Deltagare: 

Henric

Jakob

Martin L

Stefan 

Anders

Oscar 

Aras

Robert 

Anders

Robert 

Martin S 

Längst ner på denna sida återfinns råmaterialet under rubriken ( Tankar kring RP) från dagens möte. Den första delen (nedan) är en sammanfattning utifrån bästa förmåga. 

I huvuddrag: 

Strukturera och beskriva anslutningsresan för en organisation till en federation.

• Tydliggöra vad som ska uttryckas i:

  • Anslutningspolicy (legal anslutning)

  • Registreringspolicy (teknisk anslutning)

• Klargöra roller och ansvar mellan federationsoperatör, anslutningsoperatör och federationsmedlem.

Legal vs teknisk anslutning

• Anslutningen delas i två delar:

  • Legal anslutning → Anslutningspolicy?

  • Teknisk anslutning → Registreringspolicy

• Princip: federationen ska i möjligaste mån inte livscykelhantera individers behörigheter över tid – ansvar ligger på organisationen.

Legal anslutning (Anslutningspolicy)

Innehåll som ska hanteras i den legala delen:

Försök till muntlig processbeskrivning (ej fullständig pga hann ej med att notera) 

• Avtalstecknande

• Verifiering av organisation (kundkvalificering)

• Fastställande av behörig företrädare

• Insamling av grunduppgifter

  • Koppling till avsnitt 6.3, 6.4 samt 7 i anslutningspolicy

  • Uppgifter sparas som grund för självservice

• Behöriga uppgiftslämnare

  • kopplas till funktionsområde

  • behörighetsnivå admin / write / read

  • admin kan lägga upp ytterligare uppgiftslämnare

• Organisationsuppgifter som ska stödjas:

  • Organisationsidentifierare enligt ISO-standard?

  • Organisationsnamn på svenska och engelska

• Noterat: Avtal tecknas per organisation (inte per komponent) - förtydligande på fråga från Anders till Martin. 

Teknisk anslutning (Registreringspolicy)

Försök till muntlig processbeskrivning (ej fullständig pga hann ej med att notera) 

• Autentisering av behörig uppgiftslämnare

  • inloggningsmetod enligt policy (vilken?)

• Behörighetskontroll i systemet

  • vilka tekniska komponenter får administreras för vilka organisationer

• Administrera uppgifter för organisation

• Registrera teknisk komponent (görs av federationsmedlem)

• Administrera metadata för tekniska komponenter/tjänster

  • Här visar Martin Figma-mockup

• Verifiera teknisk komponent (görs av anslutningsoperatör)

  • validera metadata (Hur?

• Avtalskoppling

  • vilka typer av komponenter tillåts av ingånget avtal

• Tekniska krav

• Manuella kontroller

• Eventuella efterlevnadskontroller (möjlig del av processen?)

Beslut (ej förankrat) 

• Detaljer kring kvalificering/verifiering av organisation och kontaktpersoner ska ligga i anslutningspolicyn.

• Anslutningen ska beskrivas som en tvådelad process: legal och teknisk.

• Rollmodell för uppgiftslämnare: admin/write/read, där admin kan delegera.

• Ansvarsfördelning i teknisk del:

  • Federationsmedlem registrerar komponent och hanterar metadata

  • Anslutningsoperatör verifierar komponent och validerar metadata (inkl. manuella kontroller vid behov)

Utestående frågor

• Gränsdragning: exakt vad ska stå i anslutningspolicy vs registreringspolicy, och på vilken detaljnivå?

• Organisationsidentifierare:

  • svensk modell vs ISO/internationell representation

  • konsekvenser för anslutning av utländska organisationer

• Datainsamling:

  • hur mycket ska samlas vid avtal vs senare i uppgiftslämnandet (särskilt om manuell granskning krävs)?

• Inloggningskrav/tillitsnivåer:

  • vilka krav gäller för behöriga uppgiftslämnare och var uttrycks de?

• Registreringspolicy kopplad till tekniska komponenter:

  • Sker per komponent eller fastställs via avtal?

  • vem beslutar vilka policyer som gäller (federationsoperatör vs anslutningsoperatör)?

• (Denna del har jag ingen koll på vad som sades) Delegering/ombud för många kunder:

  • behov av API-stöd och/eller mellanliggande nod

  • krav/avtal för kontroller i kedjan

• Federationsoperatörens allmänna villkor:

  • hur ska “vilka policyer som kan användas i federationen” formuleras och var ska det placeras i dokumentationen?

Efterlevnadskontroller nämndes också om de ska finnas och i så fall hur de ska utformas men går inte att formulera någon fråga eller beslut här antingen pga dåliga noteringar eller för att diskussionen var för "vild/otydlig"

Läxa:

1. Läsa/fylla på, kommentera, såga: Registreringspolicy vid anslutning av teknisk komponent - RU Identitet & Behörighet - Confluence
2. Läsa: Anslutningspolicy för federationsmedlemmar (arbetsmaterial) - RU Identitet & Behörighet - Confluence

Tankar kring RP

Legal anslutning → Anslutningspolicy

1. Avtalstecknande
   1. Verifiering av organisation - kundkvalificering
   2. Fastställande av behörig företrädare
2. Insamling av grunduppgifter - koppling till avsnitt 6.3, 6.4 samt 7 i anslutningspolicy
   ...sparas i databas 
   1. Behöriga uppgiftslämnare 
      1. funktionsområde X
      2. Behörighet (admin, write, eller read)
      3. ...den som har admin-rättighet kan lägga upp ytterligare uppgiftslämnare
   2. Organisationsnummer (enligt ISO-standard)
   3. Orgnamn (svenska och engelska)

Teknisk anslutning → Registreringspolicy

1. Behörig uppgiftslämnare autentiseras 
   1. inloggningsmetod enligt given policy
   2. behörighetskontroll sker (rättigheter i systemet - administrera vilka tekniska komponenter för vilka organisationer)
   3. administrera uppgifter för organisation
2. Registrera teknisk komponent (görs av federationsmedlem)
   1. administrera metadata för tekniska komponenter (tjänster)
   2. ...se Martin L:s Figma-mockup
3. Verifiera teknisk komponent (görs av anslutningoperatör)
   1. Validera metadata
      1. Avtalskoppling - vilka typer av komponenter tillåts att anslutas av ingånget avtal?
      2. Tekniska krav
   2. Manuella kontroller
      1. Eventuella efterlevnadskontroller?

Federationsoperatörs allmänna villkor:

1. Vilka policyer ska kunna användas inom federationen

...