Vedlegg B; Behov for avklaringer og utfordringer i sektorenes kontekst

1. Issues mot nasjonale felleskompontenter (Maskinporten, ID Porten og Altinn autorisasjon)

  1. Harmonisering av autorisasjon

    1. Det er ønskelig at UHF autorisasjonstjener og Maskinporten godkjenner hverandres tilgangstokens. Dette forutsetter at informasjonsmodellen benyttet i tokens er felles. Løsningsvarianter:

      1. Klienter forholder seg til flere autentiseringstjenere og tjenestetilbyderne standardiserer token strukturen

      2. Innbytte av tokens (token exchange) fra andre “trusted” autorisasjonstjenere. En konsekvens av dette er at man mister (?) koblingen til bruker og dermed kjennskap til autentiseringsstyrken som ligger bak.

      3. Software Statement Assertion (https://tools.ietf.org/html/rfc7521 – løsning benyttet av Open Banking UK

  2. Harmonisering av samtykke

    1. Altinn autorisasjon benytter «Self-contained OAuth2 token» for samtykke. Men da vi ikke kan godkjenne tokens på tvers, har vi utfordringer med å benytte Altinn autorisasjon direkte. I hvert fall dekker ikke tjenesten «scopes» vi har anvar for i UHF autorisasjonstjeneren.

    2. Kan «User Managed Access (UMA)» være et alternativ her?

  3. Delegering av authorisasjons-rettigheter: Altinn har per i skrivende stund (mai 2021) ingen god mekanisme for å delegere rettigheter under organisasjonsgranulariteten i Enhetsregisteret. UHF sektorene arbeider med mekanismer for authorisasjon og tilgangsstyring i sektorene våre. Det er ønskelig med en helhetlig nasjonal modell for authorisasjon og tilgangsstyring som fungerer på tvers av sektorer.

2. Issues internt i høyere utdannings- og forskningssektorene

  1. Det er ønskelig at samme forretningslogikk ligger til grunn for tilgang til data uansett om det skjer via bruk av applikasjoner eller oppslag gjennom API. Koordinering mellom IAM prosjektet, UH Sak prosjektet og Datadelingsprosjektet er en forutsetning for denne harmoniseringen av funksjonalitet.

  2. Dersom forskjellige autorisasjonstjenere ikke kan dele tokens, har vi det samme problemet vi har mot de nasjonale fellestjenestene at det ene domenet ikke kan forholde seg til tokens fra det andre domenet.

  3. Sektoren har tre uavhengige SSO løsninger: IDporten, Feide og Azure AD. Dette gir både redusert brukervennlighet, og er en sikkerhetsutfordring dersom man ikke kan garantere for at det er samme person i de ulike SSO identitetene.