Introduktion

Detta tekniska ramverk har tagits fram som del av regeringsuppdrag om att etablera en nationell infrastruktur för identitets- och behörighetshantering. Detta uppdrag bedrivs som del av Ena - Sveriges digitala infrastruktur och denna infrastruktur för identitets- och behörighetshantering benämns Samordnad identitet och behörighet.

Samordnad identitet och behörighet realiseras i samverkan mellan främst Digg, E-hälsomyndigheten, SKR, Inera och Internetstiftelsen. Även Skolverket, Region Stockholm och Västra götalandsregionen har bidragit. Gällande OpenID-profileringar har dessa förankrats med The Swedish OpenID Connect Working Group (oidc.se) där även Vetenskapsrådet, BankID och Freja eID ingår. Arbetet med Samordnad identitet och behörighet leds och koordineras av Digg.

I de olika avtalen för Samordnad identitet och behörighet refereras till detta ramverk. Villkor gällande efterlevnad av ramverkets policyer och följsamhet till ramverkets utpekade specifikationer och profileringar konkretiseras här gällande exakt vad som gäller för vilken typ av teknisk komponent. De olika komponenterna och deras relationer beskrivs av den konceptuella arkitekturen för Samordnad identitet och behörighet.

Komponenterna grupperas i grupperna federationskomponent respektive ansluten komponent och gäller endast i en federation realiserad med OpenID Federation.

1. Federationskomponent 
   1. Trust Anchor (TA) - tillitsankare 
   2. Intermediate (IM)- anslutningstjänst 
   3. Trust Mark Issuer (TMI) - tjänst för utgivande av egenskapsmärken
   4. Resolver (R) - uppslags- och verifieringstjänst
2. Ansluten komponent
   1. OpenID Connect Provider (OP) - en identitetsintygstjänst som autentiserar användare och ställer ut intyg om användaren och hur denne autentiserats.
   2. OpenID Connect Relying Party (RP) - en förlitande part som ger åtkomst till en resurs baserat på ett identitetsintyg och tillgängliggjorda relaterade attribut
   3. OAuth Client (Client) - en klient som begär åtkomst till en skyddad resurs
   4. OAuth Authorization Server (AS) - en åtkomstintygstjänst som evaluerar en åtkomstbegäran och ställer ut ett åtkomstintyg med behörigheter
   5. OAuth Resource Server (RS) - en skyddad resurs som verifierar bifogade åtkomstintyg och behandlar anrop baserat på tilldelade behörigheter

De kortformer som angivits inom parantes för respektive komponenttyp kommer kunna refereras till i alla delar av detta tekniska ramverk - både i bilder och i texter.

Policyer

Registreringspolicy Anslutningsoperatör

Registreringspolicy Teknisk komponent

Specifikationer och profileringar

OAuth2-profilering

Inom Samordnad identitet och behörighet har det tagits fram en svensk grundprofil för OAuth2: Ena OAuth 2.0 Interoperability Profile.

Det har även tagits fram en vägledning för hur man bör hantera autentisering i relation till OAuth2: Ena OAuth 2.0 User Authentication Best Practices.

Till sist har det tagits fram en profilering för OAuth2 Token Exchange och auktorisering mellan olika säkerhetsdomäner: Ena OAuth 2.0 Token Exchange Profile for Chaining Identity and Authorization.

OpenID Federation

Inom Samordnad identitet och behörighet har det tagits fram en svensk grundprofil för, och ett antal tillägg till, OpenID Federation: https://github.com/oidc-sweden/specifications

OpenID Connect

Inom samverkansgruppen The Swedish OpenID Connect Working Group har man tagit fram och förankrat en svensk grundprofil  och tillhörande specifikationer för OpenID Connect: https://github.com/oidc-sweden/specifications