Vedlegg B; Behov for avklaringer og utfordringer i sektorens kontekst

1. Issues mot nasjonale felleskompontenter (Maskinporten, ID Porten og Altinn autorisasjon)

  1. Harmonisering av autorisasjon

    1. Det er ønskelig at UHF autorisasjonstjener og Maskinporten godkjenner hverandres tilgangstokens. Dette forutsetter at informasjonsmodellen benyttet i tokens er felles. Løsningsvarianter:

      1. Klienter forholder seg til flere autentiseringstjenere og tjenestetilbyderne standardiserer token strukturen

      2. Innbytte av tokens (token exchange) fra andre “trusted” autorisasjonstjenere. En konsekvens av dette er at man mister (?) koblingen til bruker og dermed kjennskap til autentiseringsstyrken som ligger bak.

      3. Software Statement Assertion (https://tools.ietf.org/html/rfc7521 – løsning benyttet av Open Banking UK

  2. Harmonisering av samtykke

    1. Altinn autorisasjon benytter «Self-contained OAuth2 token» for samtykke. Men da vi ikke kan godkjenne tokens på tvers, har vi utfordringer med å benytte Altinn autorisasjon direkte. I hvert fall dekker ikke tjenesten «scopes» vi har anvar for i UHF autorisasjonstjeneren.

    2. Kan «User Managed Access (UMA)» være et alternativ her?

  3. Delegering av authorisasjons-rettigheter: Altinn har per i dag ingen god mekanisme for å delegere rettigheter under organisasjonsgranulariteten i Enhetsregisteret. UHF sektorene arbeider med mekanismer for authorisasjon og tilgangsstyring i sektorene våre. Det er ønskelig med en helhetlig nasjonal modell for authorisasjon og tilgangsstyring som fungerer på tvers av sektorer.

2. Issues internt i UHF sektor

  1. Det er ønskelig at samme forretningslogikk ligger til grunn for tilgang til data uansett om det skjer via bruk av applikasjoner eller oppslag gjennom API. Koordinering mellom IAM prosjektet, UH Sak prosjektet og Datadelingsprosjektet er en forutsetning for denne harmoniseringen av funksjonalitet.

  2. Dersom forskjellige autorisasjonstjenere ikke kan dele tokens, har vi det samme problemet vi har mot de nasjonale fellestjenestene at den ene domenen ikke kan forholde seg til tokens fra den andre domenen.

  3. Sektoren har tre uavhengige SSO løsninger: IDporten, Feide og Azure AD. Dette gir både redusert brukervennlighet, og er en sikkerhetsutfordring dersom man ikke kan garantere for at det er samme person i de ulike SSO identitetene.