Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

Autorisere appen (appbruker, ikke sluttbruker) #28

Open
martinothamar opened this issue Oct 16, 2024 · 0 comments
Open

Autorisere appen (appbruker, ikke sluttbruker) #28

martinothamar opened this issue Oct 16, 2024 · 0 comments
Labels
kind/architecture-decision A record describing an architecture decision

Comments

@martinothamar
Copy link

martinothamar commented Oct 16, 2024
edited
Loading

Status

In review

Decision

I appen trenger vi en generell og robust måte å utføre operasjoner bare på vegne av appen (vi vil ikke bruke brukertoken slik vi gjør i dag).

Context

Analyse gjort av team Apps: Altinn/app-lib-dotnet#813

Det er mye arbeid som gjøres hvor dette behovet er relevant

  • Fremtidig refaktorering av prossessmotor for reliability
    • At least once delivery og BPMN service tasks
    • Bookeeping & cleanup - f. eks. rydde opp i signering- og PDF-dataelementer når man går frem og tilbake mellom tasks
  • Brukerstyrt/parallelsignering
    • Intern prossesstate (hvem har signert, hvem har fått notifikasjon)
    • Drive prossessen videre automatisk når alle har signert
  • PDF generering uten brukertoken
  • eFormidling og Altinn Events bruker Maskinporten auth
  • Forenkle integrasjon med flere produkter (de fleste produkter ser ut til å bruke Maskinporten auth som standard)
  • Dialogporten integrasjon

Rettighetene det er snakk om:

  • altinn/instances.read altinn/instances.write (alltid på)
  • altinn/correspondence.write (hvis man har enabled Meldingsproduktet for appen i Studio)
  • digdir:dialogporten (også en feature toggle i Studio?)

Ideas

Vi har snakket om å implementere en Rich Authorization REquest (RAR) flow for Altinn apps med Maskinporten som provider.
Etter kort diskusjon med Jørgen fra Maskinporten så ønskes det at Altinn stiller med en ny autoritativ kilde for å verifisere RAR grant fra token request. Vi trenger dermed en bit informasjon som appen kan hente, og som Autorisasjon kan verifisere basert på request fra Maskinporten. I diagrammet under følger et forslag, hvor pod UID brukes:

Image

Å fortsatt basere oss på Maskinporten gjør at vi lettere kan lage "innebygde integrasjoner" med produkter som står utenfor Altinn plattformen, dvs bruke samme mekanisme.

Alternativt kan vi gå for en intern løsning: Altinn/altinn-authentication#769
Som eventuelt kan berikes med samme pod UID mekanisme tegnet over.

Consequences

  • Bedre DevEx for Altinn brukere/utviklere
  • Bedre reliability i Altinn apper, lettere å utvikle en god prossessmotor
  • Trenger utbedringer for localtest, Autorisasjon mm.
@martinothamar martinothamar added the kind/architecture-decision A record describing an architecture decision label Oct 16, 2024
@martinothamar martinothamar changed the title Autorisere på vegne av app (appbruker, ikke sluttbruker) Autorisere appen (appbruker, ikke sluttbruker) Oct 16, 2024
@altinnadmin altinnadmin moved this to In review in Altinn Decision Log Oct 16, 2024
@martinothamar martinothamar mentioned this issue Nov 4, 2024
Closed
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
kind/architecture-decision A record describing an architecture decision
Projects
Altinn Decision Log
Status: In review
Milestone
No milestone
Development

No branches or pull requests
1 participant
@martinothamar