I avsnittet:

Vad federationsplattformen är ett svar på

Offentlig förvaltning behöver i allt högre grad samverka digitalt över organisations- och sektorsgränser. För att sådan samverkan ska vara säker krävs att parterna kan lita på varandras tekniska komponenter. Det måste gå att säkerställa att rätt system, kopplat till rätt organisation, gör anropet.

I dag byggs den tilliten i regel upp separat för varje informationsutbyte. Parter etablerar tillit till varandra genom egna processer, avtalar bilateralt och bygger en teknisk anslutning per relation. Det fungerar så länge kretsen av motparter är känd och stabil. När många tjänster ska kunna nå många motparter, och när aktörer tillkommer och försvinner över tid, skalar arbetssättet inte, varje ny relation blir en speciallösning med egna avtal, egna kontroller och egna anslutningar.

Federationer är det etablerade svaret på det problemet. I en federation etableras tilliten en gång, enligt gemensamma regler, och kan därefter verifieras maskinellt av var och en som behöver den, även mellan parter som aldrig haft en direkt relation med varandra. I Sverige finns sedan länge väl fungerande federationer inom flera sektorer som visat att modellen bär.

Men i takt med att federationerna vuxit fram var för sig har ett nytt problem uppstått en nivå upp. Varje federation har sitt eget regelverk, sin egen tillitsmodell och sina egna tekniska val. Inom respektive sammanhang fungerar det väl. För den organisation eller tjänst som behöver verka i flera sammanhang innebär det däremot att varje federation är en ny anslutning enligt nya regler, med delvis olika krav att uppfylla och parallella anslutningar att förvalta. Tillit som etablerats i en federation kan inte återanvändas i en annan. Fragmenteringen återuppstår, nu inte mellan enskilda parter utan mellan federationer, och den driver kostnad, komplexitet och trösklar för varje aktör som behöver finnas i mer än ett sammanhang.

Till detta kommer en lucka. De federationer som finns har i allt väsentligt byggts för identitet, de svarar på frågan vem en användare eller ett system är. Identiteter är dessutom i stor utsträckning generiska och återanvändbara mellan verksamheter. Behörigheter och annan behörighetsgrundande information är däremot ofta starkt verksamhets- och kontextberoende. Frågan vad någon får göra, behörigheten, saknar i dag motsvarande samordnad hantering och löses lokalt, tjänst för tjänst, med egna register, egna processer och egna överenskommelser. Det är ett av grundskälen till uppdraget Samordnad identitet och behörighet: identitet och behörighet ska kunna hanteras tillitsbaserat och samordnat, inte bara identitet.

Federationsplattformen är uppdragets svar på de två senare problemen. Den är den gemensamma grund som gör att flera federationer kan finnas, eftersom behoven kräver det, utan att fragmenteringen mellan dem uppstår. Den är byggd för att stegvis kunna bära även behörighet, där verifierbar identitet för organisationer och tekniska komponenter utgör grunden för fortsatt utveckling av tillitsfull hantering av behörighetsgrundande information. Varför svaret inte är en enda federation för alla, och vad den gemensamma grunden består av, utvecklas i de följande avsnitten.

Varför det kommer att finnas flera federationskontexter

En federationskontext är ett avgränsat regel och tillitssammanhang för federativ samverkan. Den anger vilka aktörer som kan delta, vilka regler som gäller, vilka krav som ska vara uppfyllda och hur tillit kan verifieras tekniskt.

Det innebär att tillit i federationen inte är helt generell. En teknisk komponent kan vara tillräckligt verifierad för ett visst informationsutbyte, men behöva uppfylla ytterligare krav för ett annat. På samma sätt kan en organisation ha skäl att delta i en federationskontext, men inte i en annan.

Därför är en enda federation för alla inte en ändamålsenlig målbild.

Samverkansbehoven skiljer sig åt mellan olika delar av offentlig förvaltning. De inblandande parterna, informationsmängderna, riskerna, skyddsbehoven och de verksamhetsmässiga kraven varierar. Om allt skulle samlas i en enda federation skulle regelverket behöva läggas antingen på en låg nivå som alla kan bära, men som är otillräcklig för verksamheter med högre skyddsbehov, eller på en hög nivå som gör anslutning och användning onödigt tung för enklare samverkansbehov.

Flera federationskontexter gör det möjligt att låta kraven följa det sammanhang där tilliten ska användas. En kontext kan lägga till kompletterande krav för en viss aktörskrets, en viss risknivå eller ett visst informationsutbyte, utan att alla andra aktörer i infrastrukturen behöver omfattas av samma krav.

Vägvalet: en gemensam grund där flera kontexter samexisterar

Flera federationskontexter löser dock inte problemet i sig. Om varje kontext utvecklar egna begrepp, egna anslutningsmodeller, egna tekniska profiler och egna sätt att beskriva tillit uppstår samma fragmentering som federationsplattformen ska motverka.

Vägvalet inom Samordnad identitet och behörighet är därför en gemensam federationsplattform där flera federationskontexter kan samexistera. Plattformen anger den gemensamma grunden där begrepp, roller, ansvar, anslutningsprinciper, registreringsprinciper, tekniska profiler och krav på federationsinfrastrukturtjänster beskrivs. Federationskontexterna använder denna grund men kan komplettera med de krav som behövs för ett visst samverkanssammanhang.

Flera federationskontexter kan även bidra till riskavgränsning. Om tillitsankare, nyckelmaterial, publicering och förvaltningsprocesser hålls separerade kan konsekvensen av vissa fel eller incidenter begränsas till den berörda kontexten. Det kan till exempel gälla felaktig publicering, återkallelse av nycklar eller behov av att tillfälligt stoppa tillit inom en viss aktörskrets.

Detta är däremot inte samma sak som att flera federationskontexter automatiskt ger högre säkerhet eller redundans. Fler tillitsankare innebär också fler funktioner som behöver skyddas, övervakas, granskas och förvaltas. Därför ställer federationsplattformen gemensamma, verifierbara krav på federationsinfrastrukturtjänster oavsett i vilken federationskontext de används.

Federationsplattformen är ett gemensamt ramverk

Federationsplattformen är den gemensamma normativa grunden för federativ samverkan inom Samordnad identitet och behörighet. Den består av två typer av normativa artefakter:

• Nyttjandevillkoren, villkorsbilagorna A–D, anger det som måste vara gemensamt för alla federationskontexter.
• Krav och vägledningar omsätter villkoren till verifierbara krav och harmoniserade processer för anslutning och registrering.

Vilka tekniska specifikationer och profiler som är bindande pekas ut uttömmande i Bilaga B (Tekniskt ramverk).

Plattformen är ett ramverk som federationskontexter utgår från och förhåller sig till. Den är inte själv en federation och ingen organisation ansluter sig till den. Bindande verkan uppstår först när en federationskontext införlivar plattformens artefakter i sitt federationsregelverk. Det är i federationskontexten som organisationer ansluter sig och åtar sig att följa reglerna. När en federationskontext införlivar federationsplattformens regelverk sker det som huvudregel genom hänvisning till vid var tid gällande version. Ändringar i sådana artefakter får bindande verkan inom federationskontexten först enligt den ordning, de anpassningstider och de övergångsperioder som följer av Bilaga C — Förändringspolicy. Om en federationskontext i undantagsfall införlivar en viss fast version ska detta anges uttryckligen i federationsregelverket tillsammans med hur senare plattformsändringar ska hanteras.

Federationsregelverket är den samlande normativa artefakten för en federationskontext. Det konkretiserar hur federationsplattformens modell tillämpas i kontexten, pekar ut vilka anslutnings- och registreringskrav som gäller och vilka tekniska krav, profiler och specifikationer som ska följas, definierar eventuella kompletterande krav samt beskriver hur anslutning och registrering sker operativt, både för federationsinfrastrukturtjänster och för federationsmedlemmarnas tekniska komponenter. Ett federationsregelverk får däremot inte omdefiniera plattformens gemensamma begrepp, roller eller tekniska grundprinciper utan att avvikelsen dokumenteras, motiveras och konsekvensbedöms, och kompletterande krav får aldrig sänka tillitsnivån under den baslinje plattformen fastställer.

Relationen mellan federationsplattformen och federationskontexternas regelverk är i dag just ett ramverksförhållande. I takt med att fler federationskontexter etableras och behovet av samordnad förändring växer kan relationen behöva knytas närmare, så att kontexterna utvecklas i takt med plattformen. Det är ett ställningstagande som ligger längre fram i utvecklingen.

Ledningsaktören (Digg) ansvarar för federationsplattformen. Rollen är förutsättningsskapande, den etablerar och förvaltar den gemensamma grund som övriga roller verkar utifrån, men ansvarar inte för enskilda federationskontexters drift. En bärande princip är ansvarsfördelning. Arkitekturen fördelar ansvar mellan rollerna ledningsaktör, federationsoperatör, anslutningsoperatör och federationsmedlem i stället för att samla det hos en central part, av samma skäl som tillitsfunktionerna fördelas på flera kontexter.

Vad plattformen skapar interoperabilitet för, och till vilken grad

Ambitionen är inte fullständig interoperabilitet i alla skikt. Det vore varken möjligt eller önskvärt. Federationsplattformen normerar tillitsetableringen, det första av de tre samverkansflöden som beskrivs i Bilaga D (Roller och ansvar), det vill säga att en teknisk komponents identitet, dess koppling till ansvarig organisation och de krav som tillämpats vid registreringen kan etableras och verifieras maskinellt. Tekniskt sker detta genom signerad metadata och tillitskedjor enligt en svensk profilering av standarden OpenID Federation 1.0 samt en avgränsad mängd specifikationer och profiler. Genom att avgränsa urvalet av teknik motverkas den värsta fragmenteringen, samtidigt som varje aktör behåller utrymme att göra sina övriga teknikval själv.

Plattformen normerar däremot inte vilken information som utbyts mellan parterna, dess format eller semantik. Det regleras i annan ordning mellan de samverkande parterna. Plattformen fastställer i detta skede inte heller behörighetsattribut eller egenskapsintyg. Sådana frågor hör till senare steg i den taktiska färdplanen. Avvägningen mellan gemensam normering och lokal flexibilitet, alltså hur långt interoperabiliteten ska drivas, är ett återkommande vägval som prövas stegvis i takt med att infrastrukturen tas i bruk.

Nuvarande omfattning: steg 1

Federationsplattformens ramverk omfattar i sin nuvarande utformning det som krävs för att realisera steg 1 i taktisk färdplan för Samordnad identitet och behörighet. Steg 1 avser tillit till identitet på system- och organisationsnivå och är grunden för allt som följer. Därför normeras identiteten först. Innan en part säkert kan veta vilket system som anropar och vilken organisation som ansvarar för det saknar frågor om behörigheter och intyg fäste. 

Kommande steg, till exempel företrädarskap och organisationsbehörighet, medför kompletteringar av ramverket. Federationsplattformen väntas över tid också omfatta mer än normerande dokument, till exempel strukturer för samverkan mellan federationskontexter och harmonisering av krav och attribut, områden där tillämpningen är distribuerad men en gemensam styrning är önskvärd.

Samtliga artefakter är märkta med status. UTKAST innebär att innehållet är framtaget inom uppdraget men ännu inte fastställt.

Ett sätt att förstå modellen: vägtrafiken

Tänk på vad som händer när en okänd bil närmar sig i en korsning. Föraren har aldrig träffat dig, ni har inget avtal och ändå fattar du på en sekund beslut som bygger på tillit:

• att bilen är kontrollerad,
• att den går att spåra till en ansvarig ägare om något händer, och
• att föraren följer samma regler som du.

Den tilliten har du inte byggt själv. Den kommer från en gemensam ordning som någon annan upprätthåller. Federationsplattformen är motsvarigheten till den ordningen, fast för it-system i stället för fordon.

Registreringsskylten kopplar fordonet till en ansvarig ägare. Du behöver inte känna ägaren utan det räcker att kopplingen finns i ett register du litar på. I federationen är den signerade metadatan komponentens registreringsskylt, den kopplar ett tekniskt system till den organisation som ansvarar för det.

Kontrollbesiktningen utförs av fristående, ackrediterade företag enligt samma regler oavsett vilken station som utför den. Du litar på resultatet därför att du litar på kontrollordningen bakom det, inte på den enskilda stationen. I federationen utför anslutningsoperatörer motsvarande kontroller vid anslutning och registrering, enligt gemensamma krav som gäller oavsett vilken operatör som utför arbetet.

Trafikreglerna säger ingenting om vart ett fordon kör eller vad det transporterar. På samma sätt reglerar federationsplattformen inte vilken information parterna utbyter eller vad den betyder, bara att det går att lita på vem som är motpart.

Vissa transporter kräver mer än grundkraven. Yrkestrafik och transport av farligt gods omgärdas av särskilda tillstånd, utbildning och tillsyn ovanpå grundkraven. Det motsvarar federationskontexterna: avgränsade sammanhang där en krets aktörer med gemensamma behov och risker lägger till det som just deras samverkan kräver, utan att den gemensamma grunden sänks.