Nedan är operativa tumregler för att avgöra var ett krav eller en regel hör hemma i din artefakt-arkitektur. De är formulerade som beslutskriterier och gränsdragningar för att minimera överlapp och normkonflikter.
När du formulerar ett krav – avgör först om det normerar:
Villkor för att delta → Anslutningspolicy
Egenskaper/förmågor som krävs i federationen → Tekniska anslutningsregler
Process för att få in en komponent → Registreringspolicy
Exakt teknisk implementation → Tekniskt ramverk
Det är alltid objektet för normeringen som styr placeringen.
Kravet gäller organisationen som aktör
Kravet kan uppfyllas utan att du vet vilken teknik som används
Kravet är kopplat till avtal, ansvar eller sanktion
Kravet är av typen “måste ha förmåga att…”
“Aktören ska…”
“Anslutning får ske om…”
“Aktören ansvarar för…”
“Vid bristande efterlevnad kan…”
Krav på algoritmer, claims, attributformat
Testfall
Konfigurationsdetaljer
Metadatafält
Om du kan byta ut “SAML/OIDC” mot “valfri teknik” utan att texten påverkas → då hör det hit.
Kravet beskriver vilken egenskaper federationer/komponenter måste ha
Kravet gäller alla tekniker i federationskontexten
Kravet uttrycks som säkerhets- eller interoperabilitetsnivå
Du kan formulera det utan att nämna ett protokoll
“Autentisering ska uppnå minst nivå X.”
“Kryptografiskt skydd ska säkerställa…”
“Metadata ska vara korrekt och aktuell.”
“Spårbarhet ska möjliggöra…”
“ID Token ska innehålla…”
“Assertion ska signeras med…”
Endpoint-URL-format
Claim-namn
Om du behöver nämna ett specifikt protokollelement → då är du på väg ner i ramverket.
Kravet beskriver hur en komponent tas in i federationen
Det rör ansökningsförfarande, verifiering, test, godkännande
Det är kopplat till förändringshantering
Det är kopplat till evidenskrav
“För registrering ska följande lämnas in…”
“Före produktionssättning ska…”
“Vid ändring av nyckelmaterial ska…”
Generella säkerhetsprinciper
Federationsövergripande krav
Protokollspecifika MUST/SHOULD-detaljer (de hör hemma i ramverket)
Om kravet upphör att vara relevant efter att komponenten är godkänd → då hör det sannolikt hit.
Kravet är testbart på protokollnivå
Du använder MUST/SHOULD/MAY
Du refererar till RFC/OASIS-specifikationer
Det påverkar interoperabilitet direkt
“ID Token MUST be signed using…”
“Assertion SHALL contain…”
“Clients MUST support…”
“Metadata SHALL include…”
Avtalsvillkor
Sanktioner
Organisationskrav
Allmänna säkerhetsprinciper utan teknisk konkretisering
Gäller kravet organisationens rätt eller ansvar att delta?
→ Anslutningspolicy
Gäller det vilken säkerhets-/interoperabilitetsegenskap federationen ska ha?
→ Tekniska anslutningsregler
Gäller det hur en komponent tas in, testas eller ändras?
→ Registreringspolicy
Gäller det exakt hur protokollet ska implementeras?
→ Tekniskt ramverk
Policy säger att
Regler säger vad
Registrering säger hur processen går till
Ramverk säger exakt hur tekniken ska bete sig
Om ett dokument börjar svara på en fråga som hör hemma i ett annat lager → du är på väg att skapa normkonflikt.
Om två dokument verkar säga olika saker:
Tekniskt ramverk konkretiserar – det får inte motsäga högre nivå.
Registreringspolicy får inte skapa nya materiella krav som saknar stöd i regler eller ramverk.
Tekniska anslutningsregler får inte smyga in avtalskrav.
Anslutningspolicy får inte smyga in tekniska implementationer.
| Exempel | Var hör det hemma? | Varför? |
|---|---|---|
| “Aktören ska ha incidenthanteringsförmåga” | Anslutningspolicy | Organisationskrav |
| “Incidenter ska rapporteras inom 24h” | Tekniska anslutningsregler | Federationskrav på samverkan |
| “Byte av signeringscertifikat kräver ny registrering” | Registreringspolicy | Processregel |
| “SAML Assertions MUST be signed with RSA-3072” | Tekniskt ramverk | Protokollkrav |
Detta är ofta den tydligaste distinktionen:
| Dokument | Primär målgrupp |
|---|---|
| Anslutningspolicy | Juridik, ledning, styrning |
| Tekniska anslutningsregler | Säkerhetsarkitekter, federationsansvariga |
| Registreringspolicy | Onboarding-/driftansvariga |
| Tekniskt ramverk | Utvecklare och produktleverantörer |
Om fel målgrupp måste läsa dokumentet för att förstå det – då är något felplacerat.
Detta dokument beskriver hur SIB:s dokumentpaket hänger ihop och var olika typer av krav ska uttryckas. Målet är att undvika dubbelreglering och göra det tydligt vad som styr styrning, krav, process och tekniska detaljer.
Anslutningspolicy – Anslutningsoperatör
Reglerar relationen mellan Federationsoperatör och Anslutningsoperatör: vem som får bli operatör, vilka ansvar som följer, hur uppföljning sker och hur avstängning/återkallelse hanteras.
Anslutningspolicy – Federationsmedlem
Reglerar relationen mellan Anslutningsoperatör och Federationsmedlem: medlemskriterier, åtaganden, efterlevnad, sanktioner och avstängning/återkallelse på medlemsnivå.
Princip: Policys beskriver “vem och varför”, ansvar samt konsekvens vid bristande efterlevnad.
Tekniska anslutningsregler – SIB Federation
Fastställer gemensamma minimikrav som måste vara uppfyllda för att federationen ska fungera säkert och interoperabelt. Innehåller krav som går att kontrollera, och pekar vid behov ut vilket tekniskt ramverk/profil som gäller.
Princip: Här står “vad som ska uppfyllas”, inklusive versionsföljsamhet, miljöer, incident- och nyckelkrav.
Registreringspolicy – OpenID Federation/OIDC (och ev. andra kontexter)
Beskriver hur en teknisk komponent registreras, valideras, driftsätts, uppdateras och avregistreras. Anger vilka artefakter/bevis som krävs och hur kontroller genomförs.
Princip: Här står “hur man gör”, steg för steg.
Tekniskt ramverk – standarder och profiler
Innehåller exakta protokollkrav (profiler, parametrar, endpoints, claims, algoritmer, felhantering) som implementatörer behöver följa.
Princip: Här står “exakt hur det ska implementeras”.
Anslutningspolicy – Anslutningsoperatör
pekar på: Tekniska anslutningsregler, Registreringspolicy
beskriver: ackreditering, ansvar, tillsyn, avstängning/återkallelse av operatör
Anslutningspolicy – Federationsmedlem
pekar på: Tekniska anslutningsregler, Registreringspolicy,
beskriver: medlemskap, åtaganden, sanktioner, avstängning/återkallelse av medlem
Tekniska anslutningsregler – SIB Federation
pekar på: Tekniskt ramverk (profil X/Y),
beskriver: verifierbara minimikrav, miljöer, versionsföljsamhet, säkerhetskrav
Registreringspolicy – OpenID Federation/OIDC
pekar på: Tekniskt ramverk, Tekniska anslutningsregler,
beskriver: registreringsflöden, evidens, validering, publicering, ändring, avregistrering
Tekniskt ramverk – standarder och profiler
refereras av: Tekniska anslutningsregler, Registreringspolicy
beskriver: exakta protokollkrav
Om frågan är ”vem får, vem ansvarar, vad händer om…” lägg i anslutningspolicy.
Om frågan är ”vilka tekniska funktionella krav som måste vara uppfyllda och hur mäter vi det” lägg i tekniska anslutningsregler.
Om frågan är ”hur går det till i onboarding/registrering/ändring” lägg i registreringspolicy.
Om frågan är ”vilka fält/claims/endpoints/algoritmer exakt” lägg i tekniskt ramverk.
Syfte: Reglerar relationen mellan Federationsoperatör och Anslutningsoperatör (ackreditering av operatör).
Innehållsförteckning (förslag):
Syfte, omfattning och definitioner
Roller och ansvar (Federationsoperatör ↔ Anslutningsoperatör)
Tillitsstruktur för operatörsled (konsekvenser vid avstängning/återkallelse)
Kriterier för att få bli Anslutningsoperatör (juridik, säkerhet, kapacitet)
Godkännande och återkommande uppföljning (tillsyn/rapportering)
Krav på operativ förmåga (incident, förändring, kontinuitet, kommunikation)
Delegationer (t.ex. utfärdande av trust marks) – principnivå
Avstängning/återkallelse och konsekvenshantering (migrering, kommunikation)
Bilagor och hänvisningar (till tekniska anslutningsregler/ramverk)
Syfte: Reglerar relationen mellan Anslutningsoperatör och Federationsmedlem (medlemskap och efterlevnad).
Innehållsförteckning (förslag):
Syfte, omfattning och definitioner
Kriterier för medlemskap (juridik, roller, ansvar)
Tillitsstruktur för medlem (konsekvenser vid avstängning/återkallelse)
Medlemsåtaganden (metadataansvar, kontaktvägar, incident, förändring)
Godkännande, uppföljning och sanktioner
Avstängning/återkallelse (medlemsnivå)
Bilagor och hänvisningar
Gräns: Inga tekniska fältlistor—bara åtaganden och efterlevnadsprinciper.
Syfte: Definierar gemensamma, testbara krav som alla parter måste uppfylla för interoperabilitet och säker drift i SIB.
Innehållsförteckning (förslag):
Översikt: mål, tillämpning, miljöer
Gemensamma säkerhetskrav (TLS, nyckelhantering, loggning, tidsstämpling, driftinfo)
Metadata- och identitetskrav (kvalitet, aktualitet, kontaktuppgifter)
Versionsföljsamhet och övergångsregler (tidsfrister, bakåtkompatibilitet)
Krav per roll (Federationsoperatör / Anslutningsoperatör / Federationsmedlem) – utan protokollfält men med tydliga verifieringspunkter
Krav på tillitsstyrning (vilka trust marks/kategorier krävs när, principnivå)
Test, granskning och godkännande (vilka bevis krävs)
Incident- och återkallelsekrav (tekniska effekter och åtgärdstider)
Hänvisningar till tekniskt ramverk och registreringspolicy
Gräns: Här kan det finnas teknikbindning via hänvisning (“för OpenID Federation gäller Ramverk X”), men detaljparametrar ligger i ramverket.
Syfte: Beskriver hur registrering/uppdatering/avregistrering går till för federationens tekniska komponenter och metadata.
Innehållsförteckning (förslag):
Roller i registreringsprocessen (vem gör vad)
Onboardingflöde (steg för steg)
Registreringsobjekt (entitetstyper, relationer, kedjor)
Validering och kontroller (automatiska + manuella)
Miljöer: test/sandbox/produktion och flyttregler
Ändringshantering (metadata, endpoints, nycklar, certifikat)
Avpublicering och återkallelse (inkl. trust mark-status)
Loggning, spårbarhet och beslut
Driftinformation och kommunikation
Mallar: checklistor, evidenskrav, tidsfrister
Gräns: Process + kontroller. Här beskrivs “hur man gör”
Syfte: Exakta standarder/profiler och parametrar som implementatörer behöver följa.
Innehållsförteckning (förslag):
Refererade standarder och profiler
OpenID Federation-profil (exakta claims, endpointkrav, policy application)
OIDC/OAuth-profil (flöden, response types, tokenkrav, signing/encryption)
Algoritmer, nycklar, tidskrav
Felhantering och säkerhetskrav på protokollnivå
Testprofil/konformitet (testfall, assertions)
Versionering och kompatibilitet
Gräns: Endast tekniska detaljer.
Policyn gäller för anslutning till SIB-federationen inklusive:
anslutning av AO till FO,
anslutning av FM (och deras entiteter) via AO,
publicering, uppdatering, avpublicering och revokering av metadata och trust marks.
Policyn reglerar inte bilaterala nyttjandeavtal mellan FM (tjänst-till-tjänst), men kräver att federationens metadata tydligt kan uttrycka avtals-/tillitsförutsättningar via policy/tillitsmarkeringar.2. Policyramverk och harmonisering
Policyn ska bestå av tre sammanhängande delar:
A) Anslutningsvillkor (juridik/avtal),
B) Tekniska anslutningsregler,
C) Operativa rutiner (processer för drift/incident/ändring).
Tekniska anslutningsregler ska vara verifierbara och knutna till anslutningsavtal (motsvarande Sweden Connect-principen att avtal definierar ansvar/avgifter och tekniska regler beskriver hur anslutningen ska fungera).
Policyn ska säkerställa att en Operatör (FO eller AO) som ansluts till SIB:
kan upprätthålla federationens tillit (trust chain) på operatörsnivå,
kan ansluta och hantera FM enligt separata medlemskrav (FM-policy),
kan genomföra drift, incident, ändring och revokering på ett sätt som skyddar federationen och dess deltagare.
-----------------------------utkast 20260220-------------------------
På sidan:
Domän: Teknisk interoperabilitet och tillitsetablering
Typ av normativt artefakt: Policy
Status: Utkast
Gäller från: (fastställs vid beslut)
Relaterar till:
Anslutningspolicy för federationsmedlemmar (förutsättning: organisationen är verifierad och ansluten)
Tekniska profiler/anslutningsregler (operationaliserar policyn som krav, valideringar och test)
OIDF Deployment & Interoperability Profile (principer för registreringspolicy och policy-identifierare)
Denna policy beskriver vad registrering av tekniska komponenter i federationen innebär och varför varje registreringsuppgift (metadata-attribut) finns. Policyn ska göra det möjligt för federationsmedlemmar att förstå vilken tillit de kan lägga i en registrerad komponent och hur komponenten kan användas för automatiserad tillitsetablering.
Policyn tar vid efter att federationsmedlemmen är ansluten enligt anslutningspolicyn (verifierad organisation och behöriga kontaktpersoner) .
Normhierki
OpenID Federation 1.0: definierar Entity Statements, trust chains, metadata-ramen och de informational metadata parametrar som bl.a. inkluderar description (alltså exakt den typ av semantik vi vill uttrycka)
Svensk OpenID Federation-profil: preciserar hur (1) ska användas i svensk kontext (t.ex. val av identifierare, roller, constraints, ev. trust marks m.m.)
Registreringspolicy för tekniska komponenter anger vad attributen faktiskt signalerar och betyder i detta sammanhang.
När en teknisk komponent är registrerad enligt denna policy kan andra parter i federationen förutsätta att:
Komponenten är kopplad till rätt federationsmedlem (juridisk person) via stabil organisationsinformation i metadata.
Komponentens identifierare och domän är valda så att det finns en rimlig och kontrollerbar koppling mellan komponenten och organisationens domän(er) (motverkar “spoofing” och felregistrering) .
Metadata-attributens semantik är entydig: samma attribut betyder samma sak oavsett anslutningsoperatör, och används som underlag för maskinell validering/resolution .
Det finns en identifierbar registreringspolicy som anger vilket regelverk som gällde när komponenten togs in (policy-URI i federationens intyg/uttalanden) .
Omfattar:
Semantik (betydelse) för metadata-attribut som används vid registrering av tekniska komponenter, inklusive organisationsuppgifter, kontaktuppgifter, identifierare, nyckelreferenser och protokollrelaterade metadata.
Övergripande ställningstaganden om hur metadata ska stödja interoperabilitet och tillit.
Omfattar inte:
Exakta fältkrav per profil, protokollspecifika detaljkrav, algoritmlistor, endpoint-valideringar eller testfall (det hör hemma i krav/spec/profil) .
Organisationsverifiering och mandatkedjor för att bli federationsmedlem (det hör hemma i anslutningspolicyn) .
Ledningsaktör fastställer policyn och kan kräva uppföljning/revision av efterlevnad.
Federationsoperatör (om rollen finns separat) ansvarar för federationens övergripande tillitsram och publicering av tillitsinfrastruktur.
Anslutningsoperatör / Registreringsfunktion (Federation Registration Entity) ansvarar för att registrering sker enligt policyn och att policyidentifierare används i federationens uttalanden om entiteter .
Federationsmedlem ansvarar för att lämnad metadata är korrekt, aktuell och att förändringar hanteras enligt federationsprocesser .
Teknisk komponent: federationsentitet som registreras och blir upptäckbar via federationens metadata/tillitsinformation (t.ex. OP, RP/klient, AS, resurs/API) .
Entity Identifier (entity_id / entity_identifier): entydig identifierare (URI) för entiteten i OpenID Federation .
Entity Configuration: entitetens självdeklaration enligt OpenID Federation (kan vara hostad) .
Subordinate Statement: federationsuttalande som en överordnad entitet signerar vid registrering och därmed “vittnar” om vissa bindningar (nyckel↔identifierare, medlemskap, kontroller) .
Registreringspolicy-URI: stabil identifierare som anger vilken registreringspolicy som tillämpats för registreringen .
Registrering är tillitsskapande, inte bara administration.
Registrering ska göra det möjligt för andra parter att på maskinell väg avgöra vem som står bakom en komponent och hur den kan användas säkert.
Metadata ska vara begriplig och verifierbar.
Där metadata pekar ut identitet (namn, org-id, domän, kontakt) ska den vara spårbar till federationsmedlemmens verifierade organisationsuppgifter och validerade domän(er) .
Deskriptiv metadata fixeras vid registrering; säkerhets- och funktionspolicy koncentreras högre upp.
Registreringsfunktionen ska främst styra/deskribera sådant som kontrolleras vid registrering (visningsnamn, organisationskoppling). Mer komplexa säkerhets-/funktionsrestriktioner bör ligga i trust anchor-policy för att minska konflikt- och mergeproblem .
Policyidentifierare är obligatorisk del av tillit.
Andra parter ska kunna se vilket regelverk som gällde vid intag av komponenten (t.ex. via registreringspolicy-claim/policy-URI) .
Detta avsnitt är policykärnan: vad attributen betyder (motsvarande “description” i Sweden Connect-portalen) .
Betyder: Entitetens unika identifierare i federationen (URI).
Varför: Är primär nyckel för discovery, resolution och signaturbindning i federationens kedjor.
Tolkning i federationen: Ska vara stabil över tid. Ska representera entiteten på ett sätt som går att koppla till organisationens domän (minskar risk för att någon registrerar en “låtsas-entitet” på någon annans domän) .
Betyder: Organisationens identifierare enligt svensk standard (organisationsnummer, 10 siffror).
Varför: Maskinell koppling mellan teknisk komponent och juridisk person.
Tolkning i federationen: Avser ansvarig federationsmedlem, inte systemleverantör, driftleverantör eller enskild verksamhetsdel .
Betyder: Organisationens namn som visas i federationen, med språktaggar (t.ex. #sv, #en).
Varför: Mänsklig begriplighet och spårbarhet i gränssnitt/loggar/revision.
Tolkning i federationen: Ska spegla den anslutna organisationens namn, inte komponentens produktnamn .
Betyder: Kontaktuppgifter (typiskt e-post) till ansvariga kontaktpersoner för komponenten/klienten.
Varför: Incidenthantering, förändringskommunikation och spårbar förvaltning.
Tolkning i federationen: Avser federationsmedlemmens utsedda kontaktvägar (administrativ/teknisk), inte enskilda personers privata adresser .
Betyder: Namn som identifierar komponenten/klienten som OIDC-part.
Varför: Mänsklig identifiering i verktyg, loggar och UI.
Tolkning i federationen: Ska vara ett stabilt komponentnamn inom organisationens förvaltning, inte en tillfällig projektetikett .
Betyder: Namn som visas för användare (kan auto-genereras från client_name men kan skilja sig).
Varför: Användarupplevelse, begriplig samtyckes-/inloggningsdialog, minskar social engineering-risk.
Tolkning i federationen: Ska vara sant och igenkännbart för målgruppen; får inte utformas för att vilseleda om avsändare .
Betyder: HTTPS-URI till logotyp som representerar komponenten/klienten.
Varför: UI/igenkänning, minskar risken för felval.
Tolkning i federationen: Ska representera federationsmedlemmen eller tjänsten, och vara förvaltningsbar över tid .
Betyder: Länkar till webbplats, integritetspolicy och användarvillkor.
Varför: Transparens, regelefterlevnad, stöd för granskning.
Tolkning i federationen: Ska peka på innehåll som gäller den registrerade tjänsten/komponenten i den kontext där federationen används .
Betyder: Tillåtna omdirigerings-URIer efter autentisering.
Varför: Grundläggande säkerhetskontroll i OAuth/OIDC (hindrar kod/token till fel mottagare).
Tolkning i federationen: Ska representera komponentens faktiska callback-endpoints och ligga under organisationens validerade domän(er) .
Betyder: URIer där Request Objects kan hämtas (Request Object by Reference).
Varför: Stödjer mer avancerade OIDC-flöden och minskar parameterstorlek i authn-requests.
Tolkning i federationen: Ska vara förvaltningsbara och kontrollerade av federationsmedlemmen, och får inte användas som “dynamiskt innehållsintag” utan kontroll .
Betyder: Klientens metod för autentisering mot token-endpoint.
Varför: Avgör säkerhetsnivå och vilka nyckel-/hemlighetskrav som gäller.
Tolkning i federationen: Ska väljas enligt gällande svensk OIDC-profil (i Sweden Connect-kontext är private_key_jwt central) .
Betyder: Algoritm som används för klientautentisering (t.ex. vid private_key_jwt).
Varför: Interoperabilitet och säkerhet (tillåtna/otillåtna algoritmer styrs i profil/krav).
Tolkning i federationen: Är en del av komponentens säkerhetskonfiguration och ska vara konsistent med profilkrav .
Betyder: Vilka OAuth/OIDC-flöden och rättigheter klienten avser använda.
Varför: Underlättar interoperabel konfiguration och validering.
Tolkning i federationen: Ska uttrycka teknisk kompatibilitet. Ska inte tolkas som verksamhetsbeslut om åtkomst, utan som protokollförmåga .
Betyder: Signeringsalgoritmer för ID Token respektive UserInfo-svar.
Varför: Interoperabilitet och säkerhet.
Tolkning i federationen: Är säkerhetsparametrar som ska vara förenliga med profil och policy. Restriktioner operationaliseras som krav, inte här .
Betyder: Var klientens publika nycklar finns (URI) eller inbäddad JWK Set.
Varför: Nyckelmaterial behövs för signaturvalidering och klientautentisering.
Tolkning i federationen: Nyckelreferenser ska vara långsiktigt förvaltningsbara och kopplade till entiteten. Val av jwks vs jwks_uri är en implementeringsdetalj inom profilkrav .
Betyder: Entitetens självdeklarerade federation- och rollmetadata, publicerad på standardplats eller via hosting-mekanism.
Varför: Är startpunkten för federationens trust chain och metadata resolution.
Tolkning i federationen: Om hosting används måste domän-/ägarskap vara kontrollerbart, eftersom annars kan någon peka om sin entitet till en annan kontrollpunkt .
Betyder: Registreringsentitetens signerade uttalande som binder ihop entitet, nyckel och medlemskap samt kan fixera vissa deskriptiva värden.
Varför: Gör att federationens deltagare kan lita på att registrering skett enligt definierad process.
Tolkning i federationen: Ska primärt “vittna” om sådant som faktiskt kontrollerats vid registrering (organisationskoppling, namn, domänbindning, policy-identifierare) .
Betyder: Identifierar vilken registreringspolicy som tillämpades.
Varför: Transparens och maskinell/administrativ möjlighet att avgöra vilka kontroller som låg bakom ett registreringsbeslut.
Tolkning i federationen: Ska vara stabil över tid och versionshanteras på ett sätt som gör det möjligt att förstå historik .
Nyregistrering: avser att skapa en ny federationsentitet med initial “baseline”-metadata.
Uppdatering: avser ändring av metadata där semantiken är densamma men värden kan uppdateras (t.ex. nya endpoints/nycklar/contacts).
Avregistrering/återkallelse: avser att komponenten inte längre ska vara tillitsbar/upptäckbar i federationen och att tillitskedjor ska brytas på ett kontrollerat sätt .
Spårbarhet: varje registreringsbeslut ska kunna knytas till ärende/beslutsdatum och tillämpad policyversion .
Denna policy konkretiseras av:
Krav/specifikationer (exakta obligatoriska fält, valideringsregler, algoritmkrav, testkrav)
Process/rutin hos anslutningsoperatören (hur registreringsärenden initieras, granskas, beslutas, publiceras, följs upp)
Federationen ska kunna begära underlag som visar att:
registreringspolicy-URI användes vid registrering,
komponentens organisationskoppling och domänkoppling var kontrollerbar,
och att metadata-attributen som publicerats följer denna policys semantik.
(Detaljerade stickprovsmekanismer och sanktionstrappor ligger i kompletterande regelverk/krav) .
Er nuvarande “registreringspolicy v15” är till stor del process/disposition och lämnar precis det ni efterfrågar här (semantik/“description”) som ett hål . Den här texten fyller det hålet, men ni behöver fortfarande skilja policy från kravprofil så att ni inte råkar stoppa valideringsregler i fel dokument.
Ni kommer behöva städa begreppen “entity_id” vs “entity_identifier” så att ni inte skapar två ord för samma sak i svenska artefakter (Sweden Connect-portalen visar “entity_identifier”, men i andra sammanhang ser man “entity_id”) . Om ni inte gör det blir det exakt den sortens semantiska glapp som federationsdeltagare hatar.