorier inte hålls isär uppstår otydliga behörighetsbeslut, bristande tillitsbedömningar, juridisk osäkerhet och försämrad interoperabilitet, vilket i sin tur försvårar standardisering.
Begreppet organisation är ett tydligt exempel på denna problematik. Det används i flera olika betydelser, exempelvis som:
- utfärdare av identitetsintyg vid e-legitimering,
- individens organisatoriska hemvist, eller
- uppdragsgivare i en specifik handling/situation.
När dessa betydelser sammanblandas uppstår otydlighet i ansvar, mandat och tillit, vilket leder till felaktiga behörighetsbeslut, oklara rättsliga relationer och interoperabilitetsproblem.
Teknisk aktör
Placeholder för subject som kan vara api, api-klienter, etc.
Modell för attributprofiler
...
| ||
HypotesAlla attribut är inte av samma slag. Attribut kan exempelvis:
Dessa är ontologiskt olika. Attribut ska därför kategoriseras efter vad de representerar och efter deras semantiska natur. Attribut som påverkar åtkomstbeslut får inte blandas med beskrivande eller "dekorativa" attribut. AttributmodellI federativa miljöer används attribut för att:
Trots detta behandlas attribut ofta som en enhetlig mängd egenskaper. I praktiken representerar de dock fundamentalt skilda semantiska kategorier. När dessa kategorier inte hålls isär uppstår otydliga behörighetsbeslut, bristande tillitsbedömningar, juridisk osäkerhet och försämrad interoperabilitet, vilket i sin tur försvårar standardisering. Begreppet organisation är ett tydligt exempel på denna problematik. Det används i flera olika betydelser, exempelvis som:
När dessa betydelser sammanblandas uppstår otydlighet i ansvar, mandat och tillit, vilket leder till felaktiga behörighetsbeslut, oklara rättsliga relationer och interoperabilitetsproblem. Teknisk aktörPlaceholder för subject som kan vara api, api-klienter, etc. |
Attributprofiler
En uppsättning attribut för en utpekad domän, med utpekad förvaltare (tex sektorsmyndighet)
Förvaltningsstruktur
För att säkerställa långsiktig hållbarhet, interoperabilitet och tydligt ansvar behöver attributsdefinitioner och attributprofiler förvaltas i en definierad struktur med tydliga roller och mandat.
| Info | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|
Följande roller och ansvar BÖR etableras:
Exempel på domäner
Notera att vissa attribut alltid föds från en nationellt gemensam källa (tex Skatteverkets Navet, Socialstyrelsens HOSP-register). Attributdefinitionerna för dessa attribut hanteras också via en domänkoordinator, även om parten ansvarig för källan har mycket att säga till om. |
| Expand | ||
|---|---|---|
| ||
Exempel på förvaltningsstruktur - Transportsektorn
|
Generiska attribut
Frågeställningar
...