Analyse: Hvordan deaktiverer vi lenketjenester når tjenesteeier migrererer disse?

[sivaglen]

Det er tjenesteeier som selv skal avgjøre når de ønsker å migrere lenketjenester

Forutseetning før migrering:

• Skal vi forutsette at tjenesteeier har tatt i bruk nye API for å hente ut Autorisasjonsinformasjon?

1. Lenketjenesten er opprettet som "kladd-ressurser" i studio i A3
2. Tjenesteeier beriker/korrigerer ny lenketjeneste i A3 med ekstra metadata i Studio eller via API
3. Tjenesteeier ferdigstiller og klikker på "migrer" knappen (eller gir beskjed på annen måte at de er klar for å migrere lenketjenesten)

Da skal følgende skje:

1. Tjeneste produksjonsettes i A3
2. Tjenesteeier verifiserer at de har tatt i bruk API i A3
3. Tjeneste i A2 deaktiveres og gjøres utilgjengelig for ny delegering + cachinvalidering
4. Delegerte rettigheter i A2 for gammel lenketjenester opprettes i A3
5. Delegerte rettigheter i A2 ryddes unna

Spørsmål/notater til diskusjon:

• Det er viktig at vi får opp nye API som tjenesteeier kan ta i bruk så tidlig som mulig. Disse APIene skal benyttes av tjenesteeiere som bruker Altinn Autorisasjon for tilgangsstyring til EKSTERNE tjenester.

  • [ ] Bør vi ha egne API for tjenesteeier knyttet til lenketjenester og ikke blande informasjon om rettighter for andre ressurstyper (f eks Apps) inn i dette?

• I dag tilbys ikke DelegationsAPI for tjenesteeiere (med unntak av tjeneste som SKE bruker for sjømenn). Ved utfasing av Coockiebasert autentisering og overgang til OIDC så kreves det da at sluttbruker gir SKE et eksplisitt samtykke i IDporten for å kunne gjøre kall mot DelegationsAPI.

  • I A2 er dette nødvendig fordi man har lite kontroll på "hva" tjenesteeier får gjøre på vegne av sluttbruker.
  • En tjenesteeier skal som hovedregel kun ha tilgang til å se rettigheter/roller/delegeringer som er relevant for deres offentlige myndighetsutøvelse. Tjenesteeier kan heller ikke bestemme hvem som får lov til å opptre på vegne av en annen, med mindre det følger av lover knyttet til autorisasjonskilder (f eks verge som har fullmakt til å opptre for en vergehaver i forbindelse med skattemelding)

• Kan vi konstruere nye API i A3 som tillater at tjenesteeier utfører Delegations-operasjoner for bruker uten at denne må gi eksplisitt samtykke til bruk av API på deres vegne?

  • Det vil kreve at de bare får se det som er relevant for deres offentlige myndighetsutøvelse.
  • Det vil også kreve at SKE ikke utfører f eks delegeringer mot Altinn AutorisajsonsAPI uten at dette er initiert av en sluttbruker med god nok autentiseringer og som har rett til å utføre tilgangsstyring på vegne av en avgiver.
  • [ ] Sett opp møte med @benedicteos for å diskutere problemstillingen.

[sivaglen]

@ekorra - dette er en analyseoppgave som jeg tror tilhører ditt team. Antar dere har kommet et stykke på vei og at denne kan lukkes.

[annerisbakk]

@ekorra Lukke denne?