Regelverk för federationskontext BAS

inom Samordnad identitet och behörighet

Status: Utkast
Version: 0.1
Tillämpning: Produktion
Federationskontext: BAS
Ledningsaktör: Myndigheten för digital förvaltning, Digg
Federationsoperatör: Myndigheten för digital förvaltning, Digg

Om dokumentet

Detta dokument anger regelverk för federationskontexten BAS inom Samordnad identitet och behörighet.

Regelverket beskriver syfte, ansvar, anslutningsbar krets och grundläggande villkor för BAS. Det anger även vilka frågor som hanteras i andra styrande dokument, såsom anslutningspolicyer, registreringspolicyer, tekniska anslutningsregler, tekniskt ramverk, incidentprocess, förändringspolicy och tillämpliga avtalsvillkor.

Syfte

Syftet med BAS är att etablera en gemensam och återanvändbar grund för verifierbar teknisk och organisatorisk tillit inom Samordnad identitet och behörighet.

BAS ska möjliggöra maskin-till-maskin-samverkan där ett mottagande system kan verifiera:

a) den tekniska komponentens federativa identitet,
b) vilken organisation som ansvarar för komponenten, och
c) enligt vilka krav komponentens metadata har registrerats.

Syftet med BAS är även att:

BAS ska ge en verifierbar tillitsgrund som kan användas av en förlitande part som underlag för egna åtkomstbeslut och egen riskbedömning.

BAS reglerar däremot inte:

a) användaridentitet eller autentisering av fysiska användare,
b) verksamhetsspecifika behörighetsmodeller,
c) rätt till informationsutbyte eller åtkomst till viss tjänst,

Sådana frågor regleras istället inom respektive samverkanskontext, tillämpliga verksamhetsregelverk samt kompletterande federationskontexter.

BAS ska även fungera som ett första införandesteg för federativ samverkan och skapa praktiska förutsättningar för fortsatt utveckling av Samordnad identitet och behörighet.

Målgrupp

Primär målgrupp

Samordnad identitet och behörighet är i första hand till för verksamheter inom välfärdsområdet som helt eller delvis är offentligt finansierade.

Med välfärdsområdet avses här verksamheter där offentliga aktörer, eller aktörer som utför offentligt finansierade uppgifter, behöver säker digital samverkan över organisationsgränser.

Närmare avgränsning av välfärdsområdet och anslutningsbar krets regleras i anslutningspolicy och tillämpliga avtalsvillkor.

Aktörer som kan anslutas

Följande aktörer kan anslutas till BAS efter prövning enligt anslutningspolicy:

a) statliga myndigheter,
b) kommuner,
c) regioner,
d) offentligt styrda organ,
e) kommunala och regionala bolag,
f) organisationer som helt eller delvis bedriver offentligt finansierad verksamhet inom välfärdsområdet, och
g) andra organisationer som behöver delta i informationsutbyte med anslutna offentliga eller offentligt finansierade aktörer.

Andra organisationer

Informationsutbyte sker även med andra organisationer än offentliga och offentligt finansierade aktörer.

Andra organisationer får anslutas när anslutningen krävs för ett informationsutbyte som en offentlig eller offentligt finansierad aktör har behov av.

Sådana organisationer kan exempelvis vara:

a) privata leverantörer av digitala tjänster,
b) systemleverantörer,
c) tjänsteleverantörer,
d) privata utförare inom offentligt finansierad verksamhet,
e) underleverantörer, och
f) andra organisationer som behöver delta i ett konkret informationsutbyte med ansluten offentlig aktör.

Prövning av sådan anslutning sker enligt anslutningspolicy.

Federationsstruktur  

BAS består av en federationsstruktur där metadata publiceras och verifieras genom distribuerade federationstjänster.

BAS OpenID Federation struktur kan visualiseras enligt bilden nedan

Tillitsankare

Tillitsankaret är federationens tekniska rot inom BAS.

Tillitsankaret publicerar signerad metadata för underordnade Anslutningstjänster och definierar de policyer och begränsningar som gäller inom federationen.

Federationsmedlemmar och federationstjänster etablerar tillit till federationen genom att verifiera metadata mot tillitsankarets federationsnyckel.

Uppslags- och verifieringstjänster

Uppslags- och verifieringstjänster används för att hämta och verifiera metadata inom federationen.

Tjänsterna används av federationsmedlemmar och federationstjänster för verifiering av federativa identiteter, metadata och organisationskopplingar.

Anslutningstjänster

Anslutningstjänster används för registrering och publicering av metadata för federationsmedlemmar och tekniska komponenter.

Anslutning

Anslutning till BAS sker genom att en organisation ansluts som federationsmedlem enligt tillämpliga krav och avtalsvillkor.

Efter godkänd anslutning får federationsmedlemmen registrera tekniska komponenter och publicera metadata inom BAS.

Anslutning omfattar verifiering av:

a) organisationsidentitet,
b) behöriga företrädare och uppgiftslämnare, och
c) krav på metadata

Anslutning av federationsmedlem

Anslutning av federationsmedlemmar BAS sker enligt Krav och vägledning för anslutning av federationsmedlemmar

Registrering av anslutningstjänst

Todo!

Registrering av teknisk komponent

Tekniska komponenter registreras enligt Registrering - Tillämpningskrav och vägledning (f.d. registeringspolicys)

  1. Registreringspolicy verifierad organisationskoppling
  2. Registreringspolicy verifierad uppgiftslämnare

Egenskapsintyg inom BAS 

Allmänt

Egenskapsintyg kan förmedlas inom BAS när parter har behov av att uttrycka en viss egenskap hos en organisation, teknisk komponent eller funktion. Egenskapsintyg hanteras mellan de parter som har behov av egenskapsintyget. Det är dessa parter som kommer överens om vad egenskapsintyget betyder, vem som får utfärda det, vilka krav som ligger bakom det och när det ska accepteras.

Egenskapsintyg verifieras inte i BAS tillitsankare. Tillitsankaret används för att verifiera federationsmetadata och tillitskedjor, inte för att godkänna eller kontrollera egenskapsintygets innebörd.

Verifiering och acceptans av egenskapsintyg sker mellan de parter som bilateralt, eller inom en samverkanskontext, har kommit överens om att använda egenskapsintyget.

Varje part ansvarar själv för att avgöra om egenskapsintyget ska accepteras i den aktuella samverkan.

Federationsgodkänt egenskapsintyg

  1. Utfärdare och eventuell ägare av egenskapsintyget är publicerade och erkända av federationens Tillitsankare
  2. Egenskapsintyget kan användas interoperabelt inom federationen
  3.  Andra federationmedlemmar kan förväntas förstå, verifiera och acceptera intyget enligt federationens policy

Samverkansgodkänt egenskapsintyg

  1. Utfärdare och eventuell ägare av egenskapsintyget är inte publicerade av federationens Tillitsankare
  2. Tilliten etableras genom överenskommelser inom ett samverkanskontext
    Varje part avgör själv om intyget ska accepteras

Egenskapsintygsägaren ansvar för Egenskapsintyg

Egenskapsintygsägaren ansvarar själv för att skapa, kravställa och verifiera egenskaps intyg i den bilaterala relation eller samverkanskontext där de används.

BAS förmedlar eller möjliggör verifiering av tillitsmärken tekniskt, men BAS tar inte över egenskapsintygsägarens ansvar för kravställning, kontroll eller bedömning av egenskapsintygets betydelse.

Egenskapsintygs ägarens ansvarar för regelverket för de egenskaps intyg som egenskapsintygsägaren står bakom och beslutar om kontrollmekanismer, detta omfattar: 

  1. vad egenskapsintyget betyder,
  2. vilka krav som ligger bakom egenskapsintyget,
  3. hur efterlevnad kontrolleras,
  4. vem som får utfärda eller intyga egenskapsintg,
  5. hur länge egenskapsintyg gäller,
  6. hur egenskapsintyg återkallas, och
  7. hur en förlitande part ska värdera egenskapsintyg.

BAS miljöer

Todo!

Sandbox

QA

Produktion

Tekniskt ramverk

Todo!