...
Federationsinfrastrukturen realiserar denna förmåga genom ett nätverk av distribuerade, samverkande komponenter som hanterar signerad metadata. Den tekniska lösningen bygger på vedertagna standarder, såsom OpenID Federation, och skapar förutsättningar för dynamisk anslutning, decentraliserad hantering och policybaserad tillitsförmedlingförmedling av tillitsinformation.
Infrastrukturen är decentraliserad men kontrollerad – varje aktör ansvarar för sin del av ekosystemet, samtidigt som federativa regler och gemensamma format säkerställer att tillitsinformation kan tolkas och verifieras entydigt. Genom signerad metadata och verifierbara tillitskedjor möjliggörs beslut om åtkomst, identitet och behörighet även mellan parter som inte har en etablerad relation i förväg.
...
Modellen bygger på maskinell tolkning och kryptografisk verifiering av metadata, vilket skapar förutsättningar för en flexibel, decentraliserad och automatiserad federationsstruktur. Den möjliggör både sektorsvisa och sektorsövergripande informationsutbyten, där varje aktör kan delta i flera federativa kontexter samtidigt – med gemensamma tekniska mekanismer men med möjlighet att hantera olika tillitskapande krav och policyer.
| draw.io Diagram | ||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Tillitsankartjänst
Tillitsankartjänsten (motsvarar Trust Anchor i OpenID Federation-specifikationen), fungerar som den yttersta källan till tillit. Den publicerar metadata, signerade så kallade Entity statements, för de Anslutningstjänster och Tillitsmärkestjänster som den erkänner. Dessa uttalanden utgör roten i varje tillitskedja och verifieras kryptografiskt. Endast aktörer som kan härledas till en gemensam Tillitsankartjänst anses ingå i samma federationfederativa kontext.
Anslutningstjänst
Anslutningstjänsten (motsvarar Intermetidate Entity i OpenID Federation-specifikationen) fungerar som ett tekniskt nav som aggregerar, hanterar och publicerar metadata, signerade Entity statements, om underordnade entiteter – t.ex. e-tjänster, API:er, legitimeringstjänster eller attributkällor. Den kan även tillföra policies , vilket gör det möjligt att tillämpa lokala villkor utan att bryta den federativa strukturen.
Digitala tjänster
Digitala tjänster som legitimeringstjänster, auktorisationstjänster eller e-tjänster (motsvarar Leaf Entity i OpenID Federation-specifikationen) publicerar sina egna Entity statements som tillhandahåller teknisk metadata om endpoints, kryptonycklar och tillämpade policyer. Dessa är signerade och refererar till anslutningstjänster genom Authority hints.
Tillitsmärkestjänst
En Tillitsmärkestjänst (motsvarar Trust Mark Issuer i OpenID Federation-specifikationen) fungerar som en oberoende aktör som utfärdar tillitsmärken – signerade och strukturerade bevis på att en viss komponent uppfyller angivna tillitsskapande krav kopplade till en viss IAM-förmåga som en komponent realiserar, såsom autentisering eller attributhantering.
Tillitsmärket (benämns Trust Mark i OpenID Federation) är ett fristående JWT-signat som bifogas i entitetens metadata. Det kan valideras separat från övriga delar av tillitskedjan, vilket möjliggör att mottagande parter – till exempel e-tjänster eller verifieringstjänster – kan fatta policybaserade beslut om tillit och åtkomst utifrån om rätt tillitsmärke finns och är giltigt.
Uppslags- och verifieringstjänst
För att åstadkomma teknisk verifiering vid användning används en Uppslags- och verifieringstjänst (motsvarar Resolver i OpenID Federation) som dynamiskt bygger tillitskedjor genom att följa Authority hints och kontrollera signaturer, certifikat och policyvillkor. Detta möjliggör realtidsvalidering av entiteter, utan att dessa måste vara kända i förväg.
Digitala tjänster
Digitala tjänster (motsvarar Leaf Entities i OpenID Federation) som legitimeringstjänster, auktorisationstjänster, e-tjänster och API:er publicerar egna Entity statements med metadata om endpoints, nycklar och policyer. De refererar till anslutningstjänster via Authority hints, och anslutas till federationsinfrastrukturen genom en Anslutningstjänst. När sådana tjänster ska utbyta information med andra aktörer inom federationen behöver de hämta och validera tillitsinformation. Genom att konsumera signerad metadata och digitala intyg från andra federationskomponenter – som legitimeringstjänster, auktorisationstjänster eller attributkällor – kan dessa tjänster säkerställa att motparten är korrekt identifierad och behörig.
Tillit till utbytta uppgifter baseras på federationsinfrastrukturens förmåga att tekniskt validera tillitskedjor och säkerställa att alla parter uppfyller angivna säkerhetskrav.
Digitala tjänster som hanteras av federationsinfrastrukturen:
Legitimeringstjänster – autentiserar användare och utfärdar identitetsintyg.
Auktorisationstjänster – fattar beslut om och utfärdar åtkomstintyg.
E-tjänster – webbtjänster som initierar åtkomstförfrågningar.
Resursservrar (API:er) – exponerar skyddade resurser och kontrollerar åtkomst.
Attributkällor – tillhandahåller behörighetsgrundande attribut.
Tillitskedjor Tillitskedjor – dynamisk och verifierbar metadata
...
| draw.io Diagram | ||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Detta möjliggörs genom att varje komponent publicerar en egen Entity Configuration – signerat metadata om sig själv – som innehåller information om vilka överordnade aktörer (via så kallade authority hints) som intygar komponenten i olika federativa sammanhang. Det innebär att en komponent kan delta i flera flera federativa kontext parallellt, genom att hänvisa till olika Anslutningstjänster eller Tillitsankartjänster beroende på vilken kontext den verkar i.
...
| draw.io Diagram | ||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Till skillnad från traditionella mer statiska SAML-baserade federationer – där metadata ofta hanteras centralt och uppdateras manuellt – bygger OpenID Federation på dynamisk, decentraliserad och signerad metadata som valideras i realtid genom tillitskedjor. Detta innebär att federationstillhörighet inte behöver hanteras som fasta konfigurationsposter, utan uttrycks och verifieras genom digitalt intygade relationer.
...
| draw.io Diagram | ||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Ledningsaktör inom Ena
Ledningsaktören har det övergripande ansvaret för att samordna och förvalta den gemensamma federationsinfrastrukturen inom Ena. Rollen är inte operativ i teknisk mening, utan fokuserar på styrning, samordning och gemensamma spelregler.
...
| draw.io Diagram | ||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Federationsoperatör
En federationsoperatör ansvarar för att etablera och upprätthålla en teknisk och organisatorisk rot av tillit inom ett federativt kontext. Rollen innebär att operatören tillhandahåller centrala funktioner i den tekniska federationsinfrastrukturen och skapar förutsättningar för att andra aktörer ska kunna samverka på ett säkert, förutsägbart och interoperabelt sätt.
...
Som mottagare och användare av tillitinformation bär federationsmedlemmen också ansvar för korrekt tolkning och tillämpning av federativ information – till exempel att fatta åtkomstbeslut eller leverera korrekt behörighetsinformation i linje med federationeninfrastrukturens regelverk.
Den digitala samverkan mellan olika federationsmedlemmar som federationen möjliggör regleras av federationsmedlemmarna själva.
Processer
Beskriv processer för anslutning till infrastrukturen och anskaffning av tillitsmärkenStatus colour Green title TODODONE
Under Stödprocesser hittar du kompletta beskrivningar av anslutningsprocesser.
Nästa avsnitt är en sammanfattande beskrivning av anslutningsprocesserna.
| Excerpt Include | ||||||
|---|---|---|---|---|---|---|
|