Versions Compared

Old Version 17

changes.mady.by.user Tomas Fransson

Saved on

compared with

New Version Current

changes.mady.by.user Henric Norlander

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Inom en federation förmedlar federationens aktörer strukturerad information som parterna behöver kunna lita på. Dessa är kan beskrivas som tillitsobjekt:

  • Metadata

    • Egenpublicerad metadata

    • Betrodd metadata (publicerad av kontrollerad och betrodd part i federationen)

    • Entitetskonfiguration - självdeklarerad metadata av en entitet

    • Enititetsuttalande - deklarerad metadata en entitet gör om en annan entitet 

    • Tillitsmärke - deklarerad metadata om en annan entitets förmågor

  • Intyg
    Förmedlar påståenden om en användare, såsom autentisering och attribut. Intygsförmedling sker direkt mellan parter.

  • Intygsbegäran
    Initierar en identitet- eller åtkomstförfrågan baserat på ett intyg. Viktigt med säker hantering och syftesbegränsning.

  • Kontext
    En ram inom vilken övriga tillitsobjekt verkar. Kontexter kan påverka interoperabilitet och säkerhetskrav

Exempel på vilken typ av tillit som förmedlas av vilket tillitsobjekt

TillitsobjektVerksamhetstillitInformationstillitTeknisk tillit
Metadata◉ (indirekt)★★★
Intyg◉ (indirekt)★★★★
Intygsbegäran★★★★
Kontext★★★◉ (indirekt)◉ (indirekt)

★ = stark koppling, ◉ = viss koppling, ❍ = ingen direkt koppling

Funktionsobjekt

Funktionsobjekt är de tekniska funktioner och processer som tillsammans är det som skapar tillitsobjekten.

De fungerar alltså som byggstenar för tillitsobjekten, och varje tillitsobjekt inkluderar ett antal specifika funktionsobjekt

  • Användaridentifiering
    • Hur identiteten säkerställs
  • Säkerställer en användares identitet, ofta genom metoder som tvåfaktorsautentisering (2FA).
     Information: Autentiseringsuppgifter (t.ex.
    • 2FA)
  • lösenord, engångskoder), identifierande attribut.
  • Autentiseringsmetod
    • Teknik
  • Den tekniska metod som används för autentisering
    • (
  • , t.ex.
    • lösenord,
  • e-legitimation
    • ).

  • Attributshantering – Process för korrekthet i användarattribut.

  • eller lösenord.
     Information: Användaruppgifter och autentiseringsmedel.
  • Attributkälla – System som tillhandahåller attribut, t.ex. katalogtjänster eller användarregister.
     Information: Lagrade attributvärden kopplade till användare eller organisationer.
    • Attributhantering – Process för att säkerställa korrekta och aktuella användarattribut.
       Information: Användarattribut
    Attributkälla – Källsystem
    • (t.ex.
    kataloger) för attribut
    • namn, roll, behörighet), valideringsregler.
  • IntygsutfärdareKomponenter Komponent som genererar utfärdar intyg (assertions) om användare, t.ex. IdP)en IdP.
     Information: Verifierad identitet och attribut, samt syftet med intyget.
  • ÅtkomstkontrollKomponenter Komponent som kontrollerar åtkomst (om användare får åtkomst till en resurs.
     Information: Åtkomstpolicy, användaridentitet, attribut och kontext.
  • Metadatapublicering – Komponent som publicerar metadata om andra entiteter, t.ex. SP)som Trust Anchor, Intermediates, Trustmark Issuers
     Information: Verifierad metadata om andra aktörer.
    • Federationsanslutning
    Process för teknisk anslutning
    • Teknisk process för att ansluta en part till federationen.
       Information: Metadata, certifikat, endpoint-information.
    • Organisationsanslutning – Process för att säkerställa
    rätt organisationstillhörighet.
    • att en organisation har rätt att vara med i federationen.
       Information: Organisationsdata, behörigheter, kontaktuppgifter.
  • Metadatavalidering – Komponent som slår upp och validerar metadata från andra.
     Information: Publicerad metadata, signerad information, valideringsregler.
  • Åtkomstbegäran – Komponent som begär ett intyg, exempelvis en klient eller e-tjänst.
     Information: Identitet, attribut, begärd resurs.Metadatatjänst - 

Komponenter i federationsinfrastrukturen

Alla funktionsobjekt representeras inte i federationen, vilket innebär att det är den tekniska komponenten som beskrivs med metadata i federationen. Tex komponenten Auktorisationstjänst omfattar eller inkluderar ett antal funktionsobjekt. 

FederationskomponentOIDC-OAuth-OIDFFunktionsobjektTillitsmärke (hypoteser...)Tekniska krav
Protokoll
Fysiska kravAdministrativ kravOrganisatoriska krav
E-legitimation
 
ENA delar inte ut tillitsmärke. Autentiseringstjänster (proprietära)Enligt Svensk E-legitimationEnligt Svensk E-legitimationEnligt Svensk E-legitimation
LegitimeringstjänstOpenID Provider
Legitimeringstjänst

Intygsutfärdare

Ena-intyg
WebSSO, OICD+SAMLv2Auktorisationstjänst





Auktorisationstjänstx§x§Authorization Server

Intygsutfärdare

Ena-intygT1
Oauth2
F1A1O1
T2F2
 
Attributkälla(?)Resource Server

Attributkälla

Attributkälla

Attributhantering

Ena-attributT3
SCIM (provisionering), proprietära protokollOrganisationsanslutningEna-väsentligO4


O2
AttributhanteringF5A5O3
 
E-tjänstRelying Party

Åtkomstkontroll 

WebSSO, OICD/SAMLv2

API-






Klient
Åtkomstkontroll 
Client
Oauth2

Åtkomstbegäran







Resurs server (API)Resource Server

Åtkomstkontroll

 

Oauth2

Metadatapublicering







Tillitsankare
 
Trust Anchor

Metadatapublicering







AnslutningspunktIntermediate Entity
 

Metadatapublicering







Tillitsmärkesutfärdare
 
Trust Mark Issuer

Metadatapublicering







Uppslags och verifieringstjänst
 
Resolver

Metadatavalidering








Övriga tillitsskapande objekt

Tillitsskapande objekt som ej representeras med metadataFunktionsobjektKvalitetsmärke
E-legitimation

Användaridentifering

Autentiseringsmetod

Svensk e-legitimation