Vedlegg B; Behov for avklaringer og utfordringer i sektorens kontekst

1. Issues mot nasjonale felleskompontenter (Maskinporten, ID Porten og Altinn autorisasjon)

  1. Harmonisering av autorisasjon

    1. Det er ønskelig at UHF autorisasjonstjener og Maskinporten godkjenner hverandres tokens. Dette forutsetter at informasjonsmodellen benyttet i tokens er felles. Løsningsvarianter:

      1. Klienter forholder seg til flere autentiseringstjenere og standardisere token struktur

      2. Innbytte av tokens (token exchange) fra andre “trusted” autorisasjonstjenere. En konsekvens av dette er at man mister (?) koblingen til bruker og dermed kjennskap til autentiseringsstyrken som ligger bak.

      3. Software Statement Assertion (https://tools.ietf.org/html/rfc7521 – løsning benyttet av Open Banking UK

  2. Harmonisering av samtykke

    1. Altinn autorisasjon benytter «Self-contained OAuth2 token» for samtykke. Men da vi ikke kan godkjenne tokens på tvers, har vi utfordringer med å benytte Altinn autorisasjon direkte. I hvert fall dekker det ikke skopes vi har anvar for i UHF autorisasjonstjeneren

    2. Hjelper User Managed Access (UMA) her?

  3. Delegering av rettigheter (fullmakt??): Altinn har per i dag ingen god mekanisme for å delegere rettigheter under organisasjonsgranulariteten i Enhetsregisteret. Vi tror ikke dette er et problem siden vi forventer at IGA innenfor UHF sektoren vil dekke våre behov.

2. Issues internt i UHF sektor

  1. Klientregister inneholder den samme klientoversikten i IAM og i datadeling. Hvordan den totale oversikten skal vedlikeholdes må defineres. Skal det være repliserte, konsistente registre? Skal det være disjunkte subsett?

  2. Tilgang til API-er kan ha basis i roller (da er man vel virkelig i overlapp med IGA)

  3. Dersom forskjellige autorisasjonstjenere ikke kan dele tokens, har vi vel også det samme problemet vi har mot de nasjonale fellestjenestene at den ene domenen ikke kan forholde seg til tokens fra den andre domenen.

  4. Sektoren har tre uavhengige SSO løsninger: IDporten, Feide og Azure AD. Dette gir både redusert brukervennlighet, og en sikkerhetsutfordring dersom man ikke kan garantere for at det er samme person i de ulike SSO dokenene.