1. Övergripande struktur
1.1. Aktörer
Ledningsaktör, som granskas och godkänner
- Operatörer
Ledningsaktör och Ägare av tillitsmärke, som granskar och godkänner:
- Utfärdare av tillitsmärke
Operatörer som ansvarar för registrering av entiteter och anslutning av:
- Samverkande organisationer
1.2. Tekniska komponenter
1.2.1. Federationsinfrastrukturskomponenter
- Tillitsankare (kan finnas på olika nivåer, men de gemensamma godkänns av ledningsaktören)
- Resolver (kan finnas på olika nivåer, men de gemensamma godkänns av ledningsaktören)
- Intermediär anslutningspunkt (sätts upp av godkända operatörer och ansluts till tillitankare när kraven är uppfyllda)
- Utfärdare av tillitsmärke (kan finnas på olika nivåer, men de gemensamma godkänns av ledningsaktören)
- Stödtjänster för äldre tekniska protokoll såsom metadatatjänster för interfederering av SAML, mTLS, m.m. (vid behov)
1.2.2. Komponenter för digital samverkan
- IdP/OP
- AS
- SP/API Client
- RS
1.3. Anslutningsprocesser
Samverkande organisation registrerar en komponent (entitet) → Anskaffning av tillitsmärke (som leder till att entitet uppfyller krav för att exponeras i tillitsankare och resolver)
I praktiken, exempel med en OP
- BankID har en enitet av typen OP och ansöker om tillitsmärke för svensk e-leg tillitsnivå 3 hos Digg
- Kommunen har en entitet av typen OP och ansöker om tillitsmärke för Användarorgantioner på LoT-nivå 3 hos sin operatör (idag, i framtiden TBD)
2. Ansvarsfördelning
Enas federationsinfrastruktur behöver en samordnande ledningsaktör som ansvarar för gemensamma regler, exempelvis för anslutning av Tillitsankare och hantering av Tillitsmärken. Denna aktör säkerställer att alla deltagare följer en gemensam styrning och att interoperabilitet inom Ena upprätthålls.
Samtidigt kan andra aktörer använda samma tekniska lösningar men ha egen styrning, och därmed vara tekniskt kompatibla men organisatoriskt fristående. Det möjliggör bredare samverkan utan att alla måste ingå i samma federation.
Denna tabell utgår från Ena där Digg är ledningsaktör.
| Process | Teknisk komponent | Typ | Resultat (tex Tillitsmärke) | Ansvarig aktör |
Kommentar |
|---|---|---|---|---|---|
| Anslutning av Federationinsfrastrukturssaktör (Organisation) |
|
Verksamhet | Ansluten = organisatorisk metadata registrerad hos ledningsaktören | Ledningsaktör |
Anslutning av en aktör som står för en federationsinfrastrukturtjänst aka webbtjänst https://ena-infrastructure/ena-trustanchors |
| Anslutning av Tillitsankare |
Trust Anchor Resolver |
Verksamhet |
Rot-certifikat registrerat eller tilldelat Trustmark? Ena-TrustAnchor
|
Ledningsaktör | Finns det en anledning att ett TA att ha ett Trustmark? |
| Anslutning av Operatör | Intermediate Entity | Teknisk |
Registrerad i metadata dvs tilldelat EntityID Trustmark = Ena-Intermediate |
Tillitsankare |
|
| Anslutning av Tillitsmärkesutfärdare | Trust Mark Issuer | Teknisk |
Registrerad i metadata dvs tilldelat EntityIDEna TrustMarkIssuer |
Tillitsankare |
|
| Utgivning av Tillitsmärke |
|
Verksamhet Teknisk |
Ena-Trustmark-xyz | Tillitsmärkesutfärdare | Behövs även en process för registrering av Tilitsmärke (hos ett Tillitsankare?) |
|
|
|
|
|
|
|
| Anslutning av Fedarationsmedlem (Organisation) |
|
Verksamhet | Ansluten = organisatorisk metadata registrerad hos operatören | Operatör | Anslutning av aktör som ansluter tjänster till federationsinfrastrukturen |
| Anslutning av Legitimeringstjänst | OpenID Provider - OP | Teknisk | Registrerad i metadata dvs tilldelat EntityID | Operatör |
|
| Anslutning av Förlitande part | Relying Party - RP | Teknisk | Registrerad i metadata dvs tilldelat EntityID | Operatör |
|
| Anslutning av Auktorisationstjänst | Authorization server - AS | Teknisk | Registrerad i metadata dvs tilldelat EntityID | Operatör |
|
| Anslutning av API klient | Client | Teknisk | Registrerad i metadata dvs tilldelat EntityID | Operatör |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| Process | Granska och godkänna | Ansvarigt Leveransteam |
|---|---|---|
| Anslutning av Organisation | Ledningsaktör ansvarar för process och krav, andra aktörer granskar och godkänner | Federationsinfrastruktur |
| Anslutning av Tillitsankare | Ledningsaktör | Federationsinfrastruktur |
| Anslutning av Operatör | Tillitsankare | Federationsinfrastruktur |
| Anslutning av Utfärdare av Tillitsmärken | Ledningsaktör | Federationsinfrastruktur |
| Anslutning av OpenID Provider (OP) | Operatör | Verksamhet och juridik |
| Anslutning av Relying Party (RP) | Operatör | Verksamhet och juridik |
| Anslutning av Authorization server (AS) | Operatör | Verksamhet och juridik |
| Anslutning av Tillitsmärke till OP, RP, AS, API, API klient | Tillitsmärkesutfärdare | Federationsinfrastruktur |
| Anslutning av API | Operatör | Verksamhet och juridik |
| Anslutning av API klient | Operatör | Verksamhet och juridik |
| Anslutning av SAML IdP | Ledningsaktör | ? |
| Anslutning av SAML SP | Ledningsaktör | ? |
| Anslutning av attributkälla | ? | ? |
|
|
|
|
3. Processbeskrivningar för anslutningar som team Verksamhet och juridik ansvarar för
flyttat till denna sida