...
Regelverket beskriver syfte, ansvar, anslutningsbar krets och grundläggande villkor för BAS. Det anger även vilka frågor som hanteras i andra styrande dokument, såsom anslutningspolicyer, registreringspolicyer, tekniska anslutningsregler, tekniskt ramverk, incidentprocess, förändringspolicy och tillämpliga avtalsvillkor.
Syfte
Syfte med BAS
Syftet med BAS är att skapa etablera en gemensam grundnivå och återanvändbar grund för verifierbar teknisk och organisatorisk tillit inom Samordnad identitet och behörighet.
BAS ska göra det möjligt att möjliggöra maskin-till-maskin-samverkan där ett mottagande system kan verifiera:
a) vilken teknisk komponent som kommunicerarden tekniska komponentens federativa identitet,
b) vilken organisation som ansvarar för komponenten, och
c) under enligt vilka regler som krav komponentens metadata har registrerats.
BAS ska möjliggöra maskin-till-maskin-samverkan där ett mottagande system behöver kontrollera att ett anrop kommer från en viss teknisk komponent som kan kopplas till en viss ansvarig organisation.Syftet med BAS är även att:
BAS ska ge en verifierbar tillitsgrund som kan användas av en förlitande part i dennes egen åtkomstbedömningsom underlag för egna åtkomstbeslut och egen riskbedömning.
BAS ger inte i sig rätt till åtkomst, informationsutbyte, behandling av uppgifter eller användning av viss digital tjänst.
...
reglerar däremot inte:
a) användaridentitet eller autentisering av fysiska användare,
b) verksamhetsspecifika behörighetsmodeller,
c) rätt till informationsutbyte eller åtkomst till viss tjänst,
Sådana frågor regleras istället inom respektive samverkanskontext, tillämpliga verksamhetsregelverk samt kompletterande federationskontexter.
BAS ska även fungera som ett första införandesteg för federativ samverkan och skapa praktiska förutsättningar för fortsatt utveckling av Samordnad identitet och behörighet.
Målgrupp
Primär målgrupp
Samordnad identitet och behörighet är i första hand till för verksamheter inom välfärdsområdet som helt eller delvis är offentligt finansierade.
...
Prövning av sådan anslutning sker enligt anslutningspolicy.
Federationsstruktur
BAS består av en federationsstruktur där metadata publiceras och verifieras genom distribuerade federationstjänster.
BAS OpenID Federation struktur kan visualiseras enligt bilden nedanBeskrivning och bild över TA, resolver, intermidiates samt beskrivningar av rollerna som tidigare fanns i kap 10 ff
| draw.io Diagram | ||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
-----
Federationsstruktur
BAS bygger på en federationsstruktur där tillit etableras genom ett tillitsankare, anslutningsoperatörer och verifierbara metadata. Strukturen gör det möjligt för förlitande parter att kontrollera tekniska komponenter, ansvarig organisation, metadata, nycklar, signaturer och tillitskedjor innan information från BAS används i en tjänst.
Översikt
Tillitsankaret är den betrodda roten i federationsstrukturen. Det används för att verifiera federationsmetadata och tillitskedjor inom BAS.
Anslutningsoperatörer ansluts under tillitsankaret. De ansvarar för att ansluta federationsmedlemmar, registrera tekniska komponenter och hantera metadata enligt gällande regelverk.
Federationsmedlemmar ansluter en eller flera tekniska komponenter till BAS. Federationsmedlemmen ansvarar för sina egna uppgifter, sina tekniska komponenter och det nyckelmaterial som används.
|
Tillitsankare
Tillitsankaret är federationens tekniska rot inom BAS.
Tillitsankaret publicerar signerad metadata för underordnade Anslutningstjänster och definierar de policyer och begränsningar som gäller inom federationen.
Federationsmedlemmar och federationstjänster etablerar tillit till federationen genom att verifiera metadata mot tillitsankarets federationsnyckel.
Uppslags- och verifieringstjänster
Uppslags- och verifieringstjänster används Förlitande part använder en resolver, eller uppslags- och verifieringstjänst, för att hämta och verifiera metadata och tillitskedjor.
Diggs åtaganden
Digg som ledningsaktör
Digg ska som ledningsaktör:
a) hålla samman regelverket för BAS,
b) besluta om förändringar av BAS enligt beslutad förändringsprocess,
c) förvalta relationen mellan BAS och övriga federationskontexter,
d) besluta om krav på anslutningsoperatörer,
e) besluta om eller godkänna ändringar i tekniska anslutningsregler, och
f) fastställa vilka tekniska ramverk och profiler som gäller.
Digg som federationsoperatör
Digg ska som federationsoperatör:
a) drifta infrastrukturtjänsterna för BAS,
b) tillhandahålla tillitsankartjänst,
c) tillhandahålla uppslags- och verifieringstjänst,
d) säkerställa att tillitskedjor kan etableras och verifieras,
e) hantera anslutning av anslutningsoperatörer enligt tillämplig policy,
f) tillhandahålla tekniskt ramverk eller hänvisa till tekniskt ramverk,
g) följa upp väsentliga händelser som påverkar BAS, och
h) vid behov besluta om federationsgemensamma åtgärder.
Diggs ansvar som ledningsaktör respektive federationsoperatör ska hållas isär funktionellt, även när båda rollerna utförs av samma myndighet.
Åtaganden för anslutningsoperatör
Anslutningsoperatör ska:
a) ansluta federationsmedlemmar enligt anslutningspolicy,
b) verifiera organisation och behörig uppgiftslämnare enligt anslutningspolicy och registreringspolicy,
c) registrera tekniska komponenter enligt registreringspolicy,
d) hantera metadata enligt tekniskt ramverk,
e) hosta metadata för federationsmedlem när detta sker enligt registreringspolicy och tekniskt ramverk,
f) hantera ändringar och avregistrering,
g) hantera avstängning och återkallelse enligt anslutningspolicy,
h) rapportera väsentliga händelser till Digg, och
i) dokumentera anslutnings- och registreringsbeslut.
Vid avstängning eller återkallelse ska anslutningsoperatören genomföra teknisk avpublicering eller ogiltigförklaring enligt registreringspolicy. Beslutet ska dokumenteras, kommuniceras till federationsmedlemmen och, vid väsentliga händelser, rapporteras till federationsoperatören.
Åtaganden för federationsmedlem
Federationsmedlem ska:
a) följa BAS-regelverket,
b) följa tillämplig anslutningspolicy,
c) följa registreringspolicy för tekniska komponenter,
d) följa tekniskt ramverk för anslutna komponenter,
e) säkerställa att lämnade uppgifter är riktiga och aktuella,
f) ansvara för egna tekniska komponenter,
g) skydda nycklar och andra säkerhetskritiska uppgifter,
h) rapportera incidenter enligt gällande process,
i) anmäla ändringar som påverkar metadata, nycklar eller organisationskoppling,
j) avregistrera komponenter som inte längre används, och
k) ansvara för egna egenskapsintyg där sådana används.
Användning hos förlitande part
Förlitande part får använda BAS för att verifiera:
a) teknisk komponent,
b) ansvarig organisation,
c) metadata,
d) tillitskedja,
e) tekniska nycklar och signaturer, och
f) egenskapsintyg där sådana används.
Förlitande part ansvarar själv för hur verifierad information används i den egna tjänsten. BAS innebär inte att åtkomst automatiskt ska beviljas.
----
Anslutning
Allmänt om anslutning
inom federationen.
Tjänsterna används av federationsmedlemmar och federationstjänster för verifiering av federativa identiteter, metadata och organisationskopplingar.
Anslutningstjänster
Anslutningstjänster används för registrering och publicering av metadata för federationsmedlemmar och tekniska komponenter.
Anslutning
Anslutning till BAS sker genom att en organisation ansluts som federationsmedlem enligt tillämpliga krav och avtalsvillkor.
Efter godkänd anslutning får federationsmedlemmen registrera tekniska komponenter och publicera metadata inom BAS.
Anslutning omfattar verifiering av:
a) organisationsidentitet,
b) behöriga företrädare och uppgiftslämnare, och
c) krav på metadata
Anslutning av federationsmedlem
Anslutning av federationsmedlemmar BAS sker enligt Krav och vägledning för anslutning av federationsmedlemmar
Registrering av anslutningstjänst
Todo!
Registrering av teknisk komponent
Allmänt om registrering
Tekniska komponenter registreras enligt Registrering - krav och vägledningarTillämpningskrav och vägledning (f.d. registeringspolicys)
Tekniskt ramverk
Tekniskt ramverk
Tekniska profiler finns beskrivna i Tekniskt ramverk för Samordnad identitet och behörighet.
Tekniskt ramverk anger exakta tekniska krav och ska tillämpas för de komponenttyper och profiler som omfattas av BAS.
Tekniska anslutningsregler och registreringspolicy ska hänvisa till tekniskt ramverk för protokollkrav, metadataformat, endpoints, claims, algoritmer och andra tekniska detaljer.
Tillitskedja
Tillitskedjan för federationsmedlem följer principen:
Federationsoperatör → Anslutningsoperatör → Federationsmedlem → Federationsmedlemmens entiteter
Tillitskedjan ska kunna verifieras enligt tekniskt ramverk.
Tillitsankare och uppslags- och verifieringstjänst
Digg ska som federationsoperatör tillhandahålla tillitsankartjänst och uppslags- och verifieringstjänst enligt tekniskt ramverk.
Digg ansvarar för att BAS har tillgång till de infrastrukturtjänster som krävs för att tillitskedjor ska kunna etableras och verifieras.
Egenskapsintyg
Egenskapsintyg inom BAS
Allmänt
Egenskapsintyg kan förmedlas inom BAS när parter har behov av att uttrycka en viss egenskap hos en organisation, teknisk komponent eller funktion. Egenskapsintyg hanteras mellan de parter som har behov av egenskapsintyget. Det är dessa parter som kommer överens om vad egenskapsintyget betyder, vem som får utfärda det, vilka krav som ligger bakom det och när det ska accepteras.
...
- vad egenskapsintyget betyder,
- vilka krav som ligger bakom egenskapsintyget,
- hur efterlevnad kontrolleras,
- vem som får utfärda eller intyga egenskapsintg,
- hur länge egenskapsintyg gäller,
- hur egenskapsintyg återkallas, och
- hur en förlitande part ska värdera egenskapsintyg.
BAS miljöer
Todo!
Sandbox
QA
Produktion
Tekniskt ramverk
Todo!