Nedan är operativa tumregler för att avgöra var ett krav eller en regel hör hemma i din artefakt-arkitektur. De är formulerade som beslutskriterier och gränsdragningar för att minimera överlapp och normkonflikter.
När du formulerar ett krav – avgör först om det normerar:
Villkor för att delta → Anslutningspolicy
Egenskaper/förmågor som krävs i federationen → Tekniska anslutningsregler
Process för att få in en komponent → Registreringspolicy
Exakt teknisk implementation → Tekniskt ramverk
Det är alltid objektet för normeringen som styr placeringen.
Kravet gäller organisationen som aktör
Kravet kan uppfyllas utan att du vet vilken teknik som används
Kravet är kopplat till avtal, ansvar eller sanktion
Kravet är av typen “måste ha förmåga att…”
“Aktören ska…”
“Anslutning får ske om…”
“Aktören ansvarar för…”
“Vid bristande efterlevnad kan…”
Krav på algoritmer, claims, attributformat
Testfall
Konfigurationsdetaljer
Metadatafält
Om du kan byta ut “SAML/OIDC” mot “valfri teknik” utan att texten påverkas → då hör det hit.
Kravet beskriver vilken egenskaper federationer/komponenter måste ha
Kravet gäller alla tekniker i federationskontexten
Kravet uttrycks som säkerhets- eller interoperabilitetsnivå
Du kan formulera det utan att nämna ett protokoll
“Autentisering ska uppnå minst nivå X.”
“Kryptografiskt skydd ska säkerställa…”
“Metadata ska vara korrekt och aktuell.”
“Spårbarhet ska möjliggöra…”
“ID Token ska innehålla…”
“Assertion ska signeras med…”
Endpoint-URL-format
Claim-namn
Om du behöver nämna ett specifikt protokollelement → då är du på väg ner i ramverket.
Kravet beskriver hur en komponent tas in i federationen
Det rör ansökningsförfarande, verifiering, test, godkännande
Det är kopplat till förändringshantering
Det är kopplat till evidenskrav
“För registrering ska följande lämnas in…”
“Före produktionssättning ska…”
“Vid ändring av nyckelmaterial ska…”
Generella säkerhetsprinciper
Federationsövergripande krav
Protokollspecifika MUST/SHOULD-detaljer (de hör hemma i ramverket)
Om kravet upphör att vara relevant efter att komponenten är godkänd → då hör det sannolikt hit.
Kravet är testbart på protokollnivå
Du använder MUST/SHOULD/MAY
Du refererar till RFC/OASIS-specifikationer
Det påverkar interoperabilitet direkt
“ID Token MUST be signed using…”
“Assertion SHALL contain…”
“Clients MUST support…”
“Metadata SHALL include…”
Avtalsvillkor
Sanktioner
Organisationskrav
Allmänna säkerhetsprinciper utan teknisk konkretisering
Gäller kravet organisationens rätt eller ansvar att delta?
→ Anslutningspolicy
Gäller det vilken säkerhets-/interoperabilitetsegenskap federationen ska ha?
→ Tekniska anslutningsregler
Gäller det hur en komponent tas in, testas eller ändras?
→ Registreringspolicy
Gäller det exakt hur protokollet ska implementeras?
→ Tekniskt ramverk
Policy säger att
Regler säger vad
Registrering säger hur processen går till
Ramverk säger exakt hur tekniken ska bete sig
Om ett dokument börjar svara på en fråga som hör hemma i ett annat lager → du är på väg att skapa normkonflikt.
Om två dokument verkar säga olika saker:
Tekniskt ramverk konkretiserar – det får inte motsäga högre nivå.
Registreringspolicy får inte skapa nya materiella krav som saknar stöd i regler eller ramverk.
Tekniska anslutningsregler får inte smyga in avtalskrav.
Anslutningspolicy får inte smyga in tekniska implementationer.
| Exempel | Var hör det hemma? | Varför? |
|---|---|---|
| “Aktören ska ha incidenthanteringsförmåga” | Anslutningspolicy | Organisationskrav |
| “Incidenter ska rapporteras inom 24h” | Tekniska anslutningsregler | Federationskrav på samverkan |
| “Byte av signeringscertifikat kräver ny registrering” | Registreringspolicy | Processregel |
| “SAML Assertions MUST be signed with RSA-3072” | Tekniskt ramverk | Protokollkrav |
Detta är ofta den tydligaste distinktionen:
| Dokument | Primär målgrupp |
|---|---|
| Anslutningspolicy | Juridik, ledning, styrning |
| Tekniska anslutningsregler | Säkerhetsarkitekter, federationsansvariga |
| Registreringspolicy | Onboarding-/driftansvariga |
| Tekniskt ramverk | Utvecklare och produktleverantörer |
Om fel målgrupp måste läsa dokumentet för att förstå det – då är något felplacerat.
Detta dokument beskriver hur SIB:s dokumentpaket hänger ihop och var olika typer av krav ska uttryckas. Målet är att undvika dubbelreglering och göra det tydligt vad som styr styrning, krav, process och tekniska detaljer.
Anslutningspolicy – Anslutningsoperatör
Reglerar relationen mellan Federationsoperatör och Anslutningsoperatör: vem som får bli operatör, vilka ansvar som följer, hur uppföljning sker och hur avstängning/återkallelse hanteras.
Anslutningspolicy – Federationsmedlem
Reglerar relationen mellan Anslutningsoperatör och Federationsmedlem: medlemskriterier, åtaganden, efterlevnad, sanktioner och avstängning/återkallelse på medlemsnivå.
Princip: Policys beskriver “vem och varför”, ansvar samt konsekvens vid bristande efterlevnad.
Tekniska anslutningsregler – SIB Federation
Fastställer gemensamma minimikrav som måste vara uppfyllda för att federationen ska fungera säkert och interoperabelt. Innehåller krav som går att kontrollera, och pekar vid behov ut vilket tekniskt ramverk/profil som gäller.
Princip: Här står “vad som ska uppfyllas”, inklusive versionsföljsamhet, miljöer, incident- och nyckelkrav.
Registreringspolicy – OpenID Federation/OIDC (och ev. andra kontexter)
Beskriver hur en teknisk komponent registreras, valideras, driftsätts, uppdateras och avregistreras. Anger vilka artefakter/bevis som krävs och hur kontroller genomförs.
Princip: Här står “hur man gör”, steg för steg.
Tekniskt ramverk – standarder och profiler
Innehåller exakta protokollkrav (profiler, parametrar, endpoints, claims, algoritmer, felhantering) som implementatörer behöver följa.
Princip: Här står “exakt hur det ska implementeras”.
Anslutningspolicy – Anslutningsoperatör
pekar på: Tekniska anslutningsregler, Registreringspolicy
beskriver: ackreditering, ansvar, tillsyn, avstängning/återkallelse av operatör
Anslutningspolicy – Federationsmedlem
pekar på: Tekniska anslutningsregler, Registreringspolicy,
beskriver: medlemskap, åtaganden, sanktioner, avstängning/återkallelse av medlem
Tekniska anslutningsregler – SIB Federation
pekar på: Tekniskt ramverk (profil X/Y),
beskriver: verifierbara minimikrav, miljöer, versionsföljsamhet, säkerhetskrav
Registreringspolicy – OpenID Federation/OIDC
pekar på: Tekniskt ramverk, Tekniska anslutningsregler,
beskriver: registreringsflöden, evidens, validering, publicering, ändring, avregistrering
Tekniskt ramverk – standarder och profiler
refereras av: Tekniska anslutningsregler, Registreringspolicy
beskriver: exakta protokollkrav
Om frågan är ”vem får, vem ansvarar, vad händer om…” lägg i anslutningspolicy.
Om frågan är ”vilka tekniska funktionella krav som måste vara uppfyllda och hur mäter vi det” lägg i tekniska anslutningsregler.
Om frågan är ”hur går det till i onboarding/registrering/ändring” lägg i registreringspolicy.
Om frågan är ”vilka fält/claims/endpoints/algoritmer exakt” lägg i tekniskt ramverk.
Syfte: Reglerar relationen mellan Federationsoperatör och Anslutningsoperatör (ackreditering av operatör).
Innehållsförteckning (förslag):
Syfte, omfattning och definitioner
Roller och ansvar (Federationsoperatör ↔ Anslutningsoperatör)
Tillitsstruktur för operatörsled (konsekvenser vid avstängning/återkallelse)
Kriterier för att få bli Anslutningsoperatör (juridik, säkerhet, kapacitet)
Godkännande och återkommande uppföljning (tillsyn/rapportering)
Krav på operativ förmåga (incident, förändring, kontinuitet, kommunikation)
Delegationer (t.ex. utfärdande av trust marks) – principnivå
Avstängning/återkallelse och konsekvenshantering (migrering, kommunikation)
Bilagor och hänvisningar (till tekniska anslutningsregler/ramverk)
Syfte: Reglerar relationen mellan Anslutningsoperatör och Federationsmedlem (medlemskap och efterlevnad).
Innehållsförteckning (förslag):
Syfte, omfattning och definitioner
Kriterier för medlemskap (juridik, roller, ansvar)
Tillitsstruktur för medlem (konsekvenser vid avstängning/återkallelse)
Medlemsåtaganden (metadataansvar, kontaktvägar, incident, förändring)
Godkännande, uppföljning och sanktioner
Avstängning/återkallelse (medlemsnivå)
Bilagor och hänvisningar
Gräns: Inga tekniska fältlistor—bara åtaganden och efterlevnadsprinciper.
Syfte: Definierar gemensamma, testbara krav som alla parter måste uppfylla för interoperabilitet och säker drift i SIB.
Innehållsförteckning (förslag):
Översikt: mål, tillämpning, miljöer
Gemensamma säkerhetskrav (TLS, nyckelhantering, loggning, tidsstämpling, driftinfo)
Metadata- och identitetskrav (kvalitet, aktualitet, kontaktuppgifter)
Versionsföljsamhet och övergångsregler (tidsfrister, bakåtkompatibilitet)
Krav per roll (Federationsoperatör / Anslutningsoperatör / Federationsmedlem) – utan protokollfält men med tydliga verifieringspunkter
Krav på tillitsstyrning (vilka trust marks/kategorier krävs när, principnivå)
Test, granskning och godkännande (vilka bevis krävs)
Incident- och återkallelsekrav (tekniska effekter och åtgärdstider)
Hänvisningar till tekniskt ramverk och registreringspolicy
Gräns: Här kan det finnas teknikbindning via hänvisning (“för OpenID Federation gäller Ramverk X”), men detaljparametrar ligger i ramverket.
Syfte: Beskriver hur registrering/uppdatering/avregistrering går till för federationens tekniska komponenter och metadata.
Innehållsförteckning (förslag):
Roller i registreringsprocessen (vem gör vad)
Onboardingflöde (steg för steg)
Registreringsobjekt (entitetstyper, relationer, kedjor)
Validering och kontroller (automatiska + manuella)
Miljöer: test/sandbox/produktion och flyttregler
Ändringshantering (metadata, endpoints, nycklar, certifikat)
Avpublicering och återkallelse (inkl. trust mark-status)
Loggning, spårbarhet och beslut
Driftinformation och kommunikation
Mallar: checklistor, evidenskrav, tidsfrister
Gräns: Process + kontroller. Här beskrivs “hur man gör”
Syfte: Exakta standarder/profiler och parametrar som implementatörer behöver följa.
Innehållsförteckning (förslag):
Refererade standarder och profiler
OpenID Federation-profil (exakta claims, endpointkrav, policy application)
OIDC/OAuth-profil (flöden, response types, tokenkrav, signing/encryption)
Algoritmer, nycklar, tidskrav
Felhantering och säkerhetskrav på protokollnivå
Testprofil/konformitet (testfall, assertions)
Versionering och kompatibilitet
Gräns: Endast tekniska detaljer.
Policyn gäller för anslutning till SIB-federationen inklusive:
anslutning av AO till FO,
anslutning av FM (och deras entiteter) via AO,
publicering, uppdatering, avpublicering och revokering av metadata och trust marks.
Policyn reglerar inte bilaterala nyttjandeavtal mellan FM (tjänst-till-tjänst), men kräver att federationens metadata tydligt kan uttrycka avtals-/tillitsförutsättningar via policy/tillitsmarkeringar.2. Policyramverk och harmonisering
Policyn ska bestå av tre sammanhängande delar:
A) Anslutningsvillkor (juridik/avtal),
B) Tekniska anslutningsregler,
C) Operativa rutiner (processer för drift/incident/ändring).
Tekniska anslutningsregler ska vara verifierbara och knutna till anslutningsavtal (motsvarande Sweden Connect-principen att avtal definierar ansvar/avgifter och tekniska regler beskriver hur anslutningen ska fungera).
Policyn ska säkerställa att en Operatör (FO eller AO) som ansluts till SIB:
kan upprätthålla federationens tillit (trust chain) på operatörsnivå,
kan ansluta och hantera FM enligt separata medlemskrav (FM-policy),
kan genomföra drift, incident, ändring och revokering på ett sätt som skyddar federationen och dess deltagare.
-----------------------------utkast 20260220-------------------------
På sidan:
Domän: Teknisk interoperabilitet och tillitsetablering
Typ av normativt artefakt: Policy
Status: Utkast
Gäller från: (fastställs vid beslut)
Relaterar till:
Anslutningspolicy för federationsmedlemmar (förutsättning: organisationen är verifierad och ansluten)
Tekniska profiler/anslutningsregler (operationaliserar policyn som krav, valideringar och test)
OIDF Deployment & Interoperability Profile (principer för registreringspolicy och policy-identifierare)
Denna policy beskriver vad registrering av tekniska komponenter i federationen innebär och varför varje registreringsuppgift (metadata-attribut) finns. Policyn ska göra det möjligt för federationsmedlemmar att förstå vilken tillit de kan lägga i en registrerad komponent och hur komponenten kan användas för automatiserad tillitsetablering.
Policyn tar vid efter att federationsmedlemmen är ansluten enligt anslutningspolicyn (verifierad organisation och behöriga kontaktpersoner) .
Normhierki
OpenID Federation 1.0: definierar Entity Statements, trust chains, metadata-ramen och de informational metadata parametrar som bl.a. inkluderar description (alltså exakt den typ av semantik vi vill uttrycka)
Svensk OpenID Federation-profil: preciserar hur (1) ska användas i svensk kontext (t.ex. val av identifierare, roller, constraints, ev. trust marks m.m.)
Registreringspolicy för tekniska komponenter anger vad attributen faktiskt signalerar och betyder i detta sammanhang.
När en teknisk komponent är registrerad enligt denna policy kan andra parter i federationen förutsätta att:
Komponenten är kopplad till rätt federationsmedlem (juridisk person) via stabil organisationsinformation i metadata.
Komponentens identifierare och domän är valda så att det finns en rimlig och kontrollerbar koppling mellan komponenten och organisationens domän(er) (motverkar “spoofing” och felregistrering) .
Metadata-attributens semantik är entydig: samma attribut betyder samma sak oavsett anslutningsoperatör, och används som underlag för maskinell validering/resolution .
Det finns en identifierbar registreringspolicy som anger vilket regelverk som gällde när komponenten togs in (policy-URI i federationens intyg/uttalanden) .
Omfattar:
Semantik (betydelse) för metadata-attribut som används vid registrering av tekniska komponenter, inklusive organisationsuppgifter, kontaktuppgifter, identifierare, nyckelreferenser och protokollrelaterade metadata.
Övergripande ställningstaganden om hur metadata ska stödja interoperabilitet och tillit.
Omfattar inte:
Exakta fältkrav per profil, protokollspecifika detaljkrav, algoritmlistor, endpoint-valideringar eller testfall (det hör hemma i krav/spec/profil) .
Organisationsverifiering och mandatkedjor för att bli federationsmedlem (det hör hemma i anslutningspolicyn) .
Ledningsaktör fastställer policyn och kan kräva uppföljning/revision av efterlevnad.
Federationsoperatör (om rollen finns separat) ansvarar för federationens övergripande tillitsram och publicering av tillitsinfrastruktur.
Anslutningsoperatör / Registreringsfunktion (Federation Registration Entity) ansvarar för att registrering sker enligt policyn och att policyidentifierare används i federationens uttalanden om entiteter .
Federationsmedlem ansvarar för att lämnad metadata är korrekt, aktuell och att förändringar hanteras enligt federationsprocesser .
Teknisk komponent: federationsentitet som registreras och blir upptäckbar via federationens metadata/tillitsinformation (t.ex. OP, RP/klient, AS, resurs/API) .
Entity Identifier (entity_id / entity_identifier): entydig identifierare (URI) för entiteten i OpenID Federation .
Entity Configuration: entitetens självdeklaration enligt OpenID Federation (kan vara hostad) .
Subordinate Statement: federationsuttalande som en överordnad entitet signerar vid registrering och därmed “vittnar” om vissa bindningar (nyckel↔identifierare, medlemskap, kontroller) .
Registreringspolicy-URI: stabil identifierare som anger vilken registreringspolicy som tillämpats för registreringen .
Registrering är tillitsskapande, inte bara administration.
Registrering ska göra det möjligt för andra parter att på maskinell väg avgöra vem som står bakom en komponent och hur den kan användas säkert.
Metadata ska vara begriplig och verifierbar.
Där metadata pekar ut identitet (namn, org-id, domän, kontakt) ska den vara spårbar till federationsmedlemmens verifierade organisationsuppgifter och validerade domän(er) .
Deskriptiv metadata fixeras vid registrering; säkerhets- och funktionspolicy koncentreras högre upp.
Registreringsfunktionen ska främst styra/deskribera sådant som kontrolleras vid registrering (visningsnamn, organisationskoppling). Mer komplexa säkerhets-/funktionsrestriktioner bör ligga i trust anchor-policy för att minska konflikt- och mergeproblem .
Policyidentifierare är obligatorisk del av tillit.
Andra parter ska kunna se vilket regelverk som gällde vid intag av komponenten (t.ex. via registreringspolicy-claim/policy-URI) .
Detta avsnitt är policykärnan: vad attributen betyder (motsvarande “description” i Sweden Connect-portalen) .
Betyder: Entitetens unika identifierare i federationen (URI).
Varför: Är primär nyckel för discovery, resolution och signaturbindning i federationens kedjor.
Tolkning i federationen: Ska vara stabil över tid. Ska representera entiteten på ett sätt som går att koppla till organisationens domän (minskar risk för att någon registrerar en “låtsas-entitet” på någon annans domän) .
Betyder: Organisationens identifierare enligt svensk standard (organisationsnummer, 10 siffror).
Varför: Maskinell koppling mellan teknisk komponent och juridisk person.
Tolkning i federationen: Avser ansvarig federationsmedlem, inte systemleverantör, driftleverantör eller enskild verksamhetsdel .
Betyder: Organisationens namn som visas i federationen, med språktaggar (t.ex. #sv, #en).
Varför: Mänsklig begriplighet och spårbarhet i gränssnitt/loggar/revision.
Tolkning i federationen: Ska spegla den anslutna organisationens namn, inte komponentens produktnamn .
Betyder: Kontaktuppgifter (typiskt e-post) till ansvariga kontaktpersoner för komponenten/klienten.
Varför: Incidenthantering, förändringskommunikation och spårbar förvaltning.
Tolkning i federationen: Avser federationsmedlemmens utsedda kontaktvägar (administrativ/teknisk), inte enskilda personers privata adresser .
Betyder: Namn som identifierar komponenten/klienten som OIDC-part.
Varför: Mänsklig identifiering i verktyg, loggar och UI.
Tolkning i federationen: Ska vara ett stabilt komponentnamn inom organisationens förvaltning, inte en tillfällig projektetikett .
Betyder: Namn som visas för användare (kan auto-genereras från client_name men kan skilja sig).
Varför: Användarupplevelse, begriplig samtyckes-/inloggningsdialog, minskar social engineering-risk.
Tolkning i federationen: Ska vara sant och igenkännbart för målgruppen; får inte utformas för att vilseleda om avsändare .
Betyder: HTTPS-URI till logotyp som representerar komponenten/klienten.
Varför: UI/igenkänning, minskar risken för felval.
Tolkning i federationen: Ska representera federationsmedlemmen eller tjänsten, och vara förvaltningsbar över tid .
Betyder: Länkar till webbplats, integritetspolicy och användarvillkor.
Varför: Transparens, regelefterlevnad, stöd för granskning.
Tolkning i federationen: Ska peka på innehåll som gäller den registrerade tjänsten/komponenten i den kontext där federationen används .
Betyder: Tillåtna omdirigerings-URIer efter autentisering.
Varför: Grundläggande säkerhetskontroll i OAuth/OIDC (hindrar kod/token till fel mottagare).
Tolkning i federationen: Ska representera komponentens faktiska callback-endpoints och ligga under organisationens validerade domän(er) .
Betyder: URIer där Request Objects kan hämtas (Request Object by Reference).
Varför: Stödjer mer avancerade OIDC-flöden och minskar parameterstorlek i authn-requests.
Tolkning i federationen: Ska vara förvaltningsbara och kontrollerade av federationsmedlemmen, och får inte användas som “dynamiskt innehållsintag” utan kontroll .
Betyder: Klientens metod för autentisering mot token-endpoint.
Varför: Avgör säkerhetsnivå och vilka nyckel-/hemlighetskrav som gäller.
Tolkning i federationen: Ska väljas enligt gällande svensk OIDC-profil (i Sweden Connect-kontext är private_key_jwt central) .
Betyder: Algoritm som används för klientautentisering (t.ex. vid private_key_jwt).
Varför: Interoperabilitet och säkerhet (tillåtna/otillåtna algoritmer styrs i profil/krav).
Tolkning i federationen: Är en del av komponentens säkerhetskonfiguration och ska vara konsistent med profilkrav .
Betyder: Vilka OAuth/OIDC-flöden och rättigheter klienten avser använda.
Varför: Underlättar interoperabel konfiguration och validering.
Tolkning i federationen: Ska uttrycka teknisk kompatibilitet. Ska inte tolkas som verksamhetsbeslut om åtkomst, utan som protokollförmåga .
Betyder: Signeringsalgoritmer för ID Token respektive UserInfo-svar.
Varför: Interoperabilitet och säkerhet.
Tolkning i federationen: Är säkerhetsparametrar som ska vara förenliga med profil och policy. Restriktioner operationaliseras som krav, inte här .
Betyder: Var klientens publika nycklar finns (URI) eller inbäddad JWK Set.
Varför: Nyckelmaterial behövs för signaturvalidering och klientautentisering.
Tolkning i federationen: Nyckelreferenser ska vara långsiktigt förvaltningsbara och kopplade till entiteten. Val av jwks vs jwks_uri är en implementeringsdetalj inom profilkrav .
Betyder: Entitetens självdeklarerade federation- och rollmetadata, publicerad på standardplats eller via hosting-mekanism.
Varför: Är startpunkten för federationens trust chain och metadata resolution.
Tolkning i federationen: Om hosting används måste domän-/ägarskap vara kontrollerbart, eftersom annars kan någon peka om sin entitet till en annan kontrollpunkt .
Betyder: Registreringsentitetens signerade uttalande som binder ihop entitet, nyckel och medlemskap samt kan fixera vissa deskriptiva värden.
Varför: Gör att federationens deltagare kan lita på att registrering skett enligt definierad process.
Tolkning i federationen: Ska primärt “vittna” om sådant som faktiskt kontrollerats vid registrering (organisationskoppling, namn, domänbindning, policy-identifierare) .
Betyder: Identifierar vilken registreringspolicy som tillämpades.
Varför: Transparens och maskinell/administrativ möjlighet att avgöra vilka kontroller som låg bakom ett registreringsbeslut.
Tolkning i federationen: Ska vara stabil över tid och versionshanteras på ett sätt som gör det möjligt att förstå historik .
Nyregistrering: avser att skapa en ny federationsentitet med initial “baseline”-metadata.
Uppdatering: avser ändring av metadata där semantiken är densamma men värden kan uppdateras (t.ex. nya endpoints/nycklar/contacts).
Avregistrering/återkallelse: avser att komponenten inte längre ska vara tillitsbar/upptäckbar i federationen och att tillitskedjor ska brytas på ett kontrollerat sätt .
Spårbarhet: varje registreringsbeslut ska kunna knytas till ärende/beslutsdatum och tillämpad policyversion .
Denna policy konkretiseras av:
Krav/specifikationer (exakta obligatoriska fält, valideringsregler, algoritmkrav, testkrav)
Process/rutin hos anslutningsoperatören (hur registreringsärenden initieras, granskas, beslutas, publiceras, följs upp)
Federationen ska kunna begära underlag som visar att:
registreringspolicy-URI användes vid registrering,
komponentens organisationskoppling och domänkoppling var kontrollerbar,
och att metadata-attributen som publicerats följer denna policys semantik.
(Detaljerade stickprovsmekanismer och sanktionstrappor ligger i kompletterande regelverk/krav) .
Utifrån anslutningspolicyn framgår att den inte reglerar registrering av tekniska komponenter, utan att detta hanteras i Registreringspolicy för teknisk komponent (avgränsning/scope).
Anslutningspolicy för federatio…
Samtidigt beskriver anslutningspolicyn vilka förutsättningar som andra parter kan lita på – och dessa är det som registreringspolicyn för tekniska komponenter typiskt bygger vidare på.
Anslutningspolicy för federatio…
Följande delar från anslutningspolicyn är direkt “input”/förutsättningar som registreringspolicyn behöver återanvända:
Organisationens existens och organisationsnummer verifieras mot relevant nationell registerkälla (ex. Bolagsverket).
Anslutningspolicy för federatio…
Användning i registreringspolicy (teknisk komponent):
Låser komponentregistrering till en verifierad juridisk part.
Blir grund för att sätta/validera fält som motsvarar “organisationsidentitet” i komponentens/federationsentitetens metadata (t.ex. organization_name, ev. organization_identifier/orgnr), och för att säkerställa spårbar koppling mellan metadata och juridisk part.
Avtalstecknare identifieras med stark identifiering och mandat/behörighetsgrund verifieras och dokumenteras (firmateckning, delegation, fullmakt, etc.).
Anslutningspolicy för federatio…
Användning i registreringspolicy:
Skapar den juridiska tillitspunkten: att organisationen faktiskt är federationsmedlem, vilket krävs för att organisationen ska få registrera komponenter/entiteter.
Ger grund för regler om vem som får initiera/attestera “ny komponent”, “nyckelbyte”, “ändring av endpoints”, etc.
Policyn kräver att federationsmedlemmen utser relevanta kontaktpersoner och att delegation/fullmakt finns om kontaktpersonen ska få utföra åtgärder i federationens system (t.ex. registrera tekniska komponenter).
Anslutningspolicy för federatio…
Användning i registreringspolicy:
Styr åtkomsträtt i registreringsflödet: vem får registrera och uppdatera tekniska komponenter/metadata.
Underlag för krav på contacts i metadata (och att dessa ska vara spårbart utsedda/behöriga).
Operatören ska dokumentera och arkivera bevis/underlag, logga utförda kontroller (vem, vad, när, källor, resultat), samt lagra dokumentation under medlemskap + viss tid.
Anslutningspolicy för federatio…
Användning i registreringspolicy:
Registrering/ändringar av tekniska komponenter måste vara revisionsbara: koppla varje registreringshändelse till verifierad kontaktperson/roll, beslut, underlag.
Underlag för policykrav kring “change management” (nyckelrullning, endpointändringar, avregistrering).
Årlig re-verifiering och triggers (t.ex. ändrad firmatecknare, fusion, konkurs, etc.).
Anslutningspolicy för federatio…
Användning i registreringspolicy:
Om organisationen inte kan re-verifieras: påverkar förtroende/aktivering av organisationens tekniska komponenter (t.ex. karantän/avstängning av metadata, spärr av nycklar, etc.).
Underlag för regler om när komponentmetadata måste uppdateras (t.ex. vid domänbyte/omorganisation).
Sammanfattande: Anslutningspolicyn etablerar “vem är organisationen och vem får företräda den”, medan registreringspolicyn kan fokusera på “vilka tekniska entiteter får organisationen publicera och hur säkras korrekthet över tid”. Det uttrycks också i anslutningspolicyn att organisationsverifieringen “ligger till grund” för verifiering kopplat till komponenter via registreringspolicyn.
Anslutningspolicy för federatio…
I Sweden Connect metadata portal-underlaget beskrivs idag ett formulär-/metadataupplägg som i praktiken motsvarar OIDC-klientmetadata + vissa federationsrelaterade fält och med stark betoning på att fältnamn ska följa OIDC/OIDF-specifikationernas attributnamn.
Sweden Connect metadata portal_…
För att “ersätta Sweden Connect metadata” med OpenID Federation-relevant metadata (med fokus på OIDF och trust marks) bör man utgå från att det som registreras/publiceras är en Entity Configuration (en self-signed Entity Statement JWT) med dessa centrala delar:
OpenID Federation definierar claim-set för Entity Statements (t.ex. iss, sub, iat, exp, jwks, metadata) och att authority_hints är REQUIRED för leaf/intermediate (dvs alla som har en superior) och får inte vara tom. metadata måste finnas för de Entity Types entiteten deltar i (t.ex. openid_relying_party).
trust_marks + (för Trust Anchors) trust_mark_issuers/trust_mark_ownersOpenID Federation definierar trust_marks som en array av objekt med trust_mark_type och trust_mark (JWT).
Trust Anchor kan publicera trust_mark_issuers och trust_mark_owners för att styra/tydliggöra vilka utfärdare/ägare som är betrodda per trust mark-typ.
Den svenska profilen (utkast) anger dessutom att resolver-funktionen kan behöva hantera trust marks, inklusive att en resolver kan inkludera trust marks som inte ligger i entitetens egen konfiguration genom kommunikation med Trust Mark Issuer.
Notera: Själva avsnittet “Trust Marks” i profilen är i detta utkast i praktiken ett TODO-block, men det pekar på områden som måste beslutas (kortlivade vs långlivade trust marks, validering, namngivning, m.m.).
federation_entity metadataProfilen ställer krav att man inte kombinerar Federation Service-roller (Trust Anchor/Intermediate/Resolver/TMI) med protokollroller (OP/RP/Client/etc) under samma Entity Identifier, och att Federation Protocol Entity därmed är leaf och dess Entity Configuration inte ska innehålla federation_entity-metadata.
Profilen beskriver att en Federation Registration Entity (Immediate Superior) registrerar genom att skapa/signera Subordinate Statement, och att detta “vouching” bl.a. omfattar:
bindningen mellan federationsnyckel och Entity Identifier,
att innehavaren är legitim representant för Entity Identifier,
att entiteten är legitim medlem i federationen.
Det är här kopplingen till anslutningspolicyn blir praktisk: anslutningspolicyns organisationsverifiering och delegationskontroller är det som gör att registreringsentiteten kan “vouch:a” på ett meningsfullt sätt.
Nedan är ett första utkast där jag använder samma kolumner som i portal-underlaget (Attribute, Type, Required, Description, Validation, Specification).
Jag har valt dot-notation för att tydliggöra var ett fält hör hemma (top-level i Entity Statement vs under metadata.openid_relying_party).
Attribute Type Required Description Validation (svensk profil) iss String (URI) Yes Utfärdare av entity statement. För en entity configuration är detta entitetens entity identifier och den som signerar statementet. HTTPS-URI. För self-signed entity configuration ska issvara identisk medsub.sub String (URI) Yes Subjektet för entity statement; entitetens entity identifier i federationen. HTTPS-URI. Ska motsvara entitetens identifierare. iat Number Yes Tidpunkt då entity statement utfärdades. Unix-tid (sekunder). exp Number Yes Sista giltighetstid för entity statement. Unix-tid (sekunder). Måste vara senare än iat. Bör sättas så att caching fungerar men att ändringar ändå kan slå igenom inom rimlig tid (profilen betonar operativa konsekvenser av för kort/lång giltighet).jwks Object (JWKS) Yes Publika federationsnycklar som används för att verifiera signaturer på entity statements (federation entity keys). Endast publika nycklar. keys-array krävs. Varje nyckel ska ha uniktkid. Nyckeluppsättningen ska vara stabil nog för federationens cache-/resolverbeteende.authority_hints String[] (URI) Yes (för Federation Protocol Entities) Pekar ut entitetens immediate superior(s) som entiteten registrerats under. Används för att bygga tillitskedja. I svensk profil är en Federation Protocol Entity alltid en leaf entity (p.g.a. rollseparation), och ska därför normalt alltid ha authority_hints(ej tom). Varje värde ska vara HTTPS-URI.trust_anchor_hints String[] (URI) No Extra hint om vilka trust anchors som är relevanta för entiteten. Om angiven: får inte vara tom. HTTPS-URI. Bör endast användas om federationen kräver explicit förankring utöver normal kedjebyggnad via authority_hints.metadata Object Yes (för Protocol Entities) Metadata per entity type (t.ex. RP/OP/AS/Client/Resource). Anger protokollrollens kapabiliteter och preferenser. Rollseparation: En Federation Protocol Entity ska inte inkludera metadataav typenfederation_entity. Endast protokollrollernas metadata ska förekomma (t.ex.openid_relying_party,openid_provider, etc.).trust_marks Object[] No Trust marks som entiteten presenterar. Kan användas som kontrollmekanism i federationen. Varje objekt ska innehålla trust_mark_typeochtrust_mark(JWT). Validering och eventuellt komplettering via resolver kan vara en del av federationens driftmodell; konsumtionsparter bör inte anta att avsaknad i entity configuration alltid betyder “saknas i federationens resolve”.
| Attribute | Type | Required | Description | Validation | Specification |
|---|---|---|---|---|---|
| trust_marks[].trust_mark_type | String (URI) | Yes (om trust_marks används) | Identifierare för trust mark-typen. | Ska matcha trust_mark_type i JWT:n som ligger i trust_marks[].trust_mark. | OpenID Federation 1.0 |
| trust_marks[].trust_mark | String (JWT) | Yes (om trust_marks används) | Själva Trust Mark-token (signerad JWT). | JWT-signatur och giltighetstid ska valideras enligt OIDF trust mark-regler och federationens policy. | OpenID Federation 1.0 |
| trust_mark_issuers | Object | No (endast Trust Anchor) | Trust Anchor: policy/uppgift om vilka utfärdare som är betrodda per trust mark-typ. | Ignoreras om den förekommer hos icke-Trust Anchor. Tom array för en typ betyder “vem som helst får utfärda” (enligt OIDF). | OpenID Federation 1.0 |
| trust_mark_owners | Object | No (endast Trust Anchor) | Trust Anchor: uttrycker ägare av trust mark-typ om annan än utfärdaren, inkl. ägarens federation keys (JWKS). | Ignoreras om den förekommer hos icke-Trust Anchor. | OpenID Federation 1.0 |
openid_relying_party (exempel på RP/client-metadata inom federation)| Attribute | Type | Required | Description | Validation | Specification |
|---|---|---|---|---|---|
| metadata.openid_relying_party.client_name | String (multilingual) | Policy-styrt | Visnings-/namnmetadata för RP/klient. | Språktaggar enligt BCP47 (om man stödjer varianter). | OIDC Dynamic Client Registration (client metadata), inom OIDF metadata-bärande |
| metadata.openid_relying_party.redirect_uris | String[] (URI) | Policy-styrt | Redirect URIs för RP/klient. | HTTPS, inga fragment. Domänregler styrs av federationens registrerings-/anslutningskrav. | OIDC Dynamic Client Registration; portalkontext visar valideringsmönster |
| metadata.openid_relying_party.jwks_uri / jwks | String (URI) / Object (JWKS) | Conditional | Nycklar för RP/klient (t.ex. för private_key_jwt). | jwks_uri och jwks bör vara ömsesidigt uteslutande; krav beror på vald auth-metod. | OIDC Dynamic Client Registration; portalkontext visar korsfältsregler |
Not: Ovan RP-tabell är avsiktligt kort (utkast). Portal-underlaget innehåller en mer komplett uppsättning OIDC client metadata-fält (redirect_uris, request_uris, token_endpoint_auth_method, response_types, grant_types, alg-val etc.).
För “ersättning till OpenID Federation” är den centrala skillnaden att dessa fält uttrycks sommetadata.<entity_type>.<param>och att federation-lagret (Entity Statement claims + trust marks) tillkommer.
Om du vill att jag ska göra nästa iteration utan att vara “kort” i RP-metadata-delen kan jag ta hela fältlistan från portal-underlaget och:
flytta den till metadata.openid_relying_party.*,
lägga till federation-claims (authority_hints, fed
Sweden Connect metadata portal_…
st_marks`),
samt rensa bort Sweden Connect-/Swedish OIDC Profile-specifika valideringar och ersätta med OpenID Federation-referenser och policy-hookar (Trust Anchor/Registration Policy).
Sweden Connect metadata portal_…
Sweden Connect metadata portal_…
Sweden Connect metadata portal_…
Sweden Connect metadata portal_…