Versions Compared

Old Version 10

changes.mady.by.user Katarina Edeus

Saved on

compared with

New Version Current

changes.mady.by.user Jakob Fransson

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Utkast 20251027 

Status
subtletrue
colourYellow
titleTodo
Fyll på nedan text med påståenden. 

I rapporten har det uppstått en sammanblandning mellan två skilda ansvarsnivåer,  federationsområdesansvar och tillämpningsansvar. Dessa begrepp beskriver olika roller i styrningen kontra användningen av federationsinfrastrukturen och ska inte ses, enligt mig som delar av samma rättsliga eller organisatoriska ansvar.


Jag har i Vi har i rapporten lagt in en ytterligare nivå på ansvar – federationsansvar och tillämpningsansvar som vi behöver stämma av.

Nedan beskrivs dessa ansvar närmare, därefter . Därefter beskrivs varför vi ser behov av att lägga till ytterligare en roll i infrastrukturen, därefter ett försök att konkretisera ansvaret med en metafor och 2 exempel, och sist några frågeställningar till er som vi kan ha i vår fortsatta diskussion.

...

  • Ett federationsområde är en avgränsad del av federationsinfrastrukturen som beskriver hur teknisk interoperabilitet ska uppnås.
    Det omfattar de protokoll, format, profiler och regler som används för utbyte av metadata och behörighetshandlingar, och förvaltas av en federationsområdesansvarig som samordnar medlemmar och tillämpar infrastrukturen inom området.
  • Det Inledningsvis kommer det att finnas två federationsområden för federationsinfrastrukturen inledningsvis,: 
    • legitimering av individ (med stöd för OIDC som tekniskt protokoll)
    • legitimering och behörighet av medarbetare, företrädare (med stöd för OIDC och OAuth som tekniska protokoll)
  • Digg kommer vara federationsområdesansvarig för båda dessa.
  • Vidare finns det möjlighet att skapa fler federationsområden för andra tekniska protokoll eller behov av andra strukturer för att hantera tillit, notera att ett federationsområde motsvarar en teknisk Tillitsankartjänst och ansvaret för tillhandahålla ett sådant med tillhörande regler.

...

Digg både ledningsaktör och federationsområdesansvarig för ett område "A": som omfattar OIDC, OAuth 2.0 och säkerhetskrav enligt Ena gemensamma kravkatalog som representeras av Enas Tillitsmärken. 

Om E-hälsomyndigheten vill använda federationsinfrastrukturen kan de välja detta federationsområde "A", eftersom det tekniskt uppfyller deras behov och omfattar de säkerhetsnivåer som krävs för deras tillämpning – till exempel NLL.

...

(OBS!!! i denna text läggs ingen värdering om eventuell granskning eller efterlevnadskontroll av säkerhetskravssäkerhetskrav)

Exempel Digg och XXTransportstyrelsen:

Digg både ledningsaktör och federationsområdesansvarig för ett område "B": som omfattar OIDC, OAuth 2.0 men med en annan struktur för att förmedla informationssäkerhet för IoT-komponenter.

Om Transportstyrelsen vill använda federationsinfrastrukturen kan de välja detta federationsområde "B", eftersom det tekniskt uppfyller deras behov av OAuth 2. Transportstyrelsen har andra behov än de som definieras av Ena Tillitsmärken. 

Digg som federationsområdesansvarig ansvarar för att det inom område "Sammanhållen Identitet behörighet" finns förutsättningar att ansluta anslutningsoperatörer.

Transportstyrelsen, som tillämpningsansvarig anger att , och säkerställer att de operatörer som krävs för att ansluta system och aktörer till infrastrukturen finns tillgängliga.

Exempel Digg och Skolverket:

Digg är ledningsaktör, Skolverket federationsområdesansvarig för ett område "C": som omfattar hur SAML ska användas och säkerhetskrav enligt Ena gemensamma kravkatalog som representeras. 

Om XX Skolverket vill använda federationsinfrastrukturen kan de välja detta federationsområde "C", eftersom det tekniskt uppfyller deras behov och omfattar de säkerhetsnivåer som krävs för deras tillämpning – till exempel XX.Nationella Digitala Prov (NDP)

Digg som federationsområdesansvarig ansvarar för att det inom område "BC" finns förutsättningar att ansluta anslutningsoperatörer.

XXSkolverket, som tillämpningsansvarig anger att, av Enas säkerhetsnivåer, nivå X 2 är lämplig för XXNDP, och säkerställer att de operatörer som krävs för att ansluta system och aktörer till infrastrukturen finns tillgängliga.

...

  1. Kan Digg i sin roll som federationsområdesansvarig bära ansvar för att operatörer fungerar och följer gemensamma regler, utan att därmed anses ha ansvar för hur infrastrukturen används inom respektive tillämpningsområde?

  2. Behöver Digg enligt gällande rätt eller principer för myndighetsansvar kunna ställas till svars för brister i hur infrastrukturen används (tillämpas) av andra myndigheter?

  3. Kan Digg juridiskt delegera delar av det federationsområdesansvar som avser teknisk drift eller samordning till operatörer, utan att dessa får ett självständigt rättsligt ansvar?

Tillämpningsansvarig myndighet

...

  • Digg: ansvarar för att infrastrukturen finns och fungerar (systemansvar),

  • sektorsmyndighet: ansvarar för hur infrastrukturen används inom sitt område (verksamhetsansvar)?

...