SBL Bridge API vi bruker for å slå opp nøkkelrolle-enheter:
{{EnvSblBridgeUrl}}/sblbridge/authorization/api/partieswithkeyroleaccess/?userId={{userId}}
inkluderer ikke underenheter. Noe som har vært en antagelse i implementasjonen på 3.0 siden.
Dette gjelder nok da også arv av delegeringer for Apps og Ressurser også, når disse er utført til en underenhet.
Description of the bug
Funnet under test av instans delegering fra Apps.
SBL Bridge API vi bruker for å slå opp nøkkelrolle-enheter:
{{EnvSblBridgeUrl}}/sblbridge/authorization/api/partieswithkeyroleaccess/?userId={{userId}}inkluderer ikke underenheter. Noe som har vært en antagelse i implementasjonen på 3.0 siden. Dette gjelder nok da også arv av delegeringer for Apps og Ressurser også, når disse er utført til en underenhet.
Denne svakheten eksisterer både i PDP som gjør oppslag av nøkkelrolle-enheter for berikelse av 'urn:altinn:organization:uuid' subject attributter før autorisasjon mot instansdelegeringspolicies (se: DelegationContextHandler.EnrichRequestSubjectAttributes) og i access-management logikk for PIP API og nøsting i delegeringer (se: PolicyInformationPoint.FindAllDelegations)
Steps To Reproduce
Expected: Permit Actual: NotApplicable
Additional Information
No response