Observera att detta är arbetsmaterial och avgränsat till Steg 1 - MVP. I materialet kan det av strukturskäl finnas rubriker och minnesnoteringar som inte kommer realiseras under Steg 1 - MVP. Detta markeras i förekommande fall.


Introduktion

Detta tekniska ramverk har tagits fram som del av regeringsuppdrag om att etablera en nationell infrastruktur för identitets- och behörighetshantering. Detta uppdrag bedrivs som del av Ena - Sveriges digitala infrastruktur och denna infrastruktur för identitets- och behörighetshantering benämns Samordnad identitet och behörighet.

Samordnad identitet och behörighet realiseras i samverkan mellan främst Digg, E-hälsomyndigheten, SKR, Inera och Internetstiftelsen. Även Skolverket, Region Stockholm och Västra götalandsregionen har bidragit. Gällande OpenID-profileringar har dessa förankrats med The Swedish OpenID Connect Working Group (oidc.se) där även Vetenskapsrådet, BankID och Freja eID ingår. Arbetet med Samordnad identitet och behörighet leds och koordineras av Digg.

I de olika avtalen för Samordnad identitet och behörighet refereras till detta ramverk. Villkor gällande efterlevnad av ramverkets policyer och följsamhet till ramverkets utpekade specifikationer och profileringar konkretiseras här gällande exakt vad som gäller för vilken typ av teknisk komponent. De olika komponenterna och deras relationer beskrivs av den konceptuella arkitekturen för Samordnad identitet och behörighet.

Komponenterna grupperas i grupperna federationskomponent respektive ansluten komponent och gäller endast i en federation realiserad med OpenID Federation.

  1. Federationskomponent 
    1. Trust Anchor (TA) - tillitsankare 
    2. Intermediate (IM)- anslutningstjänst 
    3. Trust Mark Issuer (TMI) - tjänst för utgivande av egenskapsmärken
    4. Resolver (R) - uppslags- och verifieringstjänst
  2. Ansluten komponent
    1. OpenID Connect Provider (OP) - en identitetsintygstjänst som autentiserar användare och ställer ut intyg om användaren och hur denne autentiserats.
    2. OpenID Connect Relying Party (RP) - en förlitande part som ger åtkomst till en resurs baserat på ett identitetsintyg och tillgängliggjorda relaterade attribut
    3. OAuth Client (Client) - en klient som begär åtkomst till en skyddad resurs
    4. OAuth Authorization Server (AS) - en åtkomstintygstjänst som evaluerar en åtkomstbegäran och ställer ut ett åtkomstintyg med behörigheter
    5. OAuth Resource Server (RS) - en skyddad resurs som verifierar bifogade åtkomstintyg och behandlar anrop baserat på tilldelade behörigheter

De kortformer som angivits inom parantes för respektive komponenttyp kommer kunna refereras till i alla delar av detta tekniska ramverk - både i bilder och i texter.

Notera att det för Steg 1 - MVP endast stöds samverkan Client → Resource Server med OAuth2 Client Credentials flow, samt att inga egenskapsmärken kommer stödjas. Därmed kommer reglering av endast ske av komponenttyperna TA, IM, R, Client, AS och RS och regleringen kommer avgränsas till att kunna tillse säker och tillitsfull samverkan med Client Credentials flow.


Policyer

Registreringspolicy Anslutningsoperatör

Registreringspolicy Teknisk komponent

Specifikationer och profileringar

OAuth2-profilering

Inom Samordnad identitet och behörighet har det tagits fram en svensk grundprofil för OAuth2: Ena OAuth 2.0 Interoperability Profile.

Det har även tagits fram en vägledning för hur man bör hantera autentisering i relation till OAuth2: Ena OAuth 2.0 User Authentication Best Practices.

Till sist har det tagits fram en profilering för OAuth2 Token Exchange och auktorisering mellan olika säkerhetsdomäner: Ena OAuth 2.0 Token Exchange Profile for Chaining Identity and Authorization.

OpenID Federation

Inom Samordnad identitet och behörighet har det tagits fram en svensk grundprofil för OpenID Federation:


OpenID Connect