Tillit, teknisk struktur och digital samverkan

Hantering av tillit

I takt med att digitaliseringen ökar, ökar behovet av strukturerad, digital tillit mellan parter. Alla organisationer har ett ansvar att skydda information enligt lagar, förordningar och föreskrifter, men även utifrån verksamhets- och affärsmässiga skäl.

Båda parterna i ett informationsutbyte behöver säkerställa att den andra parten är en behörig och kontrollerad aktör, oavsett om det är en människa eller ett system. Varje organisation ansvarar för att informationen som den själv förvaltar, särskilt identitets- och behörighetsrelaterad information, är korrekt och pålitlig.

Inom infrastrukturen för identitet och behörighet krävs därför en gemensam tillitsstruktur, det vill säga regler, standarder och riktlinjer som beskriver hur tillit etableras och upprätthålls mellan aktörer och komponenter. Strukturen ska säkerställa att identiteter och behörigheter hanteras på ett säkert, kontrollerbart och transparent sätt i olika system och sammanhang.

Vilka tillitsskapande krav kan då komma att ställas?

Det beror på.

Inom infrastrukturen används tillitsmärken för att visa vilken nivå av tillit en teknisk komponent eller organisation har. Varje tillitsmärke bygger på specifika tillitsskapande krav, exempelvis tekniska, organisatoriska eller fysiska, och gäller i ett givet sammanhang.

Tillitsstrukturen inom identitet och behörighet omfattar därför

• verifiering av identiteter
• hur behörigheter ges, underhålls och återkallas
• hur säker kommunikation sker mellan användare, tjänster och system för att upprätthålla förtroende.

Vid framtagandet av de tillitsskapande kraven utgår vi från etablerade ramverk och regelverk som redan används inom andra federationer och initiativ för standardisering. Syftet är att skapa en gemensam och återanvändbar grund för hög tillit, och därmed förenkla samverkan mellan olika aktörer i framtiden.

Teknisk struktur

Federationsinfrastrukturen

Federationsinfrastrukturen bygger på standarden OpenID Federation och är till för att etablera tillit mellan aktörer i ett distribuerat ekosystem. Med distribuerat ekosystem menar vi ett nätverk av aktörer som samverkar på ett standardiserat och tillitsfullt sätt, utan central styrning.

Infrastrukturen möjliggör skalbar förmedling av tillit genom att definiera hur olika aktörer identifieras, autentiseras och auktoriseras. Detta sker via metadata och digitala signaturer.

Tanken med federationsinfrastrukturen är att varje aktör publicerar sin egen metadata i stället för att förlita sig på en central katalog. Detta gör infrastrukturen mer flexibel och möjliggör dynamiska förändringar med minimalt behov av manuell koordination.

Anslutning

Anslutningsprocessen är en central del i hur federationsinfrastrukturen etablerar och upprätthåller tillit. Den definierar hur aktörer, till exempel leverantörer av identitets-, auktorisations- eller e-tjänster, ansluts till infrastrukturen för identitetet och behörighet.

Anslutning sker genom en anslutningsoperatör, som verkar på uppdrag av ett tillitsankare. Se beskrivning av tillitsankare nedan.

Operatören tillhandahåller en anslutningspunkt, det vill säga den tekniska och organisatoriska funktion som samlar, verifierar och publicerar signerad metadata för anslutna aktörer.

Processen omfattar krav på identifiering, metadata, teknisk verifiering, och säkerställer att endast kontrollerade och behöriga aktörer accepteras.

Via anslutningspunkter möjliggörs en skalbar och delegerad federationsinfrastruktur, där tillitsinformation sprids via tillitskedjor snarare än genom direktkoppling till varje enskild part.

Utfärdare av tillitsmärke

En utfärdare av tillitsmärke är en aktör som går i god för att en annan aktör uppfyller specifika krav, exempelvis säkerhets- eller verksamhetsmässiga.

En aktör vars signatur fungerar som ursprunglig garanti för metadata i infrastrukturen, kallas för tillitsankare. Den utgör startpunkten för tillit i federationsinfrastrukturen.

Tillitskedjor beskriver hur tillit etableras stegvis mellan aktörer via signerad metadata, från tillitsankare till slutlig mottagare. De möjliggör automatiserade verifieringar där varje länk i kedjan intygar att nästa är betrodd.

Ansvarsfördelning och digital samverkan

Infrastrukturen för identitet och behörighet bygger på en tydlig ansvarsfördelning där aktörer som tillitsankare, anslutningsoperatörer och tjänsteleverantörer, har definierade roller och funktioner. Det gör att infrastrukturen blir både skalbar och flexibel.

Policys inom infrastrukturen definierar krav för anslutna aktörer och komponenter, exempelvis gällande autentisering, attributhantering och säkerhetsnivåer. Dessa krav formaliseras genom regelverk som etableras av tillitsankare och följs upp av tillitsmärkesutfärdare.

Federationsstrukturen möjliggör att sådan efterlevnad kan förmedlas automatiserat genom signerad metadata och tillitsmärken. Det gör att tillit enklare kan återanvändas i nya samverkansbehov, utan behov av ny granskning.

Beslut om åtkomst fattas alltid av aktören som tillhandahåller tjänsten (förlitande part). Beslutet baserar aktören på

• tillitsmärken som visar att tekniska komponenter uppfyller rätt krav
• interoperabla och semantiskt standardiserade attribut som beskriver exempelvis användarens roll, behörigheter eller organisatoriska tillhörighet. Med interoperabla och semantiskt standardiserade attribut menas att informationen kan användas och förstås av flera system (är interoperabla) och att de har en tydlig, gemensam betydelse (är semantiskt standardiserade)

Dokument och länkar

• Regleringsbrev för Myndigheten för digital förvaltning 2025 (esv.se) Länk till annan webbplats.
• Utveckling och tillhandahållande av en sammanhållen infrastruktur för identitet och behörighet
• Ena – Sveriges digitala infrastruktur

Tillbaka till landningssidan för infrastruktur för identitet och behörighet