Status: Utkast
Version: 0.1
Tillämpning: Produktion
Federationskontext: BAS
Ledningsaktör: Myndigheten för digital förvaltning, Digg
Federationsoperatör: Myndigheten för digital förvaltning, Digg
Detta dokument anger regelverk för federationskontexten BAS inom Samordnad identitet och behörighet.
Regelverket beskriver syfte, ansvar, anslutningsbar krets och grundläggande villkor för BAS. Det anger även vilka frågor som hanteras i andra styrande dokument, såsom anslutningspolicyer, registreringspolicyer, tekniska anslutningsregler, tekniskt ramverk, incidentprocess, förändringspolicy och tillämpliga avtalsvillkor.
Syftet med BAS är att etablera en gemensam och återanvändbar grund för verifierbar teknisk och organisatorisk tillit inom Samordnad identitet och behörighet.
BAS ska möjliggöra maskin-till-maskin-samverkan där ett mottagande system kan verifiera:
a) den tekniska komponentens federativa identitet,
b) vilken organisation som ansvarar för komponenten, och
c) enligt vilka krav komponentens metadata har registrerats.
Syftet med BAS är även att:
BAS ska ge en verifierbar tillitsgrund som kan användas av en förlitande part som underlag för egna åtkomstbeslut och egen riskbedömning.
BAS reglerar däremot inte:
a) användaridentitet eller autentisering av fysiska användare,
b) verksamhetsspecifika behörighetsmodeller,
c) rätt till informationsutbyte eller åtkomst till viss tjänst,
Sådana frågor regleras istället inom respektive samverkanskontext, tillämpliga verksamhetsregelverk samt kompletterande federationskontexter.
BAS ska även fungera som ett första införandesteg för federativ samverkan och skapa praktiska förutsättningar för fortsatt utveckling av Samordnad identitet och behörighet.
Samordnad identitet och behörighet är i första hand till för verksamheter inom välfärdsområdet som helt eller delvis är offentligt finansierade.
Med välfärdsområdet avses här verksamheter där offentliga aktörer, eller aktörer som utför offentligt finansierade uppgifter, behöver säker digital samverkan över organisationsgränser.
Närmare avgränsning av välfärdsområdet och anslutningsbar krets regleras i anslutningspolicy och tillämpliga avtalsvillkor.
Följande aktörer kan anslutas till BAS efter prövning enligt anslutningspolicy:
a) statliga myndigheter,
b) kommuner,
c) regioner,
d) offentligt styrda organ,
e) kommunala och regionala bolag,
f) organisationer som helt eller delvis bedriver offentligt finansierad verksamhet inom välfärdsområdet, och
g) andra organisationer som behöver delta i informationsutbyte med anslutna offentliga eller offentligt finansierade aktörer.
Informationsutbyte sker även med andra organisationer än offentliga och offentligt finansierade aktörer.
Andra organisationer får anslutas när anslutningen krävs för ett informationsutbyte som en offentlig eller offentligt finansierad aktör har behov av.
Sådana organisationer kan exempelvis vara:
a) privata leverantörer av digitala tjänster,
b) systemleverantörer,
c) tjänsteleverantörer,
d) privata utförare inom offentligt finansierad verksamhet,
e) underleverantörer, och
f) andra organisationer som behöver delta i ett konkret informationsutbyte med ansluten offentlig aktör.
Prövning av sådan anslutning sker enligt anslutningspolicy.
BAS OpenID Federation struktur kan visualiseras enligt bilden nedan
Tillitsankare
Uppslags- och verifieringstjänst
Anslutningstjänster
Anslutning av federationsmedlemmar BAS sker enligt Krav och vägledning för anslutning av federationsmedlemmar
Tekniska komponenter registreras enligt Registrering - krav och vägledningar
Egenskapsintyg kan förmedlas inom BAS när parter har behov av att uttrycka en viss egenskap hos en organisation, teknisk komponent eller funktion. Egenskapsintyg hanteras mellan de parter som har behov av egenskapsintyget. Det är dessa parter som kommer överens om vad egenskapsintyget betyder, vem som får utfärda det, vilka krav som ligger bakom det och när det ska accepteras.
Egenskapsintyg verifieras inte i BAS tillitsankare. Tillitsankaret används för att verifiera federationsmetadata och tillitskedjor, inte för att godkänna eller kontrollera egenskapsintygets innebörd.
Verifiering och acceptans av egenskapsintyg sker mellan de parter som bilateralt, eller inom en samverkanskontext, har kommit överens om att använda egenskapsintyget.
Varje part ansvarar själv för att avgöra om egenskapsintyget ska accepteras i den aktuella samverkan.
Federationsgodkänt egenskapsintyg
Samverkansgodkänt egenskapsintyg
Egenskapsintygsägaren ansvarar själv för att skapa, kravställa och verifiera egenskaps intyg i den bilaterala relation eller samverkanskontext där de används.
BAS förmedlar eller möjliggör verifiering av tillitsmärken tekniskt, men BAS tar inte över egenskapsintygsägarens ansvar för kravställning, kontroll eller bedömning av egenskapsintygets betydelse.
Egenskapsintygs ägarens ansvarar för regelverket för de egenskaps intyg som egenskapsintygsägaren står bakom och beslutar om kontrollmekanismer, detta omfattar:
Tekniska profiler finns beskrivna i Tekniskt ramverk för Samordnad identitet och behörighet