Versions Compared

Old Version 125

changes.mady.by.user Henric Norlander

Saved on

compared with

New Version Current

changes.mady.by.user Anders Malmros

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Inledning

OpenID Federation (OIDF) tillhandahåller definierar en arkitektur för modell för hur tillit och interoperabilitet kan etableras mellan ett brett spektrum av olika organisationer på ett distribuerat och standardiserat sätt. OIDF-specifikationen kan dock tillämpas enligt flera olika arkitekturella mönster, med skilda nivåer av centralisering, ansvarsfördelning och flexibilitet.

För Enas federationsinfrastruktur innebär detta att det finns flera möjliga sätt att organisera relationen mellan tillitsankartjänster, anslutningstjänster och relationer mellan federationsinfrastrukturtjänster och de aktörer som deltar i digital samverkan. Valet av modell påverkar hur tillit etableras, hur metadata valideras och hur nya federationskontexter kan uppstå över tid.

...

Tabellen nedan beskriver och analyserar de fyra huvudsakliga tillitsmodellerna i OpenID Federation ur ett mer tekniskt perspektiv.
Fokus ligger på hur tillit etableras, hur policyer tillämpas och hur interoperabilitet upprätthålls mellan federationskontexter.
Jämförelsen visar hur modellerna skiljer sig i fråga om styrningsnivå, komplexitet i nyckelhantering, valideringslogik och grad av teknisk flexibilitet.
Analysen tydliggör även vilka modeller som fullt ut stöds av OIDF-specifikationen och vilka som kräver kompletterande mekanismer, till exempel extern nyckeldistribution eller utökad governance.
Syftet är att ge en teknisk grund för val av modell inom Enas federationsinfrastruktur och förstå hur olika arkitekturella beslut påverkar robusthet, interoperabilitet och möjlighet till automatiserad verifiering över tid.

ModellHTANTADTA med TBEIIMAR
LänkHTANTADTAIIMAR
Skiss

Image Modified

Image Modified

Image Modified

Image Modified

Kort beskrivningCentraliserad modell med en nationell Trust Anchor som rot. All policy styrs uppifrån och ned via Intermediates. Enkel och enhetlig validering men begränsad flexibilitet.Lokala Trust Anchors som pekar på en övergripande nationell Trust Anchor. Balans mellan lokal autonomi och nationell styrning, med möjlighet till både lokal och central validering.Decentraliserad modell med oberoende Trust Anchors. En Trusted Bridging Entity (TBE) distribuerar nycklar utanför OIDF-specen. Flera oberoende Trust Anchors kan dela Intermediates, vilket möjliggör interoperabilitet utan nyckeldistribution mellan Trust Anchors.

För- och nackdelar

Beskrivning: En nationell Tillitsankartjänst som är rot.

Fördelar:

  • Centraliserad styrning → enhetlig policy och tydlig ansvarsfördelning.

  • Tillitskedjor blir enkla, deterministiska och alltid förankrade i samma Tillitsankartjänst → enkel validering.

Nackdelar:

  • All onboarding och tillitsmärkeshantering måste gå via den nationella Tillitsankartjänsten → ökad administration.

  • Begränsad flexibilitet för federationer (Fed A, Fed B) att göra egna anpassningar.

  • Risk för flaskhalsar och tung styrning

Beskrivning: En nationeTrust Anchor, men dessa pekar uppåt mot en nationell Trust Anchor.

Fördelar:

  • Varje federation har egen kontroll över sin Tillitsankartjänst och sina nycklar.

  • Möjliggör anpassning till lokala/regionala krav samtidigt som nationella regler följs.

  • Stödjer integration av självständiga federationer.

  • Cross-federation validering blir enklare (alla slutar i samma nationella TA).

Nackdelar:

  • Vid validering måste entiteter kunna hantera flera Tillitsankartjänster

    • Lokal

    • Nationell

  • Risk för olika valideringsresultat beroende på om man startar i lokal eller nationell Tillitsankartjänst.

  • Kräver tydlig samordning så att policys inte krockar

Beskrivning: Varje federation har en helt fristående Trust Anchor. Nycklar publiceras via en extern Trusted Bridging Entity (TBE). Ingen hierarki.

Fördelar:

  • Full autonomi för varje federation.

  • Möjlighet till selektiv interoperabilitet utan gemensam rot.

  • Flexibel, olika federationer kan utvecklas självständigt.

Nackdelar:

  • TBE ligger utanför OpenID Federation-specifikationen → kräver separat styrning och standardisering.

  • Risk för fragmentering om inte stark governance upprättas.

  • Ingen automatisk tillitskedja → validerare måste hantera flera nyckeluppsättningar parallellt.

  • Större administrativ börda vid onboarding och nyckelhantering

Beskrivning: Flera oberoende Trust Anchor länkas ihop genom gemensamma shared Intermediates).

Fördelar:

  • Möjliggör interoperabilitet för underordnade utan att Trust Anchors behöver underordna sig varandra.

  • Flexibel anslutning – samma Anslutningstjänst kan knytas till flera Tillitsankartjänster.

  • Stödjer gradvis integration mellan federationer.

  • Entiteter kan delta i flera federationer via samma Intermediate.

Nackdelar:

  • Komplexitet ökar när fler Trust Anchors ansluts.

  • Intermediates måste hantera flera överordnade.

  • Risk för policyfragmentering mellan Trust Anchors
  • Entiteter och Uppslags-/verifieringstjänster måste kunna hantera flera Trust Anchors, vilket ökar krav på implementation,

OIDF stöd

Fullt stöd enligt  OIDF specifikationen

Ej fullt stöd enligt OIDF specifikationen

Stöds ej enligt specifikationen

Fullt stöd enligt  OIDF specifikationen

OIDF Policyhantering

  • All policy definieras i den nationella Trust Anchor och slår igenom top-down.

  • Policys blir enhetliga och entydiga, vilket gör validering enkelt och konsekvent.

  • Begränsad möjlighet för underordnade federationer att lägga till egna krav – det riskerar att krocka med den centrala styrningen

  • Policy definieras både i den nationella Trust Anchor och i lokala federationers Tillitsankartjänster.

  • Om validering görs mot en lokal TA → lokala regler gäller. Om validering görs via den nationella TA → både nationella och lokala regler slår igenom.

  • Risk för inkonsekvent policy tillämpning beroende på vilken väg en verifiering går.

  • Ingen gemensam policykedja i federationens metadata.

  • Varje Tillitsankartjänst definierar sin egen policy helt självständigt.

  • För att möjliggöra interoperabilitet måste TBE (Trusted Bridging Entity) eller motsvarande governance-funktion definiera gemensamma minimikrav för att få vara med.

  • All faktisk policytillämpning blir lokalt scope:ad till respektive TA.

  • Varje Trust Anchor behåller sin egen policy och publicerar den separat.

  • Indermediates som är delade måste hantera och förena policyer från flera olika Trust Anchors.

  • Vid validering måste en Trust Anchor väljas → policyn som tillämpas beror på vilken Trust Anchor som är slutpunkt.

  • Risk för divergens: samma Intermediate kan ge olika valideringsresultat beroende på vilken kedja som följs.

Behovsanalys

En Tillitsankartjänst utgör den yttersta källan till tillit och skapar därmed ett federationskontext – en gemensam teknisk ram där anslutna tjänster kan verifieras och ingå i samma tillitsstruktur. Inom ett sådant federationskontext kan aktörer dessutom använda tillitsmärken för att definiera vilka tillitsskapande krav som är uppfyllda. På så sätt kan man etablera olika samverkanskontexter där informationsutbyte sker på villkor som är anpassade efter behov och kravbild, utan att frångå den gemensamma tekniska grunden.

...

  1. Olika tillitsmodeller och styrning
    All samverkan behöver inte bygga på samma modell för tillit. Vissa sammanhang kräver styrning enligt ISO 27000 Tillitsmodeller kan utformas och tillämpas på olika sätt beroende på verksamhetens behov och risknivå. Även när samma grundläggande principer för ledning och kontroll används, exempelvis ISO 27000-serien med ledningssystem för informationssäkerhet, medan andra skulle kunna bygga på helt andra regelverk eller kravbilder. Genom att tillåta flera Tillitsankartjänster kan man tillämpa olika tillitsmodeller parallellt, men ändå hålla ihop tekniskt via en gemensam federationsinfrastrukturkan omfattningen av krav, uppföljning och efterlevnad skilja sig avsevärt. Vissa sammanhang kan kräva detaljerad styrning och kontinuerlig revision, medan andra främst betonar ömsesidigt ansvar och övergripande riktlinjer och avtal. Genom att möjliggöra flera tillitsmodeller kan samverkan anpassas till olika förutsättningar utan att helheten går förlorad.

  2. Olika tekniska protokoll och standarder
    All samverkan behöver inte ske med OIDC eller OAuth. Det finns etablerade miljöer som bygger på SAML, eller andra standarder. Om all metadata blandas i en och samma federationskontext riskerar infrastrukturen att bli svårhanterlig. Med flera Tillitsankartjänster kan man istället skapa tydliga avgränsningar där varje Tillitsankartjänst ansvarar för sitt tekniska område och sina policyer.

  3. Avgränsade samverkanskontexter
    All samverkan sker inte mellan alla tjänster. I praktiken är det vanligt att grupper av tjänster främst utbyter information med varandra utifrån gemensamma behov och krav. För vissa typer av tjänster, som exempelvis intygstjänster, är det däremot vanligt att de används i flera olika samverkanskontexter eftersom de tillför generella förmågor som många behöver. Andra komponenter, somAPI:er eller klienter, är oftare knutna till ett mer specifikt behov av samverkan. Genom att införa flera Tillitsankartjänster kan man hantera denna variation: intygstjänster kan återanvändas brett, medan mer specialiserade komponenter kan styras inom en snävare kontext.

...

Nedan hämtat från Kap 1.1.1 Ena IAM - sammanhållen identitet- och behörighetshantering Samordnad identitet och behörighet

  1. Bra användarupplevelse
    En absolut förutsättning för att en arkitektur för identitets- och behörighetshantering ska nå de effektmål som eftersträvas, måste användarupplevelsen vid inloggningar beaktas  i relation till etablerade standarder för tillgänglighet, användbarhet och kognition.

  2. Ökad kostnadseffektivitet
    Kostnadseffektivitet genom användning av etablerade standarder samt återanvändning av tidigare gjorda investeringar. Infrastrukturen och dess komponenter bygger i stor utsträckning på väl etablerade standarder, som OAuth2, vilket möjliggör användande av standardprodukter. Infrastrukturen är även anpassad för att kunna knytas till befintliga lösningar för exempelvis autentisering av användare, för att minimera behov av förändring då befintliga it-lösningar ansluta till infrastrukturen. Att kunna minska dagens manuella administration av medarbetare i digitala tjänster hos andra huvudmän och istället på ett tillitsfullt och standardiserat sätt kunna dela behörighetsgrundande information som underlag för åtkomst har stor potential ökad säkerhet och minskade administrativa kostnader.

  3. Behov av gränsöverskridande samverkan
    Digital samverkan sker alltmer mellan olika sektorer, domäner och aktörer. En gemensam teknisk grund minskar behovet av kostsamma specialanpassningar för dessa situationer samt möjliggör att tillit och interoperabilitet kan skalas över gränser.

  4. Minskad integrationsbörda
    Genom att etablera en gemensam federationsinfrastruktur kan nya tillämpningar återanvända befintliga mekanismer för autentisering, åtkomsthantering och etablering av tillit – istället för att varje organisation eller samverkansinitiativ behöver utveckla egna lösningar.

  5. Främjande av innovation och decentralisering
    Genom att tillhandahålla en stabil och bred teknisk plattform kan olika verksamheter – offentliga såväl som privata – bygga egna tjänster och lösningar som samtidigt är fullt kompatibla med federationens ramverk.

  6. Stöd för behovsdriven förändring över tid
    Arkitekturen möjliggör att olika delar (tillitshantering, teknisk federation, tillämpningar) kan vidareutvecklas i olika takt utan att skapa ömsesidiga beroenden som hämmar förändring.

  7. Stöd för utveckling i ett heterogent landskap
    Arkitekturen är utformad för att fungera i en miljö där olika organisationer befinner sig på olika nivåer av mognad, har olika tekniska förutsättningar och arbetar med varierande processer och system. Tjänster och digitala förmågor utvecklas i den takt och omfattning som organisationers resurser och prioriteringar tillåter. Detta främjar både flexibilitet och långsiktig samverkan, utan att de mest avancerade aktörerna behöver bromsa sin utveckling eller de mindre erfarna riskerar att hamna utanför.

Tekniska krav på federationsinfrastrukturen

  • Enkel anslutningEnkelhet och kostnadseffektivitet
    Infrastrukturens komplexitet ska hanteras centralt så att det blir enkelt för federationsmedlemmar att ansluta.
    Det innebär: 

    • stöd för smidig registrering av nycklar,

    • distribuerad anslutning och

    • möjlighet till delegerad självadministration.

  • Samordning av tillitsskapande krav

    • Konsoliderade säkerhetskrav och gemensamma tillitsskapande krav ska förmedlas till alla parter.

    • Förmågan att hantera och sprida tillitsinformation på ett distribuerat sätt är avgörande,

    • liksom att kunna tilldela och verifiera tillitsmärken.

  • Återanvändning av befintliga investeringar

    • Infrastrukturen ska kunna samverka med redan etablerade lösningar – legitimeringstjänster, attributkällor och befintliga federationer

    • och stödja efterlevnadskontroller utan att duplicera kostnader eller processer.

  • Robusthet och säkerhet

    • Federationsinfrastrukturen måste vara tålig, med redundans,

    • stöd för alternativa kommunikationsnät (t.ex. SGSI) och 

    • kontinuerliga kontroller av efterlevnad och säkerhet.

  • Skalbarhet och flexibilitet

    • Nya aktörer ska kunna anslutas enkelt, och både infrastrukturen och de tekniska komponenterna för IAM måste kunna växa. 

    • Det ska även vara möjligt att etablera nya samverkanskontexter över tid utan att påverka redan anslutna aktörer.

...

Tabellen nedan analyserar hur olika tillitsmodeller enligt OpenID Federation kan stödja de arkitekturella drivkrafter som identifierats för Enas federationsinfrastruktur. Varje modell – från den hierarkiska HTA till den mer distribuerade IIMAR – erbjuder olika balans mellan styrning, flexibilitet, interoperabilitet och kostnadseffektivitet. Syftet är att tydliggöra hur val av modell påverkar förmågan att uppnå nationell samordning samtidigt som lokal autonomi, innovation och långsiktig skalbarhet bevaras.

Arkitekturell drivkraftHTA – Hierarchical Trust AnchorsNTA – Nested Trust AnchorsDTA – Disconnected Trust Anchors (med TBE)IIMAR – Interlinked Intermediates with Multi-Anchor Resolution
Ökad kostnadseffektivitetEnhetlig styrning och enkel validering minskar driftkostnader, men central administration ger hög overhead.Delad styrning mellan nationell och lokal nivå minskar kostnader inom varje federationskontext, men kräver samordning.Varje federation bär full kostnad för egen styrning och nyckelhantering, vilket ger låg kostnadseffektivitet.Delad federationsinfrastruktur och återanvändning av anslutningstjänster ger god kostnadseffektivitet, trots något högre komplexitet.
Behov av gränsöverskridande samverkanSvårt att samverka internationellt utan central auktorisation.Möjliggör interoperabilitet via gemensam nationell rot.Ger möjlighet till selektiv interoperabilitet via extern nyckeldistribution (TBE), men risk för fragmentering.Mycket god – möjliggör interoperabilitet mellan flera kontexter utan gemensam hierarki.
Minskad integrationsbördaEnkel valideringsmodell med en gemensam rot för validering av tillitsinformation.Gemensam teknisk grund men lokal ansvarsfördelning kräver viss koordination.Hög integrationsbörda eftersom nyckelhantering och validering sker separat.Gemensam federationsinfrastruktur med flera federationskontext minskar behov av separata integrationer och möjliggör återanvändning.
Främjande av innovation och decentraliseringCentralstyrd modell begränsar lokala initiativ.Möjliggör lokala anpassningar inom nationella ramar.Full frihet till innovation, men risk för oenhetlighet.Stödjer innovation genom flera federationskontext under gemensam styrning och teknisk samordning.
Stöd för behovsdriven förändring över tidTrögrörlig – alla ändringar kräver central uppdatering.Lokala förändringar möjliga inom respektive federationskontext.Hög flexibilitet – varje federation kan utvecklas i egen takt.Mycket flexibel – nya kontexter och kan införas utan att påverka befintliga.
Stöd för utveckling i ett heterogent landskapBegränsad tolerans för variation mellan aktörer.Hanterar olika mognadsnivåer via lokal autonomi och gemensamma regler.Fullt oberoende mellan federationer men utan enhetlig styrning.Mycket god – flera tillitsstrukturer kan samexistera inom en gemensam teknisk och styrd ram.

Tabellen visar att IIMAR-modellen kan ge det bästa samlade stödet för de arkitekturella drivkrafter som definierats för Ena IAM. Modellen kombinerar flexibilitet, decentraliserad utveckling och återanvändning av gemensam teknik, samtidigt som den bevarar nationell samordning och enhetliga principer för tillit och interoperabilitet. Detta gör IIMAR särskilt väl lämpad som grund för en nationell federationsinfrastruktur med flera federationskontexter under gemensam styrning.

...

I följande avsnitt analyseras därför konsekvenserna av de olika modellerna för Ena och dess aktörer – med fokus på tillitshantering, federationsinfrastrukturens funktion och förutsättningarna för digital samverkan.

ModellHTANTADTA med TBEIIMAR

Ena

Governance

  • Behövs främst för att underlätta tillämpning och förståelse av den centrala policyn – t.ex. stödmaterial, vägledningar och gemensamma processer för anslutning.
  • Ena:s roll blir alltså att stötta införande och praktisk användning, snarare än att kompensera för tekniska brister i styrningen
  • Ena behöver ge vägledning, profileringar och exempel på hur lokala federationer ska komplettera den nationella policyn.
  • Även processer för konflikthantering behövs, eftersom OIDF-policy mekanismer inte räcker för att undvika interoperabilitet mellan NTA och LTA
  • Ena måste etablera governance, gemensamma minimikrav, och koordinering av nyckelpublicering och policy.
  • Här blir mjuk styrning den enda möjligheten att skapa interoperabilitet.
  • Ena måste stötta genom att samordna hur Intermediates ska publicera metadata och tillitsmärken på ett enhetligt sätt över flera TA:er.
  • Även vägledning för hur validering ska göras när flera Tillitsankartjänster är möjliga för validering av tillit.

Konsekvenser för

Ledningaktör

  • Säkerställa att aktörer förstår och kan tillämpa policyn i praktiken, genom vägledningar, stöd i onboarding och gemensamma processer.
  • Ge ramar för hur lokala federationers policy ska komplettera den nationella. Ta fram profileringar, processer och konflikthantering som jämkar nivåerna.
N/A
  • Samordna hur Intermediates ska hantera och publicera policy från flera Tillitsankartjänster.
  • Säkerställa gemensam hantering av tillitsmärken och ge riktlinjer för multipla valideringskedjor.

Konsekvenser för nationell federationsoperatör

  • Säkerställa att anslutna Anslutningoperatörer förstår och följer nationell policy, hantera onboarding och incidentprocesser, samt vara stödjande i praktisk drift.
  • Ta fram nationell policy som omfattar alla behov av nationell interoperabilitet

N/A

N/A

Konsekvenser för

Federationsoperatör

N/A

  • Översätta nationell policy till lokal policy,
  • Stödja medlemmar i att följa nationell och lokal policy, och rapportera konflikter uppåt till Ledningsaktören.

N/A

  • Delta och Koordinera mellan olika Federationsoperatörer för att säkerställa konsekvent publicering av nationella Tillitsoperatörer
  • Ge vägledning om valideringsskillnader och stödja Anslutningoperatörer i att hantera motstridiga krav.

Konsekvenser för

Anslutningsoperatör




  • Ansluta till flera Tillitsankartjänster
  • Hantera eventuell motsägande policyer

Konsekvenser för federationsmedlemmar

  • Vid validering behöver entiteter bara förhålla sig till en Tillitsankartjänst

  • Vid validering måste entiteter kunna hantera flera Tillitsankartjänster

    • Lokal

    • Nationell


  • Vid validering måste entiteter kunna hantera flera Tillitsankartjänster

    • Lokal

    • Nationell

Rekommendation för Ena federationsinfrastruktur

...

Alternativ 2 – Initialt två federationskontexter: nationell identitet svensk e-legitimering samt organisationsöverskridande identitet och behörighet
I detta alternativ etableras två separata men interoperabla federationskontexter under gemensam nationell styrning.
Det första federationskontextet omfattar svensk e-legitimering och identitetsintyg, med tillitsnivåer och regelverk enligt eIDAS och nationella krav.
Det andra omfattar organisationsöverskridande identitet- och behörighetshantering, med fokus på behörighetsintyg, attribut och tillitsmärken mellan organisationer.
De båda kontexterna delar teknisk infrastruktur, gemensamma format och verifieringsmekanismer men kan tillämpa olika tillitsmodeller och juridiska krav. Denna modell ger större flexibilitet och gör det möjligt att särskilt hantera sektorsövergripande samverkan utan att påverka befintlig e-legitimationsfederation.

...

draw.io Diagram
borderfalse
diagramNameEna-IIMAR
simpleViewerfalse
width
linksauto
tbstyleinline
lboxtrue
diagramWidth591
height401
revision45

Anslutning till, styrning av och samverkan med hjälp av federationsinfrastrukturen

...

för att möjliggöra sina kunder att etablera samverkan med aktörer inom olika federationskontexter

AspektAnslutning till federationsinfrastrukturenAnslutning till federationskontextAnslutning till samverkanskontext
SyfteTekniskt tillträde till infrastrukturenTekniska villkor och policy för en viss samverkanpolicy för en viss samverkan
Hanteras avAnslutningsoperatörFederationsoperatör via Anslutningsoperatör & TillitsoperatörerTillitsoperatörer
ResultatKomponentens metadata blir verifieradKomponentens metadata görs verifierbar inom ett federationskontextKomponentens tilldelas tillitsmärken
Typ av tillitTeknisk tillit (signerad metadata)Teknisk tillit (signerad metadata)Teknisk tillit (signerad metadata)

För att helheten ska fungera krävs att interoperabilitet bevaras både inom den tekniska federationsinfrastrukturen och mellan olika federationskontexter.

...