Identitet
Domän: Teknisk interoperabilitet och registrerad tillit
Version: 0.1
Status: Utkast
Typ av normativ artefakt
Policy
Relation till andra artefakter
Denna policy ska tillämpas tillsammans med:
tillämplig anslutningspolicy,
OpenID Federation 1.0,
OpenID Federation Registration Policy 00
Denna policy anger vilka kontroller som ska genomföras vid registrering, ändring, återkallelse och avregistrering av Federation Protocol Entity.
Denna policy gäller för registrering av Federation Protocol Entity.
Med Federation Protocol Entity avses i denna policy en Leaf Entity som uppträder i en protokollroll enligt tillämplig profil.
Tillämpliga krav på struktur, claims, trust chain, metadataformat, entity types och teknisk validering följer av:
OpenID Federation 1.0,
OpenID Federation Registration Policy
Följande ska vara uppfyllt innan registrering får genomföras:
Organisationen bakom entiteten ska vara ansluten enligt tillämplig anslutningspolicy.
Den som initierar registreringen ska vara behörig enligt tillämplig anslutningspolicy.
Det ska finnas utsedda kontaktpunkter för entiteten enligt tillämplig anslutningspolicy.
Vid registrering av Federation Protocol Entity ska följande kontroller genomföras.
Det ska kontrolleras att:
Entity Identifier är korrekt enligt tillämpliga specifikationer,
domäner som används i identifierare och endpoints står under organisationens kontroll eller används med dokumenterad rätt,
det inte finns risk för kollision eller sammanblandning med annan entitet eller annan organisation. Registration
Det ska kontrolleras att:
federationsnycklar finns och är tekniskt validerbara,
nycklarna är bundna till den registrerade entiteten,
nyckelidentifierare är entydiga,
nyckelmaterialet uppfyller tillämpliga tekniska krav.
Det ska kontrolleras att:
Entity Configuration finns och kan valideras enligt tillämpliga specifikationer,
metadata finns för aktuell entity type,
metadata uppfyller tillämpliga profiler, tekniska krav och federationsregler,
endpoints, kontaktuppgifter och övrig registrerad information är fullständig enligt tillämpligt regelverk.
Det ska kontrolleras att:
registreringen följer gällande regler om separation mellan federationstjänster och protokollroller,
entiteten inte kombinerar roller på ett sätt som strider mot tillämplig profil eller federationsregler.
Registreringsbeslut får fattas först när samtliga tillämpliga kontroller enligt denna policy är genomförda och godkända.
Registreringsbeslutet ska dokumentera:
registrerad Federation Protocol Entity,
ansvarig federationsmedlem,
vilka kontroller som genomförts,
beslutsdatum,
beslutsfattare,
tillämpad registreringspolicy.
Tillämpad registreringspolicy ska uttryckas genom registration_policy i Subordinate Statement för registrerad Federation Protocol Entity.
registration_policy ska innehålla URI till den eller de registreringspolicys som tillämpats.
registration_policy får inte anges i Entity Configuration. OpenID Federation Registration Policy anger uttryckligen att registration_policy får ingå i Subordinate Statement men inte i Entity Configuration.
Vid ändring av registrerad Federation Protocol Entity ska det kontrolleras om ändringen påverkar:
förutsättningar enligt anslutningspolicy,
identifierare,
domänkoppling,
federationsnycklar,
metadata,
endpoints,
tillämpad registreringspolicy.
Ändringar som påverkar något av ovanstående ska genomgå förnyad kontroll innan ändringen publiceras.
Återkallelse eller avregistrering ska genomföras om det konstateras att:
förutsättningar enligt anslutningspolicy inte längre är uppfyllda,
domänkoppling inte längre kan styrkas,
nyckelmaterial inte längre är tillförlitligt,
metadata inte längre är korrekt eller inte längre uppfyller tillämpliga krav,
federationsmedlemmens anslutning har upphört,
annan allvarlig avvikelse föreligger.
För varje registreringsärende ska följande dokumenteras:
ärendeidentifierare,
Entity Identifier,
entity type,
federationsmedlem,
begärande part,
beslutsfattare,
genomförda kontroller,
beslutsunderlag,
beslut,
tillämpad registreringspolicy,
senare ändringar, återkallelser och avregistreringar.
Efterlevnad av denna policy ska kunna följas upp genom:
stickprov,
incidentuppföljning,
granskning av publicerade entity statements och metadata,
kontroll av dokumenterade registreringsärenden,
kontroll av underlag för genomförda kontroller.
Vid brister ska den aktör som tillämpar denna policy kunna:
begära rättelse,
begränsa tillit,
temporärt spärra entiteten,
återkalla registreringen,
avregistrera entiteten.