Architecture

Find out more Read more about Altinn Authorization About Altinn Studio About Altinn Studio What do you get? Get started Create your first resource Create your first resource »

Det typiske scenariet er at en hendelse vil bli utløst, eller data vil bli lest, oppdatert eller opprettet av en digital eller analog tjeneste. En tjenesteeier eier denne tjenesten og har definert noen forretningsregler for hvem som har lov til å bruke tjenesten. Denne tjenesten må kontrollere hvem som kan få tilgang til og endre data. Altinn Autorisasjon gir mulighet til å verifisere og håndheve dette. Brukerscenario Brukere og organisasjoner får rettigheter til å få tilgang til en tjeneste fra definerte regler og retningslinjer. »

I ressursregisteret kan man opprette helt nye ressurser eller baserer ressurser på Altinn 2 lenketjenester. Import fra Altinn 2 lenketjenester Hvis man har eksisterende lenketjenester i Altinn 2 som man benytter for ekstern autorisasjon må disse flyttes over til ressursregisteret i Altinn 3 plattformen. I Altinn Studio kan man velge å opprette ny ressurser basert på eksisteren lenketjenste. Velg importer ressurs Migration Gi id som skal benyttes i Altinn ressourceregistret. Denne Id vil være sentral i »

Dette er et arbeid som pågår Tilgangsstyringen vil gi funksjonalitet for å administrere ulike aspekter ved autorisasjon i Altinn. Delegere og tilbakekalle Altinn 2 roller Delegere og tilbakekalle tilgangspakker Opprette tilgangsgrupper Legg til og fjern medlemskap for tilgangsgrupper Delegere app- og instansrettigheter Administrer delegerbare Maskinporten API-ressurser Liste tilgangsgrupper medlemmer Liste ressurser som er knyttet til tilgangspakker Dette designet er i tidlig fase. Delegering og administrasjon av delegert API-tilgang Denne funksjonaliteten lar brukere delegere tilgang gjennom API ved hjelp av å delegere tilgang i maskinporten. »

Altinn skal i 2022-2026 modernisere sin autorisasjonsarkitektur og komponenter. Derfor er beskrivelsen nedenfor en blanding av som den er og skal være. Altinn bruker attributt-basert tilgangskontroll (ABAC). Kort sagt, Altinn autorisasjon kontrollerer tilgang gjennom regler definert i XACML Policies. Hver regel definerer hvilken ressurs regelen beskriver, hvilken operasjon og hvem som kan utføre den. Altinn Autorisasjon - Komponenter Diagrammet nedenfor viser fremtidige komponenter i en ny Altinn-arkitektur. Fremtidig løsning Altinn Autorisasjon Denne arkitekturen definerer følgende komponenter. »

Policy Decision Point er implementert i tilgangskontrollkomponenten som er distribuert til Altinn-plattformen. Policy Decision Point følger eXtensible Access Control Markup Language (XACML) versjon 3.0. Dette betyr at reglene er definert i XACML Policies-filer og PDP evaluerer forespørselen basert på reglene. PDP evaluerer kontekstforespørselen basert på standard XACML 3.0-atferd. Det er ingen spesifikk Altinn-atferd. Policy Decision Point viser en metode som autoriserer beslutningsforespørselen. PDP bruker den konfigurerte Context Handler for å berike beslutningsforespørselen med attributter om emnet, ressursen og miljøet. »

Under utvikling Tjenesteregisteret vil inneholde informasjon om tjenesteressursene Se Github #24 Type ressurser Det finnes ulike typer ressurser som kan registreres Altinn 3 apper - Referert med org/app id Altinn 2 Tjenester - Referert med eksternTjenestekode og EditionKode Tjenesteressurser Altinn 3 Apps Apper som er vert i Altinn 3 Apper vil bli registrert i Altinn Service Registry. Den refererte IDen vil være org/app Registreringen kreves for å kunne liste opp apper som er inkludert i rettighetene for en gruppe »

The standard defines a declarative fine-grained, attribute-based access control policy language, an architecture, and a processing model describing how to evaluate access requests according to the rules defined in policies. The Altinn Studio and Altinn Studio Apps solution uses the XACML standard for the following XACML Reference Architecture: Used as input for defining the Altinn Studio Apps authorization architecture XACML Policy: Used to define the authorization rules for apps XACML Request: Format used for PEP to call PDP XACML Response: Format used for response from PDP to PEP. »