Tilby App/Ressurs Token for asyncrone prosesser

[TheTechArch]

Beskrivelse

Det er behov for at Apper i Altinn platformen utfører operasjoner på data som krever tilgangstyring hvor det ikke er en sluttbruker som er den som direkte trigger operasjonen. I dag utføres slike jobber med at Appene tar vare på token fra bruker og bruker det til den asynkrone prosessen er over. Et eksempel på slikt bruk er PDF generering.

Man ønsker å se på en løsning som muligjør at appene kan trigger prosesser som får lov å endre data uten at denne prosessen sitter på en bruker token.

Krav

• Tokenent må kunne ha lang levetid eller kunne regeneres hvis slike prosesser tar lang tid
• Tokenet må inneholde claims som gjør at tilgangen kan autoriseres i PDP
• Det må sikres slik at man i det minste vet at det er en riktig tjenesteeier app som ber om app token.

Definisjoner

• Altinn token - token utsted av Altinn Authentication og signer med sertifikat til Altinn

In scope

Altinn App token endepunkt i Altinn Autentication

Et nytt endepunkt introduseres som lar App kalle endepunkt for å generere Altinn token. Endepunktet bør ha følgende begrensinger

• Klient må autentisere seg med Altinn Access Token. Dette tokenet beviser at kallet kommer fra et gitt cluster
• Tokenet inneholder referanse til app på nytt ressursformat. urn:altinn:resource hvor formatet er {org}_{app}
• Det skal kun være mulig å genere token for apper som tilhører samme tjenesteier. Dvs hvis et access token for SKD cluster kaller endepunkt så må det være et appskd{xxx} token hvor xxx er appid.
• Token som utstedes må kunne valideres basert på informasjon som hentes fra Well Known endepunkt i Altinn Authentication.

Endepunktet kan lages slik at Appen autentiseres seg med Access Token som appen selv genererer basert på sertifikat tilgjengelig i AKS.

Endepunkt i autentisering validererer at ISS i token matcher org i app identifer som det bes om.

Autorisasjon av App token

For å kunne autorisere tilgang til at App kan modifisere data tilknyttet en instance for en avgiver så må reglene i policy oppdateres slik at de definerer hva appen kan utføres. I mange tilfeller vil det mest sannsynlig være det å kunne lese og skrive data til instance. F.eks legge til PDF eller oppdatere status på en instance.

Relle behov er beskrevet i denne issue https://github.com/Altinn/app-lib-dotnet/issues/813

Vi må legge til en regel som referer til App identity som utførende av operasjonen. Formatet må nok være på {org}/{app} formatet

<xacml:Rule RuleId="urn:altinn:resource:ske-innrapportering-boligselskap:ruleid:1" Effect="Permit">
        <xacml:Description></xacml:Description>
        <xacml:Target>
            <xacml:AnyOf>
                <xacml:AllOf>
                    <xacml:Match MatchId="urn:oasis:names:tc:xacml:3.0:function:string-equal-ignore-case">
                        <xacml:AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string">app_skd_flyttemelding</xacml:AttributeValue>
                        <xacml:AttributeDesignator AttributeId="urn:altinn:resource" Category="urn:oasis:names:tc:xacml:1.0:subject-category:access-subject" DataType="http://www.w3.org/2001/XMLSchema#string" MustBePresent="false" />
                    </xacml:Match>
                </xacml:AllOf>
            </xacml:AnyOf>
            <xacml:AnyOf>
                <xacml:AllOf>
                    <xacml:Match MatchId="urn:oasis:names:tc:xacml:1.0:function:string-equal">
                        <xacml:AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string">ske-innrapportering-boligselskap</xacml:AttributeValue>
                        <xacml:AttributeDesignator AttributeId="urn:altinn:resource" Category="urn:oasis:names:tc:xacml:3.0:attribute-category:resource" DataType="http://www.w3.org/2001/XMLSchema#string" MustBePresent="false" />
                    </xacml:Match>
                </xacml:AllOf>
            </xacml:AnyOf>
            <xacml:AnyOf>
                <xacml:AllOf>
                    <xacml:Match MatchId="urn:oasis:names:tc:xacml:3.0:function:string-equal-ignore-case">
                        <xacml:AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string">write</xacml:AttributeValue>
                        <xacml:AttributeDesignator AttributeId="urn:oasis:names:tc:xacml:1.0:action:action-id" Category="urn:oasis:names:tc:xacml:3.0:attribute-category:action" DataType="http://www.w3.org/2001/XMLSchema#string" MustBePresent="false" />
                    </xacml:Match>
                </xacml:AllOf>
            </xacml:AnyOf>
        </xacml:Target>
    </xacml:Rule>

Out of scope (evt. senere leveranse)

# Features
- [ ] Legg til features her

[martinothamar]

Tror dette hadde funket bra, eneste mismatchen er som nevnt det at appen må oppdatere policy. En kategori av ting vi ønsker å gjøre i appens kontekst er cleanup og bookkeping av intern state. I den settingen er det rart at vi ber app-koden om lov til å gjøre ting som appen må gjøre for å funke (det burde ikke være optional/opt-in)