Tillit, teknisk struktur och digital samverkan
Bakom en gemensam infrastruktur för identitet och behörighet behöver det finnas en struktur för hantering av tillit, en teknisk struktur och standarder för digital samverkan.
Hantering av tillit
I takt med att digitaliseringen ökar, ökar behovet av digital tillit mellan parter. Alla organisationer har ett ansvar att skydda information enligt lagar, förordningar, föreskrifter, och även utifrån affärsmässiga skäl.
Båda parterna i ett utbyte behöver säkerställa att den andra parten är en behörig aktör, människa eller maskin. Varje organisation ansvarar för att informationen som organisationen själv förvaltar, och som är grundläggande för identitet och behörighet, är korrekt.
Inom infrastrukturen för identitet och behörighet behöver vi en struktur för tillit, det vill säga regler, standarder och riktlinjer. Strukturen säkerställer att identiteter och behörigheter hanteras på ett säkert och pålitligt sätt i olika system och av olika aktörer.
Vilka tillitskrav kan komma att ställas på organisationerna som blir en del av infrastrukturen för identitet och behörighet? Vilka säkerhetskrav behöver tekniska komponenter uppfylla?
Det beror på.
Inom infrastrukturen används tillitsmärken för att visa vilken nivå av tillit en aktör eller teknisk lösning har. Varje tillitsmärke bygger på särskilda krav och gäller i specifika situationer.
Inom infrastrukturen för identitet och behörighet ska det finnas en struktur för tillit som beskriver
- verifiering av identiteter
- hur behörigheter ges
- hur kommunikation mellan till exempel användare, tjänster och system ska ske för att upprätthålla förtroende och säkerhet.
I arbetet med att ta fram tillitskraven utgår vi från etablerade ramverk och regelverk som redan används. Vi skapar en grund för hög tillit som gör det möjligt att enklare etablera samverkan i framtiden.
Teknisk struktur
OpenID Federation
OpenID Federation är en standard för federativa identitetslösningar som vi använder oss av för att hantera relationer mellan olika aktörer. Den möjliggör skalbar förmedling av tillit genom att definiera hur olika aktörer identifieras, autentiseras och auktoriseras. Detta sker via metadata och digitala signaturer.
Tanken med OpenID Federation är att varje aktör publicerar sin egen metadata i stället för att förlita sig på en central katalog. Detta gör infrastrukturen mer flexibel och möjliggör dynamiska förändringar med minimalt behov av manuell koordination.
Registrering
Strukturen för registrering är en central del i hur infrastrukturen bygger tillit. Den styr hur aktörer, till exempel leverantörer av identitet eller tjänster, blir en del av infrastrukturen för identitet och behörighet. Här ingår även krav på metadataformat, autentisering och verifiering vid registrering, för att säkerställa att endast behöriga aktörer godtas.
Anslutningspunkter
En anslutningspunkt fungerar som en mellanliggande funktion i infrastrukturen för identitet och behörighet. Den förmedlar metadata och tillit mellan olika parter. Den möjliggör hierarkiska och skalbara strukturer där tillit kan spridas genom delegation, snarare än direkt koppling mellan varje part. Se beskrivning av tillitskedjor nedan.
Utfärdare av tillitsmärke
En utfärdare av tillitsmärke är en aktör som går i god för att en annan aktör uppfyller specifika krav, exempelvis säkerhets- eller verksamhetsmässiga.
En aktör, vars signatur fungerar som ursprunglig garanti för metadata i infrastrukturen, kallas för tillitsankare. Tillitsankaret är aktören som utgör startpunkten för tillit i infrastrukturen.
Tillitskedjor beskriver hur tillit etableras stegvis mellan aktörer via signerad metadata, från tillitsankare till slutlig mottagare. De möjliggör automatiserade verifieringar där varje länk i kedjan intygar att nästa är betrodd.
Ansvarsfördelning och digital samverkan
Infrastrukturen för identitet och behörighet bygger på en tydlig ansvarsfördelning där olika aktörer, som tillitsankare, anslutningspunkter och tjänsteleverantörer, har avgränsade roller. Det gör att infrastrukturen blir skalbar och flexibel.
Policys definierar krav och beteenden inom infrastrukturen, till exempel säkerhetsnivåer, attributhantering och processkrav. Systemet möjliggör efterlevnad av regelverk, utan att varje aktör behöver göra manuella kontroller av andra.
Beslut om åtkomst tar alltid aktören som producerar tjänsten. Beslutet baserar aktören på
- tillitsmärken för tekniska komponenter
- semantiska interoperabla attribut, det vill säga standardiserad information om personers roller och egenskaper.
Dokument och länkar
- Regleringsbrev för Myndigheten för digital förvaltning 2025 (esv.se)
Länk till annan webbplats. - Utveckling och tillhandahållande av en sammanhållen infrastruktur för identitet och behörighet
- Ena – Sveriges digitala infrastruktur
Tillbaka till landningssidan för infrastruktur för identitet och behörighet
Ditt svar hjälper oss att förbättra sidan
Senast uppdaterad: