[BRUKERHISTORIE] Utvide API-beskrivelsene i API-katalogen med informasjon om klientregistrering og autorisasjon for å forenkle bruk av API-er på tvers av ulike plattformer

[sskagemo]

Relatert til epos: #298 Se innspill fra Uninett: https://www.linkedin.com/pulse/innspill-til-arbeidet-med-api-katalog-og-api-er-dataflyt-solberg/ v/ @andreassolberg

Utdrag:

• "For at API-er og klienter (konsumenter av API-er) skal kunne kommunisere effektivt og sikkert på tvers av plattformer trenger man identifikatorer og credentials som håndteres på nasjonalt nivå."

Se også arbeidet som er gjort rundt eOppslag, HELT og maskinporten, @joergenb

[joergenb]

Er veldig einig i det som blir sitert over.

Sjølv om dei må "håndteres" på nasjonalt nivå, vil sjølve klientregistreringa liggje hjå ulike platformer. Det vesentlege er då kva tillit du som API-tilbydar kan ha til klientregistreringa, kor enn den har blitt utført. I meir samansette verdikjeder, der tilgangstoken er blitt berika (token exchange) på vegen inn til deg, kva tillit kan du ha til kjeden av aktører som har generert tokenet du mottar? Eg meiner det trengs eit stykke standardisering av tokens og tilhøyrande kodeverk - me frå ID-porten har hatt nokre tankar om dette, her : https://joergenb.github.io/oauth2-veileder/eoppslag_sbb_oauth2_tokens.html

[joergenb]

Og arbeidet rundt eOppslag er p.t. dokumentert her: https://joergenb.github.io/oauth2-veileder/eoppslag_sbb_oauth2.html

[sskagemo]

@andreassolberg presenterte innspillet i møte 15. mai, se notater og link til presentasjon her: https://docs.google.com/document/d/1q7Y0a50a1mqLaTfDpgnb_lwmQaBUkSzZKJ8sk20q5gY/edit#heading=h.mact6f3kn6lo Bl.a. presiserte han at referansearkitektur for eOppslag adresserer maskin-til-maskin-kommunikasjon, men løser ikke utfordringen når den opplysningen gjelder (innbyggeren) må inn i prosessen for å godkjenne utleveringen av opplysningene.

[sskagemo]

Mener dette fanger opp det som tidligere var beskrevet i følgende brukerhistorie, som nå er lukket som duplikat

Som: API-konsument Ønsker jeg å: beskrive standardiserte autentiserings- og autorisaksjonsmekansimer som kan gjenbrukes på tjenester beskrevet for API-ene Slik at: tilgangsstyring mot flere tjenester kan forenkles

107

[KjerstiSteien]

Lukker saken. Vi vil ta med oss ideene videre i arbeidet med nasjonal søknadsprosess for tilgang til data.