Logging i Altinn 3

[ekorra]

Overordnet beskrivelse

Etablere loggtjeneste som logger hvem som har fått tilgang til, eller har utført handling en handling mot, hva og når. Denne loggen må være «write-only» med høy grad av nøyaktighet og integritet, slik at den kan brukes under etterforskning og bevis ved misbruk av løsninger eller liknende     

Overordnet beskrivelse av løsning

Altinn 3 trenger logger slik at man i forbindelse med autentisering og autorisasjon kan ettergå når og av hvem en handling er utført og hvilke rettigheter vedkommende hadde på gjeldende tidspunkt. Loggingen må utføres slik at det ikke påvirker ytelsen i resten av løsningen negativt. Disse loggene må bade tilfredstille tekniske og juridiske krav

• Det etableres en ny Audit log komponent for logging av Autentisering og Autorisasjonshendelser.
• Det opprettes Kø for Autentiseringslogg og autorisasjonslogg
• Det opprettes Azure Function for å kalle Securitylog komponent og for lagring
• Komponent bør kun ha write rettighet på tabeller.

Potensiell kompleksitet tilknyttet forskjellig lagringstid på info elementene.

Hvis nødvendig må det etableres slettemekanismer etter definerte tidsperioder.

### Analyseoppgaver
- [ ] https://github.com/Altinn/altinn-auth-audit-log/issues/4
- [ ] https://github.com/Altinn/altinn-auth-audit-log/issues/5
- [ ] Tilgang
- [ ] https://github.com/Altinn/altinn-auth-audit-log/issues/2

### Utvikling
- [ ] Oppbevaring og sletting iht juridiske krav
- [ ] Tilgang

### Akseptansekriterier
- [ ] Logging skal ikke påvirke ytelsen på resten av løsningen negativt
- [ ] Loggene må ikke kunne endres i ettertid uten at dette blir oppdages
- [ ] Det må etableres jobb som sletter logger iht kurdiske krav for oppbevaring
- [ ] Kun autorisert personell skal ha tilgang til loggene

Estimat/Omfang 

 

Spørsmål

[annerisbakk]

Kobles sammen med https://github.com/Altinn/altinn-auth-audit-log/issues/2, og en av disse lukkes.