Detta dokument är ett pågående arbetsmaterial. Innehållet är under utveckling och ska ses som samverkansmaterial, inte som ett beslutat eller fastställt dokument. Formuleringar, beskrivningar och förslag kan komma att ändras under arbetets gång

1. Inledning

Behovet av säker och interoperabel digital samverkan mellan organisationer ökar snabbt. Allt fler digitala tjänster kräver att identitets- och behörighetsinformation kan hanteras på ett tillitsfullt och effektivt sätt – ofta mellan aktörer som inte har någon direktrelation. För att möjliggöra detta krävs en gemensam teknisk infrastruktur som kan etablera, förmedla och verifiera tillitsinformation mellan parter på ett standardiserat och automatiserat sätt.

Federationsinfrastrukturen realiserar denna förmåga genom ett nätverk av distribuerade, samverkande komponenter som hanterar signerad metadata. Den tekniska lösningen bygger på vedertagna standarder, såsom OpenID Federation, och skapar förutsättningar för dynamisk anslutning, decentraliserad hantering och policybaserad förmedling av tillitsinformation.

Infrastrukturen är decentraliserad men kontrollerad – varje aktör ansvarar för sin del av ekosystemet, samtidigt som federativa regler och gemensamma format säkerställer att tillitsinformation kan tolkas och verifieras entydigt. Genom signerad metadata och verifierbara tillitskedjor möjliggörs beslut om åtkomst, identitet och behörighet även mellan parter som inte har en etablerad relation i förväg.

Federationsinfrastrukturen tillhandahålls av särskilda operatörer, vars tjänster fungerar som tekniska noder i infrastrukturen. Dessa roller – federationsoperatör, anslutningsoperatör och tillitsoperatör – är nyckelaktörer för anslutning, publicering, aggregering och intygande av metadata och tillitsinformation.

Flera aktörer kan inneha samma typ av operatörsroll inom en federation, vilket möjliggör ett distribuerat ekosystem där ansvar och funktionalitet fördelas. Det kan alltså finnas flera federationsoperatörer, anslutningsoperatörer och tillitsoperatörer, som var och en verkar inom sina respektive kontexter men med gemensamma regler och teknisk interoperabilitet. Detta stödjer målet om skalbarhet, valfrihet och sektorsövergripande samverkan.

Tillsammans skapar dessa funktioner en skalbar, distribuerad och återanvändbar teknisk grund som kan stödja samverkan över organisations- och domängränser.

Federationsinfrastrukturen utgör tillsammans med tillitshanteringen och digital samverkan en sammanhängande helhet där den tekniska infrastrukturen möjliggör att det ramverk för tillit som tillitshanteringen beskriver kan omsättas i säkra och verifierbara informationsutbyten mellan parter, i linje med arkitekturen som beskrivs i Samordnad identitet och behörighet.

1.1. Syfte med dokumentet

Detta dokument beskriver den tekniska arkitekturen för federationsinfrastrukturen inom lösningen för Samordnad identitet och behörighet, med fokus på hur tillit etableras, distribueras och verifieras i ett decentraliserat ekosystem. Syftet är att ge arkitekter, tekniska beslutsfattare en strukturerad förståelse för hur federativ samverkan möjliggörs genom standardiserade komponenter, väldefinierade roller och formella metadataflöden.

Dokumentet redogör för de byggblock och designprinciper som ligger till grund för infrastrukturen – inklusive komponenternas ansvar, interoperabilitet, separation av roller samt mekanismer för förmedling av tillitsinformation. Det beskriver även hur infrastrukturen stödjer modularitet och återanvändbarhet, så att olika domäner och verksamheter kan införa de delar som är relevanta för deras kontext – utan att avvika från den gemensamma arkitekturens principer eller säkerhetsmodell

1.2. Målgrupp

Dokumentet riktar sig till arkitekter och tekniska beslutsfattare som ansvarar för tekniska tjänster och planerar att bygga, tillhandahålla eller ansluta komponenter till federationsinfrastrukturen. Det kan också användas som vägledning för organisationer som behöver förstå hur den tekniska delen av Samordnad identitet och behörighet är uppbyggd och hur den kan tillämpas i egna samverkanslösningar.

1.3. Drivkrafter och principer

Federationsinfrastrukturen svarar mot behovet av en teknisk grund som möjliggör säker, flexibel och återanvändbar digital samverkan mellan organisationer. I takt med att fler tjänster blir beroende av tillitsfull hantering av identitet och behörighet krävs en infrastruktur där nya aktörer enkelt kan anslutas och interagera – utan att bygga punkt-till-punkt-lösningar.

Drivkrafterna bakom infrastrukturen är:

  • Minskad integrationsbörda: En gemensam mekanism för hantering av metadata och tillitsinformation minskar behovet av anpassning och manuell hantering.
  • Återanvändbarhet och valbarhet: Infrastrukturen är uppdelad i delar som kan användas var för sig eller tillsammans, vilket gör det möjligt för aktörer att använda de delar som är relevanta för deras behov.
  • Decentralisering och flexibilitet: Varje aktör ansvarar för sin del av tillitskedjan men kan ändå samverka med andra inom ramen för gemensamma spelregler.

Federationsinfrastrukturen vilar på följande principer:

  • Standardisering och interoperabilitet: Lösningen baseras på öppna standarder för att möjliggöra brett systemstöd och hög grad av interoperabilitet.
  • Distribuerad ansvarsfördelning: Flera aktörer delar på ansvaret enligt gemensamma regler, vilket möjliggör skalbarhet utan central styrning.
  • Modularitet: Infrastrukturen är uppbyggd av fristående komponenter och tydliga roller som kan kombineras efter behov utan att skapa hårda beroenden.
  • Automation: Validering av metadata sker i realtid, vilket möjliggör dynamisk åtkomst och minimerar behovet av förhandsregistrering.

1.4. Sammanfattning

Federationsinfrastrukturen syftar till att möjliggöra tillitsfull, interoperabel och skalbar digital samverkan mellan aktörer – även när dessa saknar tidigare relation. Infrastrukturen ska kunna användas både av offentliga organisationer och av privata aktörer som deltar i samhällsviktig verksamhet, tillhandahåller digitala tjänster för det offentliga, eller hanterar information som omfattas av offentlig reglering. Den distribuerad hantering av tillitsinformation genom signerad metadata.

Arkitekturen består av standardiserade komponenter – såsom Tillitsankartjänst, Anslutningstjänst, Tillitsmärkestjänst och Uppslags- och verifieringstjänst – som samverkar för att etablera och vidmakthålla teknisk tillit mellan parter. Digitala tjänster ansluts via en Anslutningstjänst och får sin metadata och eventuella tillitsmärken tekniskt verifierbara via federationens mekanismer.

Tillit etableras i realtid genom maskinell verifiering av entiteters metadata och koppling till en gemensam Tillitsankare. Detta möjliggör säkra åtkomstbeslut och informationsutbyte även i situationer där aktörerna inte har någon tidigare etablerad relation. Arkitekturen stödjer flera parallella federationskontext, vilket skapar förutsättningar för sektorsövergripande samverkan, återanvändning av komponenter och tillitsskapande krav.

Federationsinfrastrukturen utgör därmed grunden för ett sammanhållet men decentraliserat ekosystem där tillit, säkerhet och interoperabilitet hanteras enligt gemensamma regler – utan att begränsa aktörers tekniska eller organisatoriska valfrihet.

2. Förslag på teknisk modell för federationsinfrastruktur

Den föreslagna tekniska modellen för federationsinfrastrukturen in Samordnad identitet och behörighet bygger på OpenID Federation-specifikationen (OpenID Federation 1.0 - draft 43) och utgår från principen om distribuerad publicering och verifiering av signerad metadata.

Varje aktör i infrastrukturen representeras av en eller flera komponenter som publicerar metadata i form av så kallade Entity statements – signerade JSON Web Tokens (JWT) som innehåller information om komponentens identitet, tekniska kapacitet, policykrav, kryptonycklar och eventuella tillitsmärken.

Den tekniska tilliten i infrastrukturen etableras genom att metadata kan kopplas ihop till en verifierbar tillitskedja, där varje led i kedjan intygar nästa, upp till en gemensam Tillitsankartjänst. Denna tillitskedja möjliggör att beslut om identitet, åtkomst och behörighet kan fattas även mellan parter som inte har en etablerad relation i förväg.

Modellen bygger på maskinell tolkning och kryptografisk verifiering av metadata, vilket skapar förutsättningar för en flexibel, decentraliserad och automatiserad federationsstruktur.

Federationskontexten definieras av vilken Tillitsankartjänst en digital tjänst är ansluten till. Den utgör den tekniska grunden – den ”hårda styrningen” – där tillit etableras genom verifierbara tillitskedjor och signerad metadata. Endast tjänster som kan härledas till samma Tillitsankartjänst ingår i samma federationskontext.

Samverkanskontexten bestäms däremot av vilka tillitsmärken en tjänst har erhållit. Dessa märken visar vilka tillitsskapande krav som uppfyllts och används för att styra under vilka villkor informationsutbyte får ske. En aktör kan därmed delta i flera samverkanskontexter parallellt inom en federationskontext.

Detta innebär att en aktör kan delta i flera federationskontexter parallellt (som kan ha kompletterande styrning, alternativa tillitsmodeller eller särskilda policykrav), samtidigt som den inom varje federationskontext kan ingå i olika samverkanskontexter beroende på vilka tillitsmärken som uppfylls. På så sätt kombineras en gemensam teknisk grund med flexibilitet att möta skilda verksamhetskrav.

Bild 1. Federationsinfrastrukturens arkitektur

Strukturell bild över federationsinfrastrukturtjänster och olika typer av tekniska komponenter anslutna till federationsinfrastrukturen:

  1. Federationsinfrastrukturtjänster
    1. Tillitsankartjänst
      Tillitsankartjänsten (motsvarar Trust Anchor i OpenID Federation-specifikationen),  fungerar som den yttersta källan till tillit. Den publicerar metadata, signerade så kallade Entity statements, för de Anslutningstjänster och Tillitsmärkestjänster som den erkänner. Dessa uttalanden utgör roten i varje tillitskedja och kan verifieras kryptografiskt. Endast komponenter som kan härledas till en gemensam Tillitsankartjänst anses ingå i samma federationskontext.
    2. Anslutningstjänst
      Anslutningstjänsten (motsvarar Intermetidate Entity i OpenID Federation-specifikationen) fungerar som ett tekniskt nav som aggregerar, hanterar och publicerar metadata, signerade Entity statements, om underordnade entiteter – t.ex. e-tjänster, API:er, identitetsintygstjänster eller attributkällor. Den kan även tillföra policies , vilket gör det möjligt att tillämpa lokala villkor utan att bryta den övergripande federativa strukturen.
    3. Tillitsmärkestjänst
      En Tillitsmärkestjänst (motsvarar Trust Mark Issuer i OpenID Federation-specifikationen) fungerar som en oberoende komponent som utfärdar tillitsmärken – signerade och strukturerade bevis på att en viss komponent uppfyller angivna tillitsskapande krav kopplade till en viss IAM-förmåga som en komponent realiserar, såsom autentisering eller attributhantering.
      Tillitsmärket (benämns Trust Mark i OpenID Federation) är en signerad JWT som kan bifogas i en entitets Entity Configuration. Det kan valideras likt övriga delar av tillitskedjan, vilket möjliggör att mottagande parter – till exempel e-tjänster eller verifieringstjänster – kan fatta policybaserade beslut om tillit och åtkomst utifrån om rätt tillitsmärke finns och är giltigt.
    4. Uppslags- och verifieringstjänst
      För att åstadkomma teknisk verifiering vid användning används en Uppslags- och verifieringstjänst (motsvarar Resolver i OpenID Federation) som dynamiskt bygger tillitskedjor genom att följa Authority hints och kontrollera signaturer, certifikat och policyvillkor. Detta möjliggör realtidsvalidering av entiteter, utan att dessa måste vara kända i förväg.
  2. Anslutna tekniska komponenter
    Tekniska komponenter (Leaf Entities i OpenID Federation) publicerar sina egna Entity Statements med metadata om endpoints, nycklar och policyer. De ansluts till federationsinfrastrukturen via en anslutningstjänst  som refereras till via Authority hints i metadatat. Komponenter som ska utbyta information mellan varandra behöver hämta och validera varandras tillitsinformation. Genom att konsumera signerad metadata och digitala intyg från andra komponenter kan man säkerställa att motparten är korrekt identifierad och behörig. Denna struktur möjliggör ett distribuerat men sammanhållet tillitsnätverk där överordnade komponenter intygar och verifierar de underordnade enligt en tydlig struktur. Detta skapar en robust grund för samverkan med stöd för automatisering.

    De typer av tekniska komponenter som hanteras är:
    1. Identitetsintygstjänster – autentiserar användare och utfärdar identitetsintyg.
    2. Åtkomstintygstjänster – fattar beslut om och utfärdar åtkomstintyg.
    3. E-tjänster – webbtjänster som initierar åtkomstförfrågningar.
    4. Resursservrar (API:er) – exponerar skyddade resurser och kontrollerar åtkomst.
    5. Attributkällor – tillhandahåller behörighetsgrundande attribut. Antingen kan är de anslutna till federationsinfrastrukturen som en resursserver alternativt bakom en identitetsintygs- eller åtkomstintygstjänst.


2.1. Tillitskedjor – dynamisk och verifierbar metadata

En central mekanism i federationsinfrastrukturen är tillitskedjan – en verifierbar, kryptografiskt signerad sekvens av metadata, Entity statements, som knyter samman en tjänstekomponent (t.ex. en e-tjänst) med federationens Tillitsankartjänst. Kedjan visar vem som intygar vem, på vilket sätt, och med vilka tillitsvillkor.

Tillitskedjan byggs upp dynamiskt vid behov – exempelvis när en e-tjänst begär ett åtkomstintyg. Varje led i kedjan är ett signerat uttalande där:

  • En komponenten (t.ex. e-tjänst eller API) signerar och publicerar ett uttalande om sig själv – detta kallas Entity Configurations. Den innehåller metadata om entiteten, tillämpade policyer, samt en eller flera Authority hints som pekar ut vilken överordnad aktör (t.ex. en Anslutningstjänst) som är ansvarig för att intyga komponenten i federationen

  • Anslutningstjänsten signerar publicerar utöver ett Entity Configuration om sig själv ett även ett så kallat Entity statements om den underordnade komponenten –– som innehåller federationsnycklar, metadata och eventuella policys.

  • Tillitsankartjänsten signerar och publicerar ett Entity statement om anslutningstjänsten och fungerar som rot för tillitskedjan.

Det är alltså två typer av Entity statements som används i infrastrukturen:

  • Entity configuration: metadata om sig själv, som varje komponent publicerar på en fördefinierad URL.

  • Entity statements: metadata som en överordnad part publicerar (t.ex. Anslutningstjänst eller Tillitsankartjänst om en annan entitet.

OIDF-Tillitskedja
 

En Uppslags- och verifieringstjänst kan rekonstruera en tillitskedja genom att följa de authority_hints som finns angivna i entitetens metadata (Entity Configuration), hämta associerade Entity Statements från överordnade entiteter – till exempel från en Anslutningstjänst eller direkt från en Tillitsankartjänst – och validera dessa med hjälp av de signaturerna. I varje länk i kedjan kontrolleras att varje entitet explicit pekar ut sin överordnade i enlighet med OpenID Federations specifikation. Detta är ett exempel på det bottom-up-baserade sättet att bygga tillit.

Som alternativ kan en Uppslags- och verifieringstjänst istället utgå från en specifik Tillitsankartjänst och hämta dess Entity Configuration med tillhörande signerade Entity Statements för underordnade entiteter. Denna metod, ofta kallad top-down, innebär att hela tillitskedjan härleds från federationens rot genom rekursiv nedåtgående traversering. Det gör det möjligt att verifiera om en viss komponent är erkänd av ett visst tillitsankare – även utan att komponentens egna authority_hints används.

Oavsett angreppssätt krävs att alla länkar i kedjan är kryptografiskt signerade, att signaturerna är validerbara, och att entitetens nycklar är kopplade till dess entityID via dess Entity Configuration. På motsvarande sätt intygar varje Entity Statement från en överordnad entitet att den underordnade entiteten, inklusive dess metadata och eventuella tillitsmärken, är godkänd.

Denna process bygger direkt på IAM-förmågan betrodd metadatapublicering, som innebär att särskilt utpekade komponenter – framför allt Tillitsankartjänster och Anslutningstjänster – på ett kontrollerat och säkert sätt publicerar signerad metadata som andra kan lita på. Övriga komponenter publicerar också metadata om sig själva, men utan att det i sig utgör betrodd metadatapublicering. Lika centralt är IAM-förmågan metadatavalidering, som i praktiken realiseras av Uppslags- och verifieringstjänster. Dessa gör det möjligt för andra komponenter att maskinellt hämta, tolka och kryptografiskt verifiera metadata i realtid. Kombinationen av dessa två förmågor utgör den tekniska grunden för tillitskedjan.

Genom dessa mekanismer möjliggörs en stark teknisk tillit där varje entitet kan verifieras automatiserat i realtid. Det gör att federationens aktörer inte behöver känna till varandra i förväg, men ändå kan fatta betrodda åtkomstbeslut baserat på verifierad tillitsinformation från hela kedjan – från komponent, via Anslutningstjänst, till Tillitsankartjänst.

OIDF-tilitskedja id ochy nycklar

Om länkarna i kedjan kan härledas till en gemensam Tillitsankartjänst, och alla ingående entiteter kan verifieras och uppfyller ställda krav på tillitsmärken, kan parterna tekniskt säkerställa att kommunikationen sker med rätt motpart – enligt en entydig, gemensam tolkning av roller, säkerhetsnivå och tillitsinformation

Möjligheten att bygga upp tillitskedjor dynamiskt ersätter behovet av manuella relationer, bilaterala avtal och statisk konfiguration mellan parter. Istället för att varje organisation i förväg måste känna till och konfigurera alla andra aktörer de vill samverka med, gör federationens arkitektur det möjligt att automatiskt och i realtid avgöra om en motpart är betrodd. Detta skapar en flexibel och skalbar struktur där nya aktörer kan anslutas utan att hela infrastrukturen behöver uppdateras – och där tilliten etableras och verifieras tekniskt, enligt gemensamma regler och tillitsmärken. Det är denna mekanism som möjliggör bred och säker digital samverkan över organisationsgränser och verksamhetsområden.

Tillitskedjan byggs alltid utifrån ett utpekat federationskontext – det vill säga den tekniska kontext som avgörs av vilken Tillitsankartjänst som utgör rot i kedjan. Endast parter som kan härledas till samma Tillitsankartjänst anses ingå i samma federationskontext och omfattas därmed av samma hårda styrning och tekniska regler.

Utöver detta kan en tjänst även omfattas av en eller flera samverkanskontexter. En samverkanskontext bestäms av vilka tillitsmärken som är kopplade till tjänstens metadata och därmed verifierbara i tillitskedjan. Tillitsmärken representerar uppfyllda tillitsskapande krav, exempelvis inom autentisering, attributhantering eller åtkomstkontroll, och används för att parter ska kunna avgöra om rätt förutsättningar finns för ett specifikt informationsutbyte.

Detta innebär att:

  • Federationskontexten utgörs av den Tillitsankartjänst en tjänst är ansluten under och anger den tekniska ramen.

  • Samverkanskontexten avgör de verksamhetsmässiga villkoren och bygger på vilka tillitsmärken som krävs för det aktuella informationsutbytet.

Genom kombinationen av dessa två kontexter kan infrastrukturen både säkerställa en gemensam teknisk grund för tillit och möjliggöra flexibilitet för olika typer av samverkansbehov över sektorer och domäner.

2.2. Stöd för flera Tillitsankartjänster

Federationsinfrastrukturen är utformad för att stödja ett distribuerat och sektorsövergripande ekosystem. En viktig egenskap är att en och samma komponent – exempelvis en identitetsintygstjänst eller åtkomstintygstjänst – kan ingå i flera federationskontext samtidigt, utan att duplicera sin metadata eller upprätthålla separata instanser, och ändå kunna uppfylla olika uppsättningar av regler, tillitsnivåer och policykrav

Federativa kontext

Detta möjliggörs genom att varje komponent publicerar en egen Entity Configuration – signerad metadata om sig själv – som innehåller information om vilka överordnade aktörer (Tillitsankartjänster eller Anslutningstjänster, via så kallade authority hints) som intygar komponenten i olika federationskontexter. Genom att ange vilka Tillitsankartjänster och Anslutningstjänster som är överordnade anger tjänsten samtidigt vilka federationskontexter för samverkan den vill vara en del av.

Exempelvis kan en identitetsintygstjänst samtidigt ingå i både ett vårdkontext och ett utbildningskontext, om dessa kontexter har behov av olika former av styrning, tillit eller policy, utan att behöva duplicera sin tekniska lösning eller metadata

På motsvarande sätt kan en Anslutningstjänst användas för att ansluta flera tjänster från en organisation till olika federationskontext. En anslutningsoperatör kan till exempel representera både skolplattformar och socialtjänstens e-tjänster, där varje tjänst blir synlig i det kontext där den hör hemma – utbildning respektive välfärd – utan att behöva skapa separata tekniska instanser för varje verksamhetsdel.

När en part vill interagera med en sådan komponent hämtas dess signerade metadata av en Uppslags- och verifieringstjänst, som kontrollerar signaturer, tillitsmärken och bygger upp en verifierbar tillitskedja utifrån aktuellt federationskontext. Eftersom varje kontext har sina egna Tillitsankartjänster och regler, kan komponenten valideras och bli tekniskt betrodd i flera sammanhang – samtidigt. Det är därmed den mottagande parten som, utifrån sitt kontext, avgör vilken tillit som gäller, genom att kontrollera mot en specifik Tillitsankartjänst och tillhörande regelverk. Komponentens metadata behöver alltså inte publiceras i flera versioner eller anpassas manuellt för varje mottagare

Varje federationskontext kan i sin tur innehålla flera samverkanskontexter. Genom tillitsmärken kan aktörer sätta specifika villkor för olika typer av informationsutbyten.

Anslutningstjänst flera Tillitsankartjänster

Till skillnad från traditionella federationer, där metadata distribueras som statiska poster i centralt hanterade XML-filer, bygger OpenID Federation på ett dynamiskt och decentraliserat tillvägagångssätt. I denna modell publiceras och signeras metadata som JSON Web Tokens (JWT), vilka kan valideras i realtid genom verifierbara tillitskedjor. Detta innebär att federationstillhörighet inte längre behöver förvaltas som fasta konfigurationsposter, utan istället uttrycks och verifieras som digitalt intygade relationer mellan entiteter. På så sätt möjliggörs en flexibel och skalbar federationsinfrastruktur, där aktörer kan ansluta och interagera utan att känna till varandra i förväg – så länge metadata kan valideras till ett gemensamt tillitsankare

Stödet för flera federationskontext är därmed en viktig förutsättning för återanvändning, flexibilitet och sektorsövergripande samverkan i en gemensam federationsinfrastruktur. Utöver detta kan flera samverkanskontexter etableras ovanpå samma federationskontext. Federationskontexten bestämmer den tekniska ramen (vilken Tillitsankartjänst som gäller), medan samverkanskontexten anger de verksamhetsmässiga villkoren – det vill säga vilka tillitsmärken som krävs för ett specifikt informationsutbyte. Kombinationen gör att samma tekniska infrastruktur kan vara gemensam, samtidigt som olika behov av policy, säkerhet och tillit kan hanteras flexibelt.

3. Federationsinfrastrukturens anpassning och funktionell realisering

Denna arkitektur realiseras i Samordnad identitet och behörighet genom att specifika roller och komponenter tillhandahålls av godkända operatörer, med ansvar för att upprätthålla och förmedla tillit inom en eller flera federationskontext. Arkitekturen gör det möjligt för olika verksamheter att organisera sig gemensamt kring identitets- och behörighetshantering – utan att begränsa sig till specifika tekniska lösningar, verktyg eller leverantörer, så länge interoperabilitet och gemensamma specifikationer upprätthålls.

Tillitsankartjänst tillhandahålls av en eller flera federationsoperatörer och etablerar federationskontextet – det vill säga vilka regler, policyer och tillitsmärken som gäller för informationsutbyte inom ramen för detta kontext.

Anslutningstjänst drivs av anslutningsoperatörer, såsom sektorsmyndigheter, samordnande offentliga aktörer eller branschorganisationer. Den fungerar som ett tekniskt gränssnitt för anslutning av tjänster och komponenter till det federationskontextet.

Tillitsmärkestjänst administreras av tillitsoperatörer som utfärdar tillitsmärken baserade på tillitsskapande krav kopplade till olika IAM-förmågor.

Uppslags- och verifieringstjänst används av e-tjänster, API:er eller andra klientkomponenter för att i realtid kontrollera metadata, tillitsmärken och tillitskedjor.

För att möjliggöra bred anslutning och säkerställa att aktörer från olika verksamhetsområden kan delta i flera federationskontext parallellt, krävs att både offentliga och privata aktörer etablerar och driver federationsinfrastrukturkomponenter. Det kan till exempel innebära att sektorsmyndigheter tillhandahåller egna anslutningstjänster, att kommersiella aktörer erbjuder verifieringstjänster som följer gemensamma regler, och att tillitsmärken utfärdas inom flera parallella federationskontext.

Genom en sådan mångfald av operatörer kan anslutande aktörer – såsom kommuner, regioner, statliga myndigheter, privata tjänsteleverantörer eller ideella organisationer – delta i flera federationskontext samtidigt. Detta skapar förutsättningar för valfrihet, sektorsövergripande samverkan och återanvändning av gemensamma digitala komponenter.

3.1. Praktiska anpassningar för införande

För att möjliggöra ett brett och inkluderande införande av federationsinfrastrukturen i Sverige genomförs vissa praktiska anpassningar av specifikationen och dess tillämpning. OpenID Federation specifikation är kraftfull men tekniskt komplex, särskilt för mindre aktörer. Därför kommer Uppslags och verifieringstjänster – det vill säga funktionaliteten för att hämta och verifiera metadata och tillitskedjor – att tillhandahållas av operatörer inom infrastrukturen. På så sätt behöver inte varje enskild komponent implementera fullständig verifieringslogik lokalt.

Vidare kommer infrastrukturen att tillämpa en utökning av specifikationen som möjliggör att Anslutningstjänster kan publicera och tillgängliggöra metadata å digitala tjänsters vägnar. Detta innebär att en anslutande aktör – till exempel en kommun eller leverantör – inte behöver signera och exponera metadata själv, utan kan istället representeras av anslutningsoperatören. Det minskar teknisk komplexitet, sänker trösklarna för anslutning och ökar förutsättningarna för en bred och inkluderande federationsinfrastruktur.

3.2. Teknisk interoperabilitet med andra federationskontexter

Federationsinfrastrukturen inom Samordnad identitet och behörighet är utformad för att vara normerande för offentlig sektor, men inte tvingande. Det innebär att aktörer inom exempelvis vård, utbildning eller kommunal verksamhet kan använda den tekniska infrastrukturen och de gemensamma tillitsskapande kraven i Samordnad identitet och behörighet som grund – men att det samtidigt finns utrymme för andra federationskontexter med särskilda behov, till exempel i form av kompletterande styrning, alternativa tillitsmodeller eller särskilda policykrav.

Sådana kontexter kan ha:

  • en egen ansvarsfördelning,

  • andra sätt att formulera tillitsskapande krav,

  • eller ytterligare ledningsfunktioner utifrån sektor- eller samverkansbehov.

Det viktiga är att den tekniska grunden – användning av OpenID Federation-protokoll, signerad metadata och verifierbara tillitskedjor – är gemensam. Det möjliggör interoperabilitet mellan olika kontexter, och gör det möjligt för en och samma aktör att delta i flera federationskontext parallellt, utan att behöva bygga om sina tekniska komponenter.

Federationsinfrastrukturen skapar därmed en gemensam grund för tillit och interoperabilitet, men utan att begränsa möjligheten till kompletterande initiativ eller anpassade modeller. På så sätt kan infrastrukturen stödja både samordning och mångfald – och bidra till en hållbar och flexibel digital samverkan över tid.

4. Roller och ansvar

För att federationsinfrastrukturen ska fungera tillförlitligt krävs inte bara tekniska komponenter, utan även tydligt definierade roller med fördelat ansvar för drift, metadatahantering och tillsyn. Den federativa modellen bygger på att flera oberoende aktörer delar på uppgiften att upprätthålla och förmedla tillitsinformation, snarare än att en central part har kontroll över hela systemet.

En av styrkorna i den federativa modellen är dess skalbarhet och flexibilitet. Genom att ansvar och funktioner fördelas mellan flera aktörer – som var och en kan anpassa sitt åtagande utifrån ett gemensamt regelverk – skapas förutsättningar för kontrollerad tillväxt, verksamhetsspecifika anpassningar, samt löpande vidareutveckling i takt med förändrade behov och krav. Detta gör att infrastrukturen kan utvidgas stegvis och integrera nya användningsområden utan att helheten förlorar sin sammanhållning eller tillförlitlighet.

Detta avsnitt fokuserar på de aktörer som ansvarar för de tekniska komponenterna i federationsinfrastrukturen – såsom tillitsankartjänst, anslutningstjänst, tillitsmärkestjänst och uppslags- och verifieringstjänst – och redogör för deras respektive mandat, samverkansgränssnitt och förhållande till varandra. Syftet är att klargöra hur ansvar och tillit fördelas i praktiken, och hur detta möjliggör en decentraliserad men ändå kontrollerad federationsinfrastruktur.

Rollfördelningen sker inom ramen för ett övergripande regelverk och gemensamma specifikationer som fastställs av en ledningsaktör. Ledningsaktören ansvarar för att definiera den gemensamma arkitekturen och förvalta de regler och tekniska specifikationer som utgör fundamentet för infrastrukturen. Inom detta ramverk delegeras ansvar till olika operatörer, som ansvarar för att införa och tillhandahålla både generella och verksamhetsområdesspecifika funktioner inom sina respektive områden.

Operatörerna ges därmed ett tydligt ansvar att administrera anslutna aktörer, tillhandahålla tekniska funktioner samt hantera metadata och tillitsinformation enligt fastställda krav. Denna ansvarsfördelning möjliggör ett distribuerat tillitsnätverk där tilliten etableras och förvaltas lokalt men i enlighet med gemensamma regler. Resultatet är en robust, anpassningsbar och långsiktigt hållbar federationsinfrastruktur som kan utvecklas stegvis, reagera på nya hotbilder och regelverk, och samtidigt upprätthålla interoperabilitet och rättssäkerhet över verksamhets- och domängränser.

.

Aktörer inom infrastrukturen

4.1. Ledningsaktör inom Ena

Ledningsaktören har det övergripande ansvaret för att samordna och förvalta den gemensamma federationsinfrastrukturen inom Samordnad identitet och behörighet. Rollen är inte operativ i teknisk mening, utan fokuserar på styrning, samordning och gemensamma spelregler.

Ledningsaktören ska i första hand koordinera arbetet mellan federationsoperatörer och tillitsmärkesägare (det vill säga de aktörer som tillhandahåller Tillitsankartjänster respektive ansvarar för Tillitsmärken). Syftet är att säkerställa en enhetlig tillämpning av infrastrukturen, samordna vidareutveckling av dess funktioner och verka för sektorsövergripande interoperabilitet.

Ledningsaktören ansvarar även för att:

  • Förvalta och vidareutveckla de gemensamma tillitsskapande kraven som ligger till grund för tillitsmärken och federationsinfrastrukturens funktion,

  • Tillhandahålla och förvalta modellavtal och avtalsstruktur för aktörer som deltar i federationsinfrastrukturen,

  • Hantera ändringsförslag, tolkningar och vägledande beslut kopplade till tillämpningen av tillitsskapande krav,

  • Underlätta införande av federativa lösningar genom vägledningar, dialog och samordningsinsatser.

Ledningsaktören fungerar därmed som ett nav för strategisk samordning, legitimitet och långsiktig förvaltning av federationsinfrastrukturen inom Samordnad identitet och behörighet – med särskilt fokus på att möjliggöra effektiv och förtroendefull samverkan mellan olika sektorer och aktörer.

För att säkerställa delaktighet, transparens och gemensam vidareutveckling av infrastrukturen behöver samverkansforum etableras inom ramen för ledningsaktörens ansvar. Dessa forum ska samla representanter för bland annat federationsoperatörer och tillitsmärkesägare, och fungera som en plattform för att:

  • ta fram förslag till förändringar i gemensamma tillitsskapande krav,

  • diskutera och förankra ändringar i regelverk, policys och tekniska specifikationer,

  • besluta om vägledande tolkningar eller tillämpningar inom infrastrukturen.

Syftet med samverkansforumen är att skapa en gemensam riktning för utvecklingen av federationsinfrastrukturen, samtidigt som det finns utrymme för sektorsspecifika behov och expertis. Forumens sammansättning och beslutskraft bör definieras i samverkan med berörda aktörer, med Ledningsaktören som koordinerande part.

4.2. Tillitsmärkesägare

Tilitsmärkesägare-TM-Kravkatalog

En tillitsmärkesägare ansvarar för att definiera, dokumentera och förvalta tillitsmärken och de tillitsskapande krav som är kopplade till specifika IAM-förmågor inom ett eller flera verksamhetsområden. Rollen är normativ och fokuserar på att säkerställa att det finns en tydlig och gemensamt förstådd innebörd i varje tillitsmärke – vad det innebär, när det ska användas, och vilka krav som måste uppfyllas för att ett tillitsmärke ska kunna tilldelas.

Ett tillitsmärke representerar ett formellt erkännande av att en komponent (och aktören som ansvarar för den) uppfyller specificerade tillitsskapande krav kopplade till en eller flera IAM-förmågor – såsom intygsutfärdande, attributhantering eller åtkomstkontroll.

Tillitsmärkesägaren ansvarar för att kravens semantik är tydlig, att de är relevanta och spårbara över tid, samt att de kan tillämpas oavsett vilken aktör som tekniskt utfärdar tillitsmärket. Det innefattar även att bidra till utvecklingen och förvaltningen av kravkatalogen inom Samordnad identitet och behörighet samt säkerställa att kraven är i linje med gällande regelverk, säkerhetsbehov och kontext.

Flera tillitsmärkesägare kan verka parallellt inom federationen – antingen med ansvar för olika IAM-förmågor eller för olika verksamhetsområden. Genom denna fördelning möjliggörs en mångsidig men sammanhållen utveckling av tillit inom och mellan olika delar av offentlig sektor.

Det är viktigt att skilja tillitsmärkesägarens roll från den tekniska roll som tillitsoperatören har. Medan tillitsmärkesägaren fokuserar på definition och styrning av krav och semantik, är det tillitsoperatören som hanterar ansökningar och kontroll av efterlevnad av krav samt tillhandahåller den faktiska tillitsmärkestjänsten – det vill säga den tekniska komponent som ger ut tillitsmärken i praktiken. 

Tillsammans säkerställer dessa roller att tillit både är meningsfullt definierad och tekniskt verifierbar inom ramen för federationsinfrastrukturen inom Samordnad identitet och behörighet.

4.3. Operatörer

Operatörerna utgör den tekniskt operativa kärnan i federationsinfrastrukturen. De ansvarar för drift och tillgängliggörande av infrastrukturella tjänster som möjliggör publicering, validering och förmedling av metadata, samt teknisk hantering av tillitsmärken. Gemensamt för dessa roller är att de tillhandahåller tekniska komponenter med definierade gränssnitt och funktioner som andra aktörer inom federationen förlitar sig på för att etablera och verifiera tillit

Operatörer

4.3.1. Federationsoperatör

En federationsoperatör ansvarar för att etablera och upprätthålla en teknisk och organisatorisk rot av tillit inom ett federationskontext. Rollen innebär att operatören tillhandahåller centrala funktioner i den tekniska federationsinfrastrukturen och skapar förutsättningar för att andra aktörer ska kunna samverka på ett säkert, förutsägbart och interoperabelt sätt.

Federationsoperatörens ansvar omfattar:

  • Tillhandahåller federationskontextets tekniska rot av tillit – genom att drifta och förvalta en tillitsankartjänst som publicerar signerad metadata om de tjänster som operatörer tillhandahåller och som är anslutna till federationskontextet. Operatören ansvarar också för en uppslags- och verifieringstjänst som möjliggör validering av tillitskedjor.

  • Hanterar anslutning och information om operatörer – ansvarar för att granska och registrera organisationer som vill verka som anslutningsoperatörer eller tillitsoperatörer inom federationskontextet. Eftersom viss organisatorisk information inte täcks av OpenID Federation-standarden, hanterar federationsoperatören även kompletterande information som krävs för att helheten ska fungera.

  • Förvaltar policy och interoperabilitet – fastställer gemensamma regler för teknisk och organisatorisk samverkan inom federationskontextet. Det omfattar bl.a. metadataformat, certifikathantering, versionsstyrning samt vilka IAM-förmågor och tillitsnivåer som ska stödjas.

  • Definierar vilka tillitsmärken som accepteras – alltså vilka tillitsmärken som ska kunna verifieras inom det federationskontext tillitsankartjänsten representerar, och samordnar detta med relevanta tillitsmärkesägare och tillitsoperatörer.

Federationsoperatören fungerar därmed som navet för federationskontextets tekniska och styrande struktur

4.3.2. Anslutningsoperatör

En anslutningsoperatör ansvarar för att möjliggöra att tjänster från olika organisationer kan ansluta till ett eller flera federationskontext på ett strukturerat, kontrollerat och skalbart sätt. Rollen fungerar som ett tekniskt och organisatoriskt gränssnitt mellan de tjänster som ska delta i federativ samverkan och de tillitsstrukturer som upprätthålls av respektive federationsoperatör.

Anslutningsoperatörens ansvar omfattar:

  • Tillhandahåller en anslutningstjänst – som publicerar signerad metadata om de tjänster (t.ex. e-tjänster, API:er, intygstjänster) som tillhör de organisationer som ansluts via operatören och som ska vara åtkomliga inom ett eller flera federationskontext.

  • Kontrollerar teknisk interoperabilitet och följsamhet – ansvarar för att de tjänster som ansluts via operatören uppfyller de tekniska ramverk, specifikationer och interoperabilitetskrav som gäller inom aktuellt federationskontext. Detta innefattar exempelvis korrekt metadataformat, signeringskrav och endpointstruktur – men omfattar inte granskning av tillitsskapande krav kopplade till tillitsmärken, vilket hanteras av tillitsoperatören.

  • Hanterar organisationsrelationer – utöver den tekniska metadatahanteringen ansvarar anslutningsoperatören för att kontrollera och att hålla information om de anslutna organisationerna aktuell och tillförlitlig, inklusive kopplingen mellan tjänst och ansvarig juridisk part.

  • Bidrar till tillitskedjan – säkerställer att metadata som publiceras är korrekt signerad och kan verifieras i relation till den tillitsankartjänst som definierar federationskontextet. Detta möjliggör att andra aktörer tekniskt kan lita på en anslutens tjänsts metadata.

Genom att fungera som mellanled skapar anslutningsoperatören en skalbar struktur för tillväxt och hantering av tjänster inom ett eller flera federationskontext.

4.3.3. Tillitsoperatör

En tillitsoperatör ansvarar för att hantera det tekniska utfärdandet av tillitsmärken inom ett eller flera federationskontext. Rollen är knuten till tillitsmärkestjänsten och har i uppgift att tekniskt representera, signera och publicera tillitsmärken kopplade till specifika komponenter och IAM-förmågor, i enlighet med krav som definierats av en tillitsmärkesägare.

Tillitsoperatörens ansvar omfattar:

  • Tillhandahåller en tillitsmärkestjänst – som publicerar signerad metadata innehållande tillitsmärken kopplade till de komponenter och tjänster som granskas och godkänns. Tjänsten är tekniskt integrerad i federationsinfrastrukturen och möjliggör verifiering av tillitsnivåer och deklarerade tillitsmärken.

  • Verkställer tilldelning av tillitsmärken – ansvarar för att, på uppdrag av tillitsmärkesägare, granska efterlevnad av tillitsskapande krav och tilldela tillitsmärken till de komponenter som uppfyller dessa krav. Detta sker enligt en formaliserad granskningsprocess som kan inkludera självdeklaration, extern revision eller annan kontrollerad bedömning.

  • Verkar inom ett eller flera federationskontexter – tillitsoperatören kan utfärda tillitsmärken som accepteras i olika federationskontexter, under förutsättning att tillitsankartjänsten i respektive kontext tillåter det. Operatören måste därmed säkerställa att tillitsmärkestjänsten är tekniskt och organisatoriskt anpassad för flera kontext om så krävs.

  • Säkerställer verifierbarhet och spårbarhet – genom att publicera metadata i enlighet med de tekniska specifikationer som gäller federationsinfrastrukturen. Det inkluderar korrekta signaturer, metadata och koppling till de tillitsskapande krav som varje märke omfattar.

Tillitsoperatören fungerar som en bärande funktion för att göra tillitsinformation tekniskt förmedlings- och verifierbart – genom att omsätta normativa krav från tillitsmärkesägare till digitala tillitsmärken som andra aktörer inom federationskontextet kan förlita sig på.

4.4. Federationsmedlem

En federationsmedlem är en organisation som ansluter till federationsinfrastrukturen. Medlemskapet gör det möjligt att koppla digitala tjänster – exempelvis e-tjänster, API:er, intygstjänster och attributkällor – till infrastrukturen för att ta emot, använda eller tillhandahålla tillitsbärande information. Federationsmedlemmar använder federationens mekanismer för att verifiera identitet, åtkomst och tillit, men ansvarar själva för hur informationen tillämpas i sin egen kontext

Federationsmedlemmarnas komponenter konsumerar metadata, intyg och tillitsinformation från operatörernas tekniska tjänster och måste uppfylla de krav och tillitsnivåer som definierats för de IAM-förmågor deras egna komponenter realiserar. För att bli en del av federationen registreras de och deras komponenter via en anslutningsoperatör, tilldelas relevanta tillitsmärken och blir därmed en verifierbar och betrodd part i tillitskedjan.

Som mottagare och användare av tillitsinformation bär federationsmedlemmen också ansvar för korrekt tolkning och tillämpning av överförd information – till exempel att fatta åtkomstbeslut eller leverera korrekt behörighetsinformation i linje med federationeninfrastrukturens regelverk.

Den digitala samverkan mellan olika federationsmedlemmar, dvs själva informationsutbytet sinsemellan, som federationen möjliggör regleras av federationsmedlemmarna själva.

5. Processer

DONE Beskriv processer för anslutning till infrastrukturen och anskaffning av tillitsmärken

Under Stödprocesser hittar du en sammanfattande beskrivningar av anslutningsprocesserna och övriga processer.

På sidan Anslutningsprocesser Ena OpenID federation hittar du kompletta beskrivningar av anslutningsprocesserna.


6. Avtalsstruktur

SAML i tre användningsfall

  • No labels