Ena IAM - Pilot

Sammanfattning

Denna Proof of Concept (POC) syftar till att praktiskt testa och demonstrera hur en federativ infrastruktur enligt OpenID Federation-modellen kan realiseras i Ena för digital samverkan mellan organisationer. Fokus ligger på att visa hur en användare i Organisation A genom sitt system kan anropa ett skyddat API i Organisation B, där säkerhets- och tillitsinformation förmedlas via federationsinfrastrukturen (FI-serien) och används i faktiska samverkansflöden (DS-serien).

Pilotens komponenter byggs upp enbart för testmiljön. Det handlar alltså inte om en skarp pilot med riktiga aktörer i en produktionsmiljö, utan om en teknisk modell för att verifiera arkitektur, flöden och specifikationer.

Tabellerna nedan beskriver de användningsfall som piloten omfattar. Varje användningsfall dokumenteras med:

Användningsfallen i FI-serien (FI010–FI040) fokuserar på den tekniska federationsinfrastrukturen. Användningsfallen i DS-serien (DS001–DS004) demonstrerar den faktiska digitala samverkan mellan organisationer med stöd av infrastrukturen.l

Tillsammans visar dessa användningsfall hela kedjan: från att etablera federativ tillit via FI-serien till att praktiskt realisera digital samverkan mellan två organisationer via DS-serien.

Användningsfall

Översikt OIDF-struktur

Federationsinfrastruktur

FI-serien (FI010–FI040) beskriver hur federationsinfrastrukturens centrala komponenter tillsammans etablerar den tekniska tilliten i en federation. I dessa användningsfall visas hur en Tillitsankartjänst publicerar och signerar metadata, hur en Anslutningstjänst kan agera mellanled och applicera lokala policies, hur en Uppslags- och verifieringstjänst bygger och validerar hela tillitskedjan, samt hur en Tillitsmärkestjänst utfärdar och verifierar tillitsmärken som styrker efterlevnad av tillitsskapande krav. Tillsammans utgör de grunden för att federationens parter ska kunna lita på varandra och möjliggör att den digitala samverkan i DS-serien kan realiseras på ett säkert och verifierbart sätt.

Mål med piloten

  1. Ett konkret förslag till struktur för en "initial" federationsträd! Dvs det realisaras i gemensamt sammankopplade sandbox-miljöer
  2. Verifiera användningsfallen

Översikt

AnvändningsfallBeskrivningPOC AcceptanskriterierIngående komponenter (ansvarig aktör)Lösningsmönster & SpecifikationerKommentar
FI010 – Metadatapublicering TillitsankartjänstEn Tillitsankartjänst (Trust Anchor) publicerar och signerar sitt metadata.

Verksamhetskriterier

  • Anslutningstjänst registrerad som entitet
  • Tillitsmärkestjänst registrerad som entitet
  • Policy?

Teknikkriterier

  • Tillitsankartjänst publicerar Entity Configuration enligt specifikation
  • Tillitsankartjänst publicerar Entity Statement enligt specifikation
  • Tillitsankartjänst Subordinate listing enligt specifikation
  • Policyhantering enligt specifikation
  • Tillitsankartjänst (Trust Anchor)
    • Digg
    • Internetstiftelsen

OpenID Federation Specification

Kommande: Ena Infrastructure OIDF Profile


Grund för teknisk tillit i federationen.
FI020 –Metadatapublicering AnslutningstjänstValidera att Anslutningstjänst publicerar och signerar sitt metadata

Verksamhetskriterier

  • Tjänst (Federationmedlem) registrerad som entitet

Teknikkriterier

  • Anslutningstjänst publicerar Entity Configuration enligt specifikation
    • Authority_hint enligt specifikation
  • Anslutningstjänst publicerar Entity Statement enligt specifikation
    • Om underordnad tjänst
  • Anslutningstjänst Subordinate listing enligt specifikation
  • Anslutningstjänst (Intermediate Entity)
    • Digg
    • Internetstiftelsen

OpenID Federation Specification

Möjliggör skalbarhet och delegerad tillit.

FI030 – Metadatavalidering

Kontrollera att trust chain kan byggas korrekt (top-down/bottom-up), signaturer verifieras och metadata returneras komplett.

Verksamhetskriterier

  • Uppslags- och verifieringstjänst (Resolver) registrerad som entitet
  • Ett Resolve-anrop kan göras för vald Tillitsmärkestjänst och valda Tillitsmärken

Teknikkriterier

  • Implementerar Resolve-entity enligt OpenID Federation Specification
    • Validerar digitala signaturer och certifikatkedjor enligt specifikationen
  • Tillämpning av definierad federation-policy vid verifiering
    • Endast verifierad metadata returneras till förlitande parter
  • Uppslags- och verifieringstjänst (Resolver)
    • Digg
    • Internetstiftelsen

OpenID Federation Specification

Avlastar digitala tjänster från komplex verifieringslogik.
FI040 – TillitsmärkeshanteringSäkerställa att tillitsmärken är signerade, giltiga och verifierbara enligt policy.

Verksamhetskriterier

  • Tillitsmärke utfärdat till:
    • Klient
    • Auktorisationstjänst(er)
    • API

Teknikkriterier

  • Tillitsmärkestjänst implementerad enligt OpenID Federation Specifikationen

    • Publicerar signerade tillitsmärken

    • Följer federation-policy för tillitsmärkets typ, innehåll och giltighet

  • Uppslags- och verifieringstjänst (Resolver)
    • Digg
    • Internetstiftelsen

OpenID Federation Specification

Möjliggör automatiserad kontroll av regelefterlevnad.
FI050 - MetadatapubliceringValidera att anslutna komponenter publicerar och signerar sitt metadata

Verksamhetskriterier

  • Komponent (för Federationmedlem) registrerad som entitet

Teknikkriterier

  • Komponent publicerar Entity Configuration enligt specifikation
    • Authority_hint enligt specifikation
    • Trust_marks enligt specifikation
  • Klient
    • Appva
  • Auktorisationstjänster(er)
    • Digg
    • Internetstiftelsen
  • Resource Server (API)

OpenID Federation Specification


Digital samverkan

DS-serien (DS001–DS004) demonstrerar den praktiska digitala samverkan över organisationsgränser, där federationsinfrastrukturen används i faktiska åtkomstflöden. Användningsfallen visar hur en användare loggar in i ett system och etablerar en session, hur lokala auktorisationstjänster tillämpar policies och återanvänder inloggningar via SSO, hur åtkomstbegäran kan riktas mot en annan organisation och besvaras med intyg, samt hur metadata för legitimering och auktorisation hanteras och verifieras via federationsinfrastrukturen. Tillsammans visar dessa flöden hur federativ tillit omsätts i säker åtkomst och informationsutbyte mellan organisationer

Beskrivning Pilot Appva-EHM

  1. Cross-domain

Relevanta specifikationer som används:

Kort-namnBeskrivning
authn-authz-patterns"Mönster för autentisering och auktorisation"
Övergripande beskrivning av mönster för autentisering och auktorisation. Konceptuell,  ej normativ.
inter-domain-calls"API-anrop över organisationsgränser"
Övergripande beskrivning av mönster för anrop över organisationsgränser. Konceptuell, ej normativ.
ena-oauth2-authn-bp

"Ena OAuth 2.0 User Authentication Best Practises"

Best practises för integration av befintlig inloggningslösning med OAuth 2.0. Konceptuell, ej normativ. 

ena-oauth2-profile"Ena OAuth 2.0 Interoperability Profile"
Ena Basprofil för användning av OAuth 2.0 i Ena-sammanhang. Grundläggande specifikation för all tillämpning av OAuth där den förekommer. Normativ. 
ena-oauth2-chaining

"Ena OAuth 2.0 Token Exchange Profile for Chaining Identity and Authorization"

Enaprofil för token exchange och auktorisation över organisationsgränser.

oidf-spec

"OpenID Federation 1.0 - draft 43"

poc-attributspec

"POC attributspecifikation vård/hälsa"

En specifikation som beskriver claims för att bära behörighetsgrundande information för användning i POC/Pilot. 

OBS - Behöver tas fram!


AnvändningsfallBeskrivningPOC Acceptanskriterier
Batch-lösningen är ett pilotval; i full drift används realtidsupplösning via Resolver.


Ingående komponenter (ansvarig aktör)Lösningsmönster & SpecifikationerKommentar
DS010 – Inloggning i systemEn användare loggar in i System A via en legitimeringstjänst (SAML IdP). Resultatet är en aktiv inloggningssession i System A

Verksamhetskriterier

1. Användare är inloggad i systemet

2. Inloggning av användare sker enligt / mha Sambi och Sambis tekniska ramverk


Teknikkriterier

Övrigt

3. Kandidat: De delar i inloggningslösning som använder OAuth följer ena-oauth2-profile.

  • Legitimeringstjänst (IdP – Org A)
  • System A (System A– Org A)

SAML 2.0, Single Sign-On

ena-oauth2-profile

ena-oauth2-authn-bp

Grundförutsättning för federativ åtkomst.
DS020 – Lokal auktorisationKlient interagerar med en lokal auktorisationstjänst för att fastställa användarens behörigheter. SSO återanvänder sessionen mot IdP för andra system.

Verifiera att lokal auktorisation fungerar och att SSO-sessionen kan återanvändas.

Verksamhetskriterier

1. AS i Domän A ("AS-A") har en säkerställd uppfattning om användaren

2. MCSS har ett underlag i form av en signerad JWT med rätt innehåll som underlag för åtkomstbegäran mot org B


Teknikkriterier

3. MCSS initierar Auth grant w. code enligt ena-oauth2-authn-bp, kap 2.2 eller 2.3.
  3a. basprofil enligt xx

4. MSCC utför token exchange mot AS-A enligt ena-oauth2-chaining, kap 3.3

  4a. basprofil enligt xx

5. Claims i JWT för auth grant följer specifikation poc-attributspec, enligt ...

  • MSCC som klient följer oauth-oauth2-profile i relevanta delar
  • AS domän A följer oauth-oauth2-profile i relevanta delar
  • Auktorisationstjänst (Org A) Legitimeringstjänst (IdP – Org A) System A

OIDC/OAuth2 (Access Token, ID Token), SAML SSO

ena-oauth2-profile

ena-oauth2-chaining

Möjliggör lokal policytillämpning och SSO-flöde.
DS030 – Åtkomstbegäran till annan organisationSystem A begär åtkomstintyg från Organisation B:s auktorisationstjänst för att få åtkomst till resurs i B:s miljö.

Kontrollera att Organisation B:s auktorisationstjänst kan utfärda och returnera giltigt intyg som System A kan validera.


Verksamhetskriterier

1. AS-B kan ta emot och tolka anrop om auth grant


Teknikkriterier

2. MCSS utför authorization grant mot AS i domän B ("AS-B") enligt ena-oauth2-chaining, kap 3.4

  2a. profil xx

  • MSCC som klient följer oauth-oauth2-profile i relevanta delar

3. AS domän B följer chaining xx

  3b. oauth-oauth2-profile i relevanta delar xx

  • Auktorisationstjänst (Org B) Resursserver (Org B) System A (Org A)

OIDC/OAuth2 Token Exchange, JWT Grants

ena-oauth2-profile

ena-oauth2-chaining

poc-attributspec

Möjliggör system-till-system-samverkan över organisationsgränser.
DS040 – Metadatahantering via federationsinfrastrukturMetadata för IdP, RP och auktorisationstjänster hanteras via OIDF-federationskomponenter.

Säkerställa att metadata kan hämtas, verifieras och cache:as via Resolver, och att trust chain kan valideras till Tillitsankaren.


Verksamhetskriterier

1. MCSS har access token att använda


Teknikkriterier

2. AS domän A som klient till AS-B följer oauth-oauth2-profile i relevanta delar

  2a. profil xx

3. AS-B kan verifiera klient (MCSS) mot metadata genom client_assertion

  3a. chaining xx

  3b. basprofil xx

  3c. oidf-spec entity type client xx

4. AS-B kan verifiera AS-A mot metadata genom "user assertion"

  4a. chaining xx

  4b. profil xx

  4c. oidf entity typ as xx

5. AS-B kan verifiera att entitet AS-A i metadata även har "Pilotsmärke"

  5a. oidf TM xx

6. AS-B kan tolka claims för behörighetsgrundande attribut

  6a. "handbok"

  • Se tabell ovan 

oidf-spec OpenID Federation 1.0, Entity Statements, Trust Chains, Trust Marks

ena-oauth2-profile
DS050 - API-anrop Cross Domain

Verksamhetskriterier

1. MCSS kan göra lyckat API-anrop mot NLL 


ena-oauth2-profile


Testfall 1: Användare loggar in i MCSS och hämtar NLL-data.

Del DS010

  1. Användare loggar in i MCSS
    1. DS010-1 Okulärbesiktning av inloggningsflöde. Titta i MSCC-loggar? Titta i IDP-logg?
    2. DS010-2 Kolla MCSS eller IDP-logg

Del DS020

  1. Användaren utför något som initiera hämtning av information från NLL
    1. okulärt
  2. MCSS startar code flow mot AS-A.
    1. DS020-1 Kan vi verifiera detta? 
    2. DS020-3 & 3a: kolla MCSS & AS-A loggar request/response
  3. MCSS intygsväxlar mot AS-A
    1. DS020-4 & 4a kolla MCSS-loggar & AS-A-loggar req/resp
    2. DS020-2 & DS020-5 kolla token (user jwt)

Del DS030

  1. MSCC anropar AS-B
    1. DS030-2 & 2a och DS030-1 kolla MCSS-loggar och AS-B-loggar req/res.
    2. DS030-3 & 3b kolla AS-B-loggar

Negativa testfall av AS-B avseende expiry, granttype, client assertion type, client_id etc testas inte här - ehm kvalitetsäkring av AS-B

Del DS040

  1. AS-B verifierar MCSS som klient
    1. DS040-2: anrop accepterat, kolla loggar AS-B
    2. DS040-3: kolla loggar + kolla metadata
    3. DS040-3: ta bort metadata-entitet för MCSS
    4. DS040-3: fel nyckel i entitet för MCSS
    5. DS040-3: fel entitetstyp (ej client) för MCSS
  2. AS-B verifierar AS-A
    1. DS040-4: kollar logger + kolla metadata
    2. DS040-4: ta bort metadata-entitet för AS-A
    3. DS040-4: fel nyckel i entitet för AS-A
    4. DS040-4: fel entitetstyp (ej authorization_server) för AS-A
  3. AS-B verifierar tillitsmärke
    1. DS040-5 kollar logger + kolla metadata
    2. DS040-5 ta bort tillitsmärke
    3. DS040-5 byt tillitsmärke (ej längre det "pilotmärke" vi förväntar oss)
  4. AS-B access token
    1. DS040-6 & 6a & DS040-1 claims finns i accesstoken 

Del DS050

  1. MCSS för API-anrop mot NLL
    1. DS050-1 lyckat anrop med positivt svar