En Altinn 3 applikasjon kan i dag autentisere seg mot maskinporten og benytte access token videre mot andre tjenester, typisk api'er - og det kommer flere og flere applikasjoner som trenger dette.
Oppsett av dette er i dag vanskelig for mange og krever en relativt høy grad av teknisk kompetanse kombinert med at det gir en dårlig opplevelse for apputviklere siden det er mye manuell konfigurasjon.
Videre så trigger også bruk av maskinporten nye rutiner for håndtering av hemmeligheter og rotering av nøkler når disse utgår. Igjen noe som krever en høy grad av teknisk kompetanse.
I tillegg så har ikke en Altinn 3 applikasjon sin egen identitet, alt som gjøres skjer i kontekst av pålogget bruker sitt token. I noen tilfeller har man ikke en pålogget bruker, f. eks. når kode trigges av en hendelse. I andre tilfeller er det ikke naturlig at det er brukeren sitt token som benyttes, men applikasjonen i seg selv. F. eks. generering av PDF eller andre tekniske oppgaver i prosessen.
Forventet resultat
«Pek og klikk» konfigurasjon og oppsett av maskinporten oppsett i en Altinn 3 App
Det skal «bare virke» ut av boksen
App utvikler skal sitte igjen med en følelse av at «dette var smooth sailing»
En god integrasjon mellom fellesløsninger i Digdir
Hvordan vil det virke?
[ ] Dokumentere og automatisere beste praksis
[ ] Én Altinn 3 app, én klient registrering i maskinporten
[ ] Bruke JWK for autentisering
[ ] Hvordan bruke keyvault i apps (denne er delt på tvers av apps)
[ ] Rutine for rotering av nøkler
[ ] Hvordan sette det opp i app koden
[ ] Opprette klient i maskinporten
[ ] Gjøres automatisk ifm. opprettelse av app i Studio
[ ] Legge til scopes
[ ] Opprette nøkler
[ ] Registrere nøkler i key vault
[ ] Opprette konfig i app
[ ] Registrere nødvendige tjenester i app
[ ] Validering av oppsett i Studio (trafikklys i Studio)
[ ] Visning av relevant informasjon fra klientoppsett i Studio
[ ] Automatisk rotasjon av nøkler
[ ] Informasjon i Studio om når nøkler utgår og at automatisk rotasjon vil skje
[ ] Eksplisitt logging av nøkkelrotasjon (metrikker?)
[ ] Fjerne klient fra maskinporten når app fjernes fra produksjon
Overordnet beskrivelse
En Altinn 3 applikasjon kan i dag autentisere seg mot maskinporten og benytte access token videre mot andre tjenester, typisk api'er - og det kommer flere og flere applikasjoner som trenger dette.
Oppsett av dette er i dag vanskelig for mange og krever en relativt høy grad av teknisk kompetanse kombinert med at det gir en dårlig opplevelse for apputviklere siden det er mye manuell konfigurasjon.
Videre så trigger også bruk av maskinporten nye rutiner for håndtering av hemmeligheter og rotering av nøkler når disse utgår. Igjen noe som krever en høy grad av teknisk kompetanse.
I tillegg så har ikke en Altinn 3 applikasjon sin egen identitet, alt som gjøres skjer i kontekst av pålogget bruker sitt token. I noen tilfeller har man ikke en pålogget bruker, f. eks. når kode trigges av en hendelse. I andre tilfeller er det ikke naturlig at det er brukeren sitt token som benyttes, men applikasjonen i seg selv. F. eks. generering av PDF eller andre tekniske oppgaver i prosessen.
Forventet resultat
Hvordan vil det virke?