Så bygger vi förtroende och får systemen att prata med varandra
För att den gemensamma lösningen ska fungera måste alla kunna hitta och lita på varandras IT-system och digitala tjänster. Det kräver gemensamma regler (tillit) och teknik som följer samma standarder (teknisk struktur). På så sätt kan olika organisationer samverka säkert och enkelt.
Inom den gemensamma lösningen för inloggning och informationsdelning behöver vi gemensamma regler, standarder och riktlinjer. På så sätt skapar och behåller vi tillit mellan aktörer och komponenter, vi får en så kallad tillitsstruktur.
Strukturen ska säkerställa att vi hanterar identiteter och behörigheter på ett säkert, kontrollerbart och transparent sätt i olika system och sammanhang.
Vilka tillitsskapande krav kan då komma att ställas?
Det beror på.
Inom lösningen används tillitsmärken för att visa vilken nivå av tillit en teknisk komponent eller organisation har. Varje tillitsmärke bygger på specifika krav, exempelvis tekniska, organisatoriska eller fysiska, som gäller i ett sammanhang.
I tillitsstrukturen ingår
- verifiering av identiteter
- hur behörigheter ges, underhålls och återkallas
- hur säker kommunikation sker mellan användare, tjänster och system.
När vi tar fram de tillitsskapande kraven tar vi hänsyn till etablerade ram- och regelverk som redan används inom andra federationer och initiativ. I arbetet med den gemensamma lösningen tar vi också hänsyn till befintlig teknik, i den mån det går, samt erfarenheter och kunskap.
Syftet är att skapa en gemensam och återanvändbar grund för hög tillit, och på så sätt förenkla samverkan mellan olika aktörer i framtiden.
Teknisk struktur
Federationsinfrastrukturen skapar förtroende
Federationsinfrastrukturen ska skapa tillit mellan aktörer i ett nätverk. Aktörerna i nätverket samverkar på ett standardiserat och tillitsfullt sätt, utan central styrning.
Federationsinfrastrukturen bestämmer hur vi vet vem som är vem, hur vi bekräftar allas identitet och vad de får göra. Det görs med hjälp av metadata och digitala underskrifter.
Tanken med federationsinfrastrukturen är att varje aktör publicerar sin egen metadata i stället för att förlita sig på en central katalog. Det gör den mer flexibel och förändringar möjliga med litet behov av manuell hantering.
Anslutningen är central
Hur leverantörer ansluter till federationsinfrastrukturen är en central del i hur den skapar och behåller tillit.
Anslutningen sker genom en operatör. Operatören erbjuder en anslutningspunkt. Den har som uppgift att samla in, kontrollera och publicera godkänd information om anslutna aktörer.
I processen ska aktörer identifieras, information om aktörerna (metadata) ska finnas, och tekniska kontroller göras. Syftet är att endast acceptera godkända och behöriga aktörer.
Genom anslutningspunkterna kan vi bygga en flexibel och skalbar struktur där tilliten sprids i flera led, som en tillitskedja, i stället för att varje aktör behöver ha en direkt koppling till varje enskild part.
En kedja av tillit
En utfärdare av tillitsmärke är en aktör som intygar att en annan aktör uppfyller specifika krav, till exempel inom säkerhet. Det är utfärdaren av tillitsmärke som följer upp regelverken. Resultatet av en kontroll av pass och nationellt id-kort i polisens e-tjänst kan ses som ett exempel på detta.
Tillitsankare kallas en aktör som fungerar som ursprunglig garanti för metadata i infrastrukturen. Det är där kedjan av tillit i federationsinfrastrukturen börjar. Ett exempel på tillitsankare är en utfärdare av pass i en passunion. Ett annat exempel är Socialstyrelsen som utfärdar läkarlegitimation.
Aktören som erbjuder en tjänst (förlitande aktör) är den som fattar beslut om åtkomst. Beslutet baserar aktören på
- tillitsmärken som visar att tekniska komponenter uppfyller rätt krav
- beskrivningar av till exempel användarens roll, behörigheter och organisatorisk tillhörighet. Informationen ska vara interoperabel, det vill säga användas och förstås av flera system, och ha en tydlig, gemensam betydelse (vara semantiskt standardiserade).
Tillitskedjor beskriver hur tillit byggs upp, steg för steg, från tillitsankare till slutlig mottagare. Varje part bekräftar att nästa i kedjan är pålitlig. På så sätt kan verifiering ske automatiskt.
Vilken aktör som gör vad inom lösningen för inloggning och informationsdelning
Dokument och länkar
- Regleringsbrev för Myndigheten för digital förvaltning 2025 (esv.se)
Länk till annan webbplats. - Utveckling och tillhandahållande av en sammanhållen infrastruktur för identitet och behörighet
- Ena – Sveriges digitala infrastruktur
Tillbaka till landningssidan för lösning för säker inloggning och informationsdelning
Frågor?
Frågor och svar om säker inloggning och informationsdelning
Du kan också kontakta oss via e-postadressen: info@digg.se
Ditt svar hjälper oss att förbättra sidan
Senast uppdaterad: