Versions Compared

Old Version 1

changes.mady.by.user Jakob Fransson

Saved on

compared with

New Version Current

changes.mady.by.user Henric Norlander

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

1. Syfte och tillämpning

1.1 Syfte

Syftet med detta regelverk är att säkerställa att etablering av nya federationskontexter sker på ett restriktivt, strukturerat och dokumenterat sätt. Regelverket syftar till att:

  • Minimera risk för fragmentering av den nationella federationsinfrastrukturen.
  • Säkerställa att nya kontexter endast skapas när befintliga strukturer inte kan hantera behovet utan att skapa otydlighet.
  • Definiera tydliga kriterier för när och hur en ny kontext får införas.

1.2 Tillämpning

Detta regelverk är bindande för alla aktörer, team och initiativ som föreslår eller planerar etablering av en ny federationskontext inom SIB.

2. Definitioner

  • Federationskontext: En avgränsad tillitsdomän inom federationsinfrastrukturen. Inom en kontext definieras specifika regler för anslutningsregler, registreringskrav, egenskapsintyg och ansvarsförhållanden som gäller för deltagande aktörer.
  • Samverkanskontext: Är en specificerad användning av ett  federationskontext där flera aktörer samverkar under gemensamma, kontextbundna regler för att uppnå ett definierat verksamhetsmål.
  • Federationsregler: Det dokumenterade regelverk som styr en specifik kontext. Dessa måste peka ut vilka policyer och operativa processer som gäller.
  • Ledningsaktör: Den aktör (Digg) som har mandat att besluta om etablering av nya kontexter och godkänna avvikelser från plattformens gemensamma artefakter.

3. Kriterier för etablering (När)

Ett nytt federationskontext ska etableras när ett samverkansbehov inte lämpligen kan hanteras inom ett befintligt federationskontext utan att skapa otydlighet om vilka anslutningspolicyer, registreringspolicyer, egenskapsintyg eller ansvarsförhållanden som ska gälla.

Ett nytt federationskontext ska inte etableras enbart därför att en enskild tjänst eller aktör eller har behov av kompletterande krav, om detta kan hanteras inom ett befintligt federationskontext genom att federationsreglerna pekar ut ytterligare anslutningspolicyer, registreringspolicyer eller egenskapsintyg.

3.1 Behovskriterium

Ett nytt samverkansbehov föreligger som inte lämpligen kan hanteras inom en befintlig federationskontext utan att skapa otydlighet gällande:

  • Anslutnings- eller registreringspolicyer.
  • Tekniska krav, metadataregler eller egenskapsintyg.
  • Ansvarsförhållanden mellan parter.

3.3 Specifika utlösande faktorer

En ny kontext bör särskilt övervägas om samverkan kräver:

  1. Andra registreringsregler än gällande standard.
  2. Andra metadatakrav eller egenskapsintygsstrukturer.
  3. En annan teknisk domän eller arkitektur.
  4. En separat samverkansdomän med egen ansvarsfördelning.

4. Grundläggande förutsättningar (Vad som krävs) Ev byta rubriknamn

Innan beslut om etablering kan fattas måste följande förutsättningar vara dokumenterade:

  1. Dokumenterat behov: Varför befintliga kontexter (t.ex. Sweden Connect) inte är lämpliga.
  2. Avgränsning: En tydlig definition av vilka aktörer, organisationer och tekniska komponenter som omfattas.
  3. Utökningar/anpassningar: Vilka utökningar och anpassningar av befintliga gemensamma artefakter som krävs.
  4. Regelverk (Federationsregler): Ett utkast till federationsregler för den nya kontexten måste finnas. Dessa ska minst specificera:
    • Gällande anslutnings- och registreringspolicyer.
    • Gällande egenskapsintyg.
    • Tekniska krav, profiler och specifikationer.
    • Operativ process för anslutning och registrering.

5. Förhållande till gemensam infrastruktur

Alla nya kontexter är underordnade Federationsplattformen för att skapa interoperabilitet mellan federationskontext.

  • Återanvändningsprincip: Nya kontexter ska bygga på och återanvända gemensamma anslutningspolicyer, registreringspolicyer.
  • Avvikelsehantering: Om en kontext kräver avvikelser från plattformens gemensamma artefakter:
    1. Avvikelsen ska dokumenteras och motiveras i etableringsbeslutet.
    2. Det ska tydligt framgå vilka artefakter som ersätts, kompletteras eller utökas.
    3. Ledningsaktören måste godkänna avvikelsen.

6. Beslutsprocess och ansvarsfördelning

Etablering av en ny federationskontext kräver formellt beslut.

6.1 Processflöde

  1. Initiativ: En dokumenterad bedömning (Business Case/PM) upprättas.
  2. Granskning: Bedömningen granskas mot detta regelverk (punkterna 3 och 4).
  3. Beslut: Beslut fattas i samråd med Ledningsaktören.
  4. Implementering: Federationsreglerna finaliseras och kontexten etableras.

6.2 Krav på beslutsunderlag

Innan beslut fattas ska underlaget innehålla:

  • Analys av kontextens avgränsning.
  • Bedömning av beroenden till den gemensamma infrastrukturen.
  • Redogörelse för behovet av särskilda federationsregler.
  • Beskrivning av kopplingen till den gemensamma infrastrukturen.
  • Beslutet ska explicit intyga att kriterierna enligt punkt 3 och 4 är uppfyllda.

7. Etableringsprinciper

  • Restriktivitet: Nya kontexter ska etableras restriktivt.
  • Förstahandsval: Samverkan ska i första hand hanteras genom återanvändning av befintliga kontexter och gemensamma artefakter.
  • Validering: Piloter och tillämpningskontexter får användas för att validera basutbudets bärighet, men ska inte betraktas som fullskaliga produktionskontexter förrän etableringsbeslutet är fattat.

PM: Beskrivning av Basutbudet (MVP) inom Samordnad identitet och behörighet

Datum: 2026-04-09
Till: Styrgrupp / projektledningar
Från: Arkitektur och strategi
Ämne: Arbetsdefinition och avgränsning av Basutbudet (MVP)

1. Sammanfattning

Denna promemoria föreslår en arbetsdefinition av Basutbudet (MVP) inom Samordnad identitet och behörighet (SIB).

Basutbudet beskrivs som det gemensamma baslagret för federativ tillit mellan system. Det realiseras inom ett allmänt federationsområde och utgör den miniminivå av tekniska och regelmässiga förutsättningar som krävs för att etablera verifierbar tillit mellan federationsmedlemmars tekniska komponenter, oberoende av anslutningsoperatör.

Basutbudet omfattar i denna mening främst verifierbar systemidentitet, verifierad koppling till anslutande organisation samt gemensamma anslutningskrav och tillitsmekanismer. Det omfattar däremot inte verksamhetsbehörigheter, sektorsspecifika regler eller färdiga åtkomstbeslut.

Basutbudet bör inte beskrivas som en generell "BAS-federation" som ska täcka alla sektorsbehov. Det bör i stället förstås som ett gemensamt baslager som kan bära flera olika federationskontexter eller federationsområden över tid.

2. Bakgrund och syfte

Arbetet med SIB har identifierat behovet av ett gemensamt fundament för tillit mellan system över organisationsgränser. I underlagen beskrivs MVP 2026 som ett första steg för att etablera ett gemensamt, återanvändbart basutbud för federativ tillit mellan system. Detta steg är avgränsat till maskin-till-maskin och ska inte omfatta verksamhetsbehörigheter eller sektorsspecifika åtkomstregler.

Syftet med detta PM är att:

  • föreslå en tydligare arbetsdefinition av Basutbudet,
  • klargöra relationen mellan baslager, federationsområde och verksamhetsregler,
  • beskriva avgränsningen mot Sweden Connect,
  • och ge en gemensam förståelse för MVP-strategin.

3. Definition: vad är Basutbudet?

Basutbudet (MVP) är det gemensamma baslagret för federativ tillit mellan system inom SIB. Det realiseras inom ett allmänt federationsområde och ska ge de grundläggande tekniska och regelmässiga förutsättningar som krävs för att system från olika organisationer ska kunna identifieras, registreras och verifieras inom en gemensam tillitsstruktur.

Underlagen beskriver detta första steg som inriktat på verifierbar systemidentitet och verifierad koppling mellan system och anslutande organisation, medan organisationsbehörighet och användarbehörighet tillkommer i senare steg.

3.1 Kärnfunktioner

Basutbudet tillhandahåller i denna arbetsdefinition följande grundfunktioner:

  • Teknisk grundplatta: Gemensamma tekniska profiler och metoder för metadatahantering, publicering, verifiering och interoperabilitet mellan tekniska komponenter. I MVP-underlagen ligger tyngdpunkten på federativ tillit för maskin-till-maskin och på den tekniska federationsinfrastrukturen.
  • Tillitsmekanism: Gemensamma tillitsankare, tillitskedjor och andra tillitsmekanismer som gör det möjligt att verifiera att en teknisk komponent är korrekt registrerad och knuten till en ansluten organisation.
  • Gemensamma anslutningskrav: En gemensam miniminivå av krav för att ansluta till infrastrukturen, exempelvis krav på identifiering av organisation, teknisk förmåga och efterlevnad av gemensamma anslutningsregler. Underlagen beskriver en gemensam ENA-anslutningspolicy som del av basutbudet.
  • Registreringsmekanism för tekniska komponenter: Processer och regler för registrering av tekniska komponenter inom tillitsstrukturen. Registreringspolicyn i materialet tar sikte på just registrering av komponenter efter att en organisation redan har anslutits som federationsmedlem.

3.2 Vad Basutbudet inte är

Basutbudet är inte:

  • ett komplett verksamhetsregelverk för alla sektorer,
  • en enda federation där alla delar samma verksamhetsregler,
  • en lösning för att fastställa sektorsspecifika behörighetsregler,
  • eller en färdig modell för åtkomstbeslut i enskilda verksamheter.

Underlagen anger uttryckligen att Digg inte ska fastställa behörighetsregler, utan att sådana regler även fortsättningsvis behöver utformas inom respektive verksamhetsområde. Basutbudet ska i stället ge den gemensamma grund som gör det möjligt att tillämpa sådana regler digitalt.

4. Arkitekturell modell

För att förstå Basutbudets roll behöver tre nivåer hållas isär.

NivåBeskrivningExempelAnsvar
1. Gemensamt baslagerDen gemensamma tekniska och regelmässiga grunden för federativ tillit mellan system.Basutbudet (MVP), gemensamma anslutningskrav, tekniska tillitsmekanismerSIB/Digg som ledningsansvarig; i ett allmänt federationsområde kan vissa funktioner också fullgöras där
2. Federationsområde / federationskontextEn avgränsad tillämpning inom den nationella federationsinfrastrukturen med gemensamma regler för informationsutbyte inom ett visst syfteAllmänt federationsområde, VOK, andra framtida tillämpningarFederationsområdesansvarig / ansvarig aktör för området
3. Verksamhetsregler och tillämpningSpecifika regler för behörighet, informationsutbyte, sekretess och ansvar inom ett visst verksamhetsområdevårdregler, skolregler, sektorsspecifika avtalberörd verksamhet / ansvarig aktör

Det bärande arkitekturprincipen är att det gemensamma baslagret ska säkerställa att system kan lita på varandra tekniskt, medan ett federationsområde eller en verksamhetskontext anger vilka regler som gäller för deltagande, informationsutbyte och ansvar i det specifika sammanhanget. Detta ligger nära rapporternas uppdelning mellan federationsinfrastruktur, federationsområde och områdesspecifika anpassningar.

5. Relation till Sweden Connect

Relationen mellan Basutbudet och Sweden Connect behöver beskrivas tydligt för att undvika sammanblandning.

Sweden Connect är den etablerade lösningen för elektronisk identifiering och används för säker identifiering med e-legitimation. Underlagen beskriver den som den tekniska federation som förmedlar elektronisk identifiering mellan utfärdare av e-legitimationer och förlitande parter.

Basutbudet (MVP) adresserar i stället den första gemensamma nivån av federativ tillit för maskin-till-maskin, med fokus på systemidentitet, organisationskoppling och gemensamma tillitsmekanismer.

De två bör därför beskrivas som separata men kompletterande delar i en större nationell struktur:

  • Sweden Connect hanterar elektronisk identifiering av användare,
  • Basutbudet etablerar federativ tillit mellan system.

Underlagen ger stöd för att beskriva dem som närliggande och kompletterande, men inte för att säga att Sweden Connect redan är inordnat i Basutbudets infrastruktur i stark mening. Det säkraste är därför att tala om samordning och samexistens snarare än identitet mellan dem.

6. Relation till etableringsregler

Basutbudet (MVP) har identifierats som ett behov som inte kan hanteras inom befintliga federationskontexter (t.ex. Sweden Connect), vilket uppfyller kriterierna för etablering av en ny kontext enligt [Regelverk för etablering av nya federationskontexter].

Etableringen av BAS-kontexten har skett i samråd med ledningsaktören och bygger på återanvändning av gemensamma plattformsartefakter. Etableringsprocessen följer principen om restriktivitet, där Basutbudet etableras som ett återanvändbart baslager snarare än en sektorspecifik lösning.

Pilotverksamhet (t.ex. VOK) används för att validera baslagrets bärighet i praktiken innan fullskalig drift, i enlighet med etableringsreglernas krav på dokumenterad bedömning och validering.

7. Rekommendationer och nästa steg

  1. Använd detta som arbetsdefinition: Den definition som föreslås i detta PM bör användas som arbetsdefinition i det fortsatta policy- och regelverksarbetet. Begreppet "BAS-federationen" bör undvikas om det riskerar att ge intryck av en enda generell federation för alla ändamål.
  2. Förtydliga skillnaden mellan baslager och kontext: Pågående policyutkast bör tydligare skilja mellan infrastrukturens gemensamma krav och de krav som följer av en viss kontext eller ett visst federationsområde.
  3. Beskriv relationen till Sweden Connect som kompletterande: I extern och intern kommunikation bör Sweden Connect beskrivas som en etablerad och kompletterande lösning för elektronisk identifiering, inte som samma sak som basutbudet.
  4. Använd piloter för att validera baslagret: Pilotarbete, inklusive VOK om det bedöms lämpligt, bör användas för att pröva hur baslagret fungerar i praktiken, utan att en enskild pilot görs till definition av hela målbilden.

...