Ena IAM - Pilot
Sammanfattning
Denna Proof of Concept (POC) syftar till att praktiskt testa och demonstrera hur en federativ infrastruktur enligt OpenID Federation-modellen kan realiseras i Ena för digital samverkan mellan organisationer. Fokus ligger på att visa hur en användare i Organisation A genom sitt system kan anropa ett skyddat API i Organisation B, där säkerhets- och tillitsinformation förmedlas via federationsinfrastrukturen (FI-serien) och används i faktiska samverkansflöden (DS-serien).
Pilotens komponenter byggs upp enbart för testmiljön. Det handlar alltså inte om en skarp pilot med riktiga aktörer i en produktionsmiljö, utan om en teknisk modell för att verifiera arkitektur, flöden och specifikationer.
Tabellerna nedan beskriver de användningsfall som piloten omfattar. Varje användningsfall dokumenteras med:
en kort beskrivning av vad som sker i steget,
POC-kriterier för att bedöma om steget lyckats,
en lista över ingående komponenter och ansvariga aktörer,
de lösningsmönster och specifikationer som används,
samt eventuella kommentarer som förklarar avgränsningar eller särskilda testfall.
Användningsfallen i FI-serien (FI010–FI040) fokuserar på den tekniska federationsinfrastrukturen. Användningsfallen i DS-serien (DS001–DS004) demonstrerar den faktiska digitala samverkan mellan organisationer med stöd av infrastrukturen.l
Tillsammans visar dessa användningsfall hela kedjan: från att etablera federativ tillit via FI-serien till att praktiskt realisera digital samverkan mellan två organisationer via DS-serien.
Användningsfall
Översikt OIDF-struktur
Federationsinfrastruktur
FI-serien (FI010–FI040) beskriver hur federationsinfrastrukturens centrala komponenter tillsammans etablerar den tekniska tilliten i en federation. I dessa användningsfall visas hur en Tillitsankartjänst publicerar och signerar metadata, hur en Anslutningstjänst kan agera mellanled och applicera lokala policies, hur en Uppslags- och verifieringstjänst bygger och validerar hela tillitskedjan, samt hur en Tillitsmärkestjänst utfärdar och verifierar tillitsmärken som styrker efterlevnad av tillitsskapande krav. Tillsammans utgör de grunden för att federationens parter ska kunna lita på varandra och möjliggör att den digitala samverkan i DS-serien kan realiseras på ett säkert och verifierbart sätt.
Mål med piloten
- Ett konkret förslag till struktur för en "initial" federationsträd! Dvs det realisaras i gemensamt sammankopplade sandbox-miljöer
- Verifiera användningsfallen
Översikt
| Användningsfall | Beskrivning | POC-kriterier | Ingående komponenter (ansvarig aktör) | Lösningsmönster & Specifikationer | Kommentar |
|---|---|---|---|---|---|
| FI010 – Metadatapublicering Tillitsankare | En Tillitsankartjänst (Trust Anchor) publicerar och signerar sitt federation metadata statement. | Säkerställa att metadata kan publiceras, distribueras och signaturen verifieras av andra parter. |
| OpenID Federation 1.0, Entity Statements (Entity Configuration, Trust Chain) | Grund för teknisk tillit i federationen. |
| FI020 –Metadatapublicering Anslutningstjänst | En Anslutningstjänst (Intermediate Entity) agerar länk mellan Tillitsankartjänst och underordnade entiteter (OP, RP, API:er). Den kan även applicera lokala policies. | Validera att Anslutningstjänst korrekt kan hämta metadata från Tillitsankartjänst, applicera policy och vidareförmedla metadata. |
| OpenID Federation 1.0, Policy claims, Authority Hints | Möjliggör skalbarhet och delegerad tillit. |
FI030 – Metadatavalidering | En Uppslags- och verifieringstjänst (Resolver) kan hämta och verifiera metadata för en entitet genom att bygga en trust chain från Tillitsankartjänsten. | Kontrollera att trust chain kan byggas korrekt (top-down/bottom-up), signaturer verifieras och metadata returneras komplett. |
| OpenID Federation 1.0, Authority Hints, Trust Chain Resolution | Avlastar digitala tjänster från komplex verifieringslogik. |
| FI040 – Tillitsmärkeshantering | En Tillitsmärkestjänst (Trust Mark Issuer) utfärdar tillitsmärken som styrker att en entitet uppfyller definierade tillitsskapande krav. | Säkerställa att tillitsmärken är signerade, giltiga och verifierbara enligt policy. |
| OpenID Federation 1.0, Trust Marks (JWT), Policykrav | Bygger policybaserad tillit inom federationen. |
Digital samverkan
DS-serien (DS001–DS004) demonstrerar den praktiska digitala samverkan över organisationsgränser, där federationsinfrastrukturen används i faktiska åtkomstflöden. Användningsfallen visar hur en användare loggar in i ett system och etablerar en session, hur lokala auktorisationstjänster tillämpar policies och återanvänder inloggningar via SSO, hur åtkomstbegäran kan riktas mot en annan organisation och besvaras med intyg, samt hur metadata för legitimering och auktorisation hanteras och verifieras via federationsinfrastrukturen. Tillsammans visar dessa flöden hur federativ tillit omsätts i säker åtkomst och informationsutbyte mellan organisationer
- Cross-domain
Relevanta specifikationer som används:
| Kort-namn | Beskrivning |
|---|---|
| authn-authz-patterns | "Mönster för autentisering och auktorisation" Övergripande beskrivning av mönster för autentisering och auktorisation. Konceptuell, ej normativ. |
| inter-domain-calls | "API-anrop över organisationsgränser" Övergripande beskrivning av mönster för anrop över organisationsgränser. Konceptuell, ej normativ. |
| ena-oauth2-authn-bp | "Ena OAuth 2.0 User Authentication Best Practises" Best practises för integration av befintlig inloggningslösning med OAuth 2.0. Konceptuell, ej normativ. |
| ena-oauth2-profile | "Ena OAuth 2.0 Interoperability Profile" Ena Basprofil för användning av OAuth 2.0 i Ena-sammanhang. Grundläggande specifikation för all tillämpning av OAuth där den förekommer. Normativ. |
| ena-oauth2-chaining | "Ena OAuth 2.0 Token Exchange Profile for Chaining Identity and Authorization" Enaprofil för token exchange och auktorisation över organisationsgränser. |
| oidf-spec | "OpenID Federation 1.0 - draft 43" |
| poc-attributspec | "POC attributspecifikation vård/hälsa" En specifikation som beskriver claims för att bära behörighetsgrundande information för användning i POC/Pilot. OBS - Behöver tas fram! |
| Anvndningsfall | Beskrivning | POC Acceptanskriterier
| Ingående komponenter (ansvarig aktör) | Lösningsmönster & Specifikationer | Kommentar | |
|---|---|---|---|---|---|---|
| DS010 – Inloggning i system | En användare loggar in i System A via en legitimeringstjänst (SAML IdP). Resultatet är en aktiv inloggningssession i System A | Kriterier verksamhet
Kriterier specifikation
|
| SAML 2.0, Single Sign-On | Grundförutsättning för federativ åtkomst. | |
| DS020 – Lokal auktorisation | Klient interagerar med en lokal auktorisationstjänst för att fastställa användarens behörigheter. SSO återanvänder sessionen mot IdP för andra system. | Verifiera att lokal auktorisation fungerar och att SSO-sessionen kan återanvändas. Kriterier verksamhet
Kriterier specifikation
|
| OIDC/OAuth2 (Access Token, ID Token), SAML SSO ena-oauth2-profileena-oauth2-chaining | Möjliggör lokal policytillämpning och SSO-flöde. | |
| DS030 – Åtkomstbegäran till annan organisation | System A begär åtkomstintyg från Organisation B:s auktorisationstjänst för att få åtkomst till resurs i B:s miljö. | Kontrollera att Organisation B:s auktorisationstjänst kan utfärda och returnera giltigt intyg som System A kan validera. Kriterier verksamhet
Kriterier specifikation
|
| OIDC/OAuth2 Token Exchange, JWT Grants ena-oauth2-chaining poc-attributspec | Möjliggör system-till-system-samverkan över organisationsgränser. | |
| DS040 – Metadatahantering via federationsinfrastruktur | Metadata för IdP, RP och auktorisationstjänster hanteras via OIDF-federationskomponenter. | Säkerställa att metadata kan hämtas, verifieras och cache:as via Resolver, och att trust chain kan valideras till Tillitsankaren. Verksamhetskriterier
Kriterier specifikation
|
| oidf-spec OpenID Federation 1.0, Entity Statements, Trust Chains, Trust Marks ena-oauth2-profile | ||
| DS050 - API-anrop Cross Domain | Verksamhetskriterier
Kriterier specifikation
| ena-oauth2-profile |