1. Regelverk för federationskontext BAS inom Samordnad identitet och behörighet
Status: Utkast
Version: 0.1
Tillämpning: Pilot (i produktion)
Federationskontext: BAS
Federationsoperatör: Myndigheten för digital förvaltning, Digg
"BAS" är ett arbetsnamn som används tills vidare.
2. Om dokumentet
Federationskontexten BAS är en planerad första tillämpning av federationsplattformens ramverk inom Samordnad identitet och behörighet. Denna version av regelverket är framtagen för genomförande av pilot och verifiering .
Samordnad identitet och behörighets federationsplattform består av ett antal normativa artefakter som beskrivs i dokumentet Federationsplattform.
Syftet med detta dokument är att beskriva vilka delar av federationsplattformen som tillämpas inom federationskontexten BAS samt att specificera eventuella kompletteringar.
3. Syfte
Federationskontexten BAS ska skapa en gemensam och återanvändbar grund för maskin-till-maskin-samverkan mellan aktörer.
BAS behövs eftersom teknisk tillit mellan organisationer i dag ofta etableras separat för varje informationsutbyte, sektor eller samverkanslösning. Det skapar fragmentering, parallella anslutningar och varierande sätt att beskriva, registrera och verifiera tekniska komponenter.
BAS minskar denna fragmentering genom att tillhandahålla en gemensam federationskontext där ett mottagande system kan verifiera:
a) den tekniska komponentens federativa identitet,
b) vilken organisation som ansvarar för komponenten,
c) att komponenten är registrerad enligt tillämpliga krav, och
d) att komponentens metadata och nyckelmaterial är giltigt.
BAS etablerar därmed en grundläggande nivå av teknisk och organisatorisk tillit som kan återanvändas i flera informationsutbyten.
BAS fastställer inte verksamhetsspecifika behörighetsregler, åtkomstbeslut eller villkor för vilken information som får lämnas ut i ett visst informationsutbyte. Sådana frågor hanteras i respektive verksamhetsområde, tjänst, avtal eller samverkansöverenskommelse.
BAS är även ett första införandesteg för Samordnad identitet och behörighet genom att grundläggande delar av federationsplattformen prövas i pilot och förbereds för eventuell senare bredare produktionssättning.
4. Målgrupp
4.1.1. Primär målgrupp
Federationskontext är i första hand till för verksamheter inom välfärdsområdet som helt eller delvis är offentligt finansierade.
Med välfärdsområdet avses här verksamheter där offentliga aktörer, eller aktörer som utför offentligt finansierade uppgifter, behöver säker digital samverkan över organisationsgränser.
Närmare avgränsning av välfärdsområdet och vilka organisationer som för anslutas regleras i anslutningspolicy och tillämpliga avtalsvillkor.
4.1.2. Aktörer som kan anslutas
Följande aktörer kan anslutas till BAS efter prövning enligt anslutningspolicy:
a) statliga myndigheter,
b) kommuner,
c) regioner,
d) offentligt styrda organ,
e) kommunala och regionala bolag,
f) organisationer som helt eller delvis bedriver offentligt finansierad verksamhet inom välfärdsområdet, och
g) organisationer som deltar i den tekniska realiseringen av samverkan mellan aktörer enligt ovan - exempelvis leverantörer, agenter och privata utförare.
5. Federationsstruktur
BAS följer den svenska profilen för OpenID Federation Swedish OpenID Federation Deployment and Interoperability Profile.
Digg är federationsoperatör för BAS och ansvarar för federationskontextens gemensamma infrastrukturkomponenter och övergripande styrning.
Anslutningsoperatörer ansvarar för anslutning av federationsmedlemmar och tillhandahåller anslutningstjänster enligt federationsplattformens regelverk.
Ytterligare anslutningsoperatörer kan tillkomma efter anslutning och godkännande enligt federationsplattformens regelverk och tillämpliga anslutningspolicyer.
BAS federationsstruktur omfattar följande typer av federationsinfrastrukturtjänster:
a) tillitsankare,
b) uppslags och verifieringstjänster, och
c) anslutningstjänster.
BAS OpenID Federation struktur kan visualiseras enligt bilden nedan
6. Interoperabilitet inom Samordnad identitet och behörighet
BAS är utformad för att samverka med andra federationskontexter inom Samordnad identitet och behörighet.
Genom att BAS tillämpar federationsplattformens gemensamma regler för anslutning, registrering och teknisk interoperabilitet kan federationsmedlemmar och tekniska komponenter återanvändas även i andra federationskontexter.
7. Anslutning
7.1. Anslutning av federationsmedlem
Anslutning av federationsmedlemmar BAS sker enligt Krav och vägledning för anslutning av federationsmedlemmar i federationsplattformen utan tillägg eller ändringar.
Anslutning till federationskontexten sker genom anslutningsoperatörer på uppdrag av Federationsoperatören.
7.1.1. Registrering av teknisk komponent
Tekniska komponenter registreras av anslutningsoperatör enligt följande tillämpningskrav:
- Tillämpningskrav och vägledning för verifiering av organisationskoppling
- Tillämpningskrav och vägledning för verifiering av uppgiftslämnare
- Tillämpningskrav och vägledning för verifiering av visningsnamn
Registrerade anslutningstjänster framgår vid varje givet tillfälle av federationsoperatörens tillitsankartjänst enligt avsnitt 9. BAS miljöer
7.2. Anslutning av anslutningsoperatör
Anslutning av anslutningsoperatörer till BAS sker enligt Krav och vägledning för anslutning av anslutningsoperatörer i federationsplattformen utan tillägg eller ändringar.
Anslutningstjänster registreras av federationsoperatören enligt följande tillämpningskrav:
- Tillämpningskrav och vägledning för verifiering av organisationskoppling
- Tillämpningskrav och vägledning för verifiering av uppgiftslämnare
- Tillämpningskrav och vägledning för verifiering av visningsnamn
8. Pilotbegränsningar och ansvar
BAS tillämpas i denna version för pilot och verifiering. Deltagande i piloten förutsätter särskild pilotöverenskommelse mellan berörda parter. Pilotöverenskommelsen ska minst reglera:
- a) vilka parter som deltar och i vilka roller,
- b) vilken miljö som används,
- c) tillåten användning av data,
- d) incidentrapportering och kontaktvägar,
- e) ansvar för registrerad metadata och nyckelmaterial,
- f) hantering av felaktig publicering, återkallelse och avstängning,
- g) avveckling och exit, samt
- h) hur lärdomar från piloten återförs till federationsplattformens regelverk.
9. BAS miljöer
BAS tillhandahålls i separata miljöer för olika ändamål. Varje miljö har egen metadata, egna nycklar och eget tillitsankare. Miljöerna är logiskt separerade från varandra men följer samma federationsregler och tekniska specifikationer.
Följande miljöer ingår i BAS.
9.1. Sandbox
Syfte: Test och utveckling.
Tillitsankarets identitet: https://fed.sandbox.ena-infrastructure.se/ta
Adress för upptäckt av federationsentiteter: https://fed.sandbox.ena-infrastructure.se/ta/discovery
Adress för hämtning av federationsmetadata: https://fed.sandbox.ena-infrastructure.se/ta/fetch
Adress för upplösning av förtroendekedjor: https://fed.sandbox.ena-infrastructure.se/ta/resolve
Adress för listning av underordnade federationsentiteter: https://fed.sandbox.ena-infrastructure.se/ta/subordinate_listing
Tillitsankarets federationsnycklar:[anges senare]
Tillämpning: Ej produktionsdata, om inte annat särskilt anges.
9.2. QA
URL: [anges senare]
Syfte: Verifiering inför produktionssättning.
Tillämpning: Begränsad verifiering enligt fastställda villkor.
9.3. Produktion
URL: [anges senare]
Syfte: Skarp användning av BAS.
Tillämpning: Produktion enligt detta federationsregelverk och tillämpliga avtal.
10. Specifikationer och profiler
BAS bygger på ett antal tekniska specifikationer och profiler som tillsammans skapar förutsättningar för interoperabel användning av OpenID Federation, OAuth 2.0.
Specifikationerna och profilerna definierar hur metadata ska struktureras, publiceras och verifieras, hur protokollentiteter ska samverka samt vilka krav som gäller för interoperabilitet inom federationskontexten.
Följande specifikationer och profiler är normativa för BAS.
Omfattningen av BAS tillämpning av Ena OAuth 2.0 Interoperability Profile är inte slutligt fastställd och kommer att preciseras i det fortsatta pilotarbetet]