...
inom Samordnad identitet och behörighet
Status: Utkast
Version: 01- 0.1
Tillämpning: Produktion Produktion
Federationskontext: BAS
Ledningsaktör: Myndigheten för digital förvaltning, Digg
Federationsoperatör: Myndigheten för digital förvaltning, Digg
Anslutningsoperatörer: Inera och Internetstiftelsen
Federationsmedlem: E-hälsomyndigheten
...
Regelverket beskriver syfte, avgränsning, roller, ansvar, anslutningsbar krets och grundläggande villkor för BAS. Det anger även vilka frågor som hanteras i andra styrande dokument, såsom anslutningspolicyer, registreringspolicyer, tekniska anslutningsregler och , tekniskt ramverk.Parter som deltar i BAS ska följa detta regelverk och de styrande dokument som regelverket hänvisar till, incidentprocess, förändringspolicy och tillämpliga avtalsvillkor.
1.2 BAS som federationskontext
...
a) anslutningspolicy för anslutningsoperatörer,
b) anslutningspolicy för federationsmedlemmar,
c) registreringspolicy för teknisk komponent,
d) tekniska anslutningsregler för federationskontext BAS,
e) tekniskt ramverk för Samordnad identitet och behörighet,
f) förändringspolicy,
g) incident- och avvikelseprocesser, och
h) övriga bilagor och styrande dokument som Digg fastställer för BAS.tillämpliga avtalsvillkor
Anslutningspolicyerna reglerar vem som får ansluta, ansvar, skyldigheter, uppföljning, sanktioner och återkallelse.
...
Tekniskt ramverk reglerar de exakta tekniska kraven, såsom standarder, profiler, parametrar, endpoints, claims, algoritmer och felhantering.
Incidentprocessen reglerar rapportering, hantering, kommunikation, åtgärder och uppföljning av incidenter och avvikelser.
Förändringspolicyn reglerar hur ändringar i regelverk, tekniska krav, profiler, processer och andra styrande dokument ska beslutas, införas och kommuniceras.
Detta regelverk ska därför inte duplicera detaljer som hör Detta regelverk ska därför inte duplicera detaljer som hör hemma i dessa dokument.
2. Syfte
...
a) fastställa och förvalta gemensamma regler för BAS,
b) besluta om förändringar av BAS-regelverket enligt beslutad förändringsprocess,
c) ange vilka styrande dokument som gäller för BAS,
d) säkerställa att BAS följer Samordnad identitet och behörighets övergripande arkitektur och principer,
e) ange vilka tekniska ramverk och profiler som gäller genom hänvisning till tekniskt ramverk,
f) fastställa krav på anslutningsoperatörer, och
fg) hantera frågor som inte kan avgöras av anslutningsoperatör eller federationsmedlem.
[Beslut krävs: exakt beslutsforum och intern beslutsordning hos Digg för ändringar i BAS.]Diggs interna beslutsordning för BAS regleras av Diggs vid var tid gällande interna styrning och beslutsordning.
4.2 Federationsoperatör
Myndigheten för digital förvaltning, Digg, är federationsoperatör för BAS.
...
Med välfärdsområdet avses här verksamheter där offentliga aktörer, eller aktörer som utför offentligt finansierade uppgifter, behöver säker digital samverkan över organisationsgränser.
Närmare avgränsning av välfärdsområdet och anslutningsbar krets regleras i anslutningspolicy och tillämpliga avtalsvillkor.
5.2 Aktörer som kan anslutas
...
a) statliga myndigheter,
b) kommuner,
c) regioner,
d) offentligt styrda organ,
e) kommunala och regionala bolag,
f) organisationer som helt eller delvis bedriver offentligt finansierad verksamhet inom välfärdsområdet, och
g) andra organisationer som behöver delta i informationsutbyte med anslutna offentliga eller offentligt finansierade aktörer.
[Beslut krävs: exakt avgränsning av välfärdsområdet i BAS.]
[Beslut krävs: om kommunala och regionala bolag omfattas generellt eller endast när de utför viss typ av uppgift.]
5.3 Andra organisationer
Informationsutbyte sker även med andra organisationer än offentliga och offentligt finansierade aktörer.
5.3 Andra organisationer
Informationsutbyte sker även med andra organisationer än offentliga och offentligt finansierade aktörer.
Andra organisationer Andra organisationer får anslutas när anslutningen krävs för ett informationsutbyte som en offentlig eller offentligt finansierad aktör har behov av.
...
a) privata leverantörer av digitala tjänster,
b) systemleverantörer,
c) tjänsteleverantörer,
d) privata utförare inom offentligt finansierad verksamhet,
e) underleverantörer, och
f) andra organisationer som behöver delta i ett konkret informationsutbyte med ansluten offentlig aktör.
Prövning av sådan anslutning sker enligt anslutningspolicy.
6. Anslutning
6.1 Allmänt om anslutning
...
Direktanslutning till Digg ska inte ske initialt.
[Öppen fråga: Frågan om direktanslutning till Digg som federationsoperatör ska kunna kan tillåtas i senare skede eller i särskilda fall hanteras enligt vid var tid gällande anslutningspolicy.]
6.4 Avtal
Federationsmedlem ska ingå tillämpligt avtal eller anslutningsförbindelse enligt den avtalsstruktur som gäller för BAS.[Beslut krävs: slutlig avtalsform för BAS i produktion.]
Avtalsform och avtalsvillkor regleras i vid var tid gällande avtalsmallar, villkorsbilagor och anslutningspolicy.
7. Registrering av teknisk komponent
...
Registreringspolicy ska ange vilka uppgifter som krävs .
Minst följande uppgifter bör ingå eller hanteras genom hänvisning till registreringspolicy:
a) ansvarig organisation,
b) komponentens tekniska identifierare,
c) komponenttyp,
d) teknisk kontakt,
e) säkerhetskontakt,
f) metadata,
g) nyckelmaterial,
h) organisationskoppling, och
i) tillämplig teknisk profil.
[Beslut krävs: om denna lista ska ligga i BAS-regelverket eller endast i registreringspolicy.]
vid registrering.
Uppgifter vid registrering ska vara tillräckliga för att anslutningsoperatören ska kunna verifiera ansvarig organisation, teknisk komponent, organisationskoppling, metadata, nyckelmaterial och tillämplig teknisk profil.
7.4 Kontroll före registrering
Före registrering ska anslutningsoperatören kontrollera att komponenten kan registreras enligt registreringspolicy och tekniskt ramverk.
Kontrollen ska inte regleras i detalj i detta regelverk.
[Beslut krävs: vilka obligatoriska kontroller som gäller i BAS.]
Obligatoriska kontroller före registrering regleras i registreringspolicy och tekniska anslutningsregler.
8. Metadata och tekniskt ramverk
...
Federationsoperatör → Anslutningsoperatör → Federationsmedlem → Federationsmedlemmens entiteter
Tillitskedjan ska kunna verifieras enligt tekniskt ramverk.
8.4 Tillitsankare och uppslags- och verifieringstjänst
...
BAS får förmedla tillitsmärken eller göra dem tekniskt verifierbara, om detta stöds av tekniskt ramverk.
[Beslut krävs: exakt hur tillitsmärken ska representeras tekniskt i BAS.]
Teknisk representation och verifiering av tillitsmärken regleras i tekniskt ramverk och tillämpliga tillitsmärkesregler.
Generella tillitsmärken inom BAS får endast användas om sådana har fastställts av behörig tillitsmärkesägare och stöds av tekniskt ramverk.[Beslut krävs: om BAS ska tillhandahålla generella tillitsmärken utöver E-hälsomyndighetens bilaterala tillitsmärken.]
10. Åtaganden för Digg
10.1 Digg som ledningsaktör
...
a) drifta infrastrukturtjänsterna för BAS,
b) tillhandahålla tillitsankartjänst,
c) tillhandahålla uppslags- och verifieringstjänst,
d) säkerställa att tillitskedjor kan etableras och verifieras,
e) hantera anslutning av anslutningsoperatörer enligt tillämplig policy,
f) tillhandahålla tekniskt ramverk eller hänvisa till tekniskt ramverk,
g) följa upp väsentliga händelser som påverkar BAS, och
h) vid behov besluta om federationsgemensamma åtgärder.
Diggs ansvar som ledningsaktör respektive federationsoperatör ska hållas isär funktionellt, även när båda rollerna utförs av samma myndighet.
11. Åtaganden för anslutningsoperatör
...
a) vilken tjänst eller vilket API som omfattas,
b) vilka organisationer som får använda tjänsten,
c) vilka tekniska komponenter som får anropa tjänsten,
d) vilka tillitsmärken eller andra underlag som krävs,
e) vilka ändamål som är tillåtna, och
f) vilka övriga villkor som gällergäller.
13.3 Ingen automatisk åtkomst
Verifiering enligt BAS innebär inte att åtkomst ska beviljas.
BAS ger endast ett verifierbart underlag. Den förlitande parten ansvarar för hur underlaget används.
14. Incidenter och avvikelser
...
Incidenter och avvikelser ska hanteras enligt vid var tid gällande incidentprocess för BAS.[Beslut krävs: slutlig incidentprocess för BAS.]
Parter som deltar i BAS ska följa de rapporteringsvägar, tidsfrister, klassificeringar och åtgärdsrutiner som anges i incidentprocessen.
14.2 Incidenter som ska rapporteras
...
Digg får som federationsoperatör vidta federationsgemensamma skyddsåtgärder om händelsen påverkar BAS som helhet.
[Beslut krävs: exakt beslutsmandat för om spärrning, avpublicering och återkallelse.], återkallelse eller annan skyddsåtgärd ska fattas och dokumenteras enligt incidentprocess, anslutningspolicy och registreringspolicy.
15. Ändring, avregistrering och återkallelse
...
Återkallelse av federationsmedlems anslutning eller teknisk komponent ska ske enligt anslutningspolicy och registreringspolicy.
Beslut om återkallelse ska dokumenteras och kommuniceras enligt tillämplig process.[Beslut krävs: om återkallelse kan beslutas av anslutningsoperatör ensam eller om Digg ska godkänna vissa återkallelser.]
16. Förändring av regelverket
...
16.2 Förändringspolicy
Ändring ska ske enligt beslutad förändringspolicy.[Beslut krävs: slutlig förändringspolicy för BAS.]vid var tid gällande förändringspolicy för BAS.
Förändringspolicyn reglerar hur ändringar bereds, beslutas, kommuniceras och träder i kraft.
16.3 Övergångstid
Vid ändring av krav som påverkar anslutna parter bör ska övergångstid angeshanteras enligt förändringspolicy.
Säkerhetskritiska ändringar får genomföras utan ordinarie övergångstid om det krävs för att skydda BAS tillit, säkerhet eller interoperabilitet.[Beslut krävs: principer för grace periods och versionsföljsamhet.]
17. Drift och etablerad tillämpning
...