1. Syfte

Denna policy fastställer villkor, principer och processer för registrering av tekniska komponenter i BAS inom Samordnad identitet och behörighet.

Syftet är att säkerställa att registrerade tekniska komponenter får en verifierbar och spårbar plats i federationsinfrastrukturen, så att andra parter kan lita på vilken organisation som står bakom komponenten, vilket nyckelmaterial som hör till den och inom vilket federationskontext den får användas.

Policyn ska skapa förutsättningar för tillit till tekniska komponenter i BAS genom en enhetlig och kontrollerad registreringsprocess. Policyn tar vid efter att en organisation redan har anslutits som federationsmedlem enligt gällande anslutningspolicy.

2. Styrande ramverk

Denna policy ska tillämpas tillsammans med tillämpliga externa specifikationer, profiler, tekniska anslutningsregler och tekniskt ramverk för Samordnad identitet och behörighet.

För registrering av federationsentiteter inom BAS gäller som grund:

• OpenID Federation 1.0,
• svensk profil för OpenID Federation,
• tekniska anslutningsregler för BAS, (SAKNAS)
• tekniskt ramverk för Samordnad identitet och behörighet. (SAKNAS)

För komponenter som använder OAuth 2.0 gäller dessutom federationens utpekade OAuth-profil i relevanta delar.

OpenID Connect Core 1.0 ska endast tillämpas för sådana komponenttyper där detta uttryckligen följer av tekniska anslutningsregler eller tekniskt ramverk.

RFC 8693 – OAuth 2.0 Token Exchange ska endast tillämpas när den aktuella federationskontexten uttryckligen medger sådana flöden.

Om denna policy är mindre precis än tillämplig profil eller teknisk anslutningsregel ska den mer precisa regleringen ha företräde i tekniska frågor. Denna policy reglerar registreringsprocess, evidens, ansvar och tillitsantaganden, medan tekniskt ramverk och tekniska anslutningsregler reglerar exakta protokollkrav, metadatafält, endpoints, claims, algoritmer och andra tekniska parametrar.

3. Vad andra parter får förutsätta

När en teknisk komponent har registrerats enligt denna policy får andra parter förutsätta att:

1. komponenten är knuten till en federationsmedlem som redan har anslutits enligt gällande anslutningspolicy,
2. registreringen har initierats eller godkänts av behörig uppgiftslämnare,
3. komponentens tekniska identitet och nyckelmaterial har kontrollerats i den utsträckning som krävs enligt denna policy, tekniska anslutningsregler och tillämpliga specifikationer,
4. komponenten har registrerats inom BAS för ett definierat användningsområde,
5. publicerade uppgifter om komponenten omfattas av federationens regler för spårbarhet, förändringshantering och uppföljning.

När komponenten är en federationsentitet får andra parter vidare förutsätta att dess Entity Configuration kan valideras, att dess metadata kan ingå i en korrekt tillitskedja och att eventuellt Subordinate Statement har utfärdats i enlighet med federationens regler och OpenID Federation 1.0.

När komponenten är en OAuth 2.0-komponent får andra parter förutsätta att registreringen har tagit hänsyn till relevanta delar av federationens OAuth-profil, men inte att full interoperabilitet är visad enbart genom registreringen. Sådan efterlevnad kan kräva ytterligare verifiering enligt tekniska anslutningsregler.

Registreringen innebär inte i sig att komponenten har rätt att få tillgång till viss information, utföra viss rättshandling eller agera utanför de ramar som följer av andra avtal, regelverk eller tillämplig rätt.

4. Omfattning och avgränsning

4.1 Omfattar

Denna policy omfattar:

• registrering, validering, publicering, uppdatering, avregistrering och återkallelse av tekniska komponenter i BAS,
• semantik för metadata vid registrering av tekniska komponenter, såsom identitet, organisation, kontakt, nycklar, endpoints och protokollrelaterad metadata,
• grundprinciper för hur metadata används för interoperabilitet och tillit inom BAS,
• registreringslivscykel på policynivå med fokus på spårbarhet, transparens och bevisbarhet.

4.2 Omfattar inte

Denna policy omfattar inte:

• verifiering av juridisk person,
• verifiering av behörig företrädare,
• prövning av medlemskap i federationen,
• organisationsverifiering och mandatkedjor för medlemskap,
• materiell rätt att få tillgång till information eller tjänster,
• användaridentitet, användarbehörighet eller delegering,
• exakta fältkrav per profil, algoritmlistor, testfall eller detaljerade tekniska valideringsregler,
• driftinstruktioner för resolver, cache eller andra federationstjänster.

Policyn förutsätter att federationsmedlemmen redan har kvalificerats enligt anslutningspolicyn och att ansvarsförhållandet mellan organisation och behöriga uppgiftslämnare redan har fastställts.

5. Roller och ansvar

5.1 Ledningsaktör

Ledningsaktören fastställer denna policy och kan initiera uppföljning eller revision av efterlevnad.

5.2 Federationsoperatör

Federationsoperatören ansvarar för federationens tillitsinfrastruktur och för federationens gemensamma regler, om rollen är separerad från ledningsaktören.

5.3 Anslutningsoperatör

Anslutningsoperatören ansvarar för registrering och ändringshantering enligt denna policy. Anslutningsoperatören ska:

• ta emot registreringsärenden,
• kontrollera att förutsättningar för registrering är uppfyllda,
• validera inlämnade uppgifter,
• besluta om registrering, avslag, vilandeförklaring, tillfällig spärr eller återkallelse,
• säkerställa att tillämplig policyidentifierare används,
• säkerställa att nödvändiga kontroller genomförs,
• säkerställa att metadataunderlag, certifikat, nyckelmaterial och övriga uppgifter som används för validering dokumenteras och kan följas upp i efterhand.

5.4 Federationsmedlem

Federationsmedlemmen ansvarar för att:

• endast behöriga uppgiftslämnare agerar i registreringsprocessen,
• lämnade uppgifter är korrekta, fullständiga och aktuella,
• förändringar som påverkar registreringen anmäls utan dröjsmål,
• komponenten förvaltas på ett sådant sätt att registrerade uppgifter förblir riktiga över tid,
• komponenten avregistreras när den inte längre ska användas inom BAS.

6. Definitioner

I denna policy avses med:

BAS
Det federationskontext inom Samordnad identitet och behörighet som utgör den gemensamma grundnivån för verifierbar systemidentitet och organisationskoppling.

Federationsmedlem
Organisation som har anslutits enligt gällande anslutningspolicy och som får registrera tekniska komponenter i BAS.

Teknisk komponent
Federationsentitet eller annan teknisk tjänst eller funktion som registreras inom federationsinfrastrukturen för att kunna identifieras, verifieras och användas i digital samverkan inom BAS.

Behörig uppgiftslämnare
Person som av federationsmedlemmen har utsetts och godkänts att initiera eller genomföra registrering, uppdatering eller avregistrering av tekniska komponenter.

Entity Identifier
Entydig URI som identifierar en entitet i federationen.

Entity Configuration
Entitetens självdeklaration som utgör startpunkt för trust chain och metadata resolution.

Subordinate Statement
Uttalande signerat av en överordnad part som intygar bindningar och genomförda kontroller vid registrering.

Registreringspolicy-URI
Stabil identifierare som anger vilken version av registreringspolicy som tillämpats.

7. Grundläggande ställningstaganden

Registrering av teknisk komponent i BAS ska bygga på följande utgångspunkter:

1. Registrering ska vara tillitsskapande och möjliggöra maskinell bedömning av vilken organisation som står bakom en komponent, vilka nycklar som hör till entiteten och hur komponenten ska användas säkert och interoperabelt.
2. Metadata ska vara begriplig, spårbar och verifierbar.
3. Registreringspolicy-URI ska, där sådan används, göra det möjligt att förstå vilket regelverk som gällde vid registrering och vid senare ändringar.
4. Registrering ska tydligt skilja mellan sådana uppgifter som federationsmedlemmen själv deklarerar och sådana uppgifter som anslutningsoperatören har kontrollerat eller intygat.
5. Registreringsprocessen ska vara enhetlig för samtliga tekniska komponenter inom BAS, men får kompletteras med särskilda regler för vissa komponenttyper i tekniska anslutningsregler.

8. Registreringsobjekt och policyartefakter

Endast sådana tekniska komponenter som omfattas av BAS får registreras enligt denna policy.

Vilka komponenttyper som får registreras, och vilka särskilda krav som gäller för respektive komponenttyp, fastställs i tekniska anslutningsregler och tekniskt ramverk.

Registrering av en teknisk komponent ska, där det är tillämpligt, resultera i följande artefakter:

• Entity Configuration som kan hämtas och valideras,
• Subordinate Statement utfärdat av överordnad part, som binder ihop entiteten, dess federationsnycklar och dess medlemskap samt vid behov fixerar eller stärker utvalda metadata,
• Registreringspolicy-URI som gör policyn spårbar vid resolution och revision.

9. Registreringsprocess

9.1 Nyregistrering

Vid nyregistrering ska ett registreringsärende upprättas. Ärendet ska knytas till berörd federationsmedlem och till den behöriga uppgiftslämnare som initierar registreringen.

Federationsmedlemmen ska lämna de uppgifter som krävs för att komponenten ska kunna identifieras, valideras och publiceras inom BAS. Uppgifterna ska vara fullständiga, aktuella och lämnade i den form som fastställs i tekniska anslutningsregler.

Anslutningsoperatören ska säkerställa att:

• organisationskoppling är etablerad,
• domänkoppling är rimlig och kontrollerbar, där sådan är relevant,
• Entity Configuration kan valideras, där sådan används,
• Subordinate Statement kan utfärdas, där sådant används,
• Registreringspolicy-URI kopplas till registreringen, där sådan funktion används i federationens profilering.

Anslutningsoperatören ska vidare kontrollera att:

• komponenten är knuten till rätt federationsmedlem,
• inlämnat metadataunderlag är tekniskt giltigt,
• komponentens identifierare är rimlig och förenlig med tillämpliga regler,
• nyckelmaterial och andra säkerhetskritiska uppgifter uppfyller fastställda minimikrav,
• komponenten i övrigt uppfyller de krav som gäller för BAS.

För federationsentiteter ska anslutningsoperatören dessutom kontrollera att registreringen är förenlig med OpenID Federation 1.0 och tillämplig svensk federationprofil.

För komponenter som använder OAuth 2.0 ska anslutningsoperatören också bedöma registreringsunderlaget mot relevanta delar av federationens utpekade OAuth-profil.

Om samtliga krav är uppfyllda ska komponenten registreras. Om kraven inte är uppfyllda ska registrering avslås eller vilandeförklaras till dess att bristerna har åtgärdats.

Efter godkänd registrering ska komponenten publiceras enligt gällande regler för federationsinfrastrukturen.

9.2 Uppdatering

Uppdatering innebär ändring av metadata eller andra registrerade uppgifter för en befintlig komponent.

Följande principer ska gälla:

• uppdateringar ska vara spårbara med uppgift om vem, vad, när och varför,
• nyckelbyte och endpointändringar ska hanteras kontrollerat,
• uppdateringar kan kräva ny attest eller ny kontroll beroende på ändringens säkerhetspåverkan,
• tillämplig policyversion ska vara tydlig.

Federationsmedlemmen ska utan dröjsmål anmäla förändringar som påverkar registrerade uppgifter om komponenten.

Vid uppdatering ska anslutningsoperatören bedöma om ändringen:

1. kan genomföras som en ordinär uppdatering,
2. kräver förnyad kontroll,
3. kräver nytt godkännande,
4. ska leda till tillfällig spärr eller återkallelse i avvaktan på vidare prövning.

Ändringar av domän, nycklar, endpoints, organisationskoppling eller andra uppgifter som påverkar tillit eller trafikflöden ska riskbedömas och, när så krävs, valideras på nytt enligt denna policy, tekniska anslutningsregler och tillämpliga profiler.

9.3 Avregistrering och återkallelse

Avregistrering innebär att komponenten inte längre ska vara tillitsbar eller upptäckbar inom BAS.

En teknisk komponent ska avregistreras när:

1. den inte längre ska användas inom BAS,
2. federationsmedlemmen begär avregistrering,
3. komponenten inte längre uppfyller tillämpliga krav,
4. federationsmedlemmens anslutning upphör,
5. fortsatt registrering inte längre är förenlig med federationens regler eller säkerhetskrav.

Anslutningsoperatören får besluta om tillfällig spärr eller återkallelse om:

• nyckelmaterial misstänks vara komprometterat,
• registrerade uppgifter är felaktiga eller vilseledande,
• komponenten används i strid med federationens regler,
• incident eller annan omständighet medför att tilliten inte längre kan upprätthållas.

Vid avstängning eller återkallelse ska anslutningsoperatören genomföra teknisk avpublicering eller ogiltigförklaring enligt federationens regler, dokumentera beslutet och underrätta federationsmedlemmen.

10. Spårbarhet, transparens och bevisbarhet

Registreringsprocessen ska vara spårbar från initiering till beslut, publicering, uppdatering och avregistrering.

Det ska i efterhand gå att fastställa:

• vilken federationsmedlem som står bakom komponenten,
• vilken behörig uppgiftslämnare som initierade eller godkände ärendet,
• vilka kontroller som genomfördes,
• vilket beslut som fattades,
• när beslutet fattades,
• vilken version av denna policy som tillämpades,
• vilka tekniska regler och profiler som beaktades i prövningen.

Dokumentation ska bevaras under den tid som krävs för uppföljning, incidenthantering, revision och administrativ eller rättslig spårbarhet.

11. Revision och uppföljning

Registrerade komponenter får bli föremål för uppföljning och revision för att säkerställa att de fortsatt uppfyller villkoren i denna policy.

Federationsmedlemmen ska på begäran lämna sådant underlag som behövs för att verifiera att registrerad komponent fortsatt är korrekt registrerad och korrekt kopplad till organisationen.

Om uppföljning visar på brister ska anslutningsoperatören besluta om rättelse, begränsning, tillfällig spärr eller återkallelse beroende på bristens art.

Vid uppföljning ska det särskilt kunna visas hur registreringen och senare ändringar förhåller sig till tillämpliga tekniska anslutningsregler, OpenID Federation 1.0, tillämplig svensk OIDF-profil och, där så är relevant, federationens utpekade OAuth-profiler.

12. Ikraftträdande och ändringar

Denna policy gäller från den tidpunkt som beslutas av ledningsaktören eller federationsoperatören enligt gällande styrmodell.

Ändringar i policyn ska beslutas i den ordning som gäller för styrande dokument inom federationsinfrastrukturen. Vid ändring ska det framgå från vilken tidpunkt den nya versionen gäller och hur redan registrerade komponenter ska hanteras.