Inledning
Denna sida beskriver administrativa processer vid anslutning till federationen samt vilka avtal som måste upprättas. Processerna skiljer beskriver det som sker mellan operatörer som bygger upp federationen och federationsmedlemmar som nyttjar federationen.
Det finns också övergripande information om teknisk påverkan utan att gå in på detaljer.
Summering
Processbeskrivningarna följer följande mönster i separata processer där för varje process beskrivs vilken teknisk påverkan det medför och hur det påverkar avtalssituationen:
- Ledningsaktören har mandat att utse övriga operatörer
- Godkännande av organisation där organisation antingen kan vara operatör eller federationsmedlem
- Revokering av organisation
- Godkännande av en organisations roll
- Revokering av en organisations roll
- Godkännande av komponenter som tillförs federationen
- Revokering av komponenter
- Utfärdande av tillitsmärken
- Revokering av tillitsmärken
Hantering av federationsmedlemmars godkännande och komponenter sker alltid via en anslutningsoperatör och en tillitsoperatör.
...
.
För att bättre förstå hur federationsstrukturen är uppbyggd och de roller och begrepp som används här, se Federationsinfrastruktur och Termer och begrepp. Sidan börjar med dock med en sammanfattning av de principer som gäller för federationsinfrastrukturen och hur den kan nyttjas.
Sammanfattning
Tjänster och ansvar i Ena
Detta avsnitt sammanfattar vilka tjänster som gäller generellt för alla federationer av typen OpenID federation men tar även upp specifika roller som finns inom Ena.
Vi skiljer på aktörer som hanterar infrastruktutjänster och federationsmedlemmar som nyttjar federationsinfrastrukturen.
Diagrammet nedan visar på hur det ser ut om ledningsaktören (Ena-specifik roll) hanterar alla roller och tillhandahåller alla infrastrukturtjänster i federationen utan den skalbarhet som delegering innebär. Federationsmedlemmarna svarar för sina egna tjänster i form av komponenter.
| draw.io Board Diagram |
|---|
| border | false |
|---|
| |
|---|
| diagramName | Ledningsaktören agerar i alla roller |
|---|
| simpleViewer | false |
|---|
| width | |
|---|
| links | auto |
|---|
| tbstyle | inline |
|---|
| lbox | true |
|---|
| diagramWidth | 558 |
|---|
| height | 388 |
|---|
| revision | 6 |
|---|
|
Ledningsaktören är ansvarig för federationsinfrastrukturen men kan delegera vissa uppgifter till andra organisationer som agerar aktörer inom infrastrukturen. Vilka uppgifter som måste finnas hos ledningsaktören och vilka som kan delegeras beskrivs i Federationsinfrastruktur. Nedan en bild på hur delegeringen ser ut principiellt.
| Embed draw.io Diagram |
|---|
| |
|---|
| diagramName | Aktörer inom infrastrukturen |
|---|
| includedDiagram | 1 |
|---|
| width | 381 |
|---|
| pageId | 296683482 |
|---|
|
Tillitsankartjänst, tillitsmärkestjänst, anslutningstjänst och uppslags- och verifieringstjänst är infrastrukturtjänster inom federationsinfrastrukturen. Dessa tjänster bygger upp tillitskedjan i federationen.
Tillitskedjan möjliggör teknisk verifiering av tilliten från en komponent, till exempel en Auktorisationstjänst, till tillitsankare i en hierarkisk struktur. Se diagram nedan för hur tjänstestrukturen är uppbyggd (från Federationsinfrastruktur)
| Embed draw.io Diagram |
|---|
| |
|---|
| diagramName | Federationsinfrastruktur-OIDF |
|---|
| includedDiagram | 1 |
|---|
| width | 841 |
|---|
| pageId | 296683482 |
|---|
|
| Excerpt |
|---|
Delegering av tjänster och ansvar inom EnaDetta avsnitt sammanfattar möjligheterna till delegering av ansvar och tjänster inom Ena för att uppnå skalbarhet men med bibehållande av tillit och säkerhet. Det uppnår vi genom att sluta avtal mellan organisationer så att de i sin tur kan ta ansvar för att upprätthålla regelverk och tillhandahålla tjänster. - Ledningsaktören kan ge en federationsoperatör ansvaret för tillitsankartjänsten.
- Federationsoperatören kan i sin tur delegera anslutningsansvaret till en anslutningsoperatör som är den som godkänner federationsmedlemmar och deras komponenter. Anslutningsoperatören sätter upp en anslutningstjänst.
- Ledningsaktören kan delegera uppgiften att upprätthålla regler och policy för tillitsmärken till en tillitsmärkesägare som i sin tur kan delegera till en tillitsoperatör.
- Federationsoperatören kan delegera ansvaret för tillitsmärkestjänsten till en tillitsoperatör.
- Federationsmedlemmar måste ha ett avtal med en anslutningsoperatör för att kunna placera komponenter i federationen och ett avtal med tillitsoperatör för att kunna få tillitsmärken.
- En organisation kan förlora sin status i federationen och det därför måste det finnas revokeringsprocesser, inklusive påverkan på teknik och tillit för övriga aktörer i federationen.
Nedan en översiktsbild över parternas förhållande till varandra när ledningsaktören har valt att delegera ut ansvar för uppgifter som kan delegeras. Texten på pilarna motsvarar rubriken på respektive processbeskrivning. Formatet på rubriken är <Organisation godkänner organisation: innebörd> Innebörd omfattar ofta en överenskommelse mellan två organisationer och någon form av teknisk påverkan.
| draw.io Board Diagram |
|---|
| border | false |
|---|
| |
|---|
| diagramName | Summering ansl processer |
|---|
| simpleViewer | false |
|---|
| width | |
|---|
| links | auto |
|---|
| tbstyle | inline |
|---|
| lbox | true |
|---|
| diagramWidth |
|---|
|
|
...
...
...
| Tip |
|---|
Klicka på pilarnas text för att komma till motsvarande processbeskrivning. |
...
Innehållsförteckning
Avgränsningar
Utanför denna beskrivning är
- Vilka vilka tillitsankare som kommer att finnas.
- Vilka vilka specifika krav som gäller för varje anslutningsprocess.
- Vilka vilka tillitsmärken som kan utfärdas.
- Vilka vilka typer av komponenter som kommer att finnas.
...
- vilka stödsystem en organisation behöver för att upprätta sin funktion i federationen
- detaljer vad gäller teknisk påverkan vid anslutning
- detaljer i avtal mellan organisationer
Processbeskrivningar för anslutningar
beskriv i texten teknisk påverkan i fetstil så att de kan kommenteras.Ledningsaktör utser tillitsankare
- Ledningsaktören utser tillitsankare och bestämmer vilka entitetstyper som ska gälla för det specifika tillitsankaret
- Tillitsankarets metadata kommer aldrig att ha tillitsmärke men kan innehålla specika attribut för som är unika för just det tillitsankaret
- Rotcertifikatet som finns i tillitsankarets metadata är grunden för tillit för alla federationsmedlemmar, som publiceras.
- Borttag av ett tillitsankare bryter tilliten i kedjan och påverkar samtliga anslutna operatörer och federationsmedlemmar
...
Ledningsaktör utser operatör
lyft upp detaljer i text.
förenkla processdiagrammen beskriva vad som händer när en organisation revokeras.
Processbeskrivningarna följer följande mönster i separata processer där för varje process beskrivs vilken teknisk påverkan det medför och hur det påverkar avtalssituationen:
- Organisationen godkänns i en roll av en annan organisation, detta leder ibland till ett avtal och ibland till någon form av teknisk förändring.
- Teknisk förändring i form av hantering av metadata beskrivs i detalj i Federationsinfrastruktur
- Avtalen som tecknas mellan parterna ska beskriva rättigheter och skyldigheter i federationen. Detta beskrivs mera i detalj i Avtalsstruktur Open ID federation.
- Processen beskrivs i textformat och i ett enklare flödesdiagram.
| Tip |
|---|
Vissa former i flödesdiagrammen innehåller mer information som visas om du ställer muspekaren över formen. Detta gäller speciellt teknisk påverkan, till exempel hantering av metadata och tjänster. |
Ledningsaktör godkänner federationsoperatör: avtal, tillitsankartjänst, metadata
- Ledningsaktören tar emot ansökan från den ansökande organisationen Ledningsaktören tar emot ansökan och kontrollerar om den är komplett, annars begär ledningsaktören mer information
- Ledningsaktören kontrollerar om den ansökande organisationen tillhör en kategori av organisationer som tillåts vara federationsinfrastukturaktörerfederationsoperatör
- Ansökan granskas av ledningsaktören och kan leda till ett godkännande då metadata kan skapas och ett avtal för att se om kraven uppfylls
- Om kraven uppfylls kan organisationen godkännas som federationsoperatör:
- Avtal mellan ledningsaktören och den nyblivna
operatören upprättas eller alternativt kan ansökan underkännas på grund av att kraven inte uppfylls- Om den ansökande organisationen inte uppfyller kraven eller inte tillhör kategorin av organisationer som tillåts vara federationsoperatörer, avslås ansökan.
| draw.io Board Diagram |
|---|
| border | false |
|---|
| |
|---|
| diagramName | Ledningsaktör utser federationsinfraaktörgodkänner federationsoperatör tillitsankare |
|---|
| simpleViewer | false |
|---|
| width | |
|---|
| links | auto |
|---|
| tbstyle | inline |
|---|
| lbox | true |
|---|
| diagramWidth | 1340695 |
|---|
| height | 1986979 |
|---|
| revision | 19 |
|---|
|
Ledningsaktör revokerar
...
federationsoperatör och tillitsankartjänst
- När en operatör federationsoperatör blir godkänd börjar en process för att övervaka dess kravuppfyllnad
- Om det upptäcks att kraven inte uppfylls så behöver beslutet att godkänna organisationen omprövas och utvärderas igen
- Om avvikelserna inte kan åtgärdas så revokeras federationinfrastruktursaktörens status och dess metadata tas bort samt avtalet innebär det att
- federationsoperatörens status revokeras och tillitsankaret tas bort
- avtalet mellan ledningsaktören och
operatören - federationsaktören sägs upp
Federationsmedlemmar som blivit godkända av operatören förlorar sin medlemsstatus och metadata revokeras.- tillitskedjan bryts för samtliga underliggande parter
| draw.io Board Diagram |
|---|
| border | false |
|---|
| |
|---|
| diagramName | Ledningsaktör revokerar federationsinfraaktör |
|---|
| simpleViewer | false |
|---|
| width | |
|---|
| links | auto |
|---|
| tbstyle | inline |
|---|
| lbox | true |
|---|
| diagramWidth | 721592 |
|---|
| height | 1126446 |
|---|
| revision | 10 |
|---|
|
Ledningsaktör utser operatör
Federationsoperatör godkänner anslutningsoperatör: avtal, anslutningstjänst, metadata
- Federationsoperatören Ledningsaktören godkänner ansökan om ansökan är giltig och om den ansökande organisationen är en operatör och uppfyller tillitsankarets krav
Den ansökande organisationens metadata uppdateras med tillitsmärke- uppfyller kraven
- Den ansökande organisationen kan upprätta en anslutningstjänst i egenskap av anslutningsoperatör efter avtal med federationsoperatören
- Denna operation kan sägas vara en delegering av ansvar från federationsoperatören och innebär, förutom en anslutningstjänst hos anslutningsoperatören, ett antal åtgärder i metadata hos federationsoperatörens tillitsankartjänst och anslutningsoperatörens anslutningstjänst
- Anslutningsoperatören kan nu utföra dessa operationer:
| draw.io Board Diagram |
|---|
| border | false |
|---|
| |
|---|
| diagramName | Godkänna operatör |
|---|
| simpleViewer | false |
|---|
| width | |
|---|
| links | auto |
|---|
| tbstyle | inline |
|---|
| lbox | true |
|---|
| diagramWidth | 907694 |
|---|
| height | 1646982 |
|---|
| revision | 819 |
|---|
|
...
Federationsoperatör revokerar
...
anslutningsoperatör och anslutningstjänst
- Ledningsaktören Federationsoperatören identifierar vilken operatör anslutningsoperatör som behöver utredas för överträdelse
- Om inte operatören anslutningsoperatören kan redovisa svar som är acceptabla inleds en revokeringsprocess och tillitsmärket tas bort.anslutningsoperatörens metadata blir invalida i federationen.
- Detta får konsekvenser för de De federationsmedlemmar som blivit godkända via operatören förlorar sin medlemsstatus och deras metadata blir invalida i federationenanslutningsoperatören.
| draw.io Board Diagram |
|---|
| border | false |
|---|
| |
|---|
| diagramName | Revokera operatör |
|---|
| simpleViewer | false |
|---|
| width | |
|---|
| links | auto |
|---|
| tbstyle | inline |
|---|
| lbox | true |
|---|
| diagramWidth | 661592 |
|---|
| height | 2334446 |
|---|
| revision | 412 |
|---|
|
...
Anslutningsoperatör godkänner federationsmedlem: avtal
- Operatören Anslutningsoperatören tar emot ansökan och kontrollerar om den är komplett, annars begär operatören mer information
- Operatören Anslutningssoperatören kontrollerar om den ansökande organisationen tillhör en kategori av organisationer som tillåts vara federationsmedlem
- Ansökan granskas av operatören anslutningsoperatören och kan leda till ett godkännande då metadata kan skapas och signeras och kundregistret hos anslutningsopertören uppdateras och ett avtal mellan operatören anslutningsoperatören och den nyblivna federationsmedlemmen upprättas eller alternativt kan ansökan underkännas på grund av att kraven inte uppfyllsuppfylls
| draw.io Board Diagram |
|---|
| border | false |
|---|
| |
|---|
| diagramName | Federationsmedlem_godk |
|---|
| simpleViewer | false |
|---|
| width | |
|---|
| links | auto |
|---|
| tbstyle | inline |
|---|
| lbox | true |
|---|
| diagramWidth | 1340694 |
|---|
| height | 1986753 |
|---|
| revision | 26 |
|---|
|
...
Anslutningsoperatör revokerar federationsmedlem och avtalet sägs upp
- När en federationsmedlem blir godkänd börjar en process för att övervaka dess kravuppfyllnad
- Om det upptäcks att kraven inte uppfylls så behöver beslutet att godkänna organisationen omprövas och utvärderas igen
- Om avvikelserna inte kan åtgärdas så revokeras federationsmedlemen status och dess signerade metadata tas bort samt avtalet mellan operatören och federationsmedlemen sägs upp
| draw.io Board Diagram |
|---|
| border | false |
|---|
| |
|---|
| diagramName | revoker federationsmed |
|---|
| simpleViewer | false |
|---|
| width | |
|---|
| links | auto |
|---|
| tbstyle | inline |
|---|
| lbox | true |
|---|
| diagramWidth | 721592 |
|---|
| height | 1120446 |
|---|
| revision | 27 |
|---|
|
...
Anslutningsoperatör godkänner federationsmedlemmars komponenter: metadata
- En federationsmedlems komponent av typen RP, OP, AS, API eller API-klient kan bli godkänd av en operatör anslutningsoperatör genom en ansökan
- Den första kontrollen är om den ansökande organisationen är en federationsmedlemfederationsmedlem och är kund hos anslutningsoperatören
- Federationsoperatören Operatören kontrollerar om ansökan kan godkännas , inklusive metadata som signerasom komponenten uppfyller federationens tekniska ramverk, komponentens metadata godkänns i federationen, det vill säga att samtliga krav är uppfyllda
- Om
ansökan godkänns kan metadata signeras av operatören- federationsmedlemmens metadata inte uppfyller federationens tekniska ramverk, kan anslutningsoperatören begära in nya metadata. Federationsmedlemmen bör ha möjligheten att göra en teknisk validering av metadata innan ansökan skickas in.
- Om komponenten blir godkänd, uppdaterar anslutningsopertören sin egen metadata och federationsmedlemmen uppdaterar metadata för sin komponent
- Då den ansökande organisationen redan är federationsmedlem behöver inget nytt avtal tecknas vid ett godkännande eller sägas upp om ansökan underkänns
| draw.io Board Diagram |
|---|
| border | false |
|---|
| |
|---|
| diagramName | Operatör godkänner eller underkänner löven |
|---|
| simpleViewer | false |
|---|
| width | |
|---|
| links | auto |
|---|
| tbstyle | inline |
|---|
| lbox | true |
|---|
| diagramWidth | 466724 |
|---|
| height | 636816 |
|---|
| revision | 823 |
|---|
|
...
Anslutningsoperatör revokerar federationsmedlemmars komponenter: metadata
- Vid misstanke om att en redan godkänd komponent inte längre uppfyller villkoren som operatören anslutningsoperatören har ställt upp så måste en utredning göras för identifierad federationsmedlem
- Skulle utredningen fastslå att komponenten inte längre uppfyller kraven, måste operatörens signatur tas bort från komponentens metadataser anslutningsoperatören till att komponentens metadata inte längre är godkända i federationen
- Ingen påverkan på avtalssituationen
- Federationsinfrastrukturen svarar för att tekniskt kommunicera förändringen
| draw.io Board Diagram |
|---|
| border | false |
|---|
| |
|---|
| diagramName | Revokera komponent |
|---|
| simpleViewer | false |
|---|
| width | |
|---|
| links | auto |
|---|
| tbstyle | inline |
|---|
| lbox | true |
|---|
| diagramWidth | 632592 |
|---|
| height | 2226446 |
|---|
| revision | 714 |
|---|
|
Ledningsaktör
...
godkänner tillitsmärkesägare
...
: avtal
- Om
- Ledningsaktören är tillitsmärkesägare
- Om ansökan kommer från av ledningsaktörens godkänd operatör kan ansökan utvärderas
Om - det behövs, inhämtas mer information från den ansökande
operatören- organisation
- Om kraven från tillitsmärkesägaren uppfylls, kan
federationinfrastrukturaktören - organisationen godkännas som
tillitsmärkesutfärdare och få motsvarande tillitsmärke i sitt metadata- tillitsmärkesägare och avtal kan upprättas.
- Tillitsmärkesägaren kan nu hantera kraven på tillitsmärken
| draw.io Board Diagram |
|---|
| border | false |
|---|
| |
|---|
| diagramName | Tillitsankaer utser tillitsmärkesutdelareLedningsaktör godkänner märkesägare |
|---|
| simpleViewer | false |
|---|
| width | |
|---|
| links | auto |
|---|
| tbstyle | inline |
|---|
| lbox | true |
|---|
| diagramWidth | 900694 |
|---|
| height | 1254657 |
|---|
| revision | 72 |
|---|
|
Ledningsaktör
...
revokerar tillitsmärkesägare: avtal sägs upp
- Ledningsaktören identifierar vilken organisation som gjort överträdelsen
- Om bevisen för överträdelsen är tillräckliga och om
tillitsmärkesutdelaren - tillitsmärkesägaren inte kan motbevisa så fråntas
tillitsmärkesutdelaren - organisationen sin status som
tillitsmärkesutdelare och tillitsmärket tas bortSamtliga tillitsmärken som tillitsmärkesutdelaren tidigare har gett ut blir nu ogiltiga och måste revokeras- tillitsmärkesägare och avtalet sägs upp.
| draw.io Board Diagram |
|---|
| border | false |
|---|
| |
|---|
| diagramName | Revokera trustissuerLedningsaktör revokerar tillitsmärkesägare |
|---|
| simpleViewer | false |
|---|
| width | |
|---|
| links | auto |
|---|
| tbstyle | inline |
|---|
| lbox | true |
|---|
| diagramWidth | 668592 |
|---|
| height | 2334446 |
|---|
| revision | 3 |
|---|
|
Tillitsmärkesutfärdare utfärdar tillitsmärken
Tillitsmärkesägaren godkänner tillitsoperatör: avtal
- Om det behövs, inhämtas mer information från den ansökande organisation
- Om kraven från tillitsmärkesägaren uppfylls, kan organisationen godkännas som tillitsoperatör och avtal kan upprättas mellan tillitsmärkesägaren och tillitsoperatören.
- Innan tillitsoperatören kan upprätta en tillitsmärkestjänst och utfärda tillitsmärken, måste tillitsoperatören godkännas av federationsoperatören.
- Under förutsättning att ansökan kommer från en federationsmedlem kan ansökan om tilldelning av tillitsmärke granskas
- Uppfyller ansökan kraven från tillitsmärkesägaren efter eventuella kompletteringar kan tillitsmärket utfärdas och metadata skapas
- Om eventuella kompletteringarna inte anses fullständiga, avslås ansökan
Då ansökande organisation redan är federationsmedlem krävs ingen förändring av avtalet, oavsett reslutat av granskningen
| draw.io Board Diagram |
|---|
| border | false |
|---|
| |
|---|
| diagramName | Utfärda tillitsmärkeTillitsmärkesägare godkänner Tillitsoperatör |
|---|
| simpleViewer | false |
|---|
| width | |
|---|
| links | auto |
|---|
| tbstyle | inline |
|---|
| lbox | true |
|---|
| diagramWidth | 1471694 |
|---|
| height | 1976657 |
|---|
| revision | 62 |
|---|
|
Tillitsmärkesutfärdare revokerar tillitsmärke
Tillitsmärkesägaren revokerar tillitsoperatören: avtal sägs upp
- Tillitsmärkesägaren
Tillitsmärkesutfärdaren - identifierar vilken organisation som gjort överträdelsen
- Om bevisen för överträdelsen är tillräckliga och om
tillitsmärkesinnehavaren - tillitsoperatören inte kan motbevisa så fråntas
tillitsmärkesinnehavaren tillitsmärket- organisationen sin status som tillitsoperatör och avtalet sägs upp.
- De av tillitsoperatören utfärdade tillitsmärkena påverkas
- Tillitsoperatören kan inte längre utfärda tillitsmärken
| draw.io Board Diagram |
|---|
| border | false |
|---|
| |
|---|
| diagramName | Revokera tillitsmärkesutdelareTillitsmärkesägaren revokerar tilliitsoperatören |
|---|
| simpleViewer | false |
|---|
| width | |
|---|
| links | auto |
|---|
| tbstyle | inline |
|---|
| lbox | true |
|---|
| diagramWidth | 642592 |
|---|
| height | 2226555 |
|---|
| revision | 11 |
|---|
|
ENA-SAML-federation
Ledningsaktör i rollen som federationsoperatör godkänner ny federationsmedlem i ENA-SAML-federationen
Federationsoperatör godkänner tillitsoperatör: avtal, tillitsmärkestjänst
- Om det behövs, inhämtas mer information från den ansökande organisation
- Om kraven från tillitsmärkesägaren uppfylls, kan organisationen godkännas som tillitsoperatör och avtal kan upprättas. En förutsättning är att tillitsmärkesägaren har tidigare godkänt tillitsoperatören.
- Federationsoperatör godkänner vilka tillitsmärken som tillitsoperatören kan utfärda
- Tillitsoperatören kan nu
| draw.io Board Diagram |
|---|
| border | false |
|---|
| |
|---|
| diagramName | Federationsoperatör godkänner tillitsoperatör |
|---|
| simpleViewer | false |
|---|
| width | |
|---|
| links | auto |
|---|
| tbstyle | inline |
|---|
| lbox | true |
|---|
| diagramWidth | 694 |
|---|
| height | 763 |
|---|
| revision | 5 |
|---|
|
Federationsoperatör revokerar tillitsoperatör: avtal sägs upp
- Federationsoperatören identifierar vilken organisation som gjort överträdelsen
- Om bevisen för överträdelsen är tillräckliga och om tillitsoperatören inte kan motbevisa så fråntas organisationen sin status som tillitsoperatör och dess metadata blir invalida.
- Samtliga tillitsmärken som tillitsoperatören tidigare har gett påverkas
| draw.io Board Diagram |
|---|
| border | false |
|---|
| |
|---|
| diagramName | Revokera trustissuer |
|---|
| simpleViewer | false |
|---|
| width | |
|---|
| links | auto |
|---|
| tbstyle | inline |
|---|
| lbox | true |
|---|
| diagramWidth | 592 |
|---|
| height | 446 |
|---|
| revision | 7 |
|---|
|
Tillitsoperatör godkänner federationsmedlem: avtal, kan få tillitsmärke
- För att en federationsmedlem ska kunna få tillitsmärke på sina komponenter behöver federationsmedlemmen avtal med en tillitsoperatör
- Om ansökan uppfyller alla kraven, upprättas ett avtal mellan federationsmedlemmen och tillitsoperatören
- Nu kan federationsmedlemmen få ett tillitsmärke
- Ledningsaktören tar emot ansökan och kontrollerar om den är komplett, annars begär ledningsaktören mer information
- Ledningsaktören kontrollerar om den ansökande organisationen tillhör en kategori av organisationer som tillåts vara federationsmedlemmar
Ansökan granskas av ledningsaktören och kan leda till ett godkännande med ett avtal mellan ledningsaktören och den nyblivna federationsmedlemmen upprättas eller alternativt kan ansökan underkännas på grund av att kraven inte uppfylls
| draw.io Board Diagram |
|---|
| border | false |
|---|
| |
|---|
| diagramName | SAML-federationsmedlemEtablera tillitsankare |
|---|
| simpleViewer | false |
|---|
| width | |
|---|
| links | auto |
|---|
| tbstyle | inline |
|---|
| lbox | true |
|---|
| diagramWidth | 1340694 |
|---|
| height | 1986657 |
|---|
| revision | 2 |
|---|
|
Ledningsaktör i rollen som federationsoperatör revokerar medlem i ENA-SAML-federationen
Tillitsoperatör revokerar federationsmedlem: avtal sägs upp
- Tillitsoperatören identifierar vilken organisation som gjort överträdelsen
- Om inte federationsmedlemmen kan rätta avvikelserna sägs avtalet upp
- Status för federationsmedlemmens komponenter i federationen påverkas
- Ledningsaktören identifierar vilken federationsmedlem som behöver utredas för överträdelse
- Om inte medlemmen kan redovisa svar som är acceptabla inleds en revokeringsprocess
Metadata tas bort från det aggregerade metadatat
| draw.io Board Diagram |
|---|
| border | false |
|---|
| |
|---|
| diagramName | SAML-medlem-revokeradTillitsoperatör revokerar federationsmedlem |
|---|
| simpleViewer | false |
|---|
| width | |
|---|
| links | auto |
|---|
| tbstyle | inline |
|---|
| lbox | true |
|---|
| diagramWidth | 561592 |
|---|
| height | 2235446 |
|---|
| revision | 2 |
|---|
|
Tillitsoperatör utfärdar tillitsmärken: tillitsmärke
- Under förutsättning att ansökan kommer från en federationsmedlem kan ansökan om tilldelning av tillitsmärke för den specifika komponenten granskas
- Uppfyller ansökan kraven från tillitsmärkesägaren efter eventuella kompletteringar kantillitsmärket utfärdas och metadata uppdateras
- Om eventuella kompletteringarna inte anses fullständiga, avslås ansökan
- Då ansökande organisation redan är federationsmedlem krävs ingen förändring av avtalet, oavsett reslutat av granskningen
- En federationsmedlems SAML-entitet av typen Service Provicer eller Identity Provider kan bli godkänd av ledningsaktören genom en ansökan
- Den första kontrollen är om den ansökande organisationen är medlem i ENA-SAML-federationen
- Ledningsaktören kontrollerar om ansökan kan godkännas, inklusive metadata, det vill säga att samtliga krav är uppfyllda
- Om ansökan godkänns kan metadata signeras av ledningsaktören
- Då den ansökande organisationen redan är medlem i ENA-SAML-federationen behöver inget nytt avtal tecknas vid ett godkännande eller sägas upp om ansökan underkänns
| draw.io Board Diagram |
|---|
| border | false |
|---|
| |
|---|
| diagramName | SAML-godkännandeUtfärda tillitsmärke |
|---|
| simpleViewer | false |
|---|
| width | |
|---|
| links | auto |
|---|
| tbstyle | inline |
|---|
| lbox | true |
|---|
| diagramWidth | 485694 |
|---|
| height | 650812 |
|---|
| revision | 4 |
|---|
|
- Vid misstanke om att en redan godkänd SAML-entitet inte längre uppfyller villkoren som ledningsaktören har ställt upp så måste en utredning göras för identifierad federationsmedlem
- Skulle utredningen fastslå att SAML-entiteten inte längre uppfyller kraven, måste SAML-entiteten tas bort från aggregerad metadata
- Ingen påverkan på avtalssituationen
Tillitsoperatör revokerar tillitsmärke: ogiltigt tillitsmärke
- Tillitsoperatören identifierar vilken organisation som gjort överträdelsen
- Om bevisen för överträdelsen är tillräckliga och om tillitsmärkesinnehavaren inte kan motbevisa så blir tillitsmärket ogiltigt.
| draw.io Board Diagram |
|---|
| border | false |
|---|
| |
|---|
| diagramName | Revokera tillitsmärkesutdelare |
|---|
| simpleViewer | false |
|---|
| width | |
|---|
| links | auto |
|---|
| tbstyle | inline |
|---|
| lbox | true |
|---|
| diagramWidth | 896 |
|---|
| height | 352 |
|---|
| revision | 17 |
|---|
|
Alternativt skrivsätt
Diagrammen i processbeskrivningarna är förenklade med tanke på målgruppen. Sekvensdiagram är ett mera lämpligt sätt att beskriva detaljer i processen så att de som ska förvalta federationsinfrastrukturen förstår vilka steg som krävs. Nedan ett exempel på ett sekvensdiagram då en ledningsaktör godkänner en federationsoperatör, fullständiga beskrivningar behöver tas fram senare i utvecklingsarbetet för samtliga processer.
| draw.io Board Diagram |
|---|
| border | false |
|---|
| |
|---|
| diagramName | Revokera SAMLLedningsaktör godk FO |
|---|
| simpleViewer | false |
|---|
| width | |
|---|
| links | auto |
|---|
| tbstyle | inline |
|---|
| lbox | true |
|---|
| diagramWidth | 632633 |
|---|
| height | 2226922 |
|---|
| revision | 28 |
|---|
|