En gemensam grund för tillit i Samordnad identitet och behörighet

Samordnad identitet och behörighet skapar gemensamma förutsättningar för att avgöra

• vem eller vad som agerar
• för vems räkning aktören agerar
• vilken behörighet eller teknisk förmåga aktören har
• vilka gemensamma krav som aktören eller komponenten uppfyller.

Det handlar alltså inte bara om att möjliggöra informationsutbyte. Det handlar om att skapa tillit till den aktör, människa eller maskin, som deltar i den digitala samverkan.

När organisationer följer samma regler och krav blir det enklare att samverka säkert och förutsägbart. Det minskar behovet av manuella kontroller, speciallösningar och separata tekniska anpassningar för varje ny samverkan.

Organisationer ansluts på ett kontrollerat sätt

För att en organisation ska kunna delta i Samordnad identitet och behörighet behöver den anslutas enligt gemensamma krav.

Det innebär bland annat att organisationen behöver kunna

• visa vem den är
• vem som får företräda organisationen
• vilka kontaktpersoner som ansvarar för anslutningen.

Det behövs också tydliga överenskommelser om vilka regler och krav organisationen ska följa.

Syftet är att andra anslutna parter ska kunna lita på att organisationen är känd, ansvarig och nåbar. Det blir tydligare vem som står bakom en viss aktör eller teknisk komponent, och vem som ansvarar om något behöver följas upp.

Tekniska komponenter registreras gemensamt

Samverkan sker mellan tekniska komponenter, till exempel system, tjänster, API:er eller auktorisationstjänster. Därför behöver även dessa komponenter kunna identifieras och beskrivas på ett gemensamt sätt.

Registreringen gör det tydligt vilken organisation som ansvarar för komponenten, hur komponenten kan identifieras och vilka tekniska krav den uppfyller.

Det gör att andra aktörer kan kontrollera att de kommunicerar med rätt komponent och att komponenten har de förutsättningar som krävs för den aktuella samverkan.

På så sätt skapas bättre förutsättningar för säker teknisk samverkan mellan organisationer.

Underlag – vad får en aktör göra?

Anslutna parter måste kunna bedöma vad en person, organisation eller teknisk komponent får göra i ett visst sammanhang. Sådan information behöver kunna beskrivas på ett gemensamt, kontrollerbart och maskinläsbart sätt. Det gör det enklare för anslutna parter att fatta beslut om åtkomst, behörighet och teknisk samverkan.

Det kan till exempel vara att kontrollera om

• en person agerar för rätt organisation
• en person har rätt roll eller behörighet
• ett system eller API är registrerat och kopplat till rätt organisation
• en teknisk komponent uppfyller vissa krav
• en aktör har förmåga att hantera en viss typ av digital samverkan.

Det är fortfarande parterna själva, eller reglerna som gäller för det aktuella sammanhanget, som avgör vilka krav som behöver vara uppfyllda.

En grund för säker digital samverkan

Samordnad identitet och behörighet ersätter inte reglerna som gäller i en viss verksamhet. Lösningen avgör inte heller ensam vilken information som får delas, eller vilken åtkomst som ska ges.

Det Samordnad identitet och behörighet gör är att skapa en gemensam grund för att kunna kontrollera identitet, ansvar, behörighet och teknisk förmåga över organisationsgränser.

När organisationer använder samma regler, tekniska principer och sätt att beskriva krav blir det enklare att bygga digital samverkan som är säker, spårbar och möjlig att återanvända i fler sammanhang.