Implement process for granting Event scopes to users

[acn-sbuad]

Description

The analysis conclusion was that we need to control who gets access to the Altinn Events Scopes and that those that granted the scope must agree to terms and conditions.

This issue covers defining and implementing a routine for granting the scopes and delegating them to the given party. As well as a routine for detecting breaches of the terms and conditions and an action plan if this is ever detected

Additional Information

No response

Tasks

• [ ] User documentation:
  • [ ] events/publishingevents/get-started/api-access\
  • [ ] events/subscribingtoevents/get-started/api-access

Acceptance Criterias

No response

[SandGrainOne]

@aas-tbuar @annerisbakk Jeg lurer på om denne kanskje kan lukkes? Jeg tenker at alle prosesser man eventuelt kunne kommet opp med her vil kunne håndteres på samme måte som alle andre produkt tilganger. Jeg har vanskelig for å tro at tilgang til Events krever noe mer eller mindre enn tilgang til Storage eller Notifications.

Verktøy i denne sammenheng er altså Maskinporten og ID-porten.

Publisering av eventer krever nå en eksplisit tilgang som vi nå gir til alle tjenesteeiere. Ingen andre har lov til å publisere hendelser. En eventuel leverandør, på veiene av tjenesteeier må få delegert tilgang fra sin kunde (tjenesteeieren).

Når det gjelder å abonnere på eller lese ut eventer så kan hvem som helst gjøre det. Det er derimot filtrering av eventer basert på autorisasjonsregler. Hvem som helst kan altså lage et abonnement, men det er fortsatt begrenset hva de kan abonere på.