Anslutningsoperatör ska verifiera att:
LE är kopplad till rätt federationsmedlem (juridisk person).
organization_identifier och organization_name överensstämmer med medlemskapet.
Registreringen initieras av behörig företrädare enligt anslutningspolicy.
Syfte: Förhindra att en aktör registrerar komponenter i annan organisations namn.
Anslutningsoperatör ska verifiera att:
entity_id är en HTTPS-URI.
Host ligger inom federationsmedlemmens kontrollerade domän.
Domänkontroll är styrkt (DNS, PKI eller likvärdig verifiering).
Identifieraren inte skapar förväxlingsrisk.
Syfte: Förhindra domänkapning och identitetsförväxling.
Anslutningsoperatör ska verifiera att:
authority_hints pekar på rätt överordnad (IM).
LE inte kan etablera trust chain via oavsedd federation.
Syfte: Förhindra federation-hoppning.
Anslutningsoperatör ska säkerställa att:
LE registreras med endast tillåten protokollroll (OP, RP, AS eller Resource).
Multipla roller under samma entity_id inte tillåts om det inte uttryckligen är beslutat.
LE inte innehåller federation_entity-metadata.
Syfte: Förhindra rollförväxling och oavsiktlig policydelegering.
Anslutningsoperatör ska i Subordinate Statement ange:
max_path_length: 0 (om inte särskilt undantag beslutas).
Syfte: Förhindra vidaredelegering och oavsiktlig hierarkibildning.
Anslutningsoperatör ska verifiera att alla endpoints:
är HTTPS
använder giltigt servercertifikat
Gäller t.ex.:
authorization_endpoint
token_endpoint
userinfo_endpoint
jwks_uri
PAR-endpoint
redirect_uris
Anslutningsoperatör ska säkerställa att:
Endpoint-host är konsistent med entity_id-host eller godkänt subdomänträd.
Redirect URIs är exakt matchade och domänkontrollerbara.
jwks_uri ligger inom kontrollerbar domän.
Syfte: Förhindra endpoint-spoofing och token-exfiltration.
Anslutningsoperatör ska verifiera att:
JWKS innehåller endast publika nycklar.
Nycklar uppfyller federationens minimikrav (t.ex. RSA ≥ 2048 bitar eller godkänd EC).
kid är unika.
Nyckelmaterial tillhör LE.
Anslutningsoperatör ska säkerställa att:
jwks och jwks_uri inte kombineras i strid med profil.
Algoritmer följer federationens whitelist.
Algoritmen none inte tillåts.
Svaga eller symmetriska algoritmer inte används om federationen kräver asymmetrisk signering.
Syfte: Förhindra kryptografisk downgrade.
Anslutningsoperatör ska verifiera:
HTTPS
Exakt matchning (inga wildcards)
Inga fragment
Domänkontrollerbarhet
Anslutningsoperatör ska begränsa:
token_endpoint_auth_method enligt federationens krav (t.ex. private_key_jwt).
Tillåtna signeringsalgoritmer.
Anslutningsoperatör ska säkerställa att:
scopes_supported är förenliga med federationens scope-policy.
LE inte annonserar odefinierade federationskritiska scopes.
Anslutningsoperatör ska säkerställa att:
acr_values_supported inte överstiger tilldelad tillitsnivå.
LE inte kan självdeklarera högre LoA än vad som är beslutat.
Syfte: Förhindra falsk säkerhetsnivå.
Anslutningsoperatör ska kontrollera att:
Metadata är konsistent (entity_id, endpoints, jwks_uri, redirect_uris).
Otillåtna extensions inte förekommer.
Anslutningsoperatör/IM ska journalföra:
Organisationsverifiering
Domänverifiering
Nyckelverifiering
Endpoint-kontroll
Tillämpad policyversion
Beslut och beslutsfattare
Underlag ska kunna uppvisas vid revision.
Anslutningsoperatör ska säkerställa att:
Entity Configuration är validerbar.
Subordinate Statement är korrekt signerad.
Registreringspolicy-identifierare är inkluderad.
Tillitskedjan etableras korrekt.
Anslutningsoperatör ska:
Riskbedöma ändringen.
Kräva ny kontroll vid ändring av:
Domän
Nycklar
Endpoints
Organisationskoppling
Säkerställa kontrollerad nyckelrotation.