Versions Compared

Old Version 1

changes.mady.by.user Jakob Fransson

Saved on

compared with

New Version 2

changes.mady.by.user Jakob Fransson

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

PM: Beskrivning av Basutbudet (MVP) inom Samordnad identitet och behörighet

Datum: 2026-04-09
Till: Styrgrupp / projektledningar
Från: Arkitektur och strategi
Ämne: Arbetsdefinition och avgränsning av Basutbudet (MVP)

1. Sammanfattning

Denna promemoria föreslår en arbetsdefinition av Basutbudet (MVP) inom Samordnad identitet och behörighet (SIB).

Basutbudet beskrivs som det gemensamma baslagret för federativ tillit mellan system. Det realiseras inom ett allmänt federationsområde och utgör den miniminivå av tekniska och regelmässiga förutsättningar som krävs för att etablera verifierbar tillit mellan federationsmedlemmars tekniska komponenter, oberoende av anslutningsoperatör.

Basutbudet omfattar i denna mening främst verifierbar systemidentitet, verifierad koppling till anslutande organisation samt gemensamma anslutningskrav och tillitsmekanismer. Det omfattar däremot inte verksamhetsbehörigheter, sektorsspecifika regler eller färdiga åtkomstbeslut.

Basutbudet bör inte beskrivas som en generell "BAS-federation" som ska täcka alla sektorsbehov. Det bör i stället förstås som ett gemensamt baslager som kan bära flera olika federationskontexter eller federationsområden över tid.

2. Bakgrund och syfte

Arbetet med SIB har identifierat behovet av ett gemensamt fundament för tillit mellan system över organisationsgränser. I underlagen beskrivs MVP 2026 som ett första steg för att etablera ett gemensamt, återanvändbart basutbud för federativ tillit mellan system. Detta steg är avgränsat till maskin-till-maskin och ska inte omfatta verksamhetsbehörigheter eller sektorsspecifika åtkomstregler.

Syftet med detta PM är att:

  • föreslå en tydligare arbetsdefinition av Basutbudet,
  • klargöra relationen mellan baslager, federationsområde och verksamhetsregler,
  • beskriva avgränsningen mot Sweden Connect,
  • och ge en gemensam förståelse för MVP-strategin.

3. Definition: vad är Basutbudet?

Basutbudet (MVP) är det gemensamma baslagret för federativ tillit mellan system inom SIB. Det realiseras inom ett allmänt federationsområde och ska ge de grundläggande tekniska och regelmässiga förutsättningar som krävs för att system från olika organisationer ska kunna identifieras, registreras och verifieras inom en gemensam tillitsstruktur.

Underlagen beskriver detta första steg som inriktat på verifierbar systemidentitet och verifierad koppling mellan system och anslutande organisation, medan organisationsbehörighet och användarbehörighet tillkommer i senare steg.

3.1 Kärnfunktioner

Basutbudet tillhandahåller i denna arbetsdefinition följande grundfunktioner:

  • Teknisk grundplatta: Gemensamma tekniska profiler och metoder för metadatahantering, publicering, verifiering och interoperabilitet mellan tekniska komponenter. I MVP-underlagen ligger tyngdpunkten på federativ tillit för maskin-till-maskin och på den tekniska federationsinfrastrukturen.
  • Tillitsmekanism: Gemensamma tillitsankare, tillitskedjor och andra tillitsmekanismer som gör det möjligt att verifiera att en teknisk komponent är korrekt registrerad och knuten till en ansluten organisation.
  • Gemensamma anslutningskrav: En gemensam miniminivå av krav för att ansluta till infrastrukturen, exempelvis krav på identifiering av organisation, teknisk förmåga och efterlevnad av gemensamma anslutningsregler. Underlagen beskriver en gemensam ENA-anslutningspolicy som del av basutbudet.
  • Registreringsmekanism för tekniska komponenter: Processer och regler för registrering av tekniska komponenter inom tillitsstrukturen. Registreringspolicyn i materialet tar sikte på just registrering av komponenter efter att en organisation redan har anslutits som federationsmedlem.

...

2

...

Basutbudet är inte:

  • ett komplett verksamhetsregelverk för alla sektorer,
  • en enda federation där alla delar samma verksamhetsregler,
  • en lösning för att fastställa sektorsspecifika behörighetsregler,
  • eller en färdig modell för åtkomstbeslut i enskilda verksamheter.

Underlagen anger uttryckligen att Digg inte ska fastställa behörighetsregler, utan att sådana regler även fortsättningsvis behöver utformas inom respektive verksamhetsområde. Basutbudet ska i stället ge den gemensamma grund som gör det möjligt att tillämpa sådana regler digitalt.

4. Arkitekturell modell

...

.

...

NivåBeskrivningExempelAnsvar
1. Gemensamt baslagerDen gemensamma tekniska och regelmässiga grunden för federativ tillit mellan system.Basutbudet (MVP), gemensamma anslutningskrav, tekniska tillitsmekanismerSIB/Digg som ledningsansvarig; i ett allmänt federationsområde kan vissa funktioner också fullgöras där
2. Federationsområde / federationskontextEn avgränsad tillämpning inom den nationella federationsinfrastrukturen med gemensamma regler för informationsutbyte inom ett visst syfteAllmänt federationsområde, VOK, andra framtida tillämpningarFederationsområdesansvarig / ansvarig aktör för området
3. Verksamhetsregler och tillämpningSpecifika regler för behörighet, informationsutbyte, sekretess och ansvar inom ett visst verksamhetsområdevårdregler, skolregler, sektorsspecifika avtalberörd verksamhet / ansvarig aktör

Det bärande arkitekturprincipen är att det gemensamma baslagret ska säkerställa att system kan lita på varandra tekniskt, medan ett federationsområde eller en verksamhetskontext anger vilka regler som gäller för deltagande, informationsutbyte och ansvar i det specifika sammanhanget. Detta ligger nära rapporternas uppdelning mellan federationsinfrastruktur, federationsområde och områdesspecifika anpassningar.

5. Relation till Sweden Connect

Relationen mellan Basutbudet och Sweden Connect behöver beskrivas tydligt för att undvika sammanblandning.

Sweden Connect är den etablerade lösningen för elektronisk identifiering och används för säker identifiering med e-legitimation. Underlagen beskriver den som den tekniska federation som förmedlar elektronisk identifiering mellan utfärdare av e-legitimationer och förlitande parter.

Basutbudet (MVP) adresserar i stället den första gemensamma nivån av federativ tillit för maskin-till-maskin, med fokus på systemidentitet, organisationskoppling och gemensamma tillitsmekanismer.

De två bör därför beskrivas som separata men kompletterande delar i en större nationell struktur:

  • Sweden Connect hanterar elektronisk identifiering av användare,
  • Basutbudet etablerar federativ tillit mellan system.

Underlagen ger stöd för att beskriva dem som närliggande och kompletterande, men inte för att säga att Sweden Connect redan är inordnat i Basutbudets infrastruktur i stark mening. Det säkraste är därför att tala om samordning och samexistens snarare än identitet mellan dem.

6. Relation till etableringsregler

Basutbudet (MVP) har identifierats som ett behov som inte kan hanteras inom befintliga federationskontexter (t.ex. Sweden Connect), vilket uppfyller kriterierna för etablering av en ny kontext enligt [Regelverk för etablering av nya federationskontexter].

Etableringen av BAS-kontexten har skett i samråd med ledningsaktören och bygger på återanvändning av gemensamma plattformsartefakter. Etableringsprocessen följer principen om restriktivitet, där Basutbudet etableras som ett återanvändbart baslager snarare än en sektorspecifik lösning.

Pilotverksamhet (t.ex. VOK) används för att validera baslagrets bärighet i praktiken innan fullskalig drift, i enlighet med etableringsreglernas krav på dokumenterad bedömning och validering.

7. Rekommendationer och nästa steg

  1. Använd detta som arbetsdefinition: Den definition som föreslås i detta PM bör användas som arbetsdefinition i det fortsatta policy- och regelverksarbetet. Begreppet "BAS-federationen" bör undvikas om det riskerar att ge intryck av en enda generell federation för alla ändamål.
  2. Förtydliga skillnaden mellan baslager och kontext: Pågående policyutkast bör tydligare skilja mellan infrastrukturens gemensamma krav och de krav som följer av en viss kontext eller ett visst federationsområde.
  3. Beskriv relationen till Sweden Connect som kompletterande: I extern och intern kommunikation bör Sweden Connect beskrivas som en etablerad och kompletterande lösning för elektronisk identifiering, inte som samma sak som basutbudet.
  4. Använd piloter för att validera baslagret: Pilotarbete, inklusive VOK om det bedöms lämpligt, bör användas för att pröva hur baslagret fungerar i praktiken, utan att en enskild pilot görs till definition av hela målbilden.

...

Utkast: Outputs/Policyutkast/regelverk-etablering-av-nya-federationskontexter.

...

md

Denna

...

fil

...

fokuserar

...

...

hur

...

och

...

när

...

nya

...

kontexter

...

får

...

skapas,

...

samt

...

de

...

formella

...

kriterierna

...

och

...

processen.

...

Den

...

är

...

strukturerad

...

som

...

ett

...

styrningsdokument.



```markdown
# Regelverk för etablering av nya federationskontexter

**Giltighet:** Gäller för alla nya federationskontexter inom Samordnad identitet och behörighet (SIB).  
**Ansvarig:** Ledningsaktör (Digg)  
**Version:** 1.0 (Utkast)

## 1. Syfte
Detta avsnitt anger när nya federationskontexter får etableras inom federationsinfrastrukturen och vilka förutsättningar som ska vara uppfyllda för att sådana federationskontexter ska få införas. Syftet är att säkerställa en restriktiv och strukturerad tillväxt av federationen som minimerar fragmentering och otydlighet.

## 2. Definition
Ett **federationskontext** är en avgränsad tillitsdomän inom federationsinfrastrukturen. Inom ett federationskontext definieras vilka registreringsregler, metadatakrav, egenskapsintyg och övriga krav som gäller för de aktörer som deltar i samverkan.

## 3. När ett nytt federationskontext ska etableras
Ett nytt federationskontext ska etableras endast när ett samverkansbehov **inte lämpligen kan hanteras** inom ett befintligt federationskontext utan att skapa otydlighet om vilka anslutningspolicyer, registreringspolicyer, tekniska krav, metadataregler, egenskapsintyg eller ansvarsförhållanden som ska gälla.

Ett nytt federationskontext bör särskilt etableras när samverkan kräver:
*   Andra registreringsregler,
*   Andra metadatakrav,
*   Andra egenskapsintyg,
*   Andra tekniska krav, eller
*   En annan samverkansdomän
än de som gäller i befintliga federationskontexter.

Ett nytt federationskontext ska **inte** etableras enbart därför att en enskild tjänst eller aktör har behov av kompletterande krav, om detta kan hanteras inom ett befintligt federationskontext genom att federationsreglerna pekar ut ytterligare registreringspolicyer, tekniska krav, profiler, metadataregler eller egenskapsintyg.

## 4. Grundläggande förutsättningar för etablering
Ett nytt federationskontext får etableras endast om följande förutsättningar är uppfyllda:

1.  **Dokumenterat samverkansbehov:** Det måste finnas en dokumenterad analys som visar behovet av en ny tillitsdomän.
2.  **Tydlig avgränsning:** Det måste finnas en tydlig avgränsning av vilka aktörer och komponenter som omfattas.
3.  **Behov av särskilda regler:** Det måste finnas ett identifierat behov av att peka ut eller fastställa egna eller särskilt utpekade anslutningspolicyer, registreringspolicyer, tekniska krav, metadataregler eller egenskapsintyg.
4.  **Existens av federationsregler:** Det måste finnas **federationsregler** för kontextet. Dessa ska minst ange:
    *   Vilka anslutningspolicyer som gäller.
    *   Vilka registreringspolicyer som gäller.
    *   Vilka egenskapsintyg som gäller.
    *   Vilka tekniska krav, profiler och specifikationer som ska följas.
    *   Hur anslutning och registrering sker operativt.

## 5. Förhållande till den gemensamma federationsinfrastrukturen
Varje nytt federationskontext ska följa federationsplattformen och den gemensamma federationsinfrastrukturens regler.

*   **Återanvändning:** Nya federationskontexter ska använda eller bygga vidare på gemensamma anslutningspolicyer, registreringspolicyer, tekniska krav, metadataregler och egenskapsintyg i den utsträckning det är möjligt.
*   **Avvikelser:** Om ett federationskontext avviker från gemensamma artefakter ska avvikelsen **dokumenteras och motiveras**. Det ska då framgå vilka gemensamma artefakter som återanvänds, vilka som kompletteras och vilka som ersätts eller utökas inom kontextet.

## 6. Beslut om etablering
Etablering av ett nytt federationskontext ska ske i **samråd med ledningsaktören**.

Innan beslut fattas ska det finnas en **dokumenterad bedömning** av:
*   Kontextets avgränsning.
*   Beroenden till den gemensamma federationsinfrastrukturen.
*   Behov av särskilda federationsregler.
*   Hur kontextet kopplas till den gemensamma infrastrukturen.

Beslutet ska dokumentera att kriterierna enligt punkt 3 och 4 är uppfyllda.

## 7. Etableringsprincip
Nya federationskontexter ska etableras **restriktivt**.

*   **Utgångspunkt:** Samverkan ska i första hand hanteras genom återanvändning av befintliga federationskontexter samt genom återanvändning av gemensamma anslutningspolicyer, registreringspolicyer, tekniska krav, metadataregler och egenskapsintyg.
*   **Piloter och validering:** Piloter och tillämpningskontexter kan användas för att validera basutbudets bärighet innan fullskalig etablering av en ny kontext, i enlighet med etableringsbeslutet.

---
**Referenser:**
*   Federationsplattformens normative artefakter
*   Basutbudet (MVP) definition