Denna Proof of Concept (POC) syftar till att praktiskt testa och demonstrera hur en federativ infrastruktur enligt OpenID Federation-modellen kan realiseras i Ena för digital samverkan mellan organisationer. Fokus ligger på att visa hur en användare i Organisation A genom sitt system kan anropa ett skyddat API i Organisation B, där säkerhets- och tillitsinformation förmedlas via federationsinfrastrukturen (FI-serien) och används i faktiska samverkansflöden (DS-serien).
Pilotens komponenter byggs upp enbart för testmiljön. Det handlar alltså inte om en skarp pilot med riktiga aktörer i en produktionsmiljö, utan om en teknisk modell för att verifiera arkitektur, flöden och specifikationer.
Tabellerna nedan beskriver de användningsfall som piloten omfattar. Varje användningsfall dokumenteras med:
en kort beskrivning av vad som sker i steget,
POC-kriterier för att bedöma om steget lyckats,
en lista över ingående komponenter och ansvariga aktörer,
de lösningsmönster och specifikationer som används,
samt eventuella kommentarer som förklarar avgränsningar eller särskilda testfall.
Användningsfallen i FI-serien (FI010–FI040) fokuserar på den tekniska federationsinfrastrukturen. Användningsfallen i DS-serien (DS001–DS004) demonstrerar den faktiska digitala samverkan mellan organisationer med stöd av infrastrukturen.l
Tillsammans visar dessa användningsfall hela kedjan: från att etablera federativ tillit via FI-serien till att praktiskt realisera digital samverkan mellan två organisationer via DS-serien.
FI-serien (FI010–FI040) beskriver hur federationsinfrastrukturens centrala komponenter tillsammans etablerar den tekniska tilliten i en federation. I dessa användningsfall visas hur en Tillitsankartjänst publicerar och signerar metadata, hur en Anslutningstjänst kan agera mellanled och applicera lokala policies, hur en Uppslags- och verifieringstjänst bygger och validerar hela tillitskedjan, samt hur en Tillitsmärkestjänst utfärdar och verifierar tillitsmärken som styrker efterlevnad av tillitsskapande krav. Tillsammans utgör de grunden för att federationens parter ska kunna lita på varandra och möjliggör att den digitala samverkan i DS-serien kan realiseras på ett säkert och verifierbart sätt.
Mål med piloten
| Användningsfall | Beskrivning | POC-kriterier | Ingående komponenter (ansvarig aktör) | Lösningsmönster & Specifikationer | Kommentar |
|---|---|---|---|---|---|
| FI010 – Metadatapublicering Tillitsankare | En Tillitsankartjänst (Trust Anchor) publicerar och signerar sitt federation metadata statement. | Säkerställa att metadata kan publiceras, distribueras och signaturen verifieras av andra parter. |
| OpenID Federation 1.0, Entity Statements (Entity Configuration, Trust Chain) | Grund för teknisk tillit i federationen. |
| FI020 –Metadatapublicering Anslutningstjänst | En Anslutningstjänst (Intermediate Entity) agerar länk mellan Tillitsankartjänst och underordnade entiteter (OP, RP, API:er). Den kan även applicera lokala policies. | Validera att Anslutningstjänst korrekt kan hämta metadata från Tillitsankartjänst, applicera policy och vidareförmedla metadata. |
| OpenID Federation 1.0, Policy claims, Authority Hints | Möjliggör skalbarhet och delegerad tillit. |
FI030 – Metadatavalidering | En Uppslags- och verifieringstjänst (Resolver) kan hämta och verifiera metadata för en entitet genom att bygga en trust chain från Tillitsankartjänsten. | Kontrollera att trust chain kan byggas korrekt (top-down/bottom-up), signaturer verifieras och metadata returneras komplett. |
| OpenID Federation 1.0, Authority Hints, Trust Chain Resolution | Avlastar digitala tjänster från komplex verifieringslogik. |
| FI040 – Tillitsmärkeshantering | En Tillitsmärkestjänst (Trust Mark Issuer) utfärdar tillitsmärken som styrker att en entitet uppfyller definierade tillitsskapande krav. | Säkerställa att tillitsmärken är signerade, giltiga och verifierbara enligt policy. |
| OpenID Federation 1.0, Trust Marks (JWT), Policykrav | Bygger policybaserad tillit inom federationen. |
DS-serien (DS001–DS004) demonstrerar den praktiska digitala samverkan över organisationsgränser, där federationsinfrastrukturen används i faktiska åtkomstflöden. Användningsfallen visar hur en användare loggar in i ett system och etablerar en session, hur lokala auktorisationstjänster tillämpar policies och återanvänder inloggningar via SSO, hur åtkomstbegäran kan riktas mot en annan organisation och besvaras med intyg, samt hur metadata för legitimering och auktorisation hanteras och verifieras via federationsinfrastrukturen. Tillsammans visar dessa flöden hur federativ tillit omsätts i säker åtkomst och informationsutbyte mellan organisationer
| Användningsfall | Beskrivning | POC-kriterier
| Ingående komponenter (ansvarig aktör) | Lösningsmönster & Specifikationer | Kommentar | |
|---|---|---|---|---|---|---|
| DS001 – Inloggning i system | En användare loggar in i System A via en legitimeringstjänst (SAML IdP). Resultatet är en aktiv inloggningssession i System A | Säkerställa att SAML-inloggning fungerar och att sessionen etableras. |
| SAML 2.0, Single Sign-On | Grundförutsättning för federativ åtkomst. | |
| DS002 – Lokal auktorisation | Klient interagerar med en lokal auktorisationstjänst för att fastställa användarens behörigheter. SSO återanvänder sessionen mot IdP för andra system. | Verifiera att lokal auktorisation fungerar och att SSO-sessionen kan återanvändas. |
| OIDC/OAuth2 (Access Token, ID Token), SAML SSO | Möjliggör lokal policytillämpning och SSO-flöde. | |
| DS003 – Åtkomstbegäran till annan organisation | System A begär åtkomstintyg från Organisation B:s auktorisationstjänst för att få åtkomst till resurs i B:s miljö. | Kontrollera att Organisation B:s auktorisationstjänst kan utfärda och returnera giltigt intyg som System A kan validera. |
| OIDC/OAuth2 Token Exchange, JWT Grants | Möjliggör system-till-system-samverkan över organisationsgränser. | |
| DS004 – Metadatahantering via federationsinfrastruktur | Metadata för IdP, RP och auktorisationstjänster hanteras via OIDF-federationskomponenter. | Säkerställa att metadata kan hämtas, verifieras och cache:as via Resolver, och att trust chain kan valideras till Tillitsankaren. |
| OpenID Federation 1.0, Entity Statements, Trust Chains, Trust Marks | ||
| DS050 - API-anrop Cross Domain |