Versions Compared

Old Version 204

changes.mady.by.user Anders Malmros

Saved on

compared with

New Version 205

changes.mady.by.user Anders Malmros

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Fokus för detta dokument är att beskriva arbetet när man har ett behov av behörighetsgrundande information för ett behörighetsbeslut och hur man säkerställer att denna information uttrycks på ett sätt som främjar interoperabilitet och återanvändbarhet. 

...

Uppdragets leverabler

Arbetsgruppen har i uppdrag att skapa en gemensam och hållbar grund för hantering av behörighetsattribut i federativa och sektorsgemensamma sammanhang.

...

draw.io Diagram
borderfalse
diagramNameCopy of Namnlöst diagram-1773822493982
simpleViewerfalse
width
linksauto
tbstyleinline
lboxtrue
diagramWidth861785
height581631
revision1213

Principer

...

i framtagandet

  1. Respektera gjorda investeringar i dagens attributanvändning
    1. De behörighetsattribut som används inom olika sektorer idag kommer inte sluta användas bara för att en statlig myndighet hittar på en bättre variant. Förbättringar kommer ske över tid.
    2. När det förankrats att användning av ett behörighetsattribut ska fasas ut ska det i attributets dokumentation kunna markeras vilket annat synonymt attribut som rekommenderas.
    3. De komponenter som tillför behörighetsattribut bör ha vetskap om synonymer för att kunna svara på attributbegäran

  2. Favorisera brett förankrade attributsdefinitioner framför att skapa nya
    1. Behörighetsattribut ska i första hand utgå från etablerade och registrerade standarder (exempelvis IANA, OID eller motsvarande internationella register).

    2. Nya attribut ska endast definieras när befintligt attribut saknas.

  3. Rekommendera selektiv användning

    1. Attributsdefinitionskatalogen beskriver möjliga behörighetsattribut. Vid varje enskilt användningstillfälle ska endast de behörighetsattribut som är relevanta för ändamålet användas.

...

  • Utfärdande organisation
  • Hemorganisation/anställning
  • Företrädd organisation i aktuellt uppdrag
  • Roll och mandat i den specifika situationenen specifik situation

Ytterligare ett krav är att det i vissa situationer kan vara viktigt att kunna uttrycka från vilken källa ett attribut härrör sig. Till exempel vid utgivning av en mobil e-legitimation utifrån en legitimering med en fysisk e-legitimation kan det vara tvunget att säkerställa att identiteten härrör från den fysiska e-legitimationen och inte inte från en annan attributkällan.

...

För att säkerställa långsiktig hållbarhet, interoperabilitet och tydligt ansvar behöver attributsdefinitioner och attributprofiler attributlistor förvaltas i en definierad struktur med tydliga roller och mandat.

...

Info
titleOrganisatorisk dimension

Ett viktigt attribut som kan hänföra sig till den organisatoriska dimensionen är orgAffiliation och andra uppdragsrelaterade behörighetsattribut. 

  1. När det finns flera möjliga uppdrag BÖR man låta användaren välja utifrån vilken roll eller uppdrag åtkomst begärs.
  2. Man KAN även överföra information om alla uppdrag till en e-tjänst och låta användaren välja, och växla mellan, uppdrag där. 

Notera att man som princip ska minimera information som man delger om en användare, så alternativ 2 bör användas sparsamt.


Info
titleHämta från e-legitimation

OM en förlitande part explicit vill ha behörighetsattributet med värdet från e-legitimationen kan man specificera detta i claims-begäran genom att kräva LoA3

Code Block
languagetext
claims = {
  "id_token": {
    "acr": {
      "values": ["http://id.elegnamnden.se/loa/1.0/loa3"],
      "essential": true
    }
  }
}



Hur nya behörighetsattribut definieras

Ett behörighetsattribut inom Samordnad identitet och behörighet definieras behöver i sin definition inkludera följande metainformation:

  1. Identifierare: en eller flera attributidentifierare enligt #3.1 nedan.
  2. Kategori: en attributkategori enligt #3.2 nedan.
  3. Betydelse: betydelse / tolkning av det värde som ges i detta attribut?
  4. Status: En indikering om attributet är aktivt, under utfasning, eller utfasat.
  5. Synonymer: en eller flera attributidentifierare som kan användas synonymt med detta attribut

Identifierare (attributnamn)

Som identifierare av attribut eller andra semantiska objekt i en interoperabel infrastruktur används i regel formaten Object Identifier (OID), HTTP-URI, eller ett textuellt namn utan format.

...

Om man använder textuella namn eller URI:er brukar identifieraren även benämnas "attributnamn". 

Expand
titleUnderlag ...

Object Identifier (OID)

En OID som URN (t ex urn:oid:2.5.4.42) är en globalt unik och hierarkiskt strukturerad identifierare bestående av en numerisk sträng enligt ITU-T X.660 / ISO/IEC 9834.

En OID:

  • SKA vara globalt unik.
  • SKA entydigt identifiera ett och samma semantiska objekt.
  • FÅR INTE återanvändas för att identifiera ett annat semantiskt objekt.
  • BÖR betraktas som den normativa och långsiktigt stabila identifieraren.

OID definierar den semantiska identiteten oberoende av teknisk representation eller kontext.

OID ägs och förvaltas i ett OID-träd. Är stabil över tid och används för:

  • Semantisk entydighet
  • Standarder
  • Långsiktig interoperabilitet

OID svarar på frågan om vad något är:

”Exakt vilket begrepp pratar vi om, oavsett kontext?”

HTTP-URI

En HTTP-URI är en kontextuell identifierare som används inom en specifik modell, profil eller implementation för att referera till ett objekt som definieras av en OID.

En HTTP-URI:

  • KAN vara en sträng, URI, kortkod eller annan lokal identifierare.
  • SKA entydigt mappa till exakt en OID inom den kontext där den används.
  • FÅR INTE användas för att referera till olika OID:er inom samma kontext.
  • KAN ändras över tid utan att objektets semantik förändras, förutsatt att mappningen till OID kvarstår.

En HTTP-URI är inte i sig en global semantisk identifierare.

En HTTP-URI förvaltas inom ramen för en specifik specifikation, federation eller implementation.

HTTP-URI svarar på frågan om hur begreppet fungerar här och nu:

”Hur refererar vi till det här begreppet i just den här modellen eller profilen?”

Relationen mellan OID och HTTP-URI

Följande princip gäller: En HTTP-URI refererar till ett objekt vars semantiska identitet definieras av en OID.

En HTTP-URI utgör en kontextuell identifierare som används inom en viss modell eller implementation. Den pekar på en OID, vilken utgör den globala och långsiktigt stabila identifieraren för objektet. OID:en är i sin tur knuten till den formella semantiska definition som entydigt beskriver objektets betydelse.

Relationen kan beskrivas som en semantisk identifieringskedja:

HTTP-URI → OID → Semantisk definition

Den semantiska definitionen är således knuten till OID, inte till HTTP-URI.

OID definierar objektets identitet.

HTTP-URI är ett kontextuellt alias.

Interoperabilitetsanalys

OID utgör den globala semantiska identifieraren, men saknar i sig den kontextuella precisering som krävs för interoperabilitet inom en federation.

Samma OID kan användas i flera federationer men ges olika kontextuell innebörd beroende på:

  • tillitsramverk
  • källa till uppgiften
  • identitetsprocess
  • ansvarig part

Ett exempel

OID 2.5.4.10 identifierar begreppet organizationName på en generell semantisk nivå.

Dock gäller:

  • I Sweden Connect den organisation som har anskaffat e-legitimationen för sin medarbetare (är kopplad till utgivningsprocessen).
  • I Sambi användarens hemorganisation utifrån kataloguppgifter om medarbetarens tjänstgöring (är kopplad till anställning eller uppdrag).
  • I Skolfederation eller SWAMID kan motsvarande attribut ha annan källa och annan tillitsgrund.

Det är således inte OID:en i sig som definierar attributets interoperabla betydelse inom federationen, utan den federationsspecifika HTTP-URI och dess profildefinition.

OID säger:

Detta är attributtypen enligt ett generellt schema.

HTTP-URI i federationen säger:

Detta attribut har denna specifika semantik enligt federationens regelverk.


Attributkategorier

För att möjliggöra interoperabilitet och tillförlitliga åtkomstbeslut i federativa infrastrukturer behöver attribut klassificeras. Klassificeringen tydliggör vad ett attribut representerar, i vilken kontext det är giltigt samt hur det bör tolkas och användas. Detta minskar risken för feltolkningar, särskilt vid informationsutbyte mellan organisationer eller över landsgränser, och skapar en stabil grund för både tekniska implementationer och policybeslut.

Som grund för klassificeringen görs en åtskillnad mellan attribut som beskriver subjektets identitet, hur det representeras tekniskt och organisatoriskt, samt vilka relationer, mandat och rättigheter som gäller i en viss kontext. Vidare särskiljs attribut som möjliggör kommunikation med individer från sådana som beskriver själva transaktionen, exempelvis uppgifter om autentisering eller intygsutgivning. Ur ett IAM-perspektiv är denna uppdelning central, då olika attributkategorier har skilda egenskaper avseende stabilitet, tillitsnivå och förekomst av ansvarig utfärdare, vilket i sin tur påverkar hur de bör användas som underlag för åtkomstbeslut.

...

Expand
titleYtterligare underlag ...

Hypotes

Alla attribut är inte av samma slag. Attribut kan exempelvis:

  • Avse individen som sådan,
  • Uttrycka en teknisk representation av individen,
  • Definiera en relation kopplad till individen
  • Ange ett mandat som individen har tilldeltas
  • Definiera en rättighet inom vilken individen får agera, eller
  • Beskriva en händelse om autentisering och intygsutgvining.

Dessa är ontologiskt olika. Attribut ska därför kategoriseras efter vad de representerar och efter deras semantiska natur.

Attribut som påverkar åtkomstbeslut får inte blandas med beskrivande eller "dekorativa" attribut.

Attributmodell

I federativa miljöer används attribut för att:

  1. identifiera och tekniskt representera individer och systemaktörer,
  2. beskriva organisatorisk tillhörighet,
  3. förmedla mandat och rättigheter, samt
  4. dokumentera förutsättningarna för autentisering och intygsutgivning.

Trots detta behandlas attribut ofta som en enhetlig mängd egenskaper. I praktiken representerar de dock fundamentalt skilda semantiska kategorier. När dessa kategorier inte hålls isär uppstår otydliga behörighetsbeslut, bristande tillitsbedömningar, juridisk osäkerhet och försämrad interoperabilitet, vilket i sin tur försvårar standardisering.

Begreppet organisation är ett tydligt exempel på denna problematik. Det används i flera olika betydelser, exempelvis som:

  1. utfärdare av identitetsintyg vid e-legitimering,
  2. individens organisatoriska hemvist, eller
  3. uppdragsgivare i en specifik handling/situation.

När dessa betydelser sammanblandas uppstår otydlighet i ansvar, mandat och tillit, vilket leder till felaktiga behörighetsbeslut, oklara rättsliga relationer och interoperabilitetsproblem.

Teknisk aktör

Placeholder för subject som kan vara api, api-klienter, etc.


Exemplifiering och validering


  1. Modellera för hur en attributprofil kan ha multipla attributinstanser, tex beroende på källa (attribut på e-leg, från en katalog), relaterad till ett eller flera uppdrag.
  2. Beskriv en modell för attributprofiler med personrelaterade attribut, e-leg-relaterade attribut, N x anställningsrelaterade attribut, M x uppdragsrelaterade uppdrag 
  3. Beskriv skillnaden mellan en IdP per organisation och en Idp som representerar flera organisationer

...

  1. Personalidentity - både pnr och snr eller separata attribut?
  2. Ska vi lägga in synonymer från andra federationer, t ex Sambi? JA, se lista
  3. Kan vi lösa de olika synsätten på att peka ut e-legitimationen som källa i namnet genom att göra denna typ av attribut domänspecifika? (https://id.ena-infrastructure.se/attributes/surName jfr med https://id.ena-infrastructure.se/attributes/eid/health/surName). Ska källan i det första fallet vara okänd? Beroende på vilken IdP man använder?
  4. Attribut som saknas i nuvarande Sambi, t ex Middlename, vad gör vi med dom?
  5. Enhet som generellt attribut, andra är domänspecifika t ex vårdenhet, skolenhet?


Val av attribut

Namnen är hämtade från OIDC Core, OIDC Sweden och inspirerade av Sambis attributprofil. Domänen health kommer mycket från Ineras IdP då de också är överenskomna med Ehälsomyndigheten. Sweden Connect har gett eIDAS-namnen. Se referenser.

...

draw.io Board Diagram
borderfalse
diagramNameBestämm Scopenamn Drawio
simpleViewerfalse
width
linksauto
tbstyleinline
lboxtrue
diagramWidth989
height1225
revision7


Attribut / attributlista


Info

Nedan första utkastet på attributlistan, den ska i detta läge ses främst som ett försök till att bestämma formatet då det är önskvärt att hålla ihop beskrivningen men ändå kunna filtrera på olika sätt.

...