You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 16 Next »

Inledning

Förutsättning: Federationsmedlem är ansluten enligt Anslutningspolicy för federationsmedlemmar

Den här registreringspolicyn beskriver hur en teknisk komponent tas in i federationen för Samordnad identitet och behörighet (”federationen”) och hur komponentens metadata och tillitsinformation hanteras under hela livscykeln från registrering, validering, publicering, uppdatering till avregistrering.

Policyn är styrande för anslutningsoperatörens registreringsarbete och används som stöd för federationsmedlemmars administrativa och tekniska kontaktpersoner.

Policyn beskriver processen och den tekniska hanteringen på artefaktnivå, dvs. vilka federationsobjekt som skapas och uppdateras

Detaljerade protokoll och interoperabilitetskrav (t.ex. exakta fältkrav, säkerhetsparametrar, endpoints) återfinns i separata tekniska profiler och tekniska anslutningsregler. Denna policy hänvisar till dessa dokument när de finns fastställda.

Omfattning och tillämpning

Här beskrivet vi koppling till avtal, villkor och meta dataregistrering, Definierar när policyn gäller så som vid nyregistrering, uppdatering och avregistrering

Roller och ansvar

Här beskriver vi roller som träffas av policyn samt relationerna mellan roller ex Anslutningsoperatör, Federationsmedlem 

Koppling/referens bör finnas till anslutnignspolicy/avtal här?

Ledningsaktör

kanske ska beskrivas?

Federationsoperatör 

kanske ska beskrivas? 

Anslutningsoperatör

Anslutningsoperatör är den organisation/funktion som:

tar emot och handlägger ansökningar från federationsmedlemmar,

genomför registreringskontroller och beslutsunderlag,

godkänner och avregistrerar federationsmedlemmar och deras komponenter, och

driver den tekniska funktionen för anslutning/registrering (t.ex. “anslutningstjänst”) och tillhörande register.

I federationsmodellen kan anslutningsoperatören ha delegerat ansvar från överordnad federationsfunktion och förväntas kunna godkänna/avregistrera komponenter och deras metadata?

Federationsmedlem

Federationsmedlem är en organisation som ansluter en eller flera tekniska komponenter till federationen och nyttjar federationens tillitsinformation för samverkan. Federationsmedlemmar förutsätts ingå avtal med anslutningsoperatör för att kunna placera komponenter i federationen.

Teknisk komponent
Med teknisk komponent avses i denna policy en federationsentitet som federationsmedlem ansluter och som ska kunna upptäckas och valideras genom federationens metadata/tillitsinformation. Exempel på komponenttyper:

  • legitimeringstjänst/OP,
  • förlitande part/RP,
  • auktorisationstjänst/AS,
  • resurs/API (RS) och API-klient,
  • attribut-/informationskälla??,
  • övriga om jag missat nån federationsprotokollentiteter enligt tekniska profil(er).

Trust Mark Issuer kanske ska heta nåt annart så som egenskapsintygutföärdare 

Trust Mark Issuer är en federationsentitet som utfärdar Trust Marks, dvs signerade intyg om xyz

Federationsmiljöer

Beskriver krav kopplade till olika miljöer såsom test, QA och produktion. Reglerar hur komponenter får flyttas mellan miljöer och vilka krav som gäller per miljö.

Registreringsbara tekniska komponenter

Specificerar vilka typer av komponenter som får registreras, exempelvis IdP, SP, attributtjänster osv. 

Process för registrering och verifiering av metadata

Villkor för organisatorisk koppling, behörigföreträdare mm koppling/referat till anslutningspolicy

Här regleras organisatorisk koppling, behörig företrädare och publicerbarhet på någon nivå, samt att detaljerade tekniska krav/test  det senare kanske ligger under tekniska anslutnings regler?
Koppling finns troligen till  Anslutningspolicy (behörighet/anslutningsvillkor), Tekniska anslutningsregler (detaljer).

Förutsättningar för att registrering får initieras

Här anges att registrering endast får initieras av behörig företrädare (utsedd administrativ/teknisk kontakt) och att organisationen omfattas av anslutningsvillkoren.
Koppling: Anslutningspolicy (medlemskap, roller, behörig företrädare).

Villkor för organisatorisk koppling

Här beskrivs hur komponenten ska kopplas till rätt organisation (t.ex. orgnr/orgnamn) och hur operatören verifierar kopplingen beskriv hur och kolla koppling till Anslutningspolicy för federationsmedlemmar

Inlämning av metadata för registrering

Här beskrivs antingen vilka metadata som minst ska lämnas in kanske på typnivå (identifierare, orginfo, nycklar, endpoints, kontakt) eller så ska vi lista alla fält? 

Grundläggande verifiering inför publicering

Här beskrivs vilken verifiering som alltid görs innan publicering, 

Beslut, publicering och återkoppling

Här beskrivs beslutspunkten (godkänn/avvisa/kräv komplettering), hur publicering sker i federationen samt hur medlemmen får återkoppling. Här borde det finns en del klurigheter så som vad som händer vid avslag och vad som ses som myndighetsutövning osv? 

Hantering av avvikelser, spärrar och avregistrering

Här beskrivs vad som händer om organisatorisk koppling inte kan styrkas eller om metadata bedöms inte vara publicerbar.

Metadataregler

Beskriver övergripande regler för hur teknisk metadata för en federerad komponent ska vara utformad, vad den ska innehålla och hur den valideras. Syftet ät att metadata kan publiceras och användas för automatiserad tillitsetablering och interoperabilitet i federationen. Metadatareglerna gäller för federationsmedlemmars tekniska komponenter som registreras i federationen oavsett roll (t.ex. utfärdare/auktorisationsserver, förlitande part/klient, eller andra federationstjänster).

Teknisk metadata - organisationnr, orgnamn, entity_id, nycklar mm
Reglerar struktur, innehåll och validering av metadata. Anger obligatoriska element såsom organisationsinformation, endpoints, certifikat osv.

Metadata ska knytas till en teknisk komponent via en entydig identifierare dessutom ska metadata bära tillräcklig organisationsinformation för att koppla komponenten till ansvarig federationsmedlem det skulle kunna vara ex: 

  • organisationsnummer,
  • organisationsnamn,
  • relevanta kontaktuppgifter (administrativ och teknisk kontakt),
  • eventuell koppling till avtal/anslutningsrelation
  • mm
  • ELLER så är det en hänvisning till den svenska iodf profileneller nåt annat? 

Identifierare och organisationsuppgifter ska vara stabila över tid. Ändring av dessa uppgifter sker enligt nån process nånstans som inte beskrivits ännu. 

Egenskapsintyg

Ett egenskapsintyg är ett digitalt, signerat intyg som uttrycker vissa egenskaper hos en aktör eller dess tekniska komponenter på ett standardiserat och maskinläsbart sätt, så att det kan verifieras och användas automatiserat.

Det används för att styrka förutsättningar eller statusar som är relevanta för samverkan, till exempel att ett visst avtal är tecknat? eller andra organisatoriska/tekniska villkor är uppfyllda?

Det ska inte användas för att uttrycka juridisk behörighet eller beslutsmandat? (sånt hör hemma i särskilda behörighetsintyg/behörighetshandlingar).

Tekniska krav på komponenter

Anger krav på protokollstöd, säkerhetskonfiguration, signering och kryptering. Reglerar användning av specificerade profiler och tekniska standarder.

Attribut- och identitetsregler

Definierar vilka attributuppsättningar som får levereras och under vilka förutsättningar. Reglerar särskilda fall såsom organisationsidentiteter och samordningsnummer.

Test och verifiering


Beskriver processen för teknisk granskning och verifiering innan produktionssättning. Anger krav på testfall, interoperabilitet och säkerhetskontroller.

Förändringshantering - kanske ska slå ihop med Kap 13. 

Reglerar hur ändringar i metadata, certifikat, endpoints eller funktionalitet ska hanteras. Anger krav på notifiering och eventuell "omgranskning".

Löpande uppföljning och kontroller

Fastställer mekanismer för kontinuerlig validering av metadata och teknisk efterlevnad i syfte att möjliggör revision, stickprov(er) och incidentbaserad kontroll(er).

Avregistrering och återkallelse

Reglerar hur komponenter avregistreras frivilligt eller genom beslut. Anger hur metadata tas bort och hur tillit återkallas vid allvarliga avvikelser.

Versionshantering och uppdatering

Beskriver hur nya versioner av tekniska krav införs och tidsramar för anpassning. Fastställer hur policyn själv uppdateras och träder i kraft.













--------------------------------Tankar och noteringar--------------------------------


Registreringspolicy för tekniska komponenter




Normhierki

  1. OpenID Federation 1.0: definierar Entity Statements, trust chains, metadata-ramen och de informational metadata parametrar som bl.a. inkluderar description (alltså exakt den typ av semantik vi vill uttrycka) 

  2. Svensk OpenID Federation-profil: preciserar hur (1) ska användas i svensk kontext (t.ex. val av identifierare, roller, constraints, ev. trust marks m.m.)

  3. Registreringspolicy för tekniska komponenter anger vad attributen faktiskt signalerar och betyder i detta sammanhang.

2. Vad andra parter kan förutsätta

När en teknisk komponent är registrerad enligt denna policy kan andra parter i federationen förutsätta att:

  • Komponenten är kopplad till rätt federationsmedlem (juridisk person) via stabil organisationsinformation i metadata .

  • Komponentens identifierare och domän är valda så att det finns en rimlig och kontrollerbar koppling mellan komponenten och organisationens domän(er) (motverkar “spoofing” och felregistrering) .

  • Metadata-attributens semantik är entydig: samma attribut betyder samma sak oavsett anslutningsoperatör, och används som underlag för maskinell validering/resolution .

  • Det finns en identifierbar registreringspolicy som anger vilket regelverk som gällde när komponenten togs in (policy-URI i federationens intyg/uttalanden) .

3. Omfattning och avgränsning

Omfattar:

  • Semantik (betydelse) för metadata-attribut som används vid registrering av tekniska komponenter, inklusive organisationsuppgifter, kontaktuppgifter, identifierare, nyckelreferenser och protokollrelaterade metadata.

  • Övergripande ställningstaganden om hur metadata ska stödja interoperabilitet och tillit.

Omfattar inte:

  • Exakta fältkrav per profil, protokollspecifika detaljkrav, algoritmlistor, endpoint-valideringar eller testfall (det hör hemma i krav/spec/profil) .

  • Organisationsverifiering och mandatkedjor för att bli federationsmedlem (det hör hemma i anslutningspolicyn) .

4. Roller och ansvar (policy-nivå)

  • Ledningsaktör fastställer policyn och kan kräva uppföljning/revision av efterlevnad.

  • Federationsoperatör (om rollen finns separat) ansvarar för federationens övergripande tillitsram och publicering av tillitsinfrastruktur.

  • Anslutningsoperatör / Registreringsfunktion (Federation Registration Entity) ansvarar för att registrering sker enligt policyn och att policyidentifierare används i federationens uttalanden om entiteter .

  • Federationsmedlem ansvarar för att lämnad metadata är korrekt, aktuell och att förändringar hanteras enligt federationsprocesser .

5. Definitioner

  • Teknisk komponent: federationsentitet som registreras och blir upptäckbar via federationens metadata/tillitsinformation (t.ex. OP, RP/klient, AS, resurs/API) .

  • Entity Identifier (entity_id / entity_identifier): entydig identifierare (URI) för entiteten i OpenID Federation .

  • Entity Configuration: entitetens självdeklaration enligt OpenID Federation (kan vara hostad) .

  • Subordinate Statement: federationsuttalande som en överordnad entitet signerar vid registrering och därmed “vittnar” om vissa bindningar (nyckel↔identifierare, medlemskap, kontroller) .

  • Registreringspolicy-URI: stabil identifierare som anger vilken registreringspolicy som tillämpats för registreringen .

6. Grundläggande ställningstaganden (vad och varför)

  1. Registrering är tillitsskapande, inte bara administration.
    Registrering ska göra det möjligt för andra parter att på maskinell väg avgöra vem som står bakom en komponent och hur den kan användas säkert.

  2. Metadata ska vara begriplig och verifierbar.
    Där metadata pekar ut identitet (namn, org-id, domän, kontakt) ska den vara spårbar till federationsmedlemmens verifierade organisationsuppgifter och validerade domän(er) .

  3. Deskriptiv metadata fixeras vid registrering; säkerhets- och funktionspolicy koncentreras högre upp.
    Registreringsfunktionen ska främst styra/deskribera sådant som kontrolleras vid registrering (visningsnamn, organisationskoppling). Mer komplexa säkerhets-/funktionsrestriktioner bör ligga i trust anchor-policy för att minska konflikt- och mergeproblem .

  4. Policyidentifierare är obligatorisk del av tillit.
    Andra parter ska kunna se vilket regelverk som gällde vid intag av komponenten (t.ex. via registreringspolicy-claim/policy-URI) .



  • No labels