Systembruker for virksomheter er en ny brukertype som gir finkornet tilgangsstyring ved maskin til maskin kommunikasjon. Brukeren skal fungere i samspill med Maskinporten og tvers av offentlig sektor. På sikt vil Systembruker erstatte erstatte dagens SystemID og Virksomhetsbruker
Definisjoner
Fagsystem - Eksternt system som en systembruker knyttes til for hvor brukeren skal benyttes. Type: Fiken, Visma Accounting etc.
Fagssytemleverandør- Virksomheten som leverer fagsystem
Sluttbrukersystem- aka SBS se Fagsystem
Systemeier - Virksomhet som eier systemet. F.eks: 913312465 - Fiken AS
System Tilgangskrav - Eksternt system registreres med krav/ønske om hvilke ressurser/apps systemet trenger tilgang til gjennom systembruker for at det skal få utført nødvendige oppgaver
Systembruker - "bruker" opprettet for en gitt avgiver (eller "eier" av systembruker) og er entiteten som skal motta delegering av tilganger.
Systembruker-Id - Uuid som identifiserer en gitt systembruker
Eier av systembruker - Den organisasjonen eller avgiveren som systembrukeren blir opprettet for og er den som brukeren mottar tilganger fra.
PEP - Policy Enforcement Point. I denne konteksten er dette enten interne systemer som benytter vår egen PEP pakke hvor kall går mot det internt Decision API, eller eksterne systemer som har egen implementasjon som integrerer mot eksternt Authorize API.
PDP - Policy Decision Point. Her er det to endepunkter Decision som er internt og brukes av interne systemer i Altinn via PEP pakken, og Authorize som er eksternt API for tjenesteeiere eller samarbeidspartnere til Altinn som skal autorisere tilganger fra eksterne system integrasjoner.
PIP - Policy Information Point. I denne konteksten er accessmanagement sitt PIP API eneste relevante PIP kilde, da systembrukere i første omgang bare kan motta delegering av enkelttilganger. Senere vil også Rolle oppslag være relevant PIP endepunkt for PDP.
Forventet resultat
En virksomheten kan opprette en eller flere Systembrukere.
En Systembruker skal kunne få delegert enkeltrettigheter og tilgangspakker som gir den rettigheter til å opptre på veiene av virksomheten
Virksomheten kan gi rettighet til å opptre på vegne av seg til en virksomhet ved å delegerer Systembrukeren, uten å måtte dele hemmeligheter eller sertifikater med hjelpende virksomhet
Virksomheten kan trekke tilbake enkeltrettigheter seg tilgangspakker ved å editere systembrukeren.
Ved sletting av en Systembruker vil alle delegerte rettiheter fjernes
En hjelpende virksomhet skal kunne opprette og sende en forespørsel om å få opptre på vegne av annen virksomhet (samtykke) med gitte enkeltrettigheter eller tilgangspakker.
"Systembrukertoken" hentes ved JWT-grant forespørsel, mot Maskinporten, som inneholder RAR-type urn:altinn:systemuser (Detaljer beskrevet her
Maksinporten skal kunne slå opp i Altinn autorisasjon for å finne fullmaktsforhold representert av Systembruker mellom to virksomheter
Maskinporten skal gjennom API kunne finne id til en gitt systembruker for en gitt virksomhet
Løsningen vil leveres gjennom flere leveranser, som er spredt ut i tid basert på når funksjonalitet systembruker trenger i Maskinporten og Autorisasjon blir tilgjengelig.
L1: Sluttbrukerstyrt opprettelse
Digdir oppretter fagsystem i systemregisteret på forespørsel
Sluttbrukervirksomhet kan opprette Systembruker i Altinn
Systembruker kan kobles til et fagsystem fra systemregisteret
Sluttbrukervirksomhet kan delegerere enkeltrettigheter til Systembruker
Systembruker(e) vises i sluttbrukervirksomhets oversikt over brukere
SBS kan gjøre oppslag mot Maskinporten for å få systembrukertoken
API tilbyder kan gjøre oppslag mot PDP med id fra systembrukertoken for å autorisere systembruker
L2: Leverandørstyrt opprettelse
Sluttbrukersystemleverandør (SBS) kan opprette fagsystem i Digdirs systemregister via API
Gitt orger til kunde kan SBS genere url som tar kunde til side på Altinn for opprettelse av Systembruker,m koblet til SBS, med nødvendige scopes
Systembruker brukes og administreres deretter som under L1
L3: Endre rettigheter
SBS kan endre rettigheter for sluttbrukersystemet
Sluttbruker varsles og kan godta endrede rettigheter
L4: Tilgangspakker
Støtte for tilgangspakker
L5: Kunders-kunde
Mulighet for tjenestetilbyder for å opprette Systembruker, som skal gjøre gjøre API-kall på vegene av sine kunder (AKA klientdelegering)
Krever mer utredning og juridiske avklaringer for hvordan dette brukstilfellet skal fungere
LX: Opprettelse ved egenutviklet system
Ved endring av rettigheter fra fagsystem varslers sluttbruker og må godta nye rettigheter
Mulighet for å opprette Systembruker for egenutviklet system, til eget bruk. Systemet skal ikke registreres i systemregisteret for offentlig bruk (Dette er under utredning, mulig dette ikke prioriteres i 24)
Under utredning
gantt
axisFormat %m.%Y
title Systembruker
dateFormat DD.MM.YYYY
section Systembruker
L1 Sluttbrukerstyrt : L1, 01.10.2023, 30.08.2024
L2 Leverandørstyrt : active, L2, after L1 , 31.10.2024
L3 Endre rettigheter : L3, after L2, 2M
L4 Tilgangspakker : L4, after L3, 3M
L5 Kunders-kunde: L5, after L3, 3M
section Autorisasjon
Delegering av enkeltrettigheter : A1, 01.03.2024, 30.07.2024
Tilgangspakker: A2, 01.01.2025, 3M
Klientdelegering: A3, after A2, 3M
Ny brukerflate for tilgangsstyring for virksomheter : 01.08.2024, 31.04.2025
section Digdir
Systembruker maskinporten : 01.04.2024, 2M
Overordnet beskrivelse
Systembruker for virksomheter er en ny brukertype som gir finkornet tilgangsstyring ved maskin til maskin kommunikasjon. Brukeren skal fungere i samspill med Maskinporten og tvers av offentlig sektor. På sikt vil Systembruker erstatte erstatte dagens SystemID og Virksomhetsbruker
Definisjoner
Fagsystem
- Eksternt system som en systembruker knyttes til for hvor brukeren skal benyttes. Type: Fiken, Visma Accounting etc.Fagssytemleverandør
- Virksomheten som leverer fagsystemSluttbrukersystem
- akaSBS
se FagsystemSystemeier
- Virksomhet som eier systemet. F.eks: 913312465 - Fiken ASSystem Tilgangskrav
- Eksternt system registreres med krav/ønske om hvilke ressurser/apps systemet trenger tilgang til gjennom systembruker for at det skal få utført nødvendige oppgaverSystembruker
- "bruker" opprettet for en gitt avgiver (eller "eier" av systembruker) og er entiteten som skal motta delegering av tilganger.Systembruker-Id
- Uuid som identifiserer en gitt systembrukerEier av systembruker
- Den organisasjonen eller avgiveren som systembrukeren blir opprettet for og er den som brukeren mottar tilganger fra.PEP
- Policy Enforcement Point. I denne konteksten er dette enten interne systemer som benytter vår egen PEP pakke hvor kall går mot det internt Decision API, eller eksterne systemer som har egen implementasjon som integrerer mot eksternt Authorize API.PDP
- Policy Decision Point. Her er det to endepunkterDecision
som er internt og brukes av interne systemer i Altinn via PEP pakken, ogAuthorize
som er eksternt API for tjenesteeiere eller samarbeidspartnere til Altinn som skal autorisere tilganger fra eksterne system integrasjoner.PIP
- Policy Information Point. I denne konteksten er accessmanagement sitt PIP API eneste relevante PIP kilde, da systembrukere i første omgang bare kan motta delegering av enkelttilganger. Senere vil også Rolle oppslag være relevant PIP endepunkt for PDP.Forventet resultat
Hvordan skal det fungere?
Gjennomføring
Løsningen vil leveres gjennom flere leveranser, som er spredt ut i tid basert på når funksjonalitet systembruker trenger i Maskinporten og Autorisasjon blir tilgjengelig.
L1: Sluttbrukerstyrt opprettelse
L2: Leverandørstyrt opprettelse
L3: Endre rettigheter
L4: Tilgangspakker
L5: Kunders-kunde
LX: Opprettelse ved egenutviklet system