...
Regelverket beskriver syfte, ansvar, anslutningsbar krets och grundläggande villkor för BAS. Det anger även vilka frågor som hanteras i andra styrande dokument, såsom anslutningspolicyer, registreringspolicyer, tekniska anslutningsregler, tekniskt ramverk, incidentprocess, förändringspolicy och tillämpliga avtalsvillkor.
Syfte
Syfte med BAS
Syftet med BAS är att skapa en gemensam grundnivå för verifierbar teknisk och organisatorisk tillit.
...
BAS ger inte i sig rätt till åtkomst, informationsutbyte, behandling av uppgifter eller användning av viss digital tjänst.
...
Målgrupp
Primär målgrupp
Samordnad identitet och behörighet är i första hand till för verksamheter inom välfärdsområdet som helt eller delvis är offentligt finansierade.
...
Uppslags- och verifieringstjänst
Anslutningstjänster
Federationsstruktur
BAS bygger på en federationsstruktur där tillit etableras genom ett tillitsankare, anslutningsoperatörer och verifierbara metadata. Strukturen gör det möjligt för förlitande parter att kontrollera tekniska komponenter, ansvarig organisation, metadata, nycklar, signaturer och tillitskedjor innan information från BAS används i en tjänst.
Översikt
Tillitsankaret är den betrodda roten i federationsstrukturen. Det används för att verifiera federationsmetadata och tillitskedjor inom BAS.
Anslutningsoperatörer ansluts under tillitsankaret. De ansvarar för att ansluta federationsmedlemmar, registrera tekniska komponenter och hantera metadata enligt gällande regelverk.
Federationsmedlemmar ansluter en eller flera tekniska komponenter till BAS. Federationsmedlemmen ansvarar för sina egna uppgifter, sina tekniska komponenter och det nyckelmaterial som används.
Förlitande part använder en resolver, eller uppslags- och verifieringstjänst, för att hämta och verifiera metadata och tillitskedjor.
Diggs åtaganden
Digg som ledningsaktör
Digg ska som ledningsaktör:
a) hålla samman regelverket för BAS,
b) besluta om förändringar av BAS enligt beslutad förändringsprocess,
c) förvalta relationen mellan BAS och övriga federationskontexter,
d) besluta om krav på anslutningsoperatörer,
e) besluta om eller godkänna ändringar i tekniska anslutningsregler, och
f) fastställa vilka tekniska ramverk och profiler som gäller.
Digg som federationsoperatör
Digg ska som federationsoperatör:
a) drifta infrastrukturtjänsterna för BAS,
b) tillhandahålla tillitsankartjänst,
c) tillhandahålla uppslags- och verifieringstjänst,
d) säkerställa att tillitskedjor kan etableras och verifieras,
e) hantera anslutning av anslutningsoperatörer enligt tillämplig policy,
f) tillhandahålla tekniskt ramverk eller hänvisa till tekniskt ramverk,
g) följa upp väsentliga händelser som påverkar BAS, och
h) vid behov besluta om federationsgemensamma åtgärder.
Diggs ansvar som ledningsaktör respektive federationsoperatör ska hållas isär funktionellt, även när båda rollerna utförs av samma myndighet.
Åtaganden för anslutningsoperatör
Anslutningsoperatör ska:
a) ansluta federationsmedlemmar enligt anslutningspolicy,
b) verifiera organisation och behörig uppgiftslämnare enligt anslutningspolicy och registreringspolicy,
c) registrera tekniska komponenter enligt registreringspolicy,
d) hantera metadata enligt tekniskt ramverk,
e) hosta metadata för federationsmedlem när detta sker enligt registreringspolicy och tekniskt ramverk,
f) hantera ändringar och avregistrering,
g) hantera avstängning och återkallelse enligt anslutningspolicy,
h) rapportera väsentliga händelser till Digg, och
i) dokumentera anslutnings- och registreringsbeslut.
Vid avstängning eller återkallelse ska anslutningsoperatören genomföra teknisk avpublicering eller ogiltigförklaring enligt registreringspolicy. Beslutet ska dokumenteras, kommuniceras till federationsmedlemmen och, vid väsentliga händelser, rapporteras till federationsoperatören.
Åtaganden för federationsmedlem
Federationsmedlem ska:
a) följa BAS-regelverket,
b) följa tillämplig anslutningspolicy,
c) följa registreringspolicy för tekniska komponenter,
d) följa tekniskt ramverk för anslutna komponenter,
e) säkerställa att lämnade uppgifter är riktiga och aktuella,
f) ansvara för egna tekniska komponenter,
g) skydda nycklar och andra säkerhetskritiska uppgifter,
h) rapportera incidenter enligt gällande process,
i) anmäla ändringar som påverkar metadata, nycklar eller organisationskoppling,
j) avregistrera komponenter som inte längre används, och
k) ansvara för egna egenskapsintyg där sådana används.
Användning hos förlitande part
Förlitande part får använda BAS för att verifiera:
a) teknisk komponent,
b) ansvarig organisation,
c) metadata,
d) tillitskedja,
e) tekniska nycklar och signaturer, och
f) egenskapsintyg där sådana används.
Förlitande part ansvarar själv för hur verifierad information används i den egna tjänsten. BAS innebär inte att åtkomst automatiskt ska beviljas.
----
Anslutning
Allmänt om anslutning
Anslutning av federationsmedlemmar BAS sker enligt Krav och vägledning för anslutning av federationsmedlemmar
Registrering av anslutningstjänst
Registrering av teknisk komponent
Allmänt om registrering
...
Tekniskt ramverk
Tekniskt ramverk
Tekniska profiler finns beskrivna i Tekniskt ramverk för Samordnad identitet och behörighet.
Tekniskt ramverk anger exakta tekniska krav och ska tillämpas för de komponenttyper och profiler som omfattas av BAS.
Tekniska anslutningsregler och registreringspolicy ska hänvisa till tekniskt ramverk för protokollkrav, metadataformat, endpoints, claims, algoritmer och andra tekniska detaljer.
Tillitskedja
Tillitskedjan för federationsmedlem följer principen:
Federationsoperatör → Anslutningsoperatör → Federationsmedlem → Federationsmedlemmens entiteter
Tillitskedjan ska kunna verifieras enligt tekniskt ramverk.
Tillitsankare och uppslags- och verifieringstjänst
Digg ska som federationsoperatör tillhandahålla tillitsankartjänst och uppslags- och verifieringstjänst enligt tekniskt ramverk.
Digg ansvarar för att BAS har tillgång till de infrastrukturtjänster som krävs för att tillitskedjor ska kunna etableras och verifieras.
Egenskapsintyg
Egenskapsintyg inom BAS
Allmänt
Egenskapsintyg kan förmedlas inom BAS när parter har behov av att uttrycka en viss egenskap hos en organisation, teknisk komponent eller funktion. Egenskapsintyg hanteras mellan de parter som har behov av egenskapsintyget. Det är dessa parter som kommer överens om vad egenskapsintyget betyder, vem som får utfärda det, vilka krav som ligger bakom det och när det ska accepteras.
...
- vad egenskapsintyget betyder,
- vilka krav som ligger bakom egenskapsintyget,
- hur efterlevnad kontrolleras,
- vem som får utfärda eller intyga egenskapsintg,
- hur länge egenskapsintyg gäller,
- hur egenskapsintyg återkallas, och
- hur en förlitande part ska värdera egenskapsintyg.
BAS miljöer
Sandbox
QA
Produktion
Tekniskt ramverk
Tekniska profiler finns beskrivna i Tekniskt ramverk för Samordnad identitet och behörighet