Som tjenesteeier ønsker jeg å kunne spesifisere forskjellige krav om sikkerhetsnivå for API vs GUI

[jonkjetiloye]

Description

NAV har beskrevet behov/ønske om mulighet til å kunne skille på krav for sikkerhetsnivå mellom bruk i GUI og via API (virksomhetsbruker/systembruker) integrasjoner:

NAV vil ha ressurser som både kan nås gjennom API og GUI. For GUI krever NAV sikkerhetsnivå 4, mens for API kan man slik jeg forstår det ikke sette høyere enn 3. Støtter nytt grensesnitt for registrering av ressurs at man kan sette forskjellig sikkerhetsnivå for GUI og API?

Additional Information

Ekstern henvendelse fra NAV for ønsket feature:
https://altinn.slack.com/archives/C045CRLR8FL/p1707384739074449

Raske tanker:
XACML standarden støtter mulighet å kunne spesifisere sikkerhetsnivå pr. regel i policy som er en måte vi kunne implementert støtte for dette, i stedet for i dag hvor obligation bare er implementert støtte for på policy-nivå.

Alternativt kan man innføre en ny obligation type for å skille sluttbruker autorisasjonskrav fra API-integrasjonskrav, tilsvarende som at man i dag har 2 typer for å skille tjenesteeiers sikkerhetsnivå krav fra sluttbrukers.