Den konceptuella arkitekturen beskriver federationsinfrastrukturen på en övergripande nivå, med fokus på roller, ansvar och tillitsmodell. Följande beskrivningar konkretiserar denna arkitektur genom tekniska användningsfall för respektive part.
Användningsfallen visar hur konsument, producent och federationsinfrastruktur samverkar för att realisera arkitekturens olika tillitsdimensioner. De är strukturerade så att varje nivå bygger vidare på tidigare etablerade förmågor, men de ska läsas som en teknisk fördjupning snarare än som en införandeplan.
Syftet är att tydliggöra:
vilka tekniska förmågor som krävs hos respektive part,
hur metadata och policy tillämpas,
hur tillitskedjor används i praktiken,
och hur samverkan utvecklas från systemidentifiering till behörighetsbaserad åtkomst.
Användningsfallen fungerar därmed som en brygga mellan den övergripande arkitekturen och konkret teknisk realisering.
...
Verifierbar systemidentitet och organisatorisk koppling
I detta steg etableras den tekniska grunden för federerad samverkan. Aktörer registrerar och publicerar metadata, nycklar och tillitskedjor så att tjänster och system kan identifieras och verifieras maskinellt. Fokus ligger på att möjliggöra säker system-till-system-kommunikation där identiteten hos anropande och mottagande tjänst kan valideras via federationsinfrastrukturen. Detta steg introducerar den grundläggande tillitsmodellen och den tekniska mekanismen för metadata- och policyhantering.
| Perspektiv | Konsument | Producent | Federationsinfrastruktur |
|---|
| Part-till-part | K01. Anropar producentens API med federerad systemidentitet |
| . | P01. Autentiserar federerad systemidentitet vid mottagande av anrop. | |
| Mot FI | K02. Registrerar system via anslutningstjänst. |
K03. Publicerar signerad metadata. |
K04. |
Publicerar och roterar kryptografiska nycklar. |
K05. TillämpAR federationsmetadata och policy i teknisk validering. | P02. Registrerar |
tjänst via anslutningstjänst. |
P03. Publicerar signerad metadata |
. |
P04. |
Publicerar och roterar kryptografiska nycklar |
. |
P05. |
Hämtar metadata via uppslags- och verifieringstjänst. |
P06. Verifierar metadata, signatur och tillitskedja till Tillitsankartjänst. |
P07. Extraherar organisationskoppling från metadata. P08. |
Tillämpar federationsmetadata och policy i teknisk validering. | FI01. Registrerar och förvaltar metadata om anslutna tjänster. |
FI02. Publicerar |
federationsmetadata. |
FI03. Tillhandahåller |
uppslags- och verifieringstjänst. FI04. Tillhandahåller |
verifierbar tillitskedja. FI05. Hanterar livscykel för metadata och nycklar. |
Verifierbar organisationskontext
Konsument
FI06. Tillämpar federationspolicy i publicering, uppslag och verifiering. |
Verifierbar organisatorisk behörighet
Detta steg bygger vidare på den etablerade systemidentiteten och tillför en verifierbar organisationsdimension. Utöver att en tjänst är tekniskt betrodd måste den också vara ansluten och godkänd inom en definierad federationskontext. Organisationskoppling och tillitsmärken används för att uttrycka och verifiera att en aktör uppfyller specifika krav. Fokus flyttas från enbart teknisk identitet till kontrollerad tillhörighet och kontextstyrning.
| Perspektiv | Konsument | Producent | Federationsinfrastruktur |
|---|---|---|---|
| Part-till-part |
...
| K06. Anger organisationskontext i anropet. | P09. Fattar åtkomstbeslut baserat på organisationskontext. | |
| Mot FI |
...
Producent
Part-till-part
Fatta beslut om organisationsbaserad åtkomst.
Part-federationsinfrastruktur
Hämta och verifiera tillitsmärken kopplade till organisation.
Validera att organisationen är ansluten i rätt federationskontext.
Verifiera koppling mellan system och organisation.
Federationsinfrastruktur
Stöd för publicering och verifiering av tillitsmärken.
Metadata som uttrycker organisationskoppling och kontext.
Tillitskedja som omfattar organisationsrelaterade intyg.
Separation mellan federationskontexter.
Federerad användaridentitet
Konsument
Part-till-producent
Autentisera användare och förmedla identitetsintyg till producent.
Part-federationsinfrastruktur
Upptäcka och konfigurera rätt identitetsintygstjänst via metadata.
Verifiera producentens metadata före initiering av flöde.
Publicera metadata för egen klient/OP vid behov.
Producent
Part-konsument
Ta emot och validera identitetsintyg.
Upprätta session baserad på federerad identitet.
Part-federationsinfrastruktur
Verifiera att identitetsutfärdaren är betrodd i rätt federationskontext.
Hämta nycklar och policy via metadata.
Validera tillitskedja till Tillitsankartjänst.
Federationsinfrastruktur
Metadata för identitetsutfärdare och klienter.
Tillitskedja som omfattar identitetsutfärdare.
Publicering av kryptografiska nycklar.
Profilering för interoperabel verifiering.
Verifierbar användarbehörighet
Konsument
Part-till-part
Förmedla behörighetsattribut eller behörighetsintyg till producent.
Part-federationsinfrastruktur
Publicera metadata som anger att organisationen får utfärda viss typ av behörighetsintyg.
Koppla behörighetsutfärdare till relevant federationskontext.
Producent
...
K07. Ansöker om tillitsmärke. K08. Kopplar tillitsmärke till metadata. K09. Anger federationskontext i metadata. | P10. Verifierar egenskaspintyg P11. Validerar federationskontext. | FI07. Utökar tillitskedjan till att omfatta organisationsrelaterade intyg. FI08. Publicerar organisationskoppling och federationskontext. FI09. Tillhandahåller verifiering av tillitsmärken. FI10. Upprätthåller separation mellan federationskontexter. |
Verifierbar användaridentitet och organisationstillhörighet
När system- och organisationsnivån är etablerad kan federationen även bära användaridentitet. Detta steg introducerar federerad autentisering där identitetsutfärdare upptäcks och verifieras via federationsmetadata. Producenten verifierar att identitetsutfärdaren är ansluten och godkänd i relevant federationskontext innan identitetsintyg accepteras. Tilliten omfattar nu både tekniska tjänster och de användare som agerar genom dem.
| Perspektiv | Konsument | Producent | Federationsinfrastruktur |
|---|---|---|---|
| Part-till-part | K10. Autentiserar användare.K11. Förmedlar identitetsintyg till producent. | P12. Verifierar identitetsintyg. P13. Etablerar session baserad på federerad identitet. | |
| Mot FI | K12. Upptäcker identitetsutfärdare via metadata. K13. Publicerar metadata för egen klient eller identitetsutfärdare. | P14. Verifierar att identitetsutfärdare är ansluten och godkänd i den federationskontext som gäller för tjänsten. | FI11. Utökar tillitskedjan till att omfatta identitetsutfärdare. FI12. Publicerar metadata för identitetsutfärdare och klienter. FI13. Upprätthåller interoperabel profilering. |
Verifierbar användarbehörighet
I detta steg kompletteras den federerade användaridentiteten med verifierbar behörighetsinformation. Behörighetsutfärdare modelleras som federationsentiteter och deras rätt att intyga viss behörighet uttrycks i metadata. Producenten verifierar både att utfärdaren är ansluten i rätt kontext och att den har rätt att intyga aktuell behörighetstyp. Fokus ligger på att möjliggöra spårbara och policyförankrade åtkomstbeslut där identitet, organisation och behörighet samverkar.
| Perspektiv | Konsument | Producent | Federationsinfrastruktur |
|---|---|---|---|
| Part-till-part | K14. Förmedlar behörighetsintyg eller attribut till producent. | P15. Verifierar behörighetsintyg eller attribut.P16. Kombinerar identitet, organisation och attribut i beslutsmotor. |
...
P17. Fattar åtkomstbeslut. |
...
| Mot FI | K15. Publicerar metadata som anger rätt att utfärda viss behörighetstyp. | P18. Verifierar att behörighetsutfärdare är ansluten och godkänd i den federationskontext som gäller för tjänsten. P19. Verifierar att behörighetsutfärdare har rätt att intyga aktuell behörighetstyp enligt federationsmetadata. |
Federationsinfrastruktur
...
FI14. Utökar tillitskedjan till att omfatta behörighetsutfärdare. FI15. Publicerar metadata som uttrycker rätt att utfärda behörighetsintyg. |
...
FI16. Kopplar behörighetsutfärdare till federationskontext. |