Versions Compared

Old Version 3

changes.mady.by.user Jakob Fransson

Saved on

compared with

New Version Current

changes.mady.by.user Henric Norlander

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Status: Utkast
Version: 0.1
Tillämpning: Produktion
Federationskontext: BAS
Ledningsaktör: Myndigheten för digital förvaltning, Digg
Federationsoperatör: Myndigheten för digital förvaltning, Digg

Om dokumentet

Detta dokument anger regelverk för federationskontexten BAS inom Samordnad identitet och behörighet.

Regelverket beskriver syfte, ansvar, anslutningsbar krets och grundläggande villkor för BAS. Det anger även vilka frågor som hanteras i andra styrande dokument, såsom anslutningspolicyer, registreringspolicyer, tekniska anslutningsregler, tekniskt ramverk, incidentprocess, förändringspolicy och tillämpliga avtalsvillkor.

Syfte

Syfte med BAS

Syftet med BAS är att skapa etablera en gemensam grundnivå och återanvändbar grund för verifierbar teknisk och organisatorisk tillit inom Samordnad identitet och behörighet.

BAS ska göra det möjligt att möjliggöra maskin-till-maskin-samverkan där ett mottagande system kan verifiera:

a) vilken teknisk komponent som kommunicerarden tekniska komponentens federativa identitet,
b) vilken organisation som ansvarar för komponenten, och
c) under enligt vilka regler som krav komponentens metadata har registrerats.

BAS ska möjliggöra maskin-till-maskin-samverkan där ett mottagande system behöver kontrollera att ett anrop kommer från en viss teknisk komponent som kan kopplas till en viss ansvarig organisation.Syftet med BAS är även att:

BAS ska ge en verifierbar tillitsgrund som kan användas av en förlitande part i dennes egen åtkomstbedömningsom underlag för egna åtkomstbeslut och egen riskbedömning.

BAS ger inte i sig rätt till åtkomst, informationsutbyte, behandling av uppgifter eller användning av viss digital tjänst.

...

reglerar däremot inte:

a) användaridentitet eller autentisering av fysiska användare,
b) verksamhetsspecifika behörighetsmodeller,
c) rätt till informationsutbyte eller åtkomst till viss tjänst,

Sådana frågor regleras istället inom respektive samverkanskontext, tillämpliga verksamhetsregelverk samt kompletterande federationskontexter.

BAS ska även fungera som ett första införandesteg för federativ samverkan och skapa praktiska förutsättningar för fortsatt utveckling av Samordnad identitet och behörighet.

Målgrupp

Primär målgrupp

Samordnad identitet och behörighet är i första hand till för verksamheter inom välfärdsområdet som helt eller delvis är offentligt finansierade.

...

Prövning av sådan anslutning sker enligt anslutningspolicy.

Federationsstruktur  

BAS består av en federationsstruktur där metadata publiceras och verifieras genom distribuerade federationstjänster.

BAS OpenID Federation struktur kan visualiseras enligt bilden nedanBeskrivning och bild över TA, resolver, intermidiates samt beskrivningar av rollerna som tidigare fanns i kap 10 ff 

draw.io Diagram
borderfalse
diagramNameFed-struktur
simpleViewerfalse
width
linksauto
tbstyleinline
diagramDisplayNameOpenID Federation struktur för BAS
lboxtrue
diagramWidth231631
height281391
revision1

Anslutning

4

Tillitsankare

Tillitsankaret är federationens tekniska rot inom BAS.

Tillitsankaret publicerar signerad metadata för underordnade Anslutningstjänster och definierar de policyer och begränsningar som gäller inom federationen.

Federationsmedlemmar och federationstjänster etablerar tillit till federationen genom att verifiera metadata mot tillitsankarets federationsnyckel.

Uppslags- och verifieringstjänster

Uppslags- och verifieringstjänster används för att hämta och verifiera metadata inom federationen.

Tjänsterna används av federationsmedlemmar och federationstjänster för verifiering av federativa identiteter, metadata och organisationskopplingar.

Anslutningstjänster

Anslutningstjänster används för registrering och publicering av metadata för federationsmedlemmar och tekniska komponenter.

Anslutning

Anslutning till BAS sker genom att en organisation ansluts som federationsmedlem enligt tillämpliga krav och avtalsvillkor.

Efter godkänd anslutning får federationsmedlemmen registrera tekniska komponenter och publicera metadata inom BAS.

Anslutning omfattar verifiering av:

a) organisationsidentitet,
b) behöriga företrädare och uppgiftslämnare, och
c) krav på metadata

Anslutning av federationsmedlem

...

Anslutning av federationsmedlemmar BAS sker enligt Krav och vägledning för anslutning av federationsmedlemmar

Registrering av anslutningstjänst

Todo!

Registrering av teknisk komponent

...

Tekniska komponenter registreras enligt Registrering - krav och vägledningarTillämpningskrav och vägledning (f.d. registeringspolicys)

  1. Registreringspolicy verifierad organisationskoppling
  2. Registreringspolicy verifierad uppgiftslämnare

Tekniskt ramverk

Tekniskt ramverk

Tekniska profiler finns beskrivna i Tekniskt ramverk för Samordnad identitet och behörighet.

Tekniskt ramverk anger exakta tekniska krav och ska tillämpas för de komponenttyper och profiler som omfattas av BAS.

Tekniska anslutningsregler och registreringspolicy ska hänvisa till tekniskt ramverk för protokollkrav, metadataformat, endpoints, claims, algoritmer och andra tekniska detaljer.

Tillitskedja

Tillitskedjan för federationsmedlem följer principen:

Federationsoperatör → Anslutningsoperatör → Federationsmedlem → Federationsmedlemmens entiteter

Tillitskedjan ska kunna verifieras enligt tekniskt ramverk.

 Tillitsankare och uppslags- och verifieringstjänst

Digg ska som federationsoperatör tillhandahålla tillitsankartjänst och uppslags- och verifieringstjänst enligt tekniskt ramverk.

Digg ansvarar för att BAS har tillgång till de infrastrukturtjänster som krävs för att tillitskedjor ska kunna etableras och verifieras.

Egenskapsintyg 

Egenskapsintyg inom BAS 

Allmänt

Egenskapsintyg kan förmedlas inom BAS när parter har behov av att uttrycka en viss egenskap hos en organisation, teknisk komponent eller funktion. Egenskapsintyg hanteras mellan de parter som har behov av egenskapsintyget. Det är dessa parter som kommer överens om vad egenskapsintyget betyder, vem som får utfärda det, vilka krav som ligger bakom det och när det ska accepteras.

...

  1. vad egenskapsintyget betyder,
  2. vilka krav som ligger bakom egenskapsintyget,
  3. hur efterlevnad kontrolleras,
  4. vem som får utfärda eller intyga egenskapsintg,
  5. hur länge egenskapsintyg gäller,
  6. hur egenskapsintyg återkallas, och
  7. hur en förlitande part ska värdera egenskapsintyg.

13.2 Åtkomstbeslut

Förlitande part ansvarar själv för att fatta åtkomstbeslut.

Förlitande part ska själv ange:

a) vilken tjänst eller vilket API som omfattas,
b) vilka organisationer som får använda tjänsten,
c) vilka tekniska komponenter som får anropa tjänsten,
d) vilka tillitsmärken eller andra underlag som krävs,
e) vilka ändamål som är tillåtna, och
f) vilka övriga villkor som gäller.

...

  1. .

...

Verifiering enligt BAS innebär inte att åtkomst ska beviljas.

BAS ger endast ett verifierbart underlag. Den förlitande parten ansvarar för hur underlaget används.

14. Incidenter och avvikelser

14.1 Incidentprocess

Incidenter och avvikelser ska hanteras enligt vid var tid gällande incidentprocess för BAS.

Parter som deltar i BAS ska följa de rapporteringsvägar, tidsfrister, klassificeringar och åtgärdsrutiner som anges i incidentprocessen.

14.2 Incidenter som ska rapporteras

Minst följande händelser ska rapporteras:

a) misstänkt eller konstaterad kompromettering av nyckel,
b) felaktig metadata,
c) otillåten användning av teknisk komponent,
d) bristande kontroll av organisationskoppling,
e) otillgänglighet i federationskritisk komponent,
f) felaktigt tillitsmärke, och
g) annan händelse som kan påverka BAS tillit, säkerhet eller interoperabilitet.

14.3 Tillfälliga skyddsåtgärder

Anslutningsoperatör får vidta tillfälliga skyddsåtgärder inom sitt ansvarsområde om fortsatt användning av en komponent kan skada BAS tillit, säkerhet eller interoperabilitet.

Digg får som federationsoperatör vidta federationsgemensamma skyddsåtgärder om händelsen påverkar BAS som helhet.

Beslut om spärrning, avpublicering, återkallelse eller annan skyddsåtgärd ska fattas och dokumenteras enligt incidentprocess, anslutningspolicy och registreringspolicy.

16. Förändring av regelverket

16.1 Förändringsansvar

Digg ansvarar som ledningsaktör för förändring av detta regelverk.

Ändringar ska dokumenteras, versionshanteras och kommuniceras till berörda parter.

16.2 Förändringspolicy

Ändring ska ske enligt vid var tid gällande förändringspolicy för BAS.

Förändringspolicyn reglerar hur ändringar bereds, beslutas, kommuniceras och träder i kraft.

16.3 Övergångstid

Vid ändring av krav som påverkar anslutna parter ska övergångstid hanteras enligt förändringspolicy.

Säkerhetskritiska ändringar får genomföras utan ordinarie övergångstid om det krävs för att skydda BAS tillit, säkerhet eller interoperabilitet.

17.3 Driftens omfattning

Drift av BAS omfattar de parter, tekniska komponenter, metadata, tillitskedjor och tillitsmärken som är anslutna eller registrerade enligt gällande anslutningspolicy, registreringspolicy och tekniskt ramverk.

BAS miljöer

Todo!

Sandbox

QA

Produktion

Tekniskt ramverk

Todo!Nya parter och komponenter får anslutas efter prövning enligt gällande processer.