Autorisasjon - ny funksjonalitet

[fsveinsb]

Pr i dag er ca 36 Epic av ulik størrelse i backlogg for produktteamet. Dette er identifiserte og kvalifiserte behov hos tjenesteeiere og brukere av løsningen. Omfang av disse endringene er estimert til ca 12 000 effort-poeng. Det aller meste av dette er endringsbehov knyttet til Autorisasjon.

Det vil være kritisk for Altinn Autorisasjon å kunne levere tilstrekkelig med ny funksjonalitet for å dekke tjenesteeiernes behov slik at de ikke «gir opp» og velger å ta andre løsninger i bruk/lage egne. Mangel på leveranseevne vil også medføre at sluttbrukere (næringsdrivende/frivillige/offentlig sektor/innbyggere) påføres unødig tunge og tidkrevende prosesser for å sikre at riktig bruker får riktig rettighet/fullmakt på vegne av riktig avgiver.

Det er lagt til grunn at det som er identifisert i backloggen pr. oktober 2021 utføres over fire år i perioden 2022-2024 Men, med tiden vil det også oppstå nye behov som øker mengden gjenstående arbeid i backlogg, så det er viktig å ha en større progresjon på å håndtere det som allerede er identifisert.

Oversikt over endringer 2022

Endring	Beskrivelse	Effort/omfang
Autorisasjon for Tjenester 3.0	Altinn Autorisasjon skal utvikle støtte for tilgangsstyring og autorisering av applikasjoner i Tjenester 3.0. Dette inkluderer autorisering på operasjonsnivå (f eks les, skriv, signer) og skal støtte den arbeidsflyt som applikasjonen velger å ha.	500
Aktørbegrensning på OIDC/OAuth2-basert autentisering/delegering av tilgang til sluttbruker-API	Altinn tilbyr i dag OIDC/OAuth2-basert autentisering og autorisasjon via ID-porten til sluttbrukersystem for REST-tjenester som krever person-autentisering. Det er behov for å kunne tilby bruker en mulighet til å begrense hvilke aktører denne tilgangen gjelder for.	100
NØTT - fase ut dagens roller og erstatte det med mer nøyaktig og tilrettelagt tilgangsstyring	Dagens roller i Altinn er forholdsvis store og rommer tilgang til veldig mange tjenester. I tillegg skal Altinn styre tilgang til mange tusen tjenester og ulike steg i disse. Resultatet er at dette kan oppleves som forvirrende, overveldende, usikkert og frustrerende for enkelte tilgang styrere. En tilretteleggende og nøyaktig tilgangsstyring kan forenkle arbeidsflyten og vil oppleves som betryggende for brukeren Dette skal også sikre at man ikke får tilgang til mer enn man strengt tatt trenger	1000
Gjøre det mulig å endre rollekrav på tjenesteutgave	Hvis en tjenesteutgave i dag migreres til et miljø med et sett roller knyttet til seg så er det ikke mulig å endre rollekrav uten å lage ny tjenesteutgave. Dette fordi autorisasjonsregle-tabell ikke fjerner gamle regler, men kun legger til nye Utfordringen med dette er at hvis en tjenesteeier migrerer en tjeneste til produksjonsmiljøet og senere ønsker å begrense hvilke roller som har tilgang til tjenesten så må ALLE tjenestedelegeringer som er gjort på tjenesteutgaven gjøres på nytt av virksomhetene. Det gjør terskelen for å rydde opp i dårlige rollekrav svært høy.	100
Ta i bruk AA registeret for å registrere Ansatt relasjon til virksomhet via NAVs API	AA-registeret (arbeidsgiver- og arbeidstakerregisteret) eies og forvaltes av NAV og er et grunndataregister som gir en oversikt over alle arbeidsforhold i Norge med noen få unntak. AA registeret skal tas i bruk som et hjelpemiddel og forenkling av tilgangsstyring i Altinn.	500
Gjøre det mulig for Tjenesteeier å utføre delgering fra en ikke digital innbygger til deres fullmaktshaver	Ikke-digitale innbyggere (f eks utenlandsk skattepliktige uten norsk eID) vil gjerne utpeke en norsk representant (regnskapsfører, advokat) til å utføre nødvendige tjenester på sine vegne. Tjenesteeier mottar i disse tilfellene gyldig fullmaktsbekreftelse fra innbygger, men fordi AutorisasjonsAPI kun tillater at bruker selv delegerer egne rettigheter videre så vil ikke dette fullmaktsforholdet la seg registrere digitalt (i Altinn). Resultatet er at denne dialogen da kun kan skje via papirskjema og ordinær post Ved å tilby delegeringsapi i Altinn for tjenesteeier hvor de under gitte betingelser kan foreta delegering på vegne av innbyggere/virksomheter så vil fullmakter kunne registreres digital og representanten kan få tilgang til digitale tjenester på vegne av sin klient/kunde.	200
Vise informasjon om rettigheter for altinn-tjenester i skjemakatalogen i altinn	For å gi brukerne bedre og enklere oversikt over rettigheter i de kontekstene de er så skal informasjon om hvem som har rettigheter på vegne av avgiver vises i skjemakatalogen i kontekst av tjenesten.	300
Gjenstående arbeid etter første integrasjon mot FREG		300
Ta i bruk Advokatregisteret som autorisasjonskilde i Altinn	Benytte informasjon fra advokatregisteret på data.altinn.no til å gi advokater enklere mulighet til å få rettigheter på vegne av sine klienter til å utføre digitale tjenester.	500
Forberede flytting av autorisasjon til ny plattform - analyse og muligheter
Nødvendige forbedringer av lokale roller for å sikre at de fungerer for alle tjenester og for hovedadministrator	I dag er det ikke mulig å lage lokale roller som inkluderer tjenester med bare tilgangs-operasjon (access). I tillegg er lokale roller opprettet for en virksomhet kun mulig å vedlike holde for den tilgangsstyrer som laget de. Dette er ikke hensiktsmessig hvis f eks tilgangsstyrer slutter. Hovedadministrator for en virksomhet må derfor få adgang til å administrere en lokal rolle, uavhengig av om vedkommende har opprettet den eller ikke.	300
Øke sikkerhet ved delegering: 1) delegering av "risky role types" 2) varsling av delegering for innbygger	I kjølvannet av hendelsen i ID-porten er det kommet inn forslag om et re-autentiseringssteg før delegering av roller som HADM og ADMAI (RiskyRole). Vi må se på hvordan dette teknisk kan implementeres. Det er også nærliggende å se på å kreve høyere sikkerhetsnivår for pålogging ved delegering av roller i av typen RiskyRole	100
Vise informasjon om rettigheter for ekstern tjeneste i kontekst av tjenesten	For å gi brukerne bedre og enklere oversikt over rettigheter i de kontekstene de er så skal informasjon om hvem som har rettigheter på vegne av avgiver vises på det eksterne nettstedet i kontekst av tjenesten.	150
Mulighet for å "si ifra seg" rettighet til tjeneste som man finner i innboksen	Funksjonalitet for å fjerne mine rettigheter knyttet til visning av melding i innboks. Dette vil gjøre det enklere for bruker å kvitte seg med rettigheter som man ser man ikke trenger.	300
Vise samtykker gitt av innbygger i IDporten  i Altinn	For å sikre innbygger komplett og samlet  oversikt over alle fullmakter og samtykker som andre har fått på sine vegne så skal samtykker gitt i IDporten vises i Innbyggers profil i Altinn	500
Opprette hovedadministrator for innbyggere	Ved å innføre hovedadministrator for innbygger vil man gjøre det enklere for innbygger å peke ut noen til å opptre på egne vegne. Dette vil redusere behov for at man velger å dele sin egen eid med den som skal hjelpe seg.	50
Manglende oversikt over virksomhetsbrukere	Det er misvisende logikk i portal ifm virksomhetsbrukere. Denne endringen vil gjøre det mulig for bruker å se at andre sine virksomhetsbrukere kan opptre på dine vegne.	100
SUM		5 000

Det legges til grunn at kun følgende kan håndteres med dagens bemanning uten tilførsel av ekstra ressurser:

Rette utestående feil/mangler og yte support I tillegg til større behov registrert som Epic i vår backlogg har produktteamet også registert ca 250 mindre feil og funksjonelle utbedringsbehov knyttet til allerede levert funksjonalitet. Dette er feil som er undersøkt og verifisert som feil og med uheldig konsekvens for brukere, men som ikke har høy nok prioritet til å bli rettet. Man kan anta at effort-omfang for å rette disse er på minst 2 000 effort-poeng. Produktteamets medlemmer yter også support til sluttbrukersystem og tjenesteeiere som tar i bruk våre tjenester. Antatt effort brukt på support pr år er 300 effort-poeng

Det er verd å merke seg at mens Produkt teamet har fått mindre ressurser til å håndtere utvikling, support og feilretting i den senere tiden så øker bruken av konsulenttimer hos vår leverandør for å utføre nettopp utvikling, support og feilretting.

Sentrale føringer som legges til grunn: Særskilt fokus bør vies forvaltning og videreutvikling av fellesløsningene i egen virksomhet og i økosystemet som helhet.

[fsveinsb]

@sivaglen Da har jeg redusert denne fra 36 til 12

[fsveinsb]

@sivaglen Jeg sjekket tildelingsbrevet om det er momenter i dette vi kan referere til fra dette tiltaket

"Særskilt fokus bør vies forvaltning og videreutvikling av fellesløsningene i egen virksomhet og i økosystemet som helhet."

Er det noe annet som er relevant og som vi kan henvise til fra dette issuet ?