Avgi data - løsningsmønster UHF

Komponent for å håndheve virksomhetens regler for tilgang. Også kalt policy enforcement point (PEP).

Autorisasjonskomponenten i Altinn som gir muligheter til å delegere rettigheter til andre organisasjoner eller personer. Rettigheter til bruk av autorisasjonskomponenten baserer seg på registrerte roller i Enhetsregisteret. Altinn autorisasjon leverer også tjenester for å registrere og kontrollere samtykke gitt av person eller virksomhet.

Altinn autorisasjon gir teknisk samhandlingsevne ved at bruker logger inn med elektronisk ID, autorisasjonskomponenten sjekker at bruker har de tilgangene som kreves for å ta i bruk aktuell tjeneste.

Dersom en privatperson skal ta i bruk en tjeneste på vegne av en virksomhet, gjøres det et oppslag mot Enhetsregisteret for å bekrefte at personen har en rolle på vegne av virksomheten. Dette gir organisatorisk samhandlingsevne.

Mer om Altinn autorisasjon: https://www.altinndigital.no/produkter/styring-av-tilgang/

Tilbyder av data til andre aktører.

Tjeneste for å sjekke rettigheter til data. Kan være eksterne eller interne tjenester. Eksempler på rettigheter kan komme av samtykker fra person eller virksomhet, eller rollebasert fra vergemål, familierelasjon el.

Konsumenten som forespurte tilgang til data må ha en "authentication grant" som gir rett til operasjonen som er forespurt. Leseoperasjoner må ha lesetilgang og oppdateringsoperasjoner må ha skrivetilgang til data spesifisert.

Prosessen med å avgi data på forespørsel gjennom et egnet API.

Motta forespørsler fra API-konsument om å avgi data.

Prosessen med å gi svar på forespørselen.

Kontroll og håndheving av konsumentens rettigheter til å innhente eller eventuelt oppdatere forespurte data. I tillegg til "validering av sikkerhetsbillet", kan det være behov for kontroll mot virksomhetsinterne policies.

Konsumenten som forespurte tilgang til data må ha en "authentication grant" som gir rett til operasjonen som er forespurt. Leseoperasjoner må ha lesetilgang og oppdateringsoperasjoner må ha skrivetilgang.

Prosessen med å autentisere en konsument.

Tjeneste for utveksling av data over aktuell transportprotokoll, f.eks, gjennom asynkrone meldinger eller synkrone API-oppslag.

Tjeneste som benyttes av tilbyder for å validere og kontrollere autentisiteten til et OAUTH2 token fra Maskinporten

Evne til å avgi data på forespørsel. Data som avgis er klargjort for dette gjennom en API som er publisert, og en API gateway som håndhever tilgangskontroll basert på at tilgang til data er gitt på forhånd for den aktuelle konsumenten.

API gateway er en tjeneste som tilgjengeliggjør, beskytter og overvåker tilgang til API-ressurser hos datatilbyder. Den håndhever tilgangsstyring ved å validere sikkerhetsbilletter og utfører eventuell fin-granulert tilgangskontroll. Den håndhever også volumbegrensninger og samler data om bruken av API-er (logging).

Komponent som beskytter ressursene og overvåker tilgang inklusivt:

Tjeneste for å gi datakonsument adgang til data. Tjenesten kan realiseres gjennom utveksling av data over aktuell transportprotokoll, f.eks, gjennom asynkrone meldinger eller synkrone API-oppslag. Tjenesten kan også realiseres ved å gi konsumenten adgang til data er de ligger, f.eks, innen forskning for analyse av store datamengder.