Datadelingsplattformen og fellestjenestene i den

Datadeling i og mellom domener i økosystemet skjer ved bruk av datadelingsplattformen i høyere utdanning og forskning. Plattformen skal støtte enkel publisering av data og effektive mekanismer for gjenfinning og tilgang til data for konsumenter som har rett til slik tilgang. Datadelingsplattformen lagrer kun metadata og fungerer som en databroker. Datasettene referert til gjennom metadata lagres og forvaltes hos datatilbyderne. Deling av data i domenene skjer mellom datatilbydere og datakonsumenter eksempelvis innen administrasjon, læringsgrupper, forskningsprosjekt og i samhandling med andre sektorer og næringsliv. Alle kan være datatilbydere og/eller datakonsumenter. Plattformen realiserer prosessene som sikrer at alle kan finne datasett og at tilgang til data er begrenset til konsumenter som skal ha tilgang.

Datadelingplattformen består av felleskomponenter som tilbyr fellestjenester for publisering, gjenfinning og formidling av tilgang. Disse tjenestene er brukt for å realisere datautvekslingsmønstrene beskrevet i referansearkitekturen.

Referansearkitekturen spesifiserer hvordan datasett, API og notifikasjoner skal:

  • defineres

  • brukes

  • gjenbrukes av nye konsumenter

  • brukes til nye oppgaver

  • forvaltes

Data skal forvaltes i autoritative kilde der ansvar er definert. Datasett til nye formål kan være satt sammen av data fra flere andre API. Datadelingsplattformen skal inngå i Kunnskapsdepartementets datafellesskap der det skal bygges et økosystem for bruk av data rundt plattformen.

Virksomhetene i høyere utdanning og forskning må etablere tillit til hverandre for å kunne dele data. Datadelingsplattformen realiserer tilgangsstyring til sektorenes data på en enhetlig måte gjennom bruk av fellestjenester tilbudt i plattformen i felles datadelingsprosesser beskrevet i referansearkitekturen. Hovedmetoden for tilgangsstyring i plattformen er API Management.

Referansearkitekturen definerer hvordan det varsles om endringer i datasett gjennom notifikasjoner. Varslene brukes til å reagere på endringene i datasettet, uten at hele datasettet konsumeres. Muligheten til å reagere på varsler om endringer tilrettelegger for hurtig behandling av data i situasjoner der tidsbruk er et sentralt kriterium for bruksmønsteret.

1. Føderert API management

Føderert API Management innebærer at et domene kan gi brukere i andre domener som man har et tillitsforhold til, ofte kalt fødereringspartnere, tilgang til sine egne data gjennom API. Det er flere grunner for å gjøre dette. Mange virksomheter har i dag sine virksomhetsdata lagret distribuert, fordelt mellom systemer som kjører på lokale servere («on-premise») og i skybaserte-løsninger.

Det er et sterkt politisk ønske om deling av data mellom domener. Flere initiativer, slik som Digitaliseringsdirektoratets "Orden i eget hus" og andre nasjonale og sektorvise digitaliseringsstrategier skal understøtte deling av data. I en slik sammenheng ser vi behovet for et felles dataforvaltnings, masterdata og API Management-regime i høyere utdannings- og forskningssektorene.

Et slikt regime muliggjør deling av data for å oppnå sammenhengende brukerreiser, eksemplifisert ved de syv livshendelser og tjenestekjeder. Det er en forutsetning at data kan deles mellom virksomheter som betjener slike brukerreiser.

3.parts aktører kan bruke data fra høyere utdannings- og forskningssektorene for innovasjon. Dataforvaltning og API management kan medvirke til deling av data til 3. part ved å gjøre data gjenfinnbart, tilgjengelig og dokumentert.

Virksomheter i høyere utdanning og forskning har mange fellestrekk og noen fellestjenester på tvers. Deres autonomi gjør likevel at de er ulike på enkelte områder, for eksempel når det gjelder teknisk infrastruktur. Disse likhetene og forskjellene understreker behovet for en føderert API Management-løsning. En slik løsning er mer fleksibel med tanke på tekniske løsninger og produktvalg lokalt.

Felleskomponentene relatert til API-management i referansearkitekturen (se under) er laget for å støtte følgende karakteristikk:

  • Institusjonene er sikret råderett over egne data gjennom tilgangstjeneste i ressursportalen og API gateway hos institusjonen som kan styre og holde oversikt over datatilgang

  • Institusjonene har valgfrihet for API Gateway så lenge funksjoner og grensesnitt er ivaretatt

  • Deling av data på tvers av institusjoner er støttet gjennom felles ressursportal

2. Publisering av hendelser

For publisering av hendelser er det etablert et mønster der datatilbyder tilbyr lettvektsnotifikasjoner om hendelser som medfører endringer i datagrunnslaget som datakonsumenten kan abonnere på. Lettvektsnotifikasjonen inneholder en identifikator som peker til hvilke data som er relatert til notifikasjonen. Dette mønsteret er allerede i bruk i høyere utdannings- og forskningssektorene.

Lettvektsnotifikasjonen i en eNotifikasjon blir overført mellom datatilbyder og konsument av en meldingsformidler (message broker). Meldingsformidleren tar imot notifikasjoner om hendelser fra produsenter, og overfører notifikasjonene til de konsumenter som abonnerer på hendelsestypen, samtidig som den sørger for at eventuell leveransegaranti overholdes.

I likhet med behovet for en API katalog som beskriver hvilke APIer som finnes, er det nødvendig med en notifikasjonskatalog som gir et overblikk over hvilke datatilbydere som publiserer notifikasjoner om endring i datagrunnlag.

3. Felleskomponenter tilbyr fellestjenester

Datadelingsplattformen består av felleskomponentene beskrevet under. Disse komponentene tilbyr fellestjenestene benyttet i datadelingsprosessene som detaljeres i neste kapittel. De fleste felleskomponenter skal realiseres med en delt instans for høyere utdannings- og forskningssektorene. API gateway er en funksjonell beskrivelse av en komponent som skal realiseres med instanser nær datakildene som skal beskyttes.

Felleskomponenter tilbyr fellestjenester image
Figure 1. Felleskomponenter tilbyr fellestjenester

Vis detaljer om elementene i diagrammet (Tips: Shift-klikk for å åpne i nytt vindu)

4. Datadeling integrert med IAM

Infrastruktur for identitetshåndtering og tilgangsstyring (IAM) utfyller API management og notifikasjoner og må fungere sammen.

Autentisering er det som sjekker at brukeren er kjent for virksomheten og forsikrer at brukeren er den vedkommende gir seg ut for å være når brukeren ber om tilgang til ressurser.

Autorisering identifiserer hvilke tilganger en bruker skal ha til virksomhetens ressurser. Autorisasjon kan tildeles med basis i roller. Brukere kan tildeles roller og gjennom dette få autorisasjon til virksomhetens ressurser som er knyttet til rollen. Det kan skilles på disse to måtene å få tilgang på delte data:

  • Systemtilgang
    Brukeren har implisitt tilgang gjennom tilgang til konsumenten sitt system i domenet. Konsumentens system har tilgang til API hos tilbyder. Det er konsumenten som må sikre at brukeren har rettighet til å få tilgang til tilbyders data

  • Brukersentrisk datadeling
    Brukeren må ha eksplisitt tilgang til tilbyder sine delte data i tilbyders system i domenet. Her er det tilbyder som har kontroll over brukerens tilgang på data og kan spore brukerens bruk av disse

IAM utfører autentisering ved bruk av en autentiseringstjeneste og en identitetstilbyder, som vist i figuren under.

IAM autoriserer sluttbrukeres tilgang til tjenester. Dette er basert på både autentisering av deres identitet, det vil si hvem brukeren er, og de roller brukeren er tildelt hos en eller flere institusjoner.

API management styrer tilgang til data gjennom API basert på policy eller godkjenning fra dataforvalter. Brukers tilgang til beskyttet tjeneste hos datakonsument kan være tilstrekkelig til at bruker ikke trenger å autoriseres eksplisitt hos datatilbyder. Avgjørelsen om å godkjenne tilgang til data kan være basert på en sluttbrukers rolle hos en institusjon. ​

I UHF autorisasjon inngår autorisering og tildeling av en sikkerhetsbillett (token) ved bruk av en autorisasjonstjener og en token-tjeneste. Denne sikkerhetsbilletten brukes for å få tilgang til API eller notifikasjon hos datatilbyder.

UHF Autorisasjon er en tjeneste som samordner tildeling av sikkerhetsbilletter til datakonsumenter. Sikkerhetsbilletten gir tilgang til en ressurs hos datatilbyderen for en autentisert datakonsument. Tjenesten samordner autorisasjon gjennom verifisering av konsument i konsumentregisteret og sjekk av konsumentens roller og tilganger til API eller notifikasjon.

Ressursportalen og tjenesten for tildeling av rettigheter til datakonsumenter deltar i begge funksjoner.

5. Datadeling på tvers av sektorer

Det er behov for datadeling og API Management på tvers av offentlig sektoren og mot privat næringsliv. Høyere utdanning og forskning ønsker utstrakt bruk av nasjonale felleskomponenter, som omtalt i Digitaliseringsrundskrivet og vist i figuren under. For å oppnå dette må både høyere utdannings- og forskningssektorene og den nasjonale infrastrukturen videreutvikles.​

Føderert tilgangsstyring for datadeling på tvers av sektorer er ønskelig, og det krever blant annet standardisering av sikkerhetsbilletter (tokens) for å oppnå gjennomgående tillitskjeder. Det er også ønskelig at brukere kan styre samtykke til sine data fra et sted nasjonalt, inklusivt til data i kilder i høyere utdanning og forskning. Det hadde vært ønskelig om en felles Norsk samtykketjeneste kunne være integrert med funksjonalitet som vi forventer skal realiseres i IAM løsningen til høyere utdanning og forskning. Samtykke til kilder i sektorene våre fra Altinn autorisasjon er en mulig fremtidig løsning.

Det er planlagt automatisert høsting av API katalogen fra høyere utdanning og forskning til Felles API-katalog som visst i figuren under.

FelleskomponenterUHF nasjonale
Figure 2. Datadeling integrert med IAM og nasjonal infrastruktur