Den konceptuella arkitekturen beskriver federationsinfrastrukturen på en övergripande nivå, med fokus på roller, ansvar och tillitsmodell. Följande beskrivningar konkretiserar denna arkitektur genom tekniska användningsfall för respektive part.
Användningsfallen visar hur konsument, producent och federationsinfrastruktur samverkar för att realisera arkitekturens olika tillitsdimensioner. De är strukturerade så att varje nivå bygger vidare på tidigare etablerade förmågor, men de ska läsas som en teknisk fördjupning snarare än som en införandeplan.
Syftet är att tydliggöra:
vilka tekniska förmågor som krävs hos respektive part,
hur metadata och policy tillämpas,
hur tillitskedjor används i praktiken,
och hur samverkan utvecklas från systemidentifiering till behörighetsbaserad åtkomst.
Användningsfallen fungerar därmed som en brygga mellan den övergripande arkitekturen och konkret teknisk realisering.
I detta steg etableras den tekniska grunden för federerad samverkan. Aktörer registrerar och publicerar metadata, nycklar och tillitskedjor så att tjänster och system kan identifieras och verifieras maskinellt. Fokus ligger på att möjliggöra säker system-till-system-kommunikation där identiteten hos anropande och mottagande tjänst kan valideras via federationsinfrastrukturen. Detta steg introducerar den grundläggande tillitsmodellen och den tekniska mekanismen för metadata- och policyhantering.
| Perspektiv | Konsument | Producent | Federationsinfrastruktur |
|---|---|---|---|
| Part-till-part | K01. Anropar producentens API med federerad systemidentitet. | P01. Autentiserar federerad systemidentitet vid mottagande av anrop. | |
| Mot FI | K02. Registrerar system via anslutningstjänst. K03. Publicerar signerad metadata. K04. Publicerar och roterar kryptografiska nycklar. K05. TillämpAR federationsmetadata och policy i teknisk validering. | P02. Registrerar tjänst via anslutningstjänst. P03. Publicerar signerad metadata. P04. Publicerar och roterar kryptografiska nycklar. P05. Hämtar metadata via uppslags- och verifieringstjänst. P06. Verifierar metadata, signatur och tillitskedja till Tillitsankartjänst. P07. Extraherar organisationskoppling från metadata. P08. Tillämpar federationsmetadata och policy i teknisk validering. | FI01. Registrerar och förvaltar metadata om anslutna tjänster. FI02. Publicerar federationsmetadata. FI03. Tillhandahåller uppslags- och verifieringstjänst. FI04. Tillhandahåller verifierbar tillitskedja. FI05. Hanterar livscykel för metadata och nycklar. FI06. Tillämpar federationspolicy i publicering, uppslag och verifiering. |
Detta steg bygger vidare på den etablerade systemidentiteten och tillför en verifierbar organisationsdimension. Utöver att en tjänst är tekniskt betrodd måste den också vara ansluten och godkänd inom en definierad federationskontext. Organisationskoppling och tillitsmärken används för att uttrycka och verifiera att en aktör uppfyller specifika krav. Fokus flyttas från enbart teknisk identitet till kontrollerad tillhörighet och kontextstyrning.
| Perspektiv | Konsument | Producent | Federationsinfrastruktur |
|---|---|---|---|
| Part-till-part | K06. Anger organisationskontext i anropet. | P09. Fattar åtkomstbeslut baserat på organisationskontext. | |
| Mot FI | K07. Ansöker om tillitsmärke. K08. Kopplar tillitsmärke till metadata. K09. Anger federationskontext i metadata. | P10. Verifierar egenskaspintyg P11. Validerar federationskontext. | FI07. Utökar tillitskedjan till att omfatta organisationsrelaterade intyg. FI08. Publicerar organisationskoppling och federationskontext. FI09. Tillhandahåller verifiering av tillitsmärken. FI10. Upprätthåller separation mellan federationskontexter. |
När system- och organisationsnivån är etablerad kan federationen även bära användaridentitet. Detta steg introducerar federerad autentisering där identitetsutfärdare upptäcks och verifieras via federationsmetadata. Producenten verifierar att identitetsutfärdaren är ansluten och godkänd i relevant federationskontext innan identitetsintyg accepteras. Tilliten omfattar nu både tekniska tjänster och de användare som agerar genom dem.
| Perspektiv | Konsument | Producent | Federationsinfrastruktur |
|---|---|---|---|
| Part-till-part | K10. Autentiserar användare.K11. Förmedlar identitetsintyg till producent. | P12. Verifierar identitetsintyg. P13. Etablerar session baserad på federerad identitet. | |
| Mot FI | K12. Upptäcker identitetsutfärdare via metadata. K13. Publicerar metadata för egen klient eller identitetsutfärdare. | P14. Verifierar att identitetsutfärdare är ansluten och godkänd i den federationskontext som gäller för tjänsten. | FI11. Utökar tillitskedjan till att omfatta identitetsutfärdare. FI12. Publicerar metadata för identitetsutfärdare och klienter. FI13. Upprätthåller interoperabel profilering. |
I detta steg kompletteras den federerade användaridentiteten med verifierbar behörighetsinformation. Behörighetsutfärdare modelleras som federationsentiteter och deras rätt att intyga viss behörighet uttrycks i metadata. Producenten verifierar både att utfärdaren är ansluten i rätt kontext och att den har rätt att intyga aktuell behörighetstyp. Fokus ligger på att möjliggöra spårbara och policyförankrade åtkomstbeslut där identitet, organisation och behörighet samverkar.
| Perspektiv | Konsument | Producent | Federationsinfrastruktur |
|---|---|---|---|
| Part-till-part | K14. Förmedlar behörighetsintyg eller attribut till producent. | P15. Verifierar behörighetsintyg eller attribut.P16. Kombinerar identitet, organisation och attribut i beslutsmotor. P17. Fattar åtkomstbeslut. | |
| Mot FI | K15. Publicerar metadata som anger rätt att utfärda viss behörighetstyp. | P18. Verifierar att behörighetsutfärdare är ansluten och godkänd i den federationskontext som gäller för tjänsten. P19. Verifierar att behörighetsutfärdare har rätt att intyga aktuell behörighetstyp enligt federationsmetadata. | FI14. Utökar tillitskedjan till att omfatta behörighetsutfärdare. FI15. Publicerar metadata som uttrycker rätt att utfärda behörighetsintyg. FI16. Kopplar behörighetsutfärdare till federationskontext. |