Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

Tilgangsliste Autorisasjon | accesslist/authorize API for tjenesteeier/broker #823

Open
4 tasks
Tracked by #699
jonkjetiloye opened this issue Sep 19, 2024 · 1 comment
Open
4 tasks
Tracked by #699

Tilgangsliste Autorisasjon | accesslist/authorize API for tjenesteeier/broker #823

jonkjetiloye opened this issue Sep 19, 2024 · 1 comment
Labels
kind/feature-request Used when issue is a new feature or request

Comments

@jonkjetiloye
Copy link
Member

jonkjetiloye commented Sep 19, 2024
edited
Loading

Beskrivelse

Team Tilgangsinfo har utviklet funksjonalitet i Ressursregisteret for å definere Tilgangslister knytt til ressurser i registeret som fungerer som ett ekstra autorisasjonslag på toppen av normal autorisasjon i Altinn (gjennom roller og enkeltdelegeringer).
Dette autorisasjonslaget gjelder for avgiveren konteksten av en autorisasjon, og det er hver enkelt tjenesteeier som for sine ressurser evt. velger å aktiverer Tilgangsliste-autorisasjon og administrerer selve listene og hvilke organisasjoner de gir tilgang til hvilke ressurser.

I dialog med Broker teamet har det kommet frem behov for ett API for de tjenesteierene som ikke ønsker å bruke Altinn Autorisasjon men i stedet bare benytte Tilgangslister for å autorisere partene som direkte legges inn i lister for sin ressurs.

Ett slikt API ble laget for testing under utvikling av PDP Decision/Authorize API endringen for AccessList integrasjon og kan evt. hentes ut av commit historikken der for å publisere dette:
Altinn/altinn-authorization@92dbcac#diff-8dde3ae7d1bfd7c62b3ac95853613a1460656741abc776e9041abedc516c2998

Definisjoner

Se #699

Avklaringer

In scope

På bakgrunn av begrensninger i AccessList implementasjonen er det ikke støtte for knytning mellom subressurser i XACML policy og ActionFilter (enkelt action begrensning for members). AccessList støtter ressurskobling enten uten action filter (alle actions er lov), eller med action filter som vil matche action på tvers av alle ressurs og subressurs nivåer i policy.

F.eks Read tilgang for en ressurs vil altså gjelde Read for alle del-ressurser.

Akseptansekriterier

AC1

GITT
NÅR

Oppgaver

Trusselmodellering
Preview Give feedback

Backend
Preview Give feedback

Dokumentasjon
Preview Give feedback

Test
Preview Give feedback

Additional Information

Tilgangsliste Open API Spec:
https://docs.altinn.studio/api/resourceregistry/spec/#/Access%20List

AccessList Policy Example:
https://github.com/Altinn/altinn-studio-docs/blob/master/content/authorization/what-do-you-get/resourceregistry/rrr/policy_rrr_accesslist_subject.xml
@jonkjetiloye jonkjetiloye mentioned this issue Sep 19, 2024
Open
2 tasks
@jonkjetiloye jonkjetiloye moved this from New to Under Technical Refinement in Team Tilgangsstyring & Kontroll Sep 19, 2024
@jonkjetiloye jonkjetiloye moved this from Under Technical Refinement to Ready for Functional Refinement in Team Tilgangsstyring & Kontroll Sep 19, 2024
@jonkjetiloye jonkjetiloye added the kind/feature-request Used when issue is a new feature or request label Sep 19, 2024
@jonkjetiloye jonkjetiloye changed the title Tilgangsliste Autorisasjon | API for tjenesteeier/broker Tilgangsliste Autorisasjon | accesslist/authorize API for tjenesteeier/broker Sep 19, 2024
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
kind/feature-request Used when issue is a new feature or request
Projects
Team Tilgangsstyring & Kontroll
Status: Ready for Functional Refinement
Milestone
No milestone
Development

No branches or pull requests
2 participants
@jonkjetiloye and others