Opprette fagsystem i systemregister

[ekorra]

Overordnet beskrivelse

Digdir må tilby funksjonalitet som gjør at en fagsystemleverandører kan opprette og vedlikeholde systemer i systemregisteret.

Dersom Fagsystemleverandør ikke ønsker at fagsystemer skal være synlig i flyten for sluttbrukerstyrt opprettelse kan det settes flag det under opprettelse

Et system som ikke har tilknyttede systembrukere kan slettes

Definisjoner

Hva skal leveres

Funsjonalitet for å opprette fagsystem i systemregisteret med nødvendige rettigheter

Sjekk #359

Out of scope

• Endre rettigheter på fagsystem

Avklaringer

• Kan ett system som tidligere har hatt tilknyttede systembrukere slettes
• Hva skjer dersom systemleverandør sletter et system som er tatt i bruk

[tasklist]

Akseptansekriterier

• [x] Fagsystemleverandør kan opprette nytt fagsystem i systemregisteret
• [x] Admin kan administrere systemer for andre enn eget orgnr
• [x] Autentisert med maskinporten og nødendige scope (altinn:authentication/systemregister.write), trenger ikke veksles til Altinn token
• [x] Dersom systemet skal være synlig i brukerstyrt opprettelse må dette oppgis
• [x] Systemet må inneholde navn, id(beskrivende), beskrivelse, orgnr på leverandør, nødvendige enkeltrettigheter/tilgangspakker
  • Tilgangspakker må støttes senere, siden det ikke er implementert enda
• [ ] Gyldig orgnr på leverandør
  • Har ingen validering på orgnummeret isolert, utover sjekken som er beskrevet under (samsvar med orgnummer i token og orger på systemleverandør dersom ikke admin).
• [x] Orgnr i maskkinportentoken er det samme som oppgitt orgnr på systemleverandør (hvis ikke admin)
• [x] Hvert system må kunne ha flere client_id (dette brukes for at maskinporten kan validere systembrukers klient-id når man skal hente selve tokenet for Systembrukeren)
  • [ ] Har ikke validering på at client_id-en her faktisk matcher de ulike klientene som ligger i Maskinporten
• [x] Oppdatert systemdokumentasjon
  • https://docs.altinn.studio/nb/authentication/guides/systemauthentication-for-systemproviders/ - Dobbeltsjekk om selve modellen er oppdater (json)
• [x] Dersom man ønsker redirect under opprettelse må redirect url oppgis under registrering av system
• [ ] Vi må vedlikeholde en versjonsnr på fagsystemet for å kunne holde styr på versjonen systembruker er opprettet basert på
  • ikke tatt stilling til denne enda.
• [ ] Versjonsnummer endres når rettigheter på systemet endres
  • ikke tatt stilling til denne enda.
• [ ] Redirct URL må være https
  • Ikke implementert, må høre med @Alxandr om hva argumentet var for å ikke gjøre dette
• [x] Man kan støtte flere URL for redirects
• [x] Eget endepunkt med model for PUT system UTEN RETTIGHTER. Se nedenfor
• [x] Eget endepunkt for PUT rettigheter. Se nedenfor for model
• [x] Ressurser/app oppgitt på system må finnes i resursregisteret
• [ ] #828
• [ ] Ressurs(er) må også være delegerbare
• [x] ID på system må starte med orgnr til vendor. 234234235_
• [x] Navn, description som har språk støtte påkrever at verdi for alle språk er sendt inn
• [x] Må støtte maskinporten token direkte

Avhengigheter

• Kan ikke taes i bruk før juridisk avklaring om scores er på plass

Trusselvurdering

• Ut over juridisk vurdering av hvem som skal gis tilgang er det ikke identifisert nye trusler

Modeller

{
    "id": "936796702_visma_super" // Må starte med orgnummer
    "vendor":{
      "authority" : "iso6523-actorid-upis",
      "ID" : "0192:310385980"
    },
 "name": { "nb":" Visma super tax rich"}, // Påkrevd nb, nn, en
  "singleRights" : [{
        "resource" : [{
                                 "type": "urn:altinn:resource",
                                 "value":"skd_super_mva"
                             }]
            }],
"clientId": ["2342-234324-","43256452.2"],
"isVisible": false,
 "description": { "nb":" Visma super tax rich"}, // Påkrevd nb, nn, en
"allowedRedirectUrls": ["https://visma.no/fullpath","https://dnb.visma.no/fullpath"]  // valid uri, https
}

Get på /systemregister/936796702_visma_super/

{
    "id": "936796702_visma_super" // Må starte med orgnummer
    "vendor":{
      "authority" : "iso6523-actorid-upis",
      "ID" : "0192:310385980"
    },
 "name": { "nb":" Visma super tax rich"}, // Påkrevd nb, nn, en
"clientId": ["2342-234324-","43256452.2"],
"isVisible": false,
 "description": { "nb":" Visma super tax rich"}, // Påkrevd nb, nn, en
"allowedRedirectUrls": ["https://visma.no/fullpath","https://dnb.visma.no/fullpath"]  // valid uri, https
}

Put på /systemregister/936796702_visma_super/

PUT Model lages som egen C# model differensiert fra GET

{
  "name": { "nb":" Visma super tax rich"}, // Påkrevd nb, nn, en
 "clientId": ["2342-234324-","43256452.2"],
"isVisible": false,
 "description": { "nb":" Visma super tax rich"}, // Påkrevd nb, nn, en
"allowedRedirectUrls": ["https://visma.no/fullpath","https://dnb.visma.no/fullpath"]  // valid uri, https
}

Get på /systemregister/936796702_visma_super/rights/

GET Rights

{
  "singleRights" : [{
        "resource" : [{
                                 "type": "urn:altinn:resource",
                                 "value":"skd_super_mva"
                             }]
            }],
}

PUT Rights

{
  "singleRights" : [{
        "resource" : [{
                                 "type": "urn:altinn:resource",
                                 "value":"skd_super_mva"
                             }]
            }],
}

### Backend
- [x] Oppdater datamodell
- [ ] Swagger dokumentasjon
- [x] Oppdater database for å tilpasse datamodell endring
- [x] Skript for å migrere eksisterende data til ny data modell
- [x] Update authorization to allow maskinporten token
- [x] Inputvalidere ressurs mot ressurs-register
- [x] Autentisert med maskinporten og nødendige scope (altinn:authentication/systemregister.write), trenger ikke veksles til Altinn token

### Frontend
- [x] Ikke vise system som er flagget synlighet false ved sluttbrukerstyrt opprettelsesgrensesnitt

[tasklist]

Test

• [x] Fagsystemleverandør kan opprette nytt fagsystem i systemregisteret
• [ ] Admin kan administrere systemer for andre enn eget orgnr (maskinporten-klient med admin-scope kreves for å teste denne).
• [x] Autentisert med maskinporten og nødendige scope (altinn:authentication/systemregister.write), trenger ikke veksles til Altinn token
• [x] Dersom systemet skal være synlig i brukerstyrt opprettelse må dette oppgis - Testet manuelt, og med ende til ende-test
• [x] Systemet må inneholde navn, id(beskrivende), beskrivelse, orgnr på leverandør, nødvendige enkeltrettigheter/tilgangspakker
  • Tilgangspakker ikke testet pga ikke implementert, resten er testet.
• [ ] Gyldig orgnr på leverandør (formatet på orgnummer valideres ikke per nå)
• [x] Orgnr i maskkinportentoken er det samme som oppgitt orgnr på systemleverandør (hvis ikke admin)
  • Dekkes av ende til ende-test
• [x] Hvert system må kunne ha flere client_id
  • Er testet, men per nå validerer vi ikke innholdet til klient-idene (se akseptansekriterie over). Så kun testet at du får lov til å sende inn flere klient-ider. Dette fordi maskinporten ikke har API for å støtte det, så går ikke å implementere støtte for det per nå
• [x] Dersom man ønsker redirect under opprettelse må redirect url oppgis under registrering av system
• [x] Man kan støtte flere URL for redirects
• [ ] Eget endepunkt med model for PUT system UTEN RETTIGHTER. Se nedenfor
  • Dette er testet, men bør ha mer validering. I tillegg kan det skape andre implikasjoner for Systemuser dersom registrert system endres.
• [ ] Eget endepunkt for PUT rettigheter. Se nedenfor for model.
  • Denne er ikke testes - må avklare med Espen / Rune.
• [x] Ressurser/app oppgitt på system må finnes i ressursregisteret
• [ ] Ressurs må være delegerbare (må implementeres, sjekk)
• [x] ID på system må starte med orgnr til vendor. 234234235_
• [ ] Navn, description som har språk støtte påkrever at verdi for alle språk er sendt inn
• [x] Må støtte maskinporten token direkte
  • Testet og dekkes av ende til ende-test

### Juridisk
- [ ] Hva skal til for å få tilgang til scope
- [ ] I hvilke grad er et scope en hvitelisting

### Dokumentasjon
- [ ] Systemdokumentasjon
- [ ] Swagger

[Nyeng]

Test-funn (oppdaterer her i samme kommentar underveis)

• Mangler inputvalidering på https på redirect-url, det funker med http nå.
• Bør inputvalidere og gi 400 bad request dersom ressurs oppgitt i request ikke ligger i ressursregisteret (la til nytt akseptansekriterie etter prat med Dhana).

@ekorra for kriteriet: "Admin kan administrere systemer for andre enn eget orgnr" - hva betyr det i praksis for denne requesten? Hva er "admin" eller hvordan tester man det?

[acn-dgopa]

@Nyeng Admin er digdir som kan styre systemer som ligger i SystemRegister. Det tester du med maskinportenscope token med scope altinn:authentication/systemregister.admin Leverandør får tilgang til å styre sitt systemet med maskinportenscope altinn:authentication/systemregister.write, altinn:authentication/systemregister.read

[Nyeng]

Gått gjennom kriteriene med @acn-dgopa i dag, så det som ikke er sjekket av på Akseptansekriterier er ikke gjort eller ting vi trenger å avklare @ekorra