Versions Compared

Old Version 14

changes.mady.by.user Jakob Fransson

Saved on

compared with

New Version 15

changes.mady.by.user Jakob Fransson

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Syfte

Denna policy fastställer villkor, principer och processer för registrering av tekniska komponenter inom ramen för Samordnad identitet och behörighet.

Syftet är att säkerställa att registrerade tekniska komponenter får en verifierbar och spårbar koppling till den organisation som ansvarar för dem, samt till den behöriga företrädare för organisationen som har lämnat in och registrerat tillhörande metadata. Detta möjliggör att andra aktörer kan bedöma vem som står bakom komponenten, vilket nyckelmaterial som är knutet till den och under vilka förutsättningar den kan användas.

Policyn ska skapa förutsättningar för tillit till tekniska komponenter genom en enhetlig och kontrollerad registreringsprocess, där ansvar, ursprung och förändringar kan följas över tid. Policyn tar vid efter att en organisation har anslutits som federationsmedlem enligt gällande anslutningspolicy.

Vad andra parter kan förutsätta

...

Federationsmedlemmen ska lämna de uppgifter som krävs för att komponenten ska kunna identifieras, prövas och publiceras inom federationen. Uppgifterna ska vara fullständiga, aktuella och lämnade i den form som fastställs i tekniska anslutningsregler.

Anslutningsoperatören ska säkerställa attValideringar:

  1. uppgiftslämnare är identifierad och har bekräftats vara behörig företrädare för federationsmedlemmen.
  2. den organisation som ansvarar för den tekniska komponenten har genomgått anslutning enligt gällande anslutningspolicy,
  3. Metadata metadata verifieras att den är följsam mot SIB tekniska ramverk, kapitel 3.2 i det fall att metadata hostas av anslutningsoperatören.
  4. Visningsnamn visningsnamn kontrolleras att det inte är felaktigt, missvisande eller vilseledande.

Om samtliga krav är uppfyllda ska komponenten registreras. Om kraven inte är uppfyllda ska registrering avslås eller vilandeförklaras till dess att bristerna har åtgärdats.detta rättas innan registrering tillåts.

Registrering:

  1. Registreringspolicy-URI https://ena-infrastructure/policy/organisation ska registreras i metadata
  2. (Vilken metadata ska "låsas" och kunna ändras i eventuella uppdateringar)
    1. Organisation
    2. Visningsnamn

Efter godkänd registrering ska komponenten komponentens metadata publiceras enligt gällande regler för federationsinfrastrukturen.

...

Följande principer ska gälla:

  1. uppdateringar ska vara spårbara med uppgift om vem, vad, när och varför,
  2. uppdaterad metadata verifieras att den är följsam mot SIB tekniska ramverk, kapitel 3.2 (hittepå) i det fall att metadata hostas av anslutningsoperatören.

Ändringar av domän, nycklar, endpoints, organisationskoppling eller andra uppgifter som påverkar tillit eller trafikflöden ska riskbedömas och, när så krävs, valideras på nytt enligt denna policy, tekniska anslutningsregler och tillämpliga profiler.

Avregistrering och återkallelse

Avregistrering innebär att komponenten komponents metadata inte längre ska vara tillitsbar eller upptäckbar inom BAS.publicerad och är därmed inte heller upptäckbar. 

En teknisk komponent ska avregistreras när:

  1. federationsmedlemmen begär avregistrering,
  2. federationsmedlemmens anslutning upphör,
  3. fortsatt registrering inte längre är förenlig med federationsmedlemmen inte efterlever federationens regler eller säkerhetskrav.

Varje Anslutningsoperatören får besluta om tillfällig spärr eller återkallelse om:

    • nyckelmaterial misstänks vara komprometterat,
  • registrerade uppgifter är felaktiga eller vilseledande,
  • komponenten används i strid med federationens regler,
  • incident eller annan omständighet medför att tilliten inte längre kan upprätthållas.

Vid avstängning eller återkallelse ska anslutningsoperatören genomföra teknisk avpublicering eller ogiltigförklaring beslutar om avregistrering för dem federationsmedlemmar som anslutit via dem. Avregistrering innebär avpublicering av metadata enligt federationens regler, dokumentera beslutet och underrätta federationsmedlemmen.

Roller och ansvar

Ledningsaktör

Ledningsaktören fastställer denna policy och kan initiera uppföljning eller revision av efterlevnad.

Federationsoperatör

Federationsoperatören ansvarar för federationens tillitsinfrastruktur och för federationens gemensamma regler, om rollen är separerad från ledningsaktören.

Anslutningsoperatör

Anslutningsoperatören ansvarar för registrering och ändringshantering enligt denna policy. Anslutningsoperatören ska:

  • ta emot registreringsärenden,
  • kontrollera att förutsättningar för registrering är uppfyllda,
  • validera inlämnade uppgifter,
  • besluta om registrering, avslag, vilandeförklaring, tillfällig spärr eller återkallelse,
  • säkerställa att tillämplig policyidentifierare används,
  • säkerställa att nödvändiga kontroller genomförs,
  • säkerställa att metadataunderlag, certifikat, nyckelmaterial och övriga uppgifter som används för validering dokumenteras och kan följas upp i efterhand.

Federationsmedlem

Federationsmedlemmen ansvarar för att:

  • endast behöriga uppgiftslämnare agerar i registreringsprocessen,
  • lämnade uppgifter är korrekta, fullständiga och aktuella,
  • förändringar som påverkar registreringen anmäls utan dröjsmål,
  • komponenten förvaltas på ett sådant sätt att registrerade uppgifter förblir riktiga över tid,
  • komponenten avregistreras när den inte längre ska användas inom BAS.

Definitioner

I denna policy avses med:

BAS

Ett federationskontext. Följsamt gentemot Samordnad identitet och behörighets plattform.

Federationsmedlem
Organisation som har anslutits enligt gällande anslutningspolicy och som får registrera tekniska komponenter i BAS.

Teknisk komponent
Federationsentitet eller annan teknisk tjänst eller funktion som registreras inom federationsinfrastrukturen för att kunna identifieras, verifieras och användas i digital samverkan inom BAS.

Behörig uppgiftslämnare
Person som av federationsmedlemmen har utsetts och godkänts att initiera eller genomföra registrering, uppdatering eller avregistrering av tekniska komponenter.

Entity Identifier
Entydig URI som identifierar en entitet i federationen.

Entity Configuration
Entitetens självdeklaration som utgör startpunkt för trust chain och metadata resolution.

Subordinate Statement
Uttalande signerat av en överordnad part som intygar bindningar och genomförda kontroller vid registrering.

Registreringspolicy-URI
Stabil identifierare som anger vilken version av registreringspolicy som tillämpats.

Grundläggande ställningstaganden

Registrering av teknisk komponent i BAS ska bygga på följande utgångspunkter:

  1. Registrering ska vara tillitsskapande och möjliggöra maskinell bedömning av vilken organisation som står bakom en komponent, vilka nycklar som hör till entiteten och hur komponenten ska användas säkert och interoperabelt.
  2. Metadata ska vara begriplig, spårbar och verifierbar.
  3. Registreringspolicy-URI ska, göra det möjligt att förstå vilket regelverk som gällde vid registrering och vid senare ändringar.
  4. Registrering ska tydligt skilja mellan sådana uppgifter som federationsmedlemmen själv deklarerar och sådana uppgifter som anslutningsoperatören har kontrollerat eller intygat.
  5. Registreringsprocessen ska vara enhetlig för samtliga tekniska komponenter inom BAS, men får kompletteras med särskilda regler för vissa komponenttyper i tekniska anslutningsregler.

Registreringsobjekt och policyartefakter

Endast sådana tekniska komponenter som omfattas av BAS får registreras enligt denna policy.

Vilka komponenttyper som får registreras, och vilka särskilda krav som gäller för respektive komponenttyp, fastställs i tekniska anslutningsregler och tekniskt ramverk.

Registrering av en teknisk komponent ska, där det är tillämpligt, resultera i följande artefakter:

  • Entity Configuration som kan hämtas och valideras,
  • Subordinate Statement utfärdat av överordnad part, som binder ihop entiteten, dess federationsnycklar och dess medlemskap samt vid behov fixerar eller stärker utvalda metadata,
  • Registreringspolicy-URI som gör policyn spårbar vid resolution och revision.

Spårbarhet, transparens och bevisbarhet

...

  • vilken federationsmedlem som står bakom komponenten,
  • vilken behörig uppgiftslämnare som initierade eller godkände ärendet,
  • vilka kontroller som genomfördes,
  • vilket beslut som fattades,
  • när beslutet fattades,
  • vilken version av denna policy som tillämpades,
    • vilka tekniska regler och profiler som beaktades i prövningen.

Dokumentation ska bevaras under den tid som krävs för uppföljning, incidenthantering, revision och administrativ eller rättslig spårbarhet.

...