BAS är den första federationskontexten inom Samordnad identitet och behörighet, den första konkreta tillämpningen av federationsplattformens ramverk. BAS etablerar en gemensam miniminivå för maskin-till-maskin-tillit, ett mottagande system kan verifiera vilket system som anropar, vilken organisation som ansvarar för det och enligt vilka krav komponentens metadata har registrerats.
Hur BAS förhåller sig till federationsplattformen
Som tidigare beskrivits i avsnittet Federationsplattform skapar federationsplattformen inte interoperabilitet i alla skikt, den normerar tillitsetableringen och anger hur en federationskontext ska vara uppbyggd. Det är i federationskontexten som reglerna blir bindande och samverkan blir konkret. BAS tillämpar plattformens regler för en definierad målgrupp och preciserar det som behövs för just denna kontext, utan att frångå plattformens grundläggande krav. Andra aktörer kan etablera egna federationskontexter med stöd av samma ramverk.
Digg är federationsoperatör för BAS. Det är en annan roll än den ledningsaktörsroll Digg har för federationsplattformen, även om båda i dag innehas av samma myndighet, ledningsaktören förvaltar ramverket, federationsoperatören driver den konkreta kontexten.
Vad BAS inte är
Lika viktigt som vad BAS är, är vad BAS inte tar ansvar för:
- BAS identifierar inte användare, det hanteras av andra lösningar, till exempel Sweden Connect.
- BAS fattar inga åtkomstbeslut och reglerar inga behörigheter, det ansvaret ligger kvar hos den förlitande parten och inom respektive verksamhets regelverk.
- BAS reglerar inte vilken information som utbyts, dess format eller semantik, det regleras i annan ordning mellan de samverkande parterna.
Ett första steg, byggt för lärande
BAS primära syfte i detta skede är att skapa förutsättningar för lärande. Att pröva federationsplattformens modell i verklig drift, i första hand genom pilot, och därigenom ge underlag för fortsatt utveckling av Samordnad identitet och behörighet. Regelverket för BAS är därför medvetet ett första steg. Regelverket är därför avgränsat till det som behövs för BAS i detta steg. Frågor om exempelvis avtalsstruktur, ansvarsfördelning, vidare tekniska profiler, attribut, claims, incidenthantering och långsiktig förvaltning behöver konkretiseras stegvis i det fortsatta arbetet.