Teknisk struktur och dokumentation – Samordnad identitet och behörighet

Det finns redan i dag federationer, ofta inom en specifik sektor. Där enas man om gemensamma spelregler för verksamhet och teknik, och alla får tillgång till tjänster inom den federationen. Det fungerar bra, så länge man håller sig inom samma verksamhetsområde.

Tidigare försök att skala upp specifika lösningar till hela välfärden har inte fungerat. Behoven, regelverken och förutsättningarna är för olika. Därför gör vi nu på ett annat sätt. I stället för en enda federation skapar vi en gemensam grund. En grund som fungerar över gränser – mellan myndigheter, regioner, kommuner och privata aktörer. Ovanpå den grunden kan olika verksamheter ha sina egna krav och villkor.

Vad kommer vi då överens om i den här gemensamma grunden? Det handlar om tre saker: organisation, teknik och samverkan mellan system.

Organisatoriska villkor

För att kunna ansluta till Samordnad identitet och behörighet behöver organisationerna vara tydligt definierade: Vad representerar organisationen? Vilka har mandat att hantera anslutningen?

Tekniska krav

Varje system och komponent i Samordnad identitet och behörighet ska gå att koppla till en ansvarig organisation. Komponenterna registreras med gemensam information, till exempel identifierare och tekniska kontaktpunkter.

Samverkan mellan system

Anslutna system inom Samordnad identitet och behörighet behöver fungera tillsammans, så kallad interoperabilitet.

Vi beskriver gemensamt

• hur identiteter verifieras
• hur behörighet och teknisk förmåga kan kontrolleras
• hur åtkomst till tjänster och API:er kan styras
• hur system kan samverka enligt gemensamma regler och standarder.

Alla delar är inte obligatoriska

Alla tjänster behöver inte allt. Vilka krav som gäller beror på vilken information som delas och vilka behov som finns vid just den situationen. Därför är villkoren, kraven och specifikationerna uppdelade inom Samordnad identitet och behörighet.

Vissa tjänster, till exempel inom vården, kan ha högre krav än andra. Ibland behövs det kompletterande avtal, till exempel i samverkan med privata aktörer.

Det är alltid den som äger tjänsten eller informationen som sätter villkoren. Varje tjänst har fortfarande ett eget avtal. Den stora skillnaden från tidigare lösningar är att avtalen pekar på standardiserade delar och utgår från samma grund. Det är det som gör att Samordnad identitet och behörighet fungerar i praktiken, mellan olika verksamheter.

Efter anslutning; hur det förenklat går till

Efter anslutning till Samordnad identitet och behörighet går det förenklat till så här:

1. Först sker en kontroll av användarens identitet för inloggning i system.
2. Tack vare infrastrukturens regler och krav kan uppgifter om identitet, behörighet och teknisk tillit användas på ett mer enhetligt sätt mellan anslutna system.
3. Den som tillhandahåller en tjänst eller information ger användaren åtkomst efter att ha säkerställt identitet, behörighet och säkerhet.

Det tar bara några sekunder och användaren märker inte allt som sker i bakgrunden. Men under ytan sker en kontroll, via infrastrukturen:

• Att aktuella system finns med i listan för anslutna aktörer.
• Om systemen uppfyller regelverket för Samordnad identitet och behörighet.

Tack vare infrastrukturens regler och krav kan en inloggning och behörigheter användas för tillgång till flera system. Det enda som skickas är informationen att användaren är betrodd och vilken typ av användare det rör sig om.

Dokument och länkar

• En gemensam grund för tillit i Samordnad identitet och behörighet
• Ansvar och roller inom Samordnad identitet och behörighet