Observera att detta är arbetsmaterial och avgränsat till Steg 1 - MVP. I materialet kan det av strukturskäl finnas rubriker och minnesnoteringar som inte kommer realiseras under Steg 1 - MVP. Detta markeras i förekommande fall.


Introduktion

Detta tekniska ramverk har tagits fram som del av regeringsuppdrag om att etablera en nationell infrastruktur för identitets- och behörighetshantering. Detta uppdrag bedrivs som del av Ena - Sveriges digitala infrastruktur och denna infrastruktur för identitets- och behörighetshantering benämns Samordnad identitet och behörighet.

Samordnad identitet och behörighet realiseras i samverkan mellan främst Digg, E-hälsomyndigheten, SKR, Inera och Internetstiftelsen. Även Skolverket, Region Stockholm, Västra götalandsregionen, Vetenskapsrådet, BankID, och Freja eID har bidragit. Arbetet leds av Digg.

I de olika avtalen för Samordnad identitet och behörighet refereras till detta ramverk. Villkor gällande efterlevnad av ramverkets policyer och följsamhet till ramverkets utpekade specifikationer och profileringar konkretiseras här gällande exakt vad som gäller för vilken typ av teknisk komponent. De olika komponenterna och deras relationer beskrivs av den konceptuella arkitekturen för Samordnad identitet och behörighet.

Komponenterna grupperas i grupperna federationskomponent respektive ansluten komponent och gäller endast i en federation realiserad med OpenID Federation.

  1. Federationskomponent 
    1. Trust Anchor (TA) - tillitsankare 
    2. Intermediate (IM)- anslutningstjänst 
    3. Resolver (R) - uppslags- och verifieringstjänst
  2. Ansluten komponent
    1. OpenID Connect Provider (OP) - en identitetsintygstjänst som autentiserar användare och ställer ut intyg om användaren och hur denne autentiserats.
    2. OpenID Connect Relying Party (RP) - en förlitande part som ger åtkomst till en resurs baserat på ett identitetsintyg och tillgängliggjorda relaterade attribut
    3. OAuth Client (Client) - en klient som begär åtkomst till en skyddad resurs
    4. OAuth Authorization Server (AS) - en åtkomstintygstjänst som evaluerar en åtkomstbegäran och ställer ut ett åtkomstintyg med behörigheter
    5. OAuth Resource Server (RS) - en skyddad resurs som verifierar bifogade åtkomstintyg och behandlar anrop baserat på tilldelade behörigheter

De kortformer som angivits inom parantes för respektive komponenttyp kommer kunna refereras till i alla delar av detta tekniska ramverk - både i bilder och i texter.

Policyer

Registreringspolicy Anslutningsoperatör

Registreringspolicy Teknisk komponent

Specifikationer och profileringar

OAuth2-profilering

Inom Samordnad identitet och behörighet har det tagits fram en svensk grundprofil för OAuth2: Ena OAuth 2.0 Interoperability Profile.

Det har även tagits fram en vägledning för hur man bör hantera autentisering i relation till OAuth2: Ena OAuth 2.0 User Authentication Best Practices.

Till sist har det tagits fram en profilering för OAuth2 Token Exchange och auktorisering mellan olika säkerhetsdomäner: Ena OAuth 2.0 Token Exchange Profile for Chaining Identity and Authorization.

OpenID Federation


OpenID Connect