Strukturerad tillit mellan parter i en federation behövs för att möjliggöra säker och effektiv informationsdelning mellan olika organisationer. Detta är särskilt viktigt inom offentlig förvaltning där komplexa värdenätverk kräver samordnad digital infrastruktur. Tillit kan delas in i tre huvudsakliga områden:
Verksamhetstillit – baserat på lagar och reglering.
Informationstillit – etableras via informationssäkerhet och gemensamma överenskommelser.
Teknisk tillit – genom tekniska standarder och säkerhetskrav.
Inom en federation förmedlar federationens aktörer strukturerad information som parterna behöver kunna lita på. Dessa är kan beskrivas som tillitsobjekt:
Metadata
Innehåller information om organisationer, intygsutgivning och tekniska anslutningar. Valideras och verifieras av federationsoperatören.
Intyg
Förmedlar påståenden om en användare, såsom autentisering och attribut. Intygsförmedling sker direkt mellan parter.
Intygsbegäran
Initierar en åtkomstförfrågan baserat på ett intyg. Viktigt med säker hantering och syftesbegränsning.
Kontext
En ram inom vilken övriga tillitsobjekt verkar. Kontexter kan påverka interoperabilitet och säkerhetskrav
Exempel på vilken typ av tillit som förmedlas av vilket tillitsobjekt
| Tillitsobjekt | Verksamhetstillit | Informationstillit | Teknisk tillit |
|---|---|---|---|
| Metadata | ❍ | ◉ (indirekt) | ★★★ |
| Intyg | ◉ (indirekt) | ★★ | ★★ |
| Intygsbegäran | ★★ | ★★ | ★ |
| Kontext | ★★★ | ◉ (indirekt) | ◉ (indirekt) |
★ = stark koppling, ◉ = viss koppling, ❍ = ingen direkt koppling
Tillitsobjekt är de strukturerade delar i en federation som parterna behöver kunna lita på. Dessa är:
| Tillitsnivå | Beskrivning | Koppling till tillitsobjekt |
|---|---|---|
| Verksamhetstillit | Juridisk och organisatorisk tillit, grundad i lagar, avtal och tillsyn. | → Påverkar kontext och intygsbegäran, där det är avgörande att rätt företrädare hanterar information i enlighet med regler och ansvarsfördelning. |
| Informationstillit | Tillit till korrekthet, hantering och skydd av information mellan parter. | → Knyts främst till intyg och intygsbegäran, eftersom dessa innehåller känsliga påståenden om användare som måste hanteras och skyddas korrekt. |
| Teknisk tillit | Tillit till tekniska lösningar, t.ex. autentisering, säker kommunikation, systemintegrationer. | → Relaterar starkt till metadata (beskriver teknisk konfiguration och identitet) samt till innehållet i intyg och intygsbegäran (autentiseringsnivå). |
Funktionsobjekten beskriver processer och tekniska komponenter som bygger upp tillitsobjekten. Exempel:
Användaridentifiering – Hur identiteten säkerställs (t.ex. 2FA).
Autentiseringsmetod – Teknik för autentisering (t.ex. lösenord, e-legitimation).
Attributshantering – Process för korrekthet i användarattribut.
Attributkälla – Källsystem (t.ex. kataloger) för attribut.
Intygsutfärdare – Komponenter som genererar intyg (t.ex. IdP).
Åtkomstkontroll – Komponenter som kontrollerar åtkomst (t.ex. SP).
Federationsanslutning – Process för teknisk anslutning till federationen.
Organisationsanslutning – Process för att säkerställa rätt organisationstillhörighet.
Specialobjekt – Komplexa externa komponenter som kan beröra flera tillitsobjekt.
| Tillitsobjekt | Tillhörande funktionsobjekt |
|---|---|
| Intyg | Användaridentifiering, Autentiseringsmetod, Attributshantering, Attributkälla, Intygsutfärdare |
| Intygsbegäran | Åtkomstkontroll |
| Metadata | Federationsanslutning |
| Kontext | Organisationsanslutning |
| Samtliga | Specialobjekt (kan relatera till alla tillitsobjekt) |
Vill du ha en visuell sammanfattning (t.ex. diagram) av detta också?
Exempel på vilka tillitsmärken som krävs för en teknisk komponent:
Komponenten Auktorisationstjänst behöver inneha 3 tillitsmärken utifrån vilka funktioner/förmågor som Auktorisationtjänsten tillhandahåller till federationen.
| Komponent | Tillitsmärke | Funktionsobjekt | Tekniska krav | Fysiska krav | Administrativ krav | Organisatoriska krav |
|---|---|---|---|---|---|---|
| Auktorisationstjänst | Ena-Intyg | Intygsutfärdning | T1 | F1 | A1 | O1 |
| T2 | F2 | |||||
| Ena-Attribut | Attributkälla | T3 | O2 | |||
| Attributhantering | F5 | A5 | O3 | |||
| Ena-organisation | Organisationsanslutning | O4 |