Pilot av nytt anslutningskoncept för användarorganisationer i Sambi

Om anslutningskonceptet

Här finns en presentation som beskriver konceptet mycket övergripande: Pilot anslutningskoncept.pptx

Vad?

En användarorganisation som väljer denna anslutningsform ansluter till federationen genom en leverantör som agerar ombud/företrädare mot federationen. Användarorganisationen har ingen direkt kontakt med federationsoperatören, utan all, kommunikation, teknisk anslutning, fakturering, support och annan hantering gentemot federationen sker via leverantören.

Konceptet har likheter med anslutningsformerna Sambiombud och Gruppföreträdare men är avgränsat avseende tilliten till de attribut som förmedlas inom ramen för federationens regelverk. Endast personnummer, samordningsnummer och användarens organisatoriska tillhörighet omfattas av Sambis tillitsramverk för denna anslutningsform. Detta medför att åtkomst till tjänster som kräver ytterligare attribut inte är möjlig.

Varför?

Det är utmanande för små organisationer att ansluta till federationen då det ställs krav på teknik och ett ledningssystem för informationssäkerhet (LIS). Anslutningsformerna Sambiombud och Gruppföreträdare hanterar en del av denna problematik genom att ta hand om den tekniska anslutningen och stora delar av LIS.

Hanteringen av användarattribut är dock hårt kopplad till processer och rutiner inom användarens organisation vilket gör det svårt för leverantören att ta ansvar för detta.

Vid anslutning genom Sambiombud hanteras detta genom att ombudet hjälper anslutande organisationer att utforma ett LIS som täcker de delar av Sambis tillitsramverk som inte hanteras av ombudet själv. Gruppföreträdare kan använda sig av en liknande hantering som Sambiombudet, eller upprätta egna rutiner och kontroller för användarattributen (vilket vi konstaterat är komplicerat).

Lösningarna genom Sambiombud och Gruppföreträdare innebär i praktiken att det antingen kvarstår att arbete för användarorganisationen som kommer att vara svårt att hantera för små organisationer eller att leverantören utför arbetet vilket kommer att driva upp priset på tjänsten på en nivå som kan vara svår att hantera för små organisationer.

Genom att reducera omfattningen av betrodda attribut till identitet på användare och organisation så förenklas hanteringen avsevärt och kan hanteras av leverantören utan att driva höga kostnader.

Små organisationer har dessutom ofta ett lågt behov av federativ koppling till flera tjänster men har samtidigt behov av att kunna ingå som betrodd organisation under ett federativt ramverk, varför begränsningen av möjligheten att ansluta till vissa tjänster i federationen bedöms som rimlig.

Vem?

Konceptet är utvecklat för att förenkla för mycket små organisationer via en godkänd leverantör.

Det finns ingen begränsning i storlek på organisationer som kan ansluta genom detta koncept men lösningen är inte anpassad för större organisationer. Framtida vidareutveckling av konceptet kommer inte heller ta hänsyn till behov hos större organisationer då de har flera andra alternativ att ansluta till federationen.

Aktörer som berörs av konceptet

• Godkänd leverantör som erbjuder anslutningen som tjänst till användarorganisationer
• Användarorganisationer
• E-tjänst som vill dra nytta av möjligheten att tillhandahålla federativ åtkomst till små användarorganisationer
• Även privatperson utan organisatorisk tillhörighet kan nyttja anslutningen genom en leverantör och kommer då att sakna organisatorisk tillhörighet i federationen

Hur?

Användarorganisation

En användarorganisation som vill ansluta genom detta koncept vänder sig till en godkänd leverantör.

Leverantör

En leverantör som vill erbjuda anslutningsformen som tjänst måste:

• Upprätta nödvändig teknik, processer och rutiner i enlighet med Sambis tekniska krav och tillitsramverk
• Bli godkänd i Sambis tillitsgranskning (initial vid anslutning, därefter årligen)
• Ansluta representerade organisationer till federationens metadata

E-tjänst

En e-tjänst som vill kunna erbjuda åtkomst via federationen till användarorganisationer som ansluter via detta koncept behöver (utöver anslutning till Sambi) säkerställa att behörighet kan grundas på enbart identitet och organisatorisk tillhörighet för användare, alternativt hantera övriga attribut i annan kanal.

Till vad?

Anslutningsformen kan användas för åtkomst till tjänster som är anslutna till Sambi om användaren är behörig för åtkomst till tjänsten OCH om tjänsten klarar sig med de attribut som levereras inom ramen för konceptet eller kan hantera övriga attribut i annan kanal.

För de fall andra attribut krävs i annan kanal så kan teknik och/eller administration tillkomma för användarorganisationen. Detta ligger utanför federationens kontroll och Sambi kan inte förmedla tillit, teknisk interoperabilitet eller support.

När?

Piloten kommer att inledas under oktober 2024 och är tillgänglig för användarorganisationer när det finns leverantörer som erbjuder tjänsten.

Tillitsramverk

Kraven ska arbetas in i Sambis befintliga tillitsramverk men kommer under piloten att sammanställas i ett eget dokument: Tillitsramverk hypotes.docx

Kraven mappar huvudsakligen mot följande avsnitt i Sambis tillitsramverk;

• A - generella krav
• B - E-legitimationsutfärdare
• C - Attribututgivare
• D - Identitetsintygsutgivare
• F - Sambiombud

Vissa av kraven kommer att anpassas för det aktuella anslutningskonceptet.

Teknik

De tekniska kraven utgår i huvudsak från Sambis tekniska bilaga (intygsutgivare) med vissa specifika tillägg som kommer att specificeras nedan.

Attribut

Scope

Scope används för att förhindra sammanblandning av identiteter. Om användare från två olika användarorganisationer loggar in i en tjänst och har likadana användarnamn uppfattar tjänsten att det är samma användare. Att sätta Scope på ett attribut gör det möjligt för tjänsten att knyta attributet till utfärdande Identity Provider (IdP). Nedanstående krav är hämtat från den nya tekniska profilen SAML WebSSO Technology Profile V1.0.0.pdf, för närvarande i sin helhet gällande i Skolfederation och Fedvis, med mål att även gälla för Sambi. 

Scopes are used to provide authoritative information to Scoped Attributes.
The <shibmd:Scope> element MUST appear within the <md:Extensions> element of an <md:EntityDescriptor> element or the <md:Extensions> element of a producer role descriptor element (such as <md:IDPSSODescriptor> or <md:AttributeAuthorityDescriptor>) [3]. An Identity Provider MUST have at least one Scope registered, representing a domain name owned by the Member Organization or which the Member Organization has delegated usage of.

Scope elements MUST contain a regexp attribute of false.

Scopes MUST NOT include regular expressions.

At request by the Federation Operator, the member MUST prove control of the domain by adding a DNS TXT resource record to the domain. The value for the record is provided by the Federation Operator. The record is created by adding the label “_scope-challenge” to the domain being validated. TTL SHOULD be set to no more than 300.

Guidance: This is an example record for the domain example.com. 
_scope-challenge.example.com. 300 IN TXT “value”

The Federation Operator validates the record by querying for the TXT record. The validation is successful if the response contains a resource record that matches the value provided by the Federation Operator.

If the validation is unsuccessful the Federation Operator will remove the metadata containing the scope from the federation.

Tekniska införandemönster

Det finns olika mönster för införande av lösningen beroende på om leverantören av IdP företräder organisationer eller privatförskrivare.

Alternativ 1. En entitet per användarorganisation (rekommenderat)

Den mest framtidssäkra vägen är att företrädaren hanterar (minst) en entitet (entityID) per unik organisation. Metadata utformas då enligt Sambis tekniska bilaga, där användarorganisationen står som ansvarig under elementet Organization, med tillägg för Scope enligt tekniskt krav på denna sida. 

Alternativ 2. En entitet representerar flera användarorganisationer

Möjligheten finns att för en företrädare att ha en entitet (entityID) som representerar flera eller alla av företrädarens användarorganisationer. I det fallet så behöver även organisationsnummer för användarorganisation anges i Scope på företrädarens entitet för att tydliggöra vilka användarorganisationer som företräds av entiteten. Företrädaren är den organisation som sedan står som ansvarig under elementet Organization.

Privatförskrivare

Privatförskrivare hanteras genom att ett generiskt Scope sätts upp. ← fyll på

Scope per införandemönster

Priser och fakturering

Kostnader för leverantör

Tillitsgranskning:

• År 1: Granskning 40 000 kr
• År 2: Delgranskning 20 000 kr
• År 3: Delgranskning 20 000 kr
• Därefter ny granskningscykel från år 1

Anslutning av medlemmar:

• 100 kr per användare och år
• Leverantören ansvarar för att rapportera antal användare till federationsoperatören

Fakturering och rapportering

• Intervall för avstämning av antal användare – INTE BESLUTAT
• Intervall för fakturering – INTE BESLUTAT

Kostnader för användarorganisation

Användarorganisationer vänder sig till leverantören för pris.

Övrigt

Leverantören ska informera federationsoperatören vid anslutning eller borttagning av enskilda organisationer genom att uppge organisationsnummer för respektive organisation. Rapporteringen ska ske skyndsamt och senast tre arbetsdagar från tillfället.

Om piloten

Pilotanslutningar inleds oktober 2024 med en eller ett fåtal leverantörer som vill erbjuda anslutningsformen som tjänst.

Piloten genomförs i Sambi men anslutningskonceptet kommer även att kunna erbjudas för användarorganisationer i Skolfederation inom kort och på lite längre sikt för federation oavsett sektor. Syftet är att förenkla för användarorganisationer även i andra federativa kontexter samt att bredda marknaden för leverantörer av anslutningsformen för en gynnsam prissättning för alla parter.

Hör av dig till info@sambi.se om du är intresserad av att medverka.